ある日、中学生のアヤは、パソコンでネットショッピングをしていました。しかし、支払い情報を入力する際に不安を感じました。
「この情報、誰かに見られてしまうんじゃないかな…」と心配するアヤ。
その時、パソコンに詳しい兄のタケシが近づいてきました。
「アヤ、大丈夫だよ。SSLという技術が君の情報を守ってくれるんだ。」とタケシが言いました。
「SSLって何?」とアヤが尋ねました。
「SSLは、Secure Sockets Layerの略で、インターネット上でデータを安全にやり取りするための技術だよ。例えば、手紙を送る時に封筒に入れて他の人に見られないようにするよね。それと同じように、SSLはデータを暗号化して送ることで、第三者がその内容を読むことができないようにしているんだ。」とタケシは説明しました。
「どうやって暗号化するの?」とアヤはさらに質問しました。
「SSLでは、サーバ証明書というものを使ってデータを暗号化するんだ。まず、Webサーバがサーバ証明書を使って公開鍵をクライアントに送る。この公開鍵を使ってクライアントはデータを暗号化して送信するんだ。そして、Webサーバはそのデータを自分の秘密鍵で解読するんだよ。」とタケシは続けました。
「公開鍵と秘密鍵って何?」とアヤは興味津々に聞きました。
「公開鍵は誰でも見ることができる鍵で、データを暗号化するために使われるんだ。秘密鍵はWebサーバだけが持っている鍵で、暗号化されたデータを解読するために使われるんだよ。」とタケシは答えました。
「なるほど、それならデータが安全に送れるね。でも、サーバ証明書はどうやって信頼できるの?」とアヤは尋ねました。
「サーバ証明書は認証局(CA:Certificate Authority)という信頼できる機関が発行しているんだ。認証局は公開鍵と証明書の紐づけを保証してくれる。だから、クライアントは認証局の公開鍵を使ってサーバ証明書を検証できるんだよ。」とタケシは説明しました。
「ちょっとまって、クライアントって何?」とアヤが聞きました。
「クライアントっていうのは、簡単に言えばユーザーのことだよ。パソコンやスマートフォンを使ってウェブサイトにアクセスする人のことを指すんだ。だから、アヤが今使っているパソコンもクライアントなんだよ。」とタケシは補足しました。
「ところで、SSLトンネリングって聞いたことあるけど、それは何?」とアヤが尋ねました。
「いい質問だね、アヤ。SSLトンネリングは、SSLを使って特定のプロトコルを安全に通過させる方法だよ。例えば、VPN(仮想プライベートネットワーク)で使われることが多いんだ。通常のSSLはウェブサイトとの通信を暗号化するけど、SSLトンネリングは特定のアプリケーション間の通信全体を暗号化して、データの保護を強化するんだ。」とタケシは説明しました。
「なるほど、普通のSSLとSSLトンネリングは目的がちょっと違うんだね!」とアヤは納得しました。
「具体的にはどんなところで使われているの?」とアヤは興味を持ちました。
「例えば、ネットショッピングのサイトや銀行のオンラインバンキング、さらにはSNSなど、個人情報をやり取りする多くのウェブサイトで使われているんだ。ウェブサイトのアドレスがhttpsで始まっているところは、SSLを使っている証拠だよ。」とタケシは教えました。
「なるほど、だからhttpsなんだね。じゃあ、SSLを使うことで完全に安全なの?」とアヤは聞きました。
「SSLは非常に強力なセキュリティ技術だけど、完全ではないんだ。常に最新のセキュリティ対策を取ることが大切だよ。でも、SSLを使うことでデータの盗難リスクを大幅に減らすことができるんだ。」とタケシは答えました。
「ところで、最近TLSって言葉も聞くけど、SSLとTLSはどう違うの?」とアヤが尋ねました。
「いい質問だね、アヤ。TLSは、Transport Layer Securityの略で、SSLの後継技術なんだ。実際には、SSL 3.0の次のバージョンがTLS 1.0と呼ばれている。TLSは、SSLの問題点を改善し、より強力なセキュリティを提供しているんだ。つまり、今はほとんどのサイトがSSLではなくTLSを使っているんだよ。」とタケシは説明しました。
「なるほど、SSLの進化版がTLSなんですね!」とアヤは納得しました。
「そうだね。だから、httpsで始まるサイトは、正確にはTLSで暗号化されていることが多いんだ。でも、みんなが分かりやすいようにSSLと呼ばれ続けているんだよ。」とタケシは補足しました。
アヤは安心しました。「わかった、これで安心してネットショッピングができるね。ありがとう、お兄ちゃん!」
タケシ「ほどほどにね・・・・」
SSL(Secure Sockets Layer):インターネット上でデータを暗号化して送信することで、第三者がその内容を読むことができないようにするためのセキュリティ技術。
| バージョン | リリース年 | 脆弱性の問題 | 推奨/非推奨 |
|---|---|---|---|
| SSL 1.0 | ー | 公開前に脆弱性が見つかったため非公開 | 非推奨 |
| SSL 2.0 | 1994 | 脆弱な暗号化、攻撃に対する脆弱性 | 非推奨 |
| SSL 3.0 | 1995 | 重大な脆弱性”POODLE”、脆弱な暗号化 2014年に非推奨 | 非推奨 |
| TLS 1.0 | 1999 | 2021年に非推奨 | 非推奨 |
| TLS 1.1 | 2006 | 弱い暗号スイート、最新のセキュリティ基準に非対応。 | 非推奨 |
| TLS 1.2 | 2008 | 現時点での標準、安全性が高い SHA-256が追加 | 推奨 |
| TLS 1.3 | 2018 | 最新のセキュリティ標準、より高速で安全 | 推奨 |
A. Secure Sockets Layer
B. Secure System Link
C. Secure Software Layer
A. データの暗号化
B. ウェブサイトのデザイン向上
C. インターネットの速度向上
A. ウェブサイトのアドレスがhttpsで始まっている
B. ウェブサイトの色が青い
C. ウェブサイトのロゴが表示されている