情報セキュリティマネジメント試験 科目A キーワード集 > SSL/TLS
概要
SSL/TLS(Secure Sockets Layer / Transport Layer Security)とは、インターネット上の通信を暗号化し、盗聴・改ざん・なりすましを防ぐプロトコルです。SSLは古い呼称で、現在は後継のTLSが使われていますが、慣習的に「SSL」「SSL/TLS」と呼ばれます。
WebでこのSSL/TLSを使った通信がHTTPS(鍵マーク・https://)です。ネットバンキングやショッピングなど、個人情報を扱う通信の安全を支える基盤技術です。
詳細(仕組み・守れること)
通信の流れ(ハンドシェイク)
- サーバがサーバ証明書を提示し、ブラウザが正当性を検証する(なりすまし防止)。
- 公開鍵暗号を使って共通鍵(セッション鍵)を安全に共有する。
- 以後は高速な共通鍵暗号で通信内容を暗号化する。
これはハイブリッド暗号の典型的な使い方です。守れることは次の3つです。
| 守れること | 技術 |
|---|
| 機密性(盗聴防止) | 共通鍵暗号による暗号化 |
| 完全性(改ざん検知) | メッセージ認証(MAC) |
| 真正性(なりすまし防止) | サーバ証明書(PKI) |
SSL/TLSのキーワードは「
通信の暗号化=HTTPS」。内部で
ハイブリッド暗号と
サーバ証明書を使い、
盗聴・改ざん・なりすましを防ぐ点が頻出です。
対策・注意点
- サーバは正規のサーバ証明書を導入し、常時HTTPS化する。
- 古い脆弱なバージョン(SSL 3.0、TLS 1.0/1.1)を無効化し、TLS 1.2/1.3を使う。
- 利用者は証明書の警告が出るサイトで重要情報を入力しない。
- 「鍵マークがある=暗号化されている」だが、相手が安全な相手とは限らない(フィッシングサイトもHTTPS化している)点に注意。
活用・関連例
SSL/TLSは、Webサイト(HTTPS)、メール送受信(SMTPS/IMAPS)、VPNなど、あらゆる暗号化通信で使われています。中間者攻撃や盗聴への基本的な防御策であり、公衆Wi-Fiなど信頼できない経路でも安全に通信するために不可欠です。
試験での問われ方
- 「Web通信を暗号化するプロトコルはどれか」→ SSL/TLS(HTTPS)。
- 「SSL/TLSで実現できることはどれか」→ 盗聴防止・改ざん検知・サーバのなりすまし防止。
- 「SSL/TLSで使われる暗号方式の組合せはどれか」→ ハイブリッド暗号(公開鍵+共通鍵)。