セキュリティの
学び場

通信の暗号化は既に当たり前

インターネットの発達に伴い、ECサイトで欲しいものがすぐに買えたり、振り込みにわざわざ銀行に行かなくともネットバンキングで手続きができたりと私たちの生活はとても豊かに便利になりました。

その反面で、個人情報やクレジットカード情報といった一般的には他人には知られない方が良い情報をインターネット上でやりとりする機会が増えたため、通信の暗号化やサイトの正当性が重要であるという認識は一般的になりました。

現在私たちが利用する多くのWebサイトにブラウザで接続する際、HTTPSから始まるアドレスになっている、正しい電子証明書が設定されていることは当たり前になっています。

通信の暗号化で使われる仕組み

通信を暗号化するのに利用されるのがSSL/TLSです。SSL/TLSはインターネットで行われる通信を暗号化して、安全にデータのやりとりを行う仕組み（プロトコル）です。先程出てきたHTTPSに似た言葉として、HTTPというものがあります。

HTTPもデータのやりとりを行うプロトコルですが、データは暗号化されていない状態のままやりとりされるため、データを見ることができたら内容を知ることができます。そこでHTTPに加えてSSL/TLSでデータを暗号化して簡単に内容が分からない状態にしてデータをやりとりするプロトコルがHTTPSです。SSL/TLSはHTTP以外にも多くのデータをやりとりするプロトコルでデータを暗号化する際に利用されています。

意外と注目されていない！？SSL/TLSのバージョン

通信の暗号化で使われる仕組みとしてSSL/TLSを知っている人は多くなってきていますが、一般のユーザにとってそのバージョンまで意識している人はまだ多くはないかもしれません。

SSL/TLSにはSSL1～3、TLS1.0～1.3と複数のバージョンが存在していて最近ではTLS1.2、1.3の利用が推奨されており、それ以外のバージョンの利用は非推奨とされています。そして実際に多くのユーザが利用する主要ブラウザでは2022年頃にTLS1.0、1.1を利用した通信が無効化（接続不可や安全ではない旨の注意画面の表示）されるようになっています。

古いSSL/TLSバージョンの利用リスク

なぜ古いSSL/TLSバージョンを利用することが非推奨となったのかというと、答えはSSL/TLSを利用することで実現していた安全性を脅かす方法（脆弱性）が発見されてきた歴史があるからです。

特にPOODLE攻撃やBEAST攻撃と呼ばれる脆弱性は、暗号化したデータを解読することができる脆弱性としてよく知られています。つまり、攻撃者は通信を解析することで、クレジットカード番号やマイナンバーなどの重要情報を抜き取れるかもしれない・・・ということです。

他にも直接的なリスクではありませんが、脆弱性が広く知れ渡っており、利用が非推奨とされる古い暗号方式を利用していることで、攻撃対象とする選定動機にも繋がり、狙われやすくなる場合もあります。

サービス提供者としての対策

「最新の暗号方式に対応すること」とともに、高いセキュリティを求めるシステムでは「安全でない暗号化」での接続を受け付けないことが重要です。

2023年時点では平文(HTTP)とTLS1.1以下のバージョンのSSL/TLSを無効化し、TLS1.2,1.3のみを受け付けることが考えられます。ただし、それまで利用していたTLS1.1以下のバージョンを無効化することでユーザがこれまで通りの利用ができない、つまり可用性の問題が発生してしまう場合は安全上のリスクを受容して継続利用することも可能です。

しかしこれは一時的な暫定運用であり、将来的に無効化を実施することを念頭に移行計画を具体的に検討するべきです。

サービス利用者としての対策

前述の通り通常は利用者が「SSL/TLSバージョン」を認識する機会はありません。

一般的には最新のブラウザはその時点で適切なバージョンで通信をするようになっています。そのため、最新のブラウザを利用することが利用者としての対策になります。

おわりに

SSL/TLSはインターネットを安全に利用するために欠かせない暗号化の仕組みです。だからこそ、流れの早いインターネットの技術発展に合わせて、SSL/TLSもより安全なものへと変わり続けます。そして、セキュリティ確保の第一歩として実際に最新のものを利用するということが大切になってきます。