San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。
/
/
DevSecOps

サーバ名表示(SNI)とは?

SNIの意味について検討中でしょうか? 

SNIを、一戸建てではなく集合住宅に手紙を届けるようなものと考えてみてください。一戸建ての場合、住所だけで手紙を正しい宛先に届けることができますが、集合住宅では住所に加えて部屋番号が必要です。

複数のウェブサーバは多数のドメイン名を管理しているため、IPアドレスだけでは利用者がどのドメインにアクセスしようとしているのか判別しにくくなります。これらのサーバは、一戸建てというよりも集合住宅に似ています。

登録所有者の署名がなければ手紙が届けられないのと同じく、サーバが誤ったSSL認証情報を表示すると、強固なHTTPS接続が確立できず、接続が中断される可能性があります。

ウェブサイトのセキュリティの最も重要な要素は何かご存知でしょうか?それはSSLです。SSLは利用者のデータを安全に守ることを保証します。SSL証明書には「ワイルドカード」とSNI証明書の2種類があります。本記事では、SNIの重要な点を詳しく説明します。それでは、始めましょう。

サーバ名表示(SNI)とは?

SNIとは?

暗号化された SNI(サーバ名表示)は、TLSプロトコルの拡張機能です。TLSハンドシェイクの開始時に、クライアントやブラウザが接続先のホスト名を指定できるため、サーバは同一のIPアドレスとポート上で複数の証明書を表示できます。

以前は、ポート443(https)は共有できなかったため、各SSLサイトは専用のIPアドレスが必要でした。一部のサーバ(例:IISなど)では、複数サイトの運用が困難でしたが、SNIを有効にすることで、https暗号化ページ用の内外のIPアドレス数を削減できます。

サーバ名とは?

SNIは実質的に、サイトのドメイン名やホスト名を示す機能であり、中央サーバが扱う名前と異なる場合があります。実際、1台のサーバで複数のドメインを運用するのは一般的で、その際はバーチャルホスト名と呼ばれます。

サーバ名とは、単にPCを識別するためのものです。サーバが1つのドメインのみを扱い、サーバ名がドメイン名と同一の場合を除き、通常ウェブサーバでは利用者に表示されません。

SNIの仕組み

グローバルに約40億個のIPしか存在せず、全てがSSL証明書をホストできるわけではないため、IPv4ではSNIが必須の拡張機能となっています。そのため、1つのIPで複数のドメインを守るのは難しい状況です。

SNIを使用すると、既存のアドレス数にとらわれず、複数のドメインやサブドメインを登録できるようになります。

SNIが動作するには、クライアントとウェブサーバの双方が対応している必要があります。未対応の場合、訪問者はデフォルトのサイト(多くはポート443上にホスト)にアクセスします。

他のウェブサイトからのリンクやGoogle検索結果など、暗号化されていない経路でサイトへアクセスした場合、通信は暗号化されません。ただし、ほとんどのブラウザは自動的に安全な版(通常は「HTTPS://」で始まる)へ転送するため、問題となることは少ないです。

なぜサーバ名表示(SNI)を使うのか?

1つのIPアドレス上で、すべてのサブドメインや別ドメインに1枚のSSL証明書を利用することで、各サイトごとに証明書を取得するよりも手間や費用を削減できます。

SSL証明書を発行する機関が1社であるため、SNIホスティングは信頼性が高いです。従来のワイルドカード証明書やマルチドメイン証明書は複数のCAが関与するため、1社が侵害されるリスクがあります。

サイトのアクセスが多くても、TLSハンドシェイクは暗号化接続の開始時に一度だけ行われるため、パフォーマンスに影響を及ぼすことなくSNIホスティングが利用可能です。

TLSとは?

インターネット上でアプリ間でやり取りされるデータは、暗号プロトコルTLSによって安全に保たれます。

例えば、セキュアな接続が始まるとブラウザに表示される南京錠アイコンは、利用者にとって親しみやすい証となっています。

メール、ファイル転送、映像/音声会議、インスタントメッセージ、VoIP、DNSやNTPなど、他のアプリにも利用可能で推奨されます。

TLS and SNI

TLS用SNI拡張機能の役割

TLSハンドシェイクの開始時に、SNIはクライアントやブラウザが接続先のホスト名を伝えることを可能にします。その結果、サーバは同一のIPアドレスとポート上で複数の証明書を表示できます。

ホスト名とは?バーチャルホスト名とは?

ネットワークに接続するデバイスはホスト名で識別され、インターネットではこれが一種のドメイン名となります。ドメイン名に紐付けられたIPアドレスと共に、どちらも唯一のものです。

複数のホスト名が1台のサーバにホストされ、必ずしも同じIPアドレスを持たない場合、それはバーチャルホスト名と呼ばれます。

バーチャルリアリティが現実ではなくデジタル空間にのみ存在するのと同様に、専用のハードウェアサーバを持たないため、この技術は「バーチャル」と呼ばれます。

どのブラウザがSNIに対応しているか?

ほとんどの主要ブラウザがこの機能に対応しているため、利用者がどのブラウザを使用していても問題ありません。参考までに、以下のリストをご覧ください。

  • Google Chrome
  • Mac OS X 10.5.7以降で5.0.342.1以上
  • Windows XPとVistaで6以上
  • Opera 8.0以上(TLSプロトコルのサポートを有効にする必要があります)
  • Safari 2.1以上
  • Mac OS X 10.5.6以降
  • Windows Vistaで
  • Mozilla Firefox 2.0以上

SNIの未来

2003年に確立されて以来、SNIはセキュリティやSNI SSL証明書の分野で徐々に普及しています。SNIは、サイトのオンライン展開を守る際に、時間、費用、手間を削減できるため、必ずしも全てのサイト運営者が利用する必要はないものの、有用な技術です。

Conclusion

サイトをより安全かつ柔軟に暗号化するには、サーバ名表示が最適な選択肢です。SNI SSL証明書は高いセキュリティを提供し、従来のワイルドカード証明書よりも費用が抑えられ、管理も簡単です。複数のIPアドレスに対応できるため、一般的なSSL証明書よりも適応性に優れています。

FAQ

参考資料

最新情報を購読

更新日:
February 25, 2025
学習目標
最新情報を購読
購読
関連トピック