高張情報技術士事務所

  トップ    業務実績  個人情報保護 情報セキュリティ パソコン道場 Office覚書

情報セキュリティ


■Web入力データを電子メールで取得する場合の暗号化 (2011.08.12)


Webサイトの入力フォームに入力された情報が、相手に安全に届けられるためには、インターネットを経由するデータが、すべて暗号化されている必要があります。

入力フォームのページに鍵マークが表示されていれば、インターネットを経由するデータが暗号化されていると思うかもしれませんが、そうとは限りません。

以下は、入力フォームに入力された情報が、相手に安全に届けられるために必要となる暗号化の例です。

SSLで暗号化、POP over SSLで暗号化、SMTP over SSLで暗号化のそれぞれについて、暗号化の設定を行う必要があります。

1.サーバホスティングサービスを利用している場合
(Webサーバとメールサーバが同じ場所に設置されている場合)

ブラウザ -- (SSLで暗号化) --> Webサーバ --> メールサーバ -- (POP over SSLで暗号化) --> メールソフト

2.サーバホスティングサービスを利用し、別のメールサーバに転送している場合
(Webサーバとメールサーバ1が同じ場所に設置され、メールサーバ2とメールソフト間のデータがインターネットを経由しない場合)

ブラウザ -- (SSLで暗号化) --> Webサーバ --> メールサーバ1 -- (SMTP over SSLで暗号化) --> メールサーバ2 --> メールソフト


参考)鍵マークの表示について

鍵マークが表示されていなくても、ブラウザとWebサーバ間のデータが暗号化されている場合があります。その逆に、鍵マークが表示されていても、コーディング等のミスにより、ブラウザとWebサーバ間のデータが暗号化されていない場合もあります。

これは、表示されている入力フォーム画面のソースコードを表示して、通常はhttpsの有無により確認することができます。ブラウザがインターネット・エクスプローラの場合、以下の手順で確認することができます。

(1) 入力フォームの一部をマウスの右ボタンをクリックします。
(2) 表示されたメニューの「ソースの表示」をクリックします。
(3) 表示された画面で、「編集」-「検索」により、httpsを検索します。

なお、表示される画面が、複数画面の合成でできている場合、鍵マークが表示されていなくても、入力フォームの部分がhttpsから始まるURLになっている場合があります。

これを確認するには、ブラウザがインターネット・エクスプローラの場合、入力フォームの一部をマウスの右ボタンをクリックし、表示されるメニューの「プロパティ」をクリックします。この操作により、入力フォームのURLが表示されます。

しかし、入力者のことを考えると、入力フォームの画面に鍵マークが表示されるようにすべきでしょう。