ITパスポート 2011年 秋期 問71
問題文
SSLに関する記述のうち、適切なものはどれか。
選択肢
ア:Webサイトを運営している事業者がプライバシーマークを取得していることを保証する。
イ:サーバのなりすましを防ぐために、公的認証機関が通信を中継する。
ウ:通信の暗号化を行うことによって、通信経路上での通信内容の漏えいを防ぐ。(正解)
エ:通信の途中でデータが改ざんされたとき、元のデータに復元する。
🔒 解説は解答すると表示されます
SSLに関する記述のうち、適切なものはどれか。【ITパスポート 解説】
正解の理由
SSL(Secure Sockets Layer:ウェブなどで使われる通信の暗号化方式。現在は改良版のTLS(Transport Layer Security:通信を安全にする仕組み)が実用されています)は、通信内容を暗号化することで、通信経路上での盗み見(漏えい)を防ぎます。これが選択肢ウの「通信の暗号化によって、通信経路上での通信内容の漏えいを防ぐ」という記述の意味です。
簡単に言うと、SSL/TLSは「通信の中身を他人から読めないようにする」仕組みです。したがってウが適切です。
解法ステップ
- 問題文でキーワード「SSL」を確認する。SSLは通信の安全化に関する技術であると認識する。
- SSL(Secure Sockets Layer):通信の暗号化と認証の仕組み。現在はTLS(Transport Layer Security)が使われることが多い。
- 各選択肢を短く読み、SSLの機能と照らし合わせる。
- 暗号化で「漏えいを防ぐ」はSSLの主要な役割 → 有力候補。
- 「認証機関が通信を中継する」は聞き慣れない。認証機関(CA)は証明書を発行するが、通信を中継しない → 誤り。
- 「プライバシーマーク」は企業の個人情報管理の認定で、SSLとは別物 → 誤り。
- 「改ざんされたときに元のデータに復元する」は復元はしない。改ざんを検出する機能はあるが復元はしない → 誤り。
- 以上よりウが正解と判断する。
選択肢別の誤答解説
-
ア: 「Webサイトを運営している事業者がプライバシーマークを取得していることを保証する。」
- 誤り。プライバシーマークは、事業者が個人情報を適切に扱っているかを示す事業者向けの認証(日本では一般財団法人日本情報経済社会推進協会などが運用)であり、SSL(通信暗号化)とは別のものです。SSLは通信経路の安全を守りますが、事業者の運用ルールや内部管理の認証を保証するものではありません。
-
イ: 「サーバのなりすましを防ぐために、公的認証機関が通信を中継する。」
- 誤り。公的認証機関(CA:Certification Authority、証明書を発行する組織)は、サーバの正当性を示す「証明書」を発行しますが、通信を中継(途中で受け取って再送する)するわけではありません。CAは通信を流す役ではなく、証明書に署名して信頼性を与える役割です。実際の通信はクライアントとサーバの間で直接暗号化されてやりとりされます。
-
ウ: 「通信の暗号化を行うことによって、通信経路上での通信内容の漏えいを防ぐ。」
- 正解。SSL/TLSは通信内容を暗号化します。暗号化されたデータは途中で盗み見されても内容を理解できないため、漏えい防止に有効です(ただし、端末自体が安全でなければ別問題です)。
-
エ: 「通信の途中でデータが改ざんされたとき、元のデータに復元する。」
- 誤り。SSL/TLSは改ざんの検出(データの整合性確認)を行いますが、改ざんされたデータを自動で「元に戻す(復元する)」ことはしません。改ざんが検出された場合、通常は通信を遮断したり再送を要求したりします。復元機能はありません。
よくある誤解
-
「SSLとTLSは別物で、どちらを選べばいいのか?」
- 誤解:実務ではほとんどがTLS(Transport Layer Security)です。SSLは古い名前(Secure Sockets Layer)で、今は脆弱な旧バージョンのSSLは使われません。問題では「SSL」と表現されていても、意味合いはTLSを含む「通信の暗号化技術」と考えてOKです。
-
「暗号化すれば安全な通信は完全に保証される」
- 誤解:暗号化は「盗み見(盗聴)」や「改ざんの検出」に効果がありますが、端末自体がウイルスに感染している場合や、正当なサーバになりすましている悪意のある証明書が使われている場合などは別のリスクがあります。暗号化は重要ですが唯一無二の対策ではありません。
-
「認証機関(CA)が仲介している=通信の中身を見る」
- 誤解:CAはあくまで「このサーバは本物ですよ」という証明書に署名する役です。CAが通信の中身を中継・解読するわけではありません。ただし、組織や企業が内部で中間者(MITM)プロキシを導入するケースでは通信を復号して検査する設定もあるため、その場合は別途同意や設定が必要です。
補足コラム
-
HTTPSとSSL/TLSの関係:
- HTTPSは「HTTP over TLS/SSL」のことで、ウェブブラウザとウェブサーバ間のHTTP通信をSSL/TLSで保護したものです。URLが「https://」で始まり、ブラウザのアドレスバーに鍵マークが表示されていれば、TLSで暗号化された通信になっています(ただし表示だけで全て安全とは言えない点は注意)。
-
証明書の仕組み(簡単に):
- サーバは自分のドメイン名と公開鍵を入れた「証明書」を持ちます。CAはその証明書に対してデジタル署名をします。クライアントはCAを信頼していれば、その署名を検証して「サーバは本物だ」と確認できます。CA自体が信頼できなければこの仕組みは崩れます。
-
実務アドバイス:
- ブラウザで鍵マークをクリックすると証明書の発行者や有効期限を確認できます。怪しいサイトの場合は個人情報やクレジットカード情報の入力を避けましょう。
FAQ
Q1: SSLとTLSは何が違いますか?
A1: 基本的な目的は同じ(通信の暗号化と認証)ですが、TLSはSSLの改良版です。現在はTLSの方が標準で、古いSSLは脆弱性があるため使われていません。試験では「SSL」と表現されることがありますが、TLSを含む意味で理解して問題ありません。
A1: 基本的な目的は同じ(通信の暗号化と認証)ですが、TLSはSSLの改良版です。現在はTLSの方が標準で、古いSSLは脆弱性があるため使われていません。試験では「SSL」と表現されることがありますが、TLSを含む意味で理解して問題ありません。
Q2: SSL/TLSは通信の「改ざん」をどう扱いますか?
A2: SSL/TLSはメッセージ認証やハッシュを使って改ざんを検出します。改ざんがあれば検出され接続が切られることが多く、改ざんされたデータを自動で元に戻す(復元する)機能はありません。
A2: SSL/TLSはメッセージ認証やハッシュを使って改ざんを検出します。改ざんがあれば検出され接続が切られることが多く、改ざんされたデータを自動で元に戻す(復元する)機能はありません。
Q3: サイトに鍵マークがあれば完全に安全ですか?
A3: 鍵マークは通信が暗号化されていることを示しますが、サイト自体の運営者が悪意を持っている場合や端末がマルウェアに感染している場合など、別のリスクは残ります。鍵マークは一つの安全指標ですが、全体の安全性を保証するものではありません。
A3: 鍵マークは通信が暗号化されていることを示しますが、サイト自体の運営者が悪意を持っている場合や端末がマルウェアに感染している場合など、別のリスクは残ります。鍵マークは一つの安全指標ですが、全体の安全性を保証するものではありません。
関連キーワード: SSL、TLS、暗号化、証明書、認証局(CA)、HTTPS、中間者攻撃(MITM)、改ざん検出

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

