【クリック】
本当に使って大丈夫? “お金が絡む”Webサービスの安全性を見分ける4つの方法
https://goo.gl/Vm3hxE
一部引用
たまに「こういうサービスってどうなの?」と聞かれはしますが、私自身はこれらのサービスには手を出していません。
お金に関するネット上のサービスが、ITセキュリティに関してどのような姿勢を持っているかはすぐには分からず、その点で手を出しにくいのです。
ただし、一般的な視点で分かることもいくつかあります。
そこで今回は、特に“金融サービス”において極私的にチェックしている「そのWebサービスがどの程度セキュリティを考えているか」を判断するポイントを、セキュリティの基礎知識と共に紹介したいと思います。
【必須】HTTPS通信が使われていること
お金に関係するサービスで、HTTPS通信を使っていないのはもはや論外です。
SSLサーバー証明書は皆さんもよくご存じの、URLバーのところに表示される「錠のマーク」が目印で、これがあることで「通信が暗号化」されていることが確認できます。
この錠のマークがあれば安心と考える方も多いでしょう。この錠のマークは、通信を暗号化するだけでなく「相手が正しいサーバである」ことも証明できます。
HTTPS通信を行うためのSSLサーバ証明書には「ドメイン認証」「企業認証」「EV認証」の三段階があり、大手の金融機関のほとんどは、その組織の存在を確認した上で発行される「EV認証」を持っています。
EV認証はWebブラウザ上で「組織名が表示される」という特徴があり、これを確認することでフィッシングサイトではないことがすぐに分かります。
まず、SSLサーバ証明書が使われていない場合は「論外」。本来はお金が絡むサービスならば、それなりにハードルが高い「EV認証」を使っていることが望ましいです。
「ドメイン認証」「企業認証」の違いを判断するには、証明書の中身を見なければなりません。ドメイン認証は誰でも簡単に使え、悪意あるフィッシングサイトすら暗号化通信をする時代です。
そのため、安全であることをアピールするのであれば「利用者が一目で安全であることが分かるEV認証」を使ってほしいと思います。
SSLサーバー証明書は、認証レベルにより「ドメイン認証」「企業認証」「EV認証」の3つに分けられます。
ドメイン認証は、ドメイン名の所有権のみを確認し、企業認証は、ドメインの所有権に加え、申請した組織の実在性を確認します。
最も厳格に審査するEV認証では、登記簿謄本や第三者機関のデータベース等により法的・物理的に組織の実在性を確認することで、高い信頼性を実現します。
なお、3つの認証方式で証明書自体の機能(暗号強度など)には差がありません。証明書の発行申請者をどのように審査するかによって種類が異なります。
SSLサーバー証明書の違い
SSLサーバー証明書は、認証レベルにより「ドメイン認証」「企業認証」「EV認証」の3つに分けられます。
それぞれどういった違いがあるのかを解説します。
【クリック】