IT用語の使い方を間違えたままでいると、成果物となるシステムもまた誤りの山となる。特にセキュリティー用語に関する誤解は、システムの脆弱性を生む温床になりかねない。用語そのものへの理解はもちろん、システム全体の知識が無ければ適切に使えないのがセキュリティー用語。技術的な背景を踏まえた上で、お互いに誤解の無い会話を心がけよう。

M氏:IT部門のマネジャー

P氏:IT部門のプログラマー

M氏:Webブラウザーで「保護されていません」なんて警告を見かけることが多くなったね。ウチのWebサイト、暗号化していないHTTPのままのページはもう無いよね?

P氏:はい。HTTPS化は終わりました。予算の都合もありますが、更新がラクな無償の「Let's Encrypt」をひとまず利用する予定です。

M氏:無償の証明書? オレオレ証明書はさすがにダメでしょう。

P氏:さすがにオレオレ証明書ではないですよ。主要Webブラウザーのルート証明書に採用されている、海外の大手ITベンダーも運営に名を連ねている認証局が発行するものです。弊社のドメインが乗っ取られでもしたらどうにもなりませんが、改ざん防止という点では有償のものと違いはありません。

M氏:有償のデジタル証明書の方が信用できるでしょう。審査が厳しい方が安心できるのでは? とにかく無償は困るよ。無償は。

 この会話は、Webサイトの「常時SSL化」におけるサーバー証明書の導入に関するやり取りを想定したものだ。サーバー証明書は、TLSでHTTP通信を暗号化し、Webサイトのドメイン名を偽ったり、通信内容を改ざんしたりする行為を防ぐ用途に使われる。RSA公開鍵暗号によるデジタル署名の技術を使ったデジタル証明書の一種だ。

 M氏はサーバー証明書の効果を「信用」に置いている。無償サービスより有償サービスの方が信用できる、という判断だ。一方P氏は、改ざん防止という機能を重視し、その際にサーバー証明書が無償か有償かは関係ないとする。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。