ITパスポート 2010年 秋期 問80
問題文
オンラインショッピングサイトに接続したとき、ブラウザにSSL鍵マークが表示された。さらに、サーバ証明書が、目的のオンラインショッピングサイトの運営者のものであることを確認した。このとき、次のa〜cのうち、判断できるもの(○)と判断できないもの(×)の適切な組合せはどれか。
a アクセスしているショッピングサイト運営者の財務状況は安定している。
b アクセスしているショッピングサイトは偽のサイトではない。
c 利用者が入力した個人情報、注文情報を途中経路で盗み見られることはない。

選択肢
ア:
イ:(正解)
ウ:
エ:
🔒 解説は解答すると表示されます
SSL鍵マークとサーバ証明書の確認について【ITパスポート 解説】
正解の理由
- ブラウザのSSL鍵マーク(HTTPS)は、通信が暗号化されていることを示します。
SSL(Secure Sockets Layer:かつての暗号化プロトコル)やその後継のTLS(Transport Layer Security:通信を暗号化する仕組み)は、通信路での盗み見を防ぎます。したがって c は○です。 - 「サーバ証明書が目的のサイト運営者のものであることを確認した」とあるため、そのサイトが偽サイト(なりすまし)ではないと判断できます。よって b は○です。
- しかし、証明書や鍵マークは運営者の「財務状況(経営の安定性)」を示しません。財務情報は別の資料や公開情報を参照する必要があり、a は×です。
解法ステップ
- 鍵マークの意味を確認する
- 鍵マーク=HTTPS=通信の暗号化(SSL/TLS)を示す。
- サーバ証明書の確認内容を理解する
- 証明書は発行主体(CA:認証局)が「この公開鍵はこのサイトのもの」と証明するもの。証明書が目的の運営者のものであれば、サイトが本物であると判断できる。
- 各選択肢に当てはめる
- a(財務状況)は証明書では分からない → ×
- b(偽サイトでない)は証明書で判断可能 → ○
- c(途中で盗み見られない)は暗号化により基本的に防げる → ○
選択肢別の誤答解説
-
a:アクセスしているショッピングサイト運営者の財務状況は安定している。 → ×
証明書は「誰がそのサイトの運営者か」を証明するだけで、収益や借入、経営状態といった財務情報は含みません。財務は決算書や信用調査で確認します。 -
b:アクセスしているショッピングサイトは偽のサイトではない。 → ○
サーバ証明書が目的の運営者のものであることを確認できれば、少なくとも「証明書に記載の主体=その運営者」であるため、ドメインなりすまし(偽サイト)ではないと判断できます。ただし後述する例外に注意。 -
c:利用者が入力した個人情報、注文情報を途中経路で盗み見られることはない。 → ○
HTTPS(TLS)によりクライアントとサーバ間の通信は暗号化されます。ネットワーク上の第三者が通信を盗み見る(盗聴する)ことは基本的にできません。ただし端末やサーバ自体が既に攻撃されている場合は別です。
よくある誤解
- 「鍵マーク=完全に安全」ではない
- 鍵マークは通信経路の暗号化と、証明書の確認ができていることを示します。しかし、サイトの中身(悪意ある仕様)や運営者の信用性、サーバ内の情報管理までは保証しません。
- 「証明書があれば運営者の信頼度が高い」とは限らない
- 無料で取得できるドメイン認証(DV:Domain Validation)証明書はドメイン所有だけを確認します。会社の実在や信用はOV(Organization Validation)やEV(Extended Validation)でより詳しく確認されますが、それでも財務状況までは分かりません。
補足コラム
- 証明書の種類(簡単に)
- DV(Domain Validation:ドメインの所有だけ確認)…取得が容易。個人や小規模サイトでも多い。
- OV(Organization Validation:組織の実在確認あり)…運営組織が証明される。
- EV(Extended Validation:厳格な実在確認)…企業名の表示などがあり、より信頼性が高い表示になる場合がある。
- CA(Certificate Authority:認証局)とは?
- 証明書を発行する第三者組織です。ブラウザは信頼されたCAの署名がある証明書を信用します。もしCA自体が不正なら、証明書の信頼性にも影響します。
- 盗み見(盗聴)と改ざんの違い
- TLSは通信の「盗み見(機密性の保護)」と「改ざん検出(整合性)」の両方を提供します。ただし端末やサーバ上の情報漏えいは別問題です。
FAQ
Q. 鍵マークの確認方法は?
A. ブラウザのアドレスバーの鍵アイコンをクリックすると、証明書情報が表示されます。発行先(Subject)や発行者(Issuer)、有効期間などが確認できます。
A. ブラウザのアドレスバーの鍵アイコンをクリックすると、証明書情報が表示されます。発行先(Subject)や発行者(Issuer)、有効期間などが確認できます。
Q. 鍵マークがあっても偽サイトになることはある?
A. 稀に、正規のドメインを使った偽サイトや、CAが誤発行されたケースがあります。また、ユーザーが警告を無視して自己署名証明書を受け入れると危険です。だから証明書の発行主体やドメイン名を確認する習慣が大切です。
A. 稀に、正規のドメインを使った偽サイトや、CAが誤発行されたケースがあります。また、ユーザーが警告を無視して自己署名証明書を受け入れると危険です。だから証明書の発行主体やドメイン名を確認する習慣が大切です。
Q. 通信は絶対に盗み見られないの?
A. 通信経路上の盗み見(パケットの傍受)はTLSでほぼ防げますが、端末がマルウェアに感染している場合や、サーバ自身が情報を漏らす場合は防げません。エンドポイントの安全も重要です。
A. 通信経路上の盗み見(パケットの傍受)はTLSでほぼ防げますが、端末がマルウェアに感染している場合や、サーバ自身が情報を漏らす場合は防げません。エンドポイントの安全も重要です。
関連キーワード: SSL、TLS、サーバ証明書、CA、HTTPS、EV証明書、DV、OV、暗号化、なりすまし防止、通信の機密性

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

