情報セキュリティにおいて、情報が漏洩しないこと、安全にデータ通信できることは重要な問題です。近年、インターネットの発達や普及によって通信上の安全を確保する必要性が高くなっています。
個人情報の流出のニュースが頻繁に報道されるなか、情報が流出して顧客に損害を与えるということはその実害だけでなく、流出した企業の信用を毀損してしまいます。では、情報セキュリティを担保するセキュアな通信とは、どのようなものがあるのでしょうか。

情報セキュリティの重要要素とは

情報セキュリティの要素は1992年のOECD(経済協力開発機構)によって制定され、2002年の「情報システム及びネットワークのセキュリティのためのガイドライン」によって提示されました。その後、ISO/IEC 27001によって、情報セキュリティ(Information Security)は、情報の「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の3要素から構成されると規定されました。

機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取って、「情報セキュリティのCIA」といわれることがあります。

この情報セキュリティの3要素は、組織における情報資産のセキュリティを確保するための枠組みである情報セキュリティマネジメントシステム（ISMS：Information Security Management System)の目標としても、規定されています。また、最近では「CIA」の3要素にさらに「責任追跡性」(Accountability)、「真正性」(Authenticity)、「信頼性」(Reliability)という3つの要素を加えたものを「情報セキュリティの6要素」と呼ばれることもあります。

SSL通信は本当にセキュアなのか

Web上でセキュアな通信手段とされているのがSSL（Secure Sockets Layer）/TLS（Transport Layer Security）通信です。SSL/TLS通信を利用すると、サーバとクライアント間の通信を暗号化することが可能となります。SSL/TLS通信は、対応するブラウザがインストールされていれば、すぐに開始することができ、特別なクライアントを必要としません。SSL/TLS通信の仕組みは次のような手順によって行われます。

「共通鍵暗号方式」と「公開鍵暗号方式」の両方を用いることで、インターネット上のデータ通信を暗号化することで第三者からの盗聴・改ざん、なりすましを防ぐことが可能になるのです。
しかしSSL/TLS通信にも、情報セキュリティの3要素における「可用性」に弱点があります。SSL/TLS通信では、サーバに接続したクライアントに対して、分け隔て無く公開鍵を送信して、通信を行います。つまり、通信の安全は確保することはできても、通信の相手を認証することはできません。

サーバ証明書自体も簡単に作成することができ、「自己証明書(オレオレ証明書)」と呼ばれています。認証局の署名のない証明書を使ったとしてもSSL/TLS通信自体は問題なく行うことが可能なのです。そのため、電子証明書の発行機関である「認証局」の署名があってはじめて有効な証明書といえます。

SSL/TLS通信に「認証局」の署名が必要な理由

「認証局」の役割は、技術的に電子証明書を発行するというだけではありません。例えば、インターネットを流れるデータの「盗聴」「改ざん」に関しては、自己証明書を設定することで暗号化通信が可能になりますが、「接続の安全性が確認できません」などの警告文がブラウザ上に表示されてしまいます。なぜなら、自己証明書の発行元はインターネットブラウザ（Chrome、Firefox、Internet Explorer等）には登録されていないためです。

また、第三者が本物そっくりに作ったウェブサイトで個人情報や決済情報などを不正に取得する「なりすまし」に引っかからないためには、信頼できる第三者機関である認証局にウェブサイトの運営者・運営組織の実在性を証明してもらう必要があります。運営主体が第三者機関から本物の組織であることが認証されると、組織情報がブラウザで確認できたり、アドレスバーが緑色になったりなど、目に見える安全性が提示されるからです。

セキュアな通信を利用して情報セキュリティを高めよう

通信のセキュリティについてはインターネットと切っても切れないものであるため、情報セキュリティ上、必ず検討する必要があります。利用者のニーズに合わせて、最適な通信方法を選択することが必要です。