• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

要件定義・基本設計で役立つ、安全なWebアプリ&インフラ構築術

第5回 意外と知らない?HTTPSを使いこなすテクニック

倉持 浩明=ラック 2015/04/08 日経SYSTEMS

 今回は、通信経路を暗号化するHTTPS(Hyper Text Transport Protocol Secure)について説明します。 HTTPSは、SSL(Secure Socket Layer)/TLS(Transport Layer Security)を使い、HTTP通信を暗号化します。WebアプリケーションでHTTPSを使うと、盗聴や改ざん、なりすましによる被害を防げるようになります。

 ただしHTTPSの実装には注意が必要です。2014年には、SSLのオープンソースソフトウエアであるOpenSSLに、「HeartBleed」「POODLE」「FREAK」と呼ばれる重大な脆弱性が見つかりました。証明書を発行する認証局や、Google Chrome、Firefox、IEなどのブラウザーも対応を進めています。

▼Heartbleedとは、2014年4月に発覚したオープンソースの暗号化ライブラリ「OpenSSL」の脆弱性。サーバーの秘密鍵や利用者のCookieなどが盗み出される可能性がある(関連情報)。

▼POODLE(Padding Oracle On Downgraded Legacy Encryption)とは、2014年10月に発見された暗号化プロトコル「SSL3.0」の脆弱性。通信プロトコルのバージョンをSSL3.0にするように仕向け、暗号化された通信内容を解読できてしまう。2014年12月には、SSLに加えてTLSでも、この脆弱性の影響を受ける可能性があると指摘されている(関連情報)。

▼FREAK(Factoring RSA Export Keys)とは、SSL/TLSの実装に関して、2015年3月に公表された脆弱性。SSL/TLS通信を行うプログラムの中には、通信時に強度の弱い暗号(RSA Export Keys)を使用させられるものが存在する。FREAK脆弱性のあるソフトウエアに対して中間者攻撃が行われると、SSL/TLSの通信内容を解読される可能性がある(関連情報)。

 要件定義や基本設計に携わるSEやPM、そしてWebシステムの開発者は、HTTPSの基礎を押さえ、正しく設計・実装するとともに、最新の動向についても注意する必要があります。

HTTPSの三つの機能で脅威を防ぐ

 HTTPSには、(1)通信経路の暗号化、(2)コンテンツの改ざん検知、(3)通信相手の認証──の三つの機能があります(図1)。

図1 HTTPSの三つの機能
[画像のクリックで拡大表示]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    戸籍のマイナンバー対応を阻む2つの壁

     住民票と並んで個人にとってなじみの深い公的書類に戸籍がある。その戸籍をマイナンバーに対応させるための法制化の取り組みが本格化した。住民票や課税証明書と同様に、マイナンバーに基づく情報連携によって行政機関への戸籍謄抄本の提出を不要にして、国民の利便性向上と行政事務の効率化につなげるのが狙いだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る