第26回 暗号技術 OpenSSL
インターネットは盗聴の危険やデータの改ざんの危険にさらされている。某国の治安当局にメールの内容をチェックされているということは、昨年(2013年)に米国治安当局の元職員だった人物が暴露して明らかになったが、盗聴を試みているのは米国だけではない、というのが常識である。
治安当局のような国家機関であれば目的にしている情報の種類は特定のものなので、一般のユーザーには影響の薄いものである。薄気味悪いものではあるが、のぞき見られても、実害がそうあるものでもない。盗まれて困る情報はインターネットを経由しない方法で行うことで、インターネットの中でのリスクは回避できる。
しかし、そうした国家機関や治安目的ではない、グループもインターネットの世界では激しく活動している。インターネットで個人情報を盗んで悪用し、他人の財産を毀損する例もある。完全な経済犯罪者である。あるいは他人の情報を盗んで優越感に浸る愉快犯もいる。盗んだ情報をインターネットにばらまいて当事者たちを困惑させる。実害は幅広く波及することになる。
そういうリスクの多いインターネットは利用しなければ危険は少なくなるのだが、実際は、インターネットを使ったサービスがすでに生活に定着している。その便利さを知ったらもうやめられない。社会の重要なインフラの1つになっている。
どうしてもインターネットを使いたいサービスは、情報が盗まれたり、改ざんされることがないように、厳重に守る仕組みが必要である。オンライン銀行で口座番号やパスワードを送信する際、ネット通販で住所、氏名、生年月日、パスワードの設定など、他人に知られると悪用される危険のあるケースがあちこちにある。改ざんされて利用できなくなれ社会生活に支障を来す。
そこで、インターネットが登場して以来、その中を流通する情報を盗もうとする技術の開発とそれを防ごうとするセキュリティー技術の開発の激しい攻防が展開されてきた。その中で防ぐ側の技術として、特に有名なのがSSL(Secure Sockets Layer)と呼ばれるデータを暗号化して安全にやり取りするプロトコル(通信手順)である。
インターネットが登場した初期の時代にブラウザーを開発したことで有名なネットスケープコミュニケーションズ社が開発した手法である。その後、いくつかの欠陥が指摘されたので、改良を重ねて来たが、その機能を引き継いでTLS(Transport Layer Security)という新しいプロトコルが登場したが、そのTLSとして改良が進んでいる現在のプロトコルもSSLと呼ばれるのが定着している。SSLを基にした新しい標準であることを強調する際にはSSL/TLSと表記することもある。
SSLを採用するサーバーは認証局が発行した証明書を提示する。アクセス側は証明書によってアクセス先のサーバーを確認する事ができる上、この証明書を使って通信の内容を暗号化できる。
例えばパソコンやスマートフォンなどの端末とWebサーバーの間でデータを交換する際に、まず、Webサーバーの身元を確認する手続きをし、サーバーが暗号通信をするWebサーバーであることを確認して、その後に暗号化した情報のやり取りをする。その情報はサーバーと端末の間で約束した暗号化手法で取り扱われるので、第三者から盗み取られることがない。「https」とブラウザで表示されている場合はこのような処理が行われているのだ。
OpenSSLはインターネットに公開されたプログラム部品で、暗号通信プロトコルのSSL/TLSの機能をもっている。オープンソフトウェアで、誰でも自由に入手・利用したり開発したプログラムと共に再配布したりすることができる。外部のソフトウェアから呼び出して、自分の開発したソフトウェアにSSL/TLSの暗号通信機能を組み込むことができるので、広く、ネット通販やオンライン銀行などに利用されている。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
治安当局のような国家機関であれば目的にしている情報の種類は特定のものなので、一般のユーザーには影響の薄いものである。薄気味悪いものではあるが、のぞき見られても、実害がそうあるものでもない。盗まれて困る情報はインターネットを経由しない方法で行うことで、インターネットの中でのリスクは回避できる。
しかし、そうした国家機関や治安目的ではない、グループもインターネットの世界では激しく活動している。インターネットで個人情報を盗んで悪用し、他人の財産を毀損する例もある。完全な経済犯罪者である。あるいは他人の情報を盗んで優越感に浸る愉快犯もいる。盗んだ情報をインターネットにばらまいて当事者たちを困惑させる。実害は幅広く波及することになる。
そういうリスクの多いインターネットは利用しなければ危険は少なくなるのだが、実際は、インターネットを使ったサービスがすでに生活に定着している。その便利さを知ったらもうやめられない。社会の重要なインフラの1つになっている。
どうしてもインターネットを使いたいサービスは、情報が盗まれたり、改ざんされることがないように、厳重に守る仕組みが必要である。オンライン銀行で口座番号やパスワードを送信する際、ネット通販で住所、氏名、生年月日、パスワードの設定など、他人に知られると悪用される危険のあるケースがあちこちにある。改ざんされて利用できなくなれ社会生活に支障を来す。
そこで、インターネットが登場して以来、その中を流通する情報を盗もうとする技術の開発とそれを防ごうとするセキュリティー技術の開発の激しい攻防が展開されてきた。その中で防ぐ側の技術として、特に有名なのがSSL(Secure Sockets Layer)と呼ばれるデータを暗号化して安全にやり取りするプロトコル(通信手順)である。
インターネットが登場した初期の時代にブラウザーを開発したことで有名なネットスケープコミュニケーションズ社が開発した手法である。その後、いくつかの欠陥が指摘されたので、改良を重ねて来たが、その機能を引き継いでTLS(Transport Layer Security)という新しいプロトコルが登場したが、そのTLSとして改良が進んでいる現在のプロトコルもSSLと呼ばれるのが定着している。SSLを基にした新しい標準であることを強調する際にはSSL/TLSと表記することもある。
SSLを採用するサーバーは認証局が発行した証明書を提示する。アクセス側は証明書によってアクセス先のサーバーを確認する事ができる上、この証明書を使って通信の内容を暗号化できる。
例えばパソコンやスマートフォンなどの端末とWebサーバーの間でデータを交換する際に、まず、Webサーバーの身元を確認する手続きをし、サーバーが暗号通信をするWebサーバーであることを確認して、その後に暗号化した情報のやり取りをする。その情報はサーバーと端末の間で約束した暗号化手法で取り扱われるので、第三者から盗み取られることがない。「https」とブラウザで表示されている場合はこのような処理が行われているのだ。
OpenSSLはインターネットに公開されたプログラム部品で、暗号通信プロトコルのSSL/TLSの機能をもっている。オープンソフトウェアで、誰でも自由に入手・利用したり開発したプログラムと共に再配布したりすることができる。外部のソフトウェアから呼び出して、自分の開発したソフトウェアにSSL/TLSの暗号通信機能を組み込むことができるので、広く、ネット通販やオンライン銀行などに利用されている。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization