無料発行も可能、3種類のSSLサーバ証明書の使い分けは？：セキュリティ強化塾（4/4 ページ）

[キーマンズネット]

IoT、スマホアプリでも「SSL証明書」の設計が大事

　実はSSLサーバ証明書に注目すべき分野は他にもある。IoTをはじめとする組み込み分野やスマートフォンアプリ開発だ。IoTはインターネットに接続されることが前提であるため、データのやりとりが「正しい相手である」ことを確認しなければならない。ここにもSSLサーバ証明書の仕組みを用い、データ収集先がなりすましでないことを常にチェックすべきだ。

　ただし、組み込み機器としての宿命として、長く使われることも念頭におかなければならない。SSLサーバ証明書で利用する暗号技術は、CPUの計算量の増加に伴い、より強固なアルゴリズムにアップデートできる仕組みがある。ところが、そもそも「アップデートする」ということを想定していない機器は、特定のタイミングでSSLサーバ証明書が使えなくなってしまう。

　実際、これまで利用されてきた「SHA-1」の証明書は2016年12月末に多くのWebブラウザでの利用ができなくなる。古い携帯電話が続々とサポート対象外になっているのは、このアップデートの仕組みがないからだ。

　また、スマートフォンアプリの開発者もSSLサーバ証明書を適切に理解、管理しなくてはならない。スマートフォンアプリ内から暗号化通信を行う場合、SSLサーバ証明書の正当性のチェックが行われていないと、なりすました第三者のサーバへ通信していたとしても利用者には判別が行えない。

　iOSの開発者は、アプリからの通信をHTTPSに限る「ATS」（App Transport Security）の有効化が2016年末までに必須となる。そのため、開発者もSSLサーバ証明書の仕組みを理解し、さらには将来のアップデートも視野に入れた開発を行うべきだろう。

　このように、SSLサーバ証明書はこれまでの「フォーム画面だけ」という時代から、「常時SSL」「アプリもSSL」という時代に変化してきた。より信頼性を高められるEV SSLと、発行のためのコストを限りなく下げられるDV証明書発行局の登場などから、SSLサーバ証明書を適材適所で活用する下地も整いつつある。

　暗号化やなりすまし防止だけでなく、SEO効果や企業の信頼向上にも使えるSSLサーバ証明書を、ビジネスに効果的に取り入れてほしい。

図4 SSLサーバ証明書は「適材適所」で選ぶ（出典：シマンテック・ウェブサイトセキュリティ）