2018年10月19日
割賦販売法改正!クレジットカード加盟店に求められる4つの不正使用対策
近年、インターネット上の詐欺やデータ改ざんといったニュースを聞く機会が増え、ユーザーの情報セキュリティ意識も高まっています。そのためサイトを運営する場合は、ユーザーに安心して使っていただける仕組みづくりが重要なポイントです。今回は自社サイトやネットワークの運営に欠かせないセキュリティ対策、SSL認証についてご紹介します。
SSL(Secure Sockets Layer)とは、データを暗号化してインターネット上で送受信を行う、プロトコル(通信規約)の1つです。TLS(Transport Layer Security)という別の呼称が用いられる場合もありますが、基本的には同じものを指していると考えて問題ありません。
多くの企業サイトでは、セキュリティ対策としてSSL認証が採用されています。特に個人情報やクレジットカード情報といった、重要度が高いデータを扱うECサイトには不可欠なセキュリティ対策です。
SSL認証は、共通鍵暗号方式と公開鍵暗号方式の2つを組み合わせ、データを第三者による取得や改ざんから守っています。ここで言う鍵とは、「データの暗号化(もしくは復号化)に必要なもの」と理解してください。ここではSSL認証の仕組みにおける重要なポイントである、この2つの暗号方式についてご説明します。
共通鍵暗号方式は、送信側が暗号に使用した鍵と同じものを、受信側も共有する暗号方式です。両者は同一の鍵を使用するため、単純で処理速度が速い半面、安全に相手に鍵を渡す必要がある点が難点です。そこでSSL認証では、次の公開鍵暗号方式と組み合わせてセキュリティ強度を高めています。
公開鍵暗号方式は、公開鍵と秘密鍵という2つの鍵を用いて暗号化・復号化を行う方式です。送信側がデータの暗号化に使用する公開鍵は誰でも取得できます。それに対してデータの復号化に必要な秘密鍵は、受信側しか持っていないため、安全な通信が可能となるのです。
SSL認証によるデータのやり取りは以下のような流れで行われます。
1.サイト閲覧者がサイト側に通信をリクエストする
2.リクエストを受けたサイト側は、SSL通信に必要となる「SSL証明書」と公開鍵をサイト閲覧者に渡す
3.閲覧者は共通鍵を生成、渡された公開鍵で暗号化を行い、サイト側に送信する
4.サイト側は秘密鍵によって共通鍵の復号化を行い、閲覧側とサイト側で共通鍵が共有される
5.双方のデータ通信が、共有している共通鍵による暗号化、復号化で行われる
SSL認証が施されていないサイトは、第三者による悪意ある攻撃に対して脆弱(ぜいじゃく)であり、個人情報漏えいを含む、ECサイトを利用するユーザーにさまざまなリスクが生じます。
例えば、注文フォームに入力するメールアドレスが第三者に漏れてしまえば、ユーザーの元には多くの迷惑メールが届くでしょう。クレジットカード情報が知られてしまうと、身に覚えのない請求が来てしまうかもしれません。
現在のユーザーは、利用するサイトのセキュリティ意識に敏感になっています。SSL認証を施しているサイトは、ブラウザのURL鍵のマークが表示されるため一目瞭然です。自社サイトやネットワークをユーザーに安心して使っていただくためには、SSL認証は必須と言えるでしょう。
SSL認証は、現在のサイト運営に必要不可欠な仕組みです。自社サイトにはSSL認証を導入し、セキュリティ対策を万全にしておくようにしましょう。特に決済周りのセキュリティには慎重にならなければなりません。決済代行会社を利用する場合は、セキュリティへの取り組みがしっかりしている会社を選ぶことをおすすめします。
