平成22年度 秋期 ITパスポート試験 問80 解説 SSLとサーバ証明書

この問題は、SSL/TLS（HTTPS）およびサーバ証明書が保証する「範囲」を正しく理解できているかを問うものです。

正解への判断根拠は以下の通りです。 a：財務状況の良し悪しはサーバ証明書の機能外であるため、判断できない（×）。 b：証明書によってサイト運営者の身元が確認されているため、偽のサイトではないと判断できる（○）。 c：通信が暗号化されているため、途中経路で盗み見られることはないと判断できる（○）。

これらを組み合わせると、正解は「イ」となります。

サーバ証明書の役割とは

サーバ証明書は、デジタル社会における「身分証明書」のようなものです。認証局という第三者機関が、そのウェブサイトの運営者が「間違いなく実在する組織である」ことや「ドメインの所有者である」ことを審査し、証明書を発行します。

この仕組みにより、以下の2点が実現されます。

1. 通信相手の真正性（なりすましではないこと）の確保
2. 暗号化通信による盗聴防止

なぜ「財務状況」は判断できないのか

ITパスポート試験においてよくあるひっかけ問題ですが、デジタル上の「身元」を証明することと、ビジネス上の「経営能力や信用力」を保証することは全くの別物です。

サーバ証明書はあくまで「このドメインは〇〇という組織が運営している」ことを証明するものであり、その企業が利益を出しているか、倒産のリスクがないかといった財務面までは一切調査・保証しません。したがって、aは×となります。

なぜ「偽サイトではないこと」や「盗聴防止」は判断できるのか

ブラウザで鍵マークが表示され、さらにサーバ証明書の内容が目的のサイトと一致していることを確認したということは、認証局という信頼できる第三者の審査を経たサイトと通信していることを意味します。

これにより、攻撃者がサイトをコピーして作成した「なりすましサイト（偽サイト）」ではないことが保証されます（bは○）。また、SSL/TLSによる暗号化が確立されているため、第三者が通信内容を途中で傍受したとしても、中身を解読することはできません（cは○）。

この知識が役立つ実社会のシーン

この問題の教育的意図は、オンラインショッピングを利用する際、盲目的に「鍵マークがあるから絶対安心」と考えるのではなく、「何が保証されていて、何が保証されていないのか」という境界を理解させることにあります。

たとえ通信が安全で運営元が実在していたとしても、そのサイト自体が詐欺的なビジネスを行っていないことや、品質の良い商品を発送してくれることまでを、証明書が保証しているわけではありません。利用者は技術的な信頼（暗号化）と、事業者のビジネス上の信頼を分けて考える必要がある、ということをこの問題は示唆しています。

参考リンク

• 【ITパスポート】SSL/TLS（HTTPS）の仕組みを解説
• ブラウザの鍵マークは「安全」の証ではない？安全なサイトを見分ける方法（Qiita）
• インターネットにおける公開鍵証明書の役割（総務省）