「安全」なショッピングサイトとは?(SSLは安全か?)
SSLは第一歩
安心して買い物ができるショッピングサイトの構築には、お客さんの情報を入力するフォームの部分に、ブラウザ(パソコン)とホームページを発信するサーバー間の通信を暗号化するSSLを導入することが第一歩です。消費者のセキュリティ意識が高くなったいまでは、SSL導入の有無がショップの評価を大きく左右しています。
当社では、今日からSSL装備のショッピングカートが導入できるサービスを提供しています。
そして、このSSLを導入すれば、お客さんは安心して買い物をします。しかし、それだけではまだ「当店でのお買い物は安全です」と宣言することはできません。この段階ではまだ50%が安全になった程度のレベルです。
この状態でお客さんに「安心してお買い物をして下さい」というにはかなり無理があります。
SSLで完全か?
一般にいうSSLとは、ブラウザとサーバー間の通信を暗号化する技術です。せっかくこの部分を暗号化しても、ショップに届く受注メールはセキュリティのかかっていない通常のメールです(自社サーバーを持たないで一般のプロバイダーのホームページスペースやレンタルサーバーを利用してショッピングサイト発信する場合は、受注はメールで受けることになります)。
これは普通のメールで通信しているのと同じです。
つまり、通信をしている間やサーバー(プロバイダ)のメールボックスにメールが残っている間はメール内容が丸はだかになってしまいます。これでは安全とは言えません。
通信回線やサーバーは常にハッカーに狙われています。このような状態で、他に絶対洩れてはいけないクレジットカード番号の受付などは絶対に行うべきではありません。
受注メールを送信せずにサーバー上に受注情報を残すという手法も考えられますが、TelnetやFTPをインターネット経由で許可している一般のプロバイダーやレンタルサーバーの場合は、ハッカーなどにより常に第三者がサーバーに侵入する危険をはらんでいます。ハッカーの好ターゲットです。
サーバー上にお客さんのクレジットカード情報をのせるサービスも見受けられますが、好ましくないサービスです。
もし、あなたがお客さんで、自分の情報がそのようにしてサーバー上にのっているとしたら、そのお店で買い物をしますか?
私どもではこれまで国内大手飲料メーカーや自動車メーカーのショッピングサイトを手掛けましたが、これらのサーバーはインターネット経由のFTPは許可しておらず、直通電話での直接ログインのみを許可するなどハッカー対策をとっていました。
SSLの次は?
専用サーバーを持たない中小のショッピングサイトでも最高のセキュリティを確保できるのが、このサイトでのサービス「SSLPGP+」です。
受注をSSLで受け付けるとともに、受注のメールを完全に暗号化してショップのメールボックスにお届けします。こうすれば、盗聴もできませんし、サーバーのメールボックス内の受注メールも解読される心配はありません。クレジットカード情報も受け付けることができる、まさに「安全」なショッピングサイトになります。
クレジットカードの受付をする場合は必須ですし、セキュリティの高い情報を扱う場合や完全に「安全」をアピールしたい場合は、是非「SSLPGP+」を導入して下さい。
もちろん、当初はSSLのみのショッピングカートを導入して、後でSSLPGP+にグレードアップすることも容易に可能です。
【PGPについて】
PGP(Pretty Good Privacy)は、アメリカの Philip R. Zimmermann氏によって作られ、インターネット上で無料で配布されている暗号化プログラムです。公開鍵暗号(Public
Key Cryptoraphy)という方式を用いて暗号化し、受け取った相手にしか元の文書を再構成して読めないようにすることができます。
このPGPは世界中で700万人が利用しているといわれ、事実上の標準暗号化ソフトです。
非常に強固な暗号方式を採用され、ソースが公開されているなどの理由により信頼性も高い暗号ソフトです。また、有料の認証サービスを受けないことからコスト面でのメリットもあります。
詳しくは、次のページなどで説明していますのでご覧下さい。
【PGP説明ページ】
【PGPソフトのダウンロード】
※ソフトのダウンロード/インストールはご利用者の責任で行って下さい。
- - PGP 6.5.8 ckt 日本語版 -
- (説明及びダウンロードページ)
- http://www.hizlab.net/pgp/658ij.html
- (※日本語対応です。ウィンドウズXPでも利用できると報告されています。MACには使えません)
- - PGP 7.0.3 -
- (説明及びダウンロードページ)
- http://www.zdnet.co.jp/help/howto/security/04/index.html
- http://www.cla-ri.net/pgp/70index.html
- (※ウィンドウズXPでは利用できません。MACでは利用できます)
- - PGP 8.0 -
- (説明及びダウンロードページ)
- http://www.cla-ri.net/pgp/80index.html
- (関連記事)
-
http://www.watch.impress.co.jp/internet/www/article/2002/1204/pgp.htm
- (※ウィンドウズXPでも利用できます。MACでも利用できます)
インストール時の注意事項
- E-shopのサービスではメールの暗号化しか行いませんので、上記ソフトでオプションとなっているようなPGPnet、PGPDisk、PGPdisk等は不要です。
- Outlook Expressなどメーラーにプラグインして使うととても便利ですので、インストール時に関連の設定をしておくといいです。
- ソフトをインストールしましたら、ペアキーを作り(必ずRSAタイプで作ります。PGP7とPGP8ではRSA
Legacyを選択します )、暗号化メールの送受信テストをして、うまくいきましたらOKです。ペアキーを作る際に「公開キーサーバーに登録する」というメニューがありますが、これはされなくて結構です。
PGPペアキーについて
公開キーはRSAで作成されたもののみご利用いただけます。
PGP鍵ペアタイプは必ず!RSAにして下さい(PGP7とPGP8ではRSA Legacyを選択します)。Diffie-Helman/DSSでは動作しません。
RSAタイプのキーに対応していないPGPソフトでは使用できません。
PGPで暗号化されたメール
PGPで暗号化されたメールは次のようになります。
-----BEGIN PGP MESSAGE-----
Version: 2.6.3ia
hIsDmCqdcNtX2OUBA/jkTHinfa5DPQLVssYaPuAp9PojD
geqJY/3hirH+RllfvLjb8/EUMM0836XRiAq5TBSAE0SZWdI
ZRGzfVKAaCpjIl8g2S5oMmemNAOklz26NHS7TouOrmtFQ9
NIaIp8mA2CLNUbnjeeqZYlaaSy41Po6fWuvWTGlxvIEdnzrao
JpgAAAl++awQEJ32xDFoXEeqmu7ZLNQdz4PGZm5vMVP
beJcDgKIITKXAidTkEOofWZgOXIdGtp1DSC9MPGbeeii6aG
ZD7SVCgBAINk4BU0NxwmCfvV6QakXBKdgVTwFeaeeJIh
6S0/J/bDgabLboR5YZw3gW2Si6+iNnOMog3ASdsg6i142H/
2VIXGoDDUrO2pXZe9NIeppavAauH2uxm6Xh/drQ3UMc3P
kyD4vb7p/jkVAlJCkZOFaN7fsn8OFV/Qdu7X8hbIjBlrWmN
vU9SO8Q639V37RM2BHAXn+3feRi4Rf+hjvpwQiWCF7cVw
z5lkBWynfJa7+NNNmQWi/zxvuYmbP8E2AfeacZIs2XMiZ5m
EYjXewqRuHJ3APhgaq4hNvYxyU5SDANy86tp5frmFkihz3E
xSKx96RxrvBE1N08qH1mRqVWKwr7A0cgpqHHBHM/slFcW
glR/Mkh6ghVQarpNEOVml1cjewDYAuON1NSHjVgVvl01Hk
tXwiQ4T1qu4HRjuv79bNgun4Jlkabkw1m6ihGlko0JEXW1JgC
0Qca/+rdLc/fVpIoIsOGI04MdLZ9eKq7Jqa9UUOf0UcoSudt
WK57jwVOIufmS3OTaroG57s4HRuXz5kPFSwma4YA595a0
okfxro3KykdO8XqgnxzAbxmSZDQyrN6fbfTVHBk6wn10Elsco
OPetfxFiOAS703iafdqChLuCqkH6fwM2Ow3VJaH3IfO10JE
4X6vy1ZMEoLpmiszuN/lyR4J+nMvAuucAriPM7QU+9zm/Y
3qla6x+Lgt6SEij8Uj3KUhPefagg =HB0J
-----END PGP MESSAGE-----
|
ページの先頭へ