|
|||||||||||||||||||||||||||
 |
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
第17回:オンラインショッピングってセキュリティが心配!? |
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
インターネット上のオンラインショッピングは、商品の品揃えが豊富で、手軽に商品を購入できるというメリットがあります。しかし、心配なのは、その安全性です。クレジットカード番号などを入力しても本当に安全なのでしょうか?
■ 暗号化で安全性を確保 インターネット上のオンラインショップで商品を購入したり、オンライントレードやオンラインバンキングをパソコンから行なう。こんなことも今や決して珍しくなくなってきました。しかし、中には、このような取引に不安を覚える人も少なくないことでしょう。大切なクレジットカード番号をインターネット上のサイトに入力したり、株の取引や銀行の振り込みなど、重要な取引をインターネット上で行なっても本当に安全なのか? その点が最も気になるところです。たとえば、オンラインショッピングサイトなどでは、購入時にクレジットカード番号を入力することがあります。また、購入した商品の情報や送付先となる住所や氏名などの個人情報も入力しなければなりません。このような情報は、インターネットを経由して、ユーザーのパソコンとオンラインショッピングサイトの間でやり取りされるため、万が一、インターネット上で情報を盗み見られてしまうと、クレジットカード番号などが外部に流出し、それが悪用されてしまいかねません。 もちろん、いかなる場合においても絶対に安全と言い切ることはできませんが、多くのインターネット上のサイトでは、安全性を確保するために、「SSL(Secure Socket Layer)」という暗号化方式を採用しています。 前述したように、オンラインショッピングなどでは、パソコンとショッピングサイトの間で、さまざまな情報がやり取りされます。これを暗号化することで、インターネット上での盗聴や改ざんを防止できるのです。オンラインショップのサイトにアクセスした際、ブラウザの右下にカギのマークが表示されることがありますが、これがSSLを利用した通信をしているという表示です。
■ どのように暗号化を行なうのか? SSLの仕組みをもう少し詳しく見てみましょう。インターネット上で利用される暗号化のしくみには、大きく分けて2つの方式があります。1つは共通鍵暗号方式(秘密鍵暗号化方式)、もう1つは公開鍵暗号方式です。共通鍵暗号方式は、古くからある比較的単純な方式で、データを暗号化するときと、暗号化されたデータを復号化するときに、同じ鍵を使うやり方です。たとえば、AさんとBさんがデータを暗号化してやり取りするときのことを考えてみましょう。共通鍵暗号化方式では、AさんとBさんの2人ともが同じ鍵をあらかじめ持っており、Aさんが鍵を使って暗号化したデータを送信すると、同じ鍵を使ってBさんがデータを元に戻します(復号化)。 しかし、この方式はあまり利用されていません。なぜなら、鍵のやり取りが問題になるからです。両者があらかじめ同じ鍵を持っていなければならないということは、何らかの方法で両者が鍵の情報を交換しなければなりません。インターネット上で鍵を交換すれば手軽ですが、鍵自体が外部に漏れてしまうと、せっかく暗号化したデータが不正に入手された鍵によって復号化され、その内容が漏れてしまいます。 そこで、考え出されたのが公開鍵暗号方式です。共通鍵暗号方式ではデータの暗号化と複合化に同じ鍵を使いましたが、公開鍵暗号方式では「公開鍵」と「秘密鍵」というペアになる2つの鍵を使ってデータを暗号化します。文字通り、公開鍵が外部に公開する鍵で、秘密鍵が自分だけが持つ秘密の鍵です。 この方式の特徴は、ペアになる鍵を使わないと暗号化されたデータを復号化できない点です。公開鍵で暗号化したデータは秘密鍵を使わないと復号化できず、逆に秘密鍵で暗号化したデータは公開鍵を使わないと復号化できません。
先ほどと同じようにAさんとBさんがデータを暗号化してやり取りする場合を考えてみましょう。この場合、AさんはデータをBさんの公開鍵を使って暗号化して送信します。すると、Bさんは受け取ったデータを自分の秘密鍵を使って復号化し、その内容を読み取ることになります。 公開鍵暗号方式でも、先ほどの共通鍵暗号方式と同様にデータをやり取りする両者が鍵を交換する必要がありますが、相手に渡すのは公開鍵だけでかまわないというのがポイントとなります。万が一、公開鍵が第三者に知られてしまったとしても、公開鍵で暗号化されたデータは、同じ公開鍵では復号化できないため、安全性が確保されます。 ■ オンラインショップで利用されるSSL さて、本題に戻りましょう。オンラインショップなどで利用されるSSLでは、この公開鍵暗号方式が利用されています。たとえば、ショッピングサイトで買い物をする場合、まず購入者はショッピングサイトに対して、電子証明書を要求します(1)。電子証明書を入手すると、今度はインターネット上の認証局に対して、電子証明書を提示し、ショッピングサイトの公開鍵を入手します(2)。 認証局とは、ベリサインのようなインターネット上の証明機関のことです。認証局には、オンラインショッピングサイトの公開鍵や秘密鍵、そしてこれらが正当なものであることを証明する電子証明書が保管されています。ここにショッピングサイトから入手した電子証明書を提示することで、公開鍵を入手するわけです。あとは、公開鍵暗号化方式で説明したように、公開鍵でデータを暗号化してやり取りすることになります(3)。
なぜ、ショッピングサイトから直接、公開鍵を入手するのではなく、認証局を介するのかというと、ショッピングサイト自体の正当性(実在するサイトかどうか)を確認するためです。もしかすると、悪意のある第三者がショッピングサイトになりすまして、購入者のクレジットカード番号などを盗もうとしている可能性があります。これを防止するために、第三者機関である認証局が発行した電子証明書を利用し、そのショッピングサイトが正当なものであることを確認するわけです。
このように、オンラインショッピングやオンライントレード、オンラインバンキングなどでは、SSLを利用することで、データを暗号化したり、サイトの正当性を確認できるため、安全に利用することができるようになっています。 ただし、ここで注意しなければならないのは、SSLによって保護されるのは取引時にやり取りされるデータだけだという点です。取引の際には、個人情報などをサイト側に登録する必要がありますが、登録後のデータが漏洩する心配がないかは別問題です。サイト側でデータの管理がきちんとなされていないと、内部からの流出など、そこから情報が漏洩する可能性もあります。確かに安全性を確保するための仕組みは用意されてはいますが、最終的に絶対に安全とは言い切れないのも事実です。
■ 関連記事 ・ ASAHIネット、5月11日よりSSLによるメールサービスの暗号化を開始 ・ BIGLOBE、メールを暗号化する「メール盗聴防止機能」を提供開始 2004/08/27 11:11
|
 |
|
| Broadband Watch ホームページ |
|
|
|
|
 |
|
| Copyright (c) 2004 Impress Corporation All rights reserved. |
|