SSLとは〜クレジットカード用語集

SSLとは、Secure Sockets Layerの略で、インターネット上のデータをセキュアに通信するための決まりごとのようなものです。簡潔に述べれば、データを暗号化する通信手段……というイメージがわかりやすいでしょう。

クレジットカードとSSL

クレジットカードとSSL、何の関係があるのか……と思われるかもしれません。今日ではインターネットでの決済手段としてクレジットカードが普及してきましたが、実はその際、SSLが必要不可欠なのです。

Webサイトの通信データは、通常は暗号化されない

通常のWebサイトの閲覧に際しては、HTTPという通信手順が用いられています。このHTTPという通信手段は、送受信内容が暗号化されません。というのも、Webの性質上、暗号化する必要性がないからそうなったのでしょう。Webページにアップする=世界に公開しているような内容をいちいち暗号化・復号化していたら、時間的&通信的コストも馬鹿になりませんしね。

ですが、クレジットカードや住所・氏名などの個人情報をやりとりする際は、暗号化してくれないと困ってしまいます。そのため重要なデータを送受信する際は、SSLという暗号化する通信手段が用いられるようになったのです。

昨今では、クレジットカード情報を入力する際は必須なまでに

入力情報が暗号化されないような通信手順でクレジットカード情報を入力することは、それを公開するようなものと思っておいた方が良いです。実際、知識のある人にとっては、パケットスニファ(パケットキャプチャ)と呼ばれるツールで、通信内容を見ることができます。

そこで昨今では、クレジットカード番号を入力する場面では、SSL通信が行われることが常識となっています。SSL通信が利用されているページでは、例え通信内容を傍受されても、内容を知られることはありません。

実際には、ほぼ100%といっても良い位、普通のまっとうなサイトでは、クレジットカード情報入力=SSL必須が守られています。Web制作者にとっては当然の内容ですし、そもそもクレジットカード情報が流出して訴えられるのは、会社にとってもいやですものね。

実際の所、クレジットカード番号を入力するページで、SSLに対応していないところは無いに等しいです。ただし、そうはいっても、自衛の手段として、必ず確認はした方が良いと言えるでしょう。確認する方法は後述しますが、SSLに対応していないサイトでのクレジットカード決済は控えるべきです(そもそもそんなセキュリティ意識のサイトを利用すべきではありませんが、、、)。

説明と現実の乖離

本ページ内の説明ではSSLを確認するのが必須……と言っていますが、実際問題として、楽天市場や、Yahoo!ショッピング等の大手通販サイトでは、私もSSLに対応しているか、なんて確認していません(汗)というのも、対応しているのが当たり前だからです。こんな大きな会社がSSLに対応していなかったとしたら、とたんに大ニュースになっているでしょう。すぐに専門家の指摘も入り、ネット中を駆け巡る時代です。

万人に対して間違いの無いよう本ページでは毎回確認!と説明していますが、ご自身が信用しているサイト(トラストサイト)であれば、自己責任において確認しない場合も多いのが現実と思います。

SSLの確認方法

HTTPSから始まっているかどうか確認

SSL通信が行われているのを確認する最も分かりやすい方法は、表示中ページのURLを確認することです。表示中のURLが、https://から始まっていれば、間違いなくSSL通信が利用されています。

なお、現在表示中のページを確認する方法は、大抵はWebブラウザ(ホームページ閲覧ソフト)の最上位にあるので見れば分かります。

下記のサンプルをご覧ください。三井住友カードのカード申し込みページを表示中ですが、赤枠の中に、表示中のURLがあります。https://から始まっていますので、SSLで暗号化されているページということが分かりますね。

三井住友カード SSLページ

簡易方法:ロゴを確認する

あまり重要ではありませんが、SSLサーバ証明書を発行している機関が提供している、ロゴ(セキュアシールや、スマートシールなど会社によって呼称は異なる)を確認&クリックすることで、SSLに対応しているというサイト側の自己主張が見て取れます。ただ、わかりやすくはあるのですが、シールが貼ってあるからと言って、必ずしもそのページがSSLページとは限りませんので、注意が必要です。

また、やろうと思えば偽造できますので、悪意を持って制作されたサイトには全く通用しません。あくまで参考程度にするのが良いでしょう。


SSLロゴのサンプル。

SSLに関する豆知識

SSLに関するおまけ的な知識を書いてみたいと思います。

HTTPSになっていなくてもSSLに対応していないとは限らない……けれど

実は、httpsから始まっていない=SSLに対応していないと言うわけではなかったりします。通常のhttp:://から始まっているページであっても、入力フォームの送信先(formのtarget属性)が、https://に」なってさえいれば、一応暗号化はされるのです。

ただし、それにはHTML(Webページ)のソースコードを読まなければ分かりませんから、Webの知識のない人には分からないですよね。

また、フォームの入力ページがhttpだと、フィッシング防止の観点や、ページの改ざん防止の観点から見て、問題が発生する可能性があります。

結論としては、やはりクレジットカード情報を入力するページは、httpsから始まっているページである必要があると考えられます。ですから、「本ページはSSLで保護されていませんが、送信先はSSLで保護されていますから大丈夫です」とはなりません。

SSLが有効でも、信頼できる認証機関が発行しているSSLサーバ証明書かは別

実はSSLが大事と言っても、クレジットカードの決済に使われる際のSSLの場合、暗号化「だけ」では心配です。暗号化に加え、信頼できる認証機関が発行しているSSLサーバ証明書であることが大事です。

購入するSSLの種類によって異なりますが、サイトの運営組織が実在するか、ドメインの使用権があるかなど、Web サーバの正当性も、SSLサーバ証明書によって証明されるのです。

このあたりのお話はちょっとだけ難しいかもしれませんので、ここであえて最低限いうならば、Webブラウザが警告を出すようなサイト・ページでは、クレジットカード情報を入力してはだめだということです。

証明書の有効期限が切れていたり、通称オレオレ証明書等の信頼性の低いSSLサーバ証明書の場合は、Webブラウザが警告を出してくれるようになっていますので。

ドメインや企業証明も

利用しているSSLサーバ証明書の種類によって、様々な付加価値が存在します。先ほどもさらりと触れましたが、その企業の実在証明から、事業所所在地や法人設立直轄地まで証明するスペシャルなSSLサーバ証明証があります。

例えば、そのスペシャルなSSLサーバ証明書を使っている例として、再度三井住友カードを例に挙げます。下記の赤枠に緑背景で「Sumitomo〜」とある部分にご注目ください。

三井住友カード EV SSL

この緑のアドレスバーに、企業名が記載されているのがスペシャルなSSLサーバ証明書の印です。EV SSL(Extended Validation SSL)と呼ばれるもので、SSLの中でも最もしっかりした証明書となります。

具体的には、まずは1で、企業名が一目瞭然。1をクリックすると2の「Webサイトの認証」が出ていますが、ここで企業の所在地も確認できます。さらに3をクリックすると、さらなるSSLサーバ証明書の詳細情報がでてきます。

暗号化だけではなく、こういった所まで確認できれば、より違ったところも見えてくると思います。「おっこのショップはEV SSL使ってるな。ちゃんとしてるな」等など。

「一枚目のカード取得」に燃えている方

パート・アルバイトも(もちろん正社員も)申し込み・審査対象の、アコムACマスターカード(サイト内リンク)が最もお勧めです。このカードでクレヒスをつけて($マークも付きます)、本当にほしいカードの取得を目指ざすのがお勧めです。

※お勧めの理由は当サイト内の上記ページをご覧下さい。

日本で最もポピュラーなVisaブランドなら

日本のVisaは、VJ協会(ビザジャパン協会)の売り上げの大部分を占める、三井住友VISAカードが最も人気です。
カードデザインも良く、どこのお店とも提携していないので、場所を選ばずどこで出しても恥ずかしくないのが特長です。将来プラチナを持ちたい人の布石にも。万人にお勧めできるカードです。
サイト内記事:日本のVisaの盟主的存在:三井住友カード