インターネットが普及するにつれて、ネット上で個人情報を送信することも多くなってきました。しかしネット上における個人情報のやりとりの危険性については残念ながらまだ十分に理解が行き渡っている状態とはいえず、トラブルによる事例も報告されています。 ネット上で個人情報をやり取りすることの危険性について、今後も一般ユーザに啓蒙を促していくことはもちろん必要です。しかしそれ以上に、インターネットショッピングサイトなどのサービスを展開する事業者に対して、セキュリティに関する正しい知識を伝えていくことが急務となっています。
この記事ではネット上でサービスを提供している業者が、ホスティングサービスの共用ドメインSSLを使う時に注意すべき点について解説します。
目次
ホスティングサービスの共用ドメインSSLのメリットとデメリットを知っておこう
SSL(Secure Sockets Layer)を使うと、インターネット上でやり取りされるデータを暗号化することができます。個人情報やクレジットカード情報といったセキュリティ上大切な情報が暗号化されますので、万が一途中でデータを盗み見られたとしてもその内容が分かりませんので、悪用される心配がありません。
SSLを使うには「SSLサーバ証明書」が必要ですが、「SSLサーバ証明書」には暗号化を実現して個人情報などのデータの安全性を確保することの他に、もうひとつ大切な役割があります。それは「実在証明」です。サービスを提供している会社が本当に存在するかということを様々なレベルで証明する役割を担います。 以下、「ホスティングサービスなどで利用される共用ドメインSSL」のメリットとデメリットをこの「暗号化通信」と「実在証明」という2つの役割を軸に整理してみましょう。
手軽に「暗号化通信」を提供できるホスティングサービスの共用ドメインSSL
ホスティングサービスを提供している会社の中には、共用ドメインSSLをサービスの一環として利用可能としている場合があります。この共用ドメインSSLを使えば、「ホスティングサービス会社があらかじめ取得したSSLサーバ証明書」を利用することで、サービス提供者が新規にSSLの申請手続きを行わなくてもSSLサービスを開始することができるようになっています。
方法としては、https://www.ホスティングサービス会社.jp/提供サービス名 というサブディレクトリ型や、https://提供サービス名.ホスティングサービス会社.jp/ というサブドメイン型があります。いずれの型であっても、ホスティングサービスを提供する会社が正式にSSLサーバ証明書を申請して正規の認証機関から許可をもらっていますので、ユーザのブラウザに警告が表示されることもありません。
このため、お問い合わせフォームやアンケートフォームからユーザの個人情報を受け取りたいという目的を持つサービス提供者は、ユーザに入力を促すフォームがSSLで保護されたセキュアな環境であることを手軽にアピールすることができます。
また、ホスティングサービスで提供されている共用ドメインSSLは無償で利用を許可しているケースがあるため、コストを気にすることなく利用することができます。
しかし一方で、共用ドメインSSLを利用しているサイトでは、SSLのページに遷移した際に、今までアクセスをしていたドメインとは異なる、ホスティング会社が用意しているドメインへ変わります。このため急にアクセスしているドメインが変わることから、アドレスバーに気を配っているサイト閲覧者からすると、フィッシングサイトにアクセスをしているような感覚になってしまいます。
「実在証明」で不安の残るホスティングサービスの共用ドメインSSL
お問い合わせフォームやアンケートフォームでのSSL暗号化通信を特別な準備無しで利用できるのは確かに便利です。では、よりセキュアな情報管理が求められるECサイトなどでクレジットカード番号等を入力してもらうときにも、このホスティングサービスの共用ドメインSSLはサイト閲覧者へ不安感を与えないものでしょうか。
答えは「与える可能性がある」と言わざるを得ません。その理由は「SSLサーバ証明書」のもう一つの機能である「実在証明」の点で、ホスティングサービスの共用ドメインSSLには不安が残るからです。先程の例でいえば、正規の認証機関の審査をパスしたSSLサーバ証明書を取得しているのは、「https://www.ホスティングサービス会社.jp/提供サービス名」や「https://提供サービス名.ホスティングサービス会社.jp/」 の「ホスティングサービス会社」のケースが大半だからです。
この状況は、大きな百貨店とそこに入居しているテナントの関係と似ています。百貨店自体は建築基準法などの各種の規制をクリアしていますが、そこに入居しているテナントは百貨店自身の審査によって入居を許可されているだけです。
そして大切なことは百貨店の場合には、入居するテナントの実在性などの審査は厳しく厳格に行っていますが、インターネットサービスプロバイダーでは、サブドメインやサブディレクトリでSSLを使用する企業に対して、実在性の証明までは求めていないということなのです。つまり、SSL通信を提供しているにもかかわらず、ホスティングサービスの共用ドメインSSLでは、サービス提供者の「実在性の証明ができていない」、「実在性の証明にはならない」ということになってしまいます。
前項で、共用ドメインSSLを利用していると、SSLのページへ遷移した際にドメインが変わることを記述致しました。証明書の内容や認証局から提供されるサイト用のシールを掲載していると、この内容として共用ドメインSSLの所有者であるホスティングサービス会社の社名などの情報が表示されます。注意深いサイト閲覧者はここまで確認をしてしまうため、訪れていたサイトの運営者と異なることに不信感を持つ可能性があります
次に、「実在性の証明」のレベルについて、もう少し詳しく見てみましょう。
SSLサーバ証明書の認証レベルの違いを知っておこう
SSLサーバ証明書はドメインの使用権のみを認証する証明書から、組織が法的に実在し、実際に運用されているかを確認して発行される証明書まで3つのレベルが存在します。
ドメイン認証
ドメイン認証とは、SSLサーバ証明書の所有者が証明書に記載のあるドメイン(コモンネーム)の使用権を所有していることを認証するものです。証明書内に組織名や組織の所在地情報は含まれません。
企業実在認証
ドメインの所有者の確認をWHOISデータベースに照会することで行い、組織の法的実在性を第三者データベース(帝国データバンク・DUNS・職員録)に照会することで確認しサーバ証明書を発行します。
Extended Validation
EV(Extended Validation)とは、証明書に記載される組織が、法的かつ物理的に実在し、またその組織が証明書に記載されるドメインの所有者であることを認証するものです。EV SSLは世界標準の認証ガイドラインがあり、サーバ証明書の中で最も厳格な審査が行われます。
共用ドメインSSLでEV SSLを利用するとこんなデメリットがあります
ホスティングサービスの共用ドメインSSLにおいても、今解説した3段階のいずれかの種類のSSLサーバ証明書を取得してSSLサービスを提供しています。プロバイダの中には、稀にEV SSLを共用ドメインSSLとしてユーザに利用を開放しているケースがあります。このEV SSLを利用すると、独自ドメインSSLのEVと同様にアドレスバーは緑色に表示されます。そのため信頼されたページにアクセスをしているような錯覚に陥ります。
しかし、ここに大きな落とし穴ともいえる状況があります。SSLサーバ証明書取得者(先程の例でいう百貨店)は確かに最高レベルのEV SSLを取得しているのでアドレスバーは緑色になりますが、それを利用しているサービス提供者(テナント)の実在証明はなされていません。したがって、「提供サービス名」のページの緑色のアドレスバーには本来「提供サービス名」の会社名が出るはずなのに、「ホスティングサービス会社」が出ているという状態になります。
これは、場所を貸しているプロバイダには実在性の証明はあるが、実際に商売をやっているテナントには実態がない(証明できていない)という状態を意味しています。
これでは、せっかくのEV SSLの緑色の証明も意味が無いといえるでしょう。
最高度の信頼性を持つEV SSL認証をアピールしたいなら共用ドメイン型のSSLは避けたほうが無難
最近では常時SSLでサイトの運営を行うという風潮も、検索エンジンなどの対応から広まってきています。共用ドメインSSLを利用して常時SSLを行うことは、情報入力の必要のないページも全てホスティングサービス会社のドメイン名になってしまうため、サイト運営者独自のドメイン名が無意味なものとなりますので、注意が必要です。共用ドメインSSLの利用自体の否定はしませんが、利用するサイトや収集する情報などのシーンを見極めたうえでご利用されることをお勧めいたします。