システム開発を発注する際、”SSL”という単語を聞いたことはないでしょうか。
「名前は知っている」「重要そうだとは分かる」「でも具体的に何なのかは知らない」という方が多いのではないでしょうか。
「技術的な話だから開発側にお任せで」と思われるかも知れませんが、必要なことをよく理解して発注しないと重大なセキュリティ事故に繋がりかねません。
この記事では「システム発注者が知っておくべきSSLの安全性」という観点で、開発者だけでなく、発注者も知っておくべきポイントを解説すると共に、発注時に誤解しやすい点や注意すべきことについて紹介していきます。
SSLとは何か
SSLとは”Secure Sockets Layer”の略で、ネットワーク上でデータを暗号化して通信する技術のことです。
「そう言われてもよく分からない・技術的な話だから開発側にお任せで」と思われるかも知れませんが、必要なことをよく理解しておかないと、重大なセキュリティ事故に繋がりかねませんので、開発者だけでなく、発注者も知っておくべきポイントを簡単に紹介します。
何のために存在するのか
SSLには、インターネット通信を暗号化することで、第三者からデータの中身を盗まれたり、改ざんされるのを防ぐ役割があります。
もしもSSLが使われていなかったり管理が杜撰だと、社内で使用しているデータが無関係の人間によって参照・漏洩されてしまい、セキュリティ事故が起きてしまいます。
どこで使われているか
SSLは、元々はWebアプリのログイン機能や管理画面などの機密性の高い情報を扱う際に使用されていましたが、今日では機密性の高い低いに関わらず、ほとんどのWebサイトで使用されています。
今アクセスしているWebサイトがSSLを使用しているかどうかは、ブラウザのURL欄を見れば分かるようになっています。
Microsoft Edgeブラウザを例にすると、URL欄の左端に南京錠のマークがあり、URLの先頭が”https://”となっているサイトはSSLによる通信を行っており、データを盗難や改ざんから保護しています。
(南京錠マークをクリックすると”接続がセキュリティで保護されています”と表示されます)
また、URL欄の左端が三角形の注意マークになっていてURLの先頭が”http://”になっているサイトは、SSLによる通信を行っておらず、データが第三者から保護されていません。
(注意マークをクリックすると”このサイトへの接続は安全ではありません”と表示され、クレジットカード情報などの機密情報を入力しないように注意されます)
SSLの仕組み・SSL証明書とは
ここまでで、SSLがどういった場面で何のために使われているのかを解説しましたが、次はSSLがどのような仕組みで成り立っているのかを少しだけ紹介します。
「さすがに仕組みまで発注者が知っている必要はないだろう」と思われるかも知れませんが、実はSSLは「開発時に機能を作ればそれで終わり」というものではなく、「SSL証明書」が有効である状態を保持しなければなりません。
SSL証明書の役割
SSL証明書(SSLサーバ証明書)は、「認証局(CA: Certificate Authority)」と呼ばれる第三者機関が認証・発行する電子証明書で、サイト運営者や通信対象が信頼出来る身元であることを証明・保証する役割があります。
データの暗号化通信を行うには、データの送り手と受け手双方の身元が保証されている必要があるため、SSL証明書の発行は必須条件となります。
知っておくべきポイント
SSL証明書について、発注者が知っておくべきポイントは次の3点です。
① 発行元の存在
上述した認証局がSSL証明書の発行元になります。
発行機関は複数存在するため、どの機関に発行を依頼するか事前に決めておく必要があります。
② 発行費用の傾向
SSL証明書には「実在する企業か」などの信頼度のレベルに応じていくつかの種類があります。
発行元にも寄りますが、基本的に信頼度の高い証明書ほど発行にかかる費用が高くなる傾向があります。
③ 有効期限の存在
SSL証明書には有効期限が存在します。
SSL証明書の有効期限が切れた状態ではデータの暗号化通信が行えないため、期限が切れる前に証明書を更新する必要があります。
(なお、証明有効期間は2026年1月現在、最長で発行から398日間ですが、今後信頼性の更なる向上を目的に段階的に短縮されていき、2029年3月には最長47日間になることが決まっています)
発注者が誤解しやすい点
最後に、SSLについてシステム発注時に生じやすい誤解を基に、正しい知識と考え方についてご紹介します。
誤解①「SSLはオプション機能」
「通信はSSLによる暗号化を用いる想定です」という開発側の提案に対して「余計な機能は削ってコストダウンしたい」といった意見が出ることがあります。
ここまでの説明の通り、SSLは既にあらゆるWebサイトで使用されているセキュリティ保護技術です。
業務システムにおいても、インターネットを使用している以上は、SSLはオプション機能・追加機能ではなく、標準装備すべき機能と考えて間違いないでしょう。
誤解②「一度設定すればOK」
前項で解説した通り、SSLによる暗号化通信にはSSL証明書が有効である必要があります。
定期的な更新が必要であることはもちろんですが、そもそも証明書の内容がシステム・サイトに合っているかをチェックしなければなりません。
運用するシステム・サイトに対して過剰な認証レベルの証明書を発行してしまっている場合は、認証レベルを落とすことで発行費用の削減や有効期間の延長によるコストダウンを実現出来るかも知れません。
誤解③「SSL証明書は開発側で用意・管理するもの」
前述の通り、SSL証明書の取得には費用がかかる場合がありますが、システムの発注側と開発側のどちらがその費用を負担するのかは契約の内容次第になります。
また、有効期間の保持は誰が管理するのか、有効期限切れが起きた場合はどのように対応するのかなどは、契約時に事前に決めておかないと大きなトラブルに繋がります。
おわりに
昨今は業務に関する様々なデータがインターネット上でやり取りされるようになり、セキュリティの重要性が増してきています。
漏洩したデータ自体がそこまで機密度の高いものじゃなかったとしても、そのデータを基にして社内の重要データに不正にアクセスされるといったケースも考えられるため、SSLは今やシステム開発における必須要件となっています。
開発者だけでなく、発注者の視点でもSSLについてポイントを押さえておくことが、セキュリティ意識の高いシステムの実現に繋がります。
