【通信プロトコル】SSL/TLSについて
みなさんは、httpやhttpsなどをよく目にすると思います。このhttpやhttpsのことをプロトコルといいます。
今回はそのプロトコルについて解説するのですが、プロトコルにはかなり沢山の種類があります。
その中で「SSL/TLS」について、本日はご紹介していきます。
プロトコルとは何かというところから、この「SSL/TLS」がどういった場面で使用されているのかを具体例をあげながら紹介していきます。
1. プロトコルとは
まずは、プロトコルとはについて解説します。
プロトコルとは通信を行う時の約束事や決まりのことを言います。
他のパソコンと通信する際に必要な約束事です。
比喩表現を使って分かりやすく説明します。
例えば、中国へ旅行に行ったとします。そこで私たち日本人が日本語で会話しようし、相手が中国語で会話しようとします。
お互いに別の言語で会話するとコミュニケーションが成り立ちません。
なので、お互いが理解できる英語で会話しましょうと約束します。
この約束事をITでプロトコルと言います。つまりお互いがコミュニケーションできるようにした約束事です。
こういったプロトコルは沢山あります。下記に一例を挙げておきます。
・IP:インターネットに近い通信をするときに使う
・FTP:ファイルの受け渡しをする時に使う
・HTTP:ホームページを見る時に使う
・NTP:ネットワーク経由で時刻を合わせるときに使う
4つほど例を挙げましたが、実際にはもっと多くのプロトコルがあります。
その中で今回はSSL/TLSというものについて絞って解説します。
2. SSL/TLSとは
通信する時に使用するプロトコルの一種で「SSLまたはTLS」を「SSL/TLS」と表示してます。
もう少し詳しく説明すると、インターネットで暗号化通信を行うときに使うプロトコルであり、SSLプロトコルの後継になるのがTLSプロトコルです。
まずはSSL/TLSの役割についてです。
3. SSL/TLSの役割
大きく2つの役割がこのプロトコルにはあります。
1.暗号化通信
「共通鍵暗号方式」と「公開鍵暗号方式」の両方を用いて、インターネットでの通信を暗号化することで第三者からデータを盗まれたり、個人情報を見られたりする事を防ぎます。サイトの大小にかかわらず、データの送信を行う場合には、SSL/TLSを利用して通信の安全性を高めることが現在では多く使われています。
「共通鍵暗号方式」、「公開鍵暗号方式」について分かりやすく説明します。
・共通鍵暗号方式:秘密鍵を一つ作成し、データを暗号化する時と、元に戻す時に同じ鍵を使う方式です。
この方式は手軽に行える方法の一つですが、注意点があります。
使う鍵は一つだけなので管理に気をつけないといけない点、古い鍵が流出したり、解析されたりする場合があるため、定期的に更新しないといけない点が主な注意点になります。
・公開鍵暗号方式:二つの鍵を使いデータを暗号化や元に戻す方法です。
手順としては「秘密鍵」をもった人が「公開鍵」を作成します。
その後、送信する人に「公開鍵」を送り「公開鍵」を使って暗号化します。
暗号化したデータを「秘密鍵」を作った人に送り、「秘密鍵」を使って元に戻す方法です。
二つの鍵を使ってデータを暗号化しているので「共通鍵暗号方式」に比べてセキュリティが高い方法です。
安全性の高い方法ですが、こちらも注意点があります。
二つの鍵を使用して暗号化等を行うのでコストが高くなってしまうことと、公開鍵を交換する際に攻撃を受けてしまう場合があることです。
2.サイト運営元の確認
SSL/TLS通信ではWebサイトなどのサーバーがユーザーとの通信を安全に暗号化するためのデジタル証明書を持つSSL証明書を利用します。インターネット上の実印のようなものです。
そのため、サービスの提供者が誰なのかを登録する必要があり、サービスの運営元が誰なのかをSSL証明書を通じて利用者は確認をすることができます。
セキュリティの関連からSSL証明書が発行されていないWebページにアクセスできないようにする制限をかける企業もあります。
4. TLSの登場
これまで説明したものはほとんどSSLについてでしたが、最初の方でSSLまたはTLSという説明をしました。
これはTLSがSSLの後継であるので「または」という表現をしています。
ではTLSが出てきた背景をご説明します。
SSL通信は出てきたばかりの時は、かなり重要なプロトコルでした。
しかし時間の経過によってSSLの脆弱性が指摘され始めました。その時に出てきたものがTLS通信です。
SSL1.0→SSL2.0→SSL3.0→TLS1.0
というようにSSLがバージョンアップしていく中でTLSに変わりました。
このプロトコルの性能としてはSSLの性能の強化で間違いはありませんが、TLSという名称に変更することで導入を促進する狙いがあったようです。
ただSSL通信が普及しているのもあり、TLS通信をSSL通信ということもあるそうです。
そのため、SSL/TLSと言われています。
5. 使われている場面
それではこのSSL/TLSがどういった場面で使用されているかをいくつか紹介します。
HTTPS:一番有名なものです。
Webページを見る時にhttpやhttpsというアドレスをよく目にすると思います。
httpにSSL/TLS通信プロトコルを加えて、安全に通信できるようにしたものがhttpsになります。個人情報を使用しているWebサイトでよく使用されています。
例:銀行、金融機関、ECサイト、クラウドサービスなど
SMTPS:電子メールを使用する時、メールを送信する時に使用するのがSMTPのプロトコルです。
そのプロトコルにSSL/TLSを加えたものがSMTPSです。
SMTPSから送信されたものであれば信頼性の高いメールサーバーである可能性が高いです。
SSL VPN:VPN接続にSSL/TLSを加えたものがSSL VPNです。
インターネット上に仮想のネットワークを引いて通信する方法ですが、その方法に暗号化方式を加えたものがSSL VPNになります。
6. SSL/TLS証明書
SSL/TLSを会社で利用した場合SLSサーバー証明書という言葉を耳にすることが多くなると思います。
最後にSSLサーバー証明書について簡単に解説します。
SSLサーバー証明書は、ウェブサーバーとユーザーの間の通信を安全に暗号化するためのデジタル証明書です。
この証明書には、Webサイトのドメイン名や組織情報が含まれており、信頼できる認証機関によって署名されています。
SSLサーバー証明書を使用すると、データの送受信が暗号化され、中間者からの攻撃やデータの盗聴から保護されます。
SSLサーバー証明書が使用されているWebページにはロックアイコンがあり、安全な通信があることを確認できます。
SSLサーバー証明書は、オンライン取引や個人情報の送信など、セキュリティの高い通信が必要なウェブサイトで広く使用されています。
7. まとめ
今回は、SSL/TLSについて解説しました。
SSL/TLSはこれから需要がますます高まる技術になります。
サイバー攻撃やデータの漏洩の脅威もますます増えていきます。
その中でSSL/TLSの技術も高まっていきます。
そしてIoTデバイスが増えてきているため、これまで以上に需要が高まるスピードが早くなっています。
是非この機会にSSl/TLSについて学習してみてはいかがでしょうか。