ITインフラ 2026年4月16日

SSL/TLS証明書の基礎 ― HTTPSとは何か／Let's Encryptと有償証明書の使い分けを情シス向けに解説

「証明書の有効期限が近いです」「TLSの設定で詰まっています」――情シスの実務でSSL/TLS証明書は避けて通れない領域です。Webサイトだけでなく、社内ファイルサーバやVPN、メール、IoT機器の管理画面まで、ほぼあらゆるシステムが証明書を使っています。

「自動更新だから何もしてない」で済んでいるうちは良いのですが、証明書の更新失敗は数時間で全社業務を止める事故になります。本記事では、中小企業の情シスが押さえるべきSSL/TLS証明書の基礎と、有償・無償の使い分け、運用上の注意点を整理します。

SSL/TLSとは ― 暗号化と「相手が本物か」の確認

SSL（Secure Sockets Layer）は1990年代に登場した暗号化通信の規格で、現在は後継のTLS（Transport Layer Security）に置き換わっています。「SSL証明書」と呼ばれることが多いですが、技術的にはTLS証明書と呼ぶ方が正確です。

SSL/TLSは2つの目的を持ちます。

① 通信内容の暗号化。 通信路上で第三者が盗聴・改ざんできないようにする。

② 相手が本物であることの確認（認証）。 接続先のサーバが詐称された偽サーバではないことを、信頼された第三者（認証局）が証明書で保証する。

「HTTPS」とは、このTLSを用いてHTTP通信を暗号化したものです。Webブラウザのアドレスバーに鍵マークが付いていれば、HTTPSで通信していることを示します。

証明書の3つの種類 ― DV / OV / EV

サーバ証明書は、認証レベルによって3種類に分かれます。

種類	認証レベル	検証内容	価格帯	主な用途
DV（ドメイン認証）	★	ドメイン保有のみ確認	無料〜数千円	コーポレートサイト、社内ツール
OV（組織認証）	★★	組織の実在性を確認	数万〜10万円/年	大企業のWebサイト、業務システム
EV（拡張認証）	★★★	組織の実在性を厳格審査	10〜30万円/年	金融機関・ECサイト

中小企業の標準的なWebサイト・社内ツールには、DV証明書（Let’s Encrypt 等）で十分です。EVを取っても、現代のブラウザ（Chrome等）はアドレスバーで強調表示しなくなったため、見た目の差はほぼありません。

Let’s Encryptと有償証明書の使い分け

Let’s Encrypt（無料・自動更新）

Let’s Encryptは、非営利の認証局が提供する無料のDV証明書発行サービスです。90日有効で、Certbot等のツールにより自動更新が標準的です。

メリット：

無料
自動更新スクリプトが整備されている
業界標準で広く信頼される

デメリット：

DV証明書のみ（OV/EVは発行されない）
90日有効のため、自動更新が止まると即失効
ワイルドカード証明書はDNS-01チャレンジ必須

中小企業のコーポレートサイト、開発環境、社内ツールの大半は Let’s Encrypt で問題ありません。

有償証明書（DigiCert, GlobalSign, Sectigo等）

以下のケースでは、有償証明書を選ぶ理由があります。

OV/EV認証を要求される業界（金融、医療、官公庁取引）
ワイルドカード証明書を簡便に運用したい（Let’s Encryptでも取得は可能だが、DNS-01チャレンジの自動化に手間がかかる）
長期有効（最大1年強）の証明書で運用負荷を下げたい
保証金額（不正利用時の補償）が必要なECサイト
マルチドメインSAN証明書を多数のドメインで使いたい

「証明書ベンダーのサポートが日本語で受けられる」という点も、運用主体が情シス1名のような環境では実質的なメリットになることがあります。

主要な証明書認証局とその特徴

認証局	種別	特徴
Let’s Encrypt	DV	無料・90日
ZeroSSL	DV	無料・90日（Let’s Encrypt代替）
GlobalSign	DV/OV/EV	国内代理店多数、日本語サポート
DigiCert	DV/OV/EV	エンタープライズ品質
Sectigo（旧Comodo）	DV/OV/EV	価格訴求
GMOグローバルサイン	DV/OV/EV	国内最大手の代理店
さくらのSSL	DV	レンタルサーバ連携が容易

証明書の有効期間と業界トレンド

有効期間は短縮傾向

サーバ証明書の有効期間は、業界標準として年々短縮されています。

時期	最大有効期間
2018年以前	3年
2018年〜	2年
2020年〜	1年（397日）
2024年〜	200日（提案中）
2027年〜（予定）	47日

CA/Browser Forum（証明書発行ルールを策定する業界団体）は、2027年までに最大47日まで短縮する方向で議論を進めています。「手動で年1回の更新」が成立しなくなる時代が近づいているため、自動更新の仕組みを今のうちに整えることが情シスの最重要課題です。

ACMEプロトコルによる自動化

Let’s Encryptが採用しているACMEプロトコルは、現在では多くの認証局（ZeroSSL、Google Trust Services、Sectigo等）が対応しています。Apache・Nginx・IIS・FortiGate・F5などのインフラ機器でも、ACMEクライアントを組み込んで自動更新できる構成が一般的になっています。

中小企業の証明書運用で押さえるべきこと

① 証明書台帳を作る

社内のすべての証明書（Webサイト、社内アプリ、VPN、メール、ファイルサーバ、IoT機器の管理画面、無線LAN認証等）を1つの台帳で管理してください。最低限の項目：

用途／対象ホスト名（FQDN）
認証局・証明書種別
有効期限／自動更新の有無
証明書ファイルの保管場所
担当者

エクセルでもNotionでも何でも構いません。「全証明書を1か所で見られる」が重要です。

② 監視と通知を仕組み化する

証明書失効事故の8割は「期限切れに気づかなかった」が原因です。最低限、以下のいずれかを実装してください。

Datadog、New Relic等の監視SaaSで証明書監視
ssl-checker.io、SSL Labs等の無料ツールで定期チェック
スクリプト（OpenSSL）でCronから日次チェック→Slack通知

# OpenSSLで有効期限確認
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

③ ワイルドカード証明書の使い分け

*.example.com のようなワイルドカード証明書は、サブドメインを多数使う場合に便利です。ただし、

1枚の証明書を複数サーバで共有するため、漏えい時の影響範囲が大きい
鍵管理を厳格にしないと、不正利用の温床になる
ECDSAやRSA鍵長等の選定で各サーバとの互換性を考える必要がある

業務システム（特に社外公開）には、サーバごとに個別証明書を発行する方が安全です。社内開発環境やステージング環境ならワイルドカードで運用効率を取る、といった使い分けを検討してください。

よくある証明書事故と対策

① 期限切れで全社員のメール送受信が停止。 メールサーバ証明書の更新を放置→大量のクライアントでエラー。自動更新と監視通知で防げます。

② 中間証明書の設定漏れでスマホからだけ繋がらない。 PCブラウザは中間証明書をキャッシュから補完するが、スマホは厳格に拒否することがある。インストール後にSSL Labs（ssllabs.com）でA以上を確認してください。

③ 古いTLS（1.0/1.1）対応を残してセキュリティ警告。 PCI DSS準拠やセキュリティ監査で指摘を受ける。TLS 1.2以上のみ有効化を原則にしてください（古いIoT機器との互換性は別途検討）。

④ クライアント証明書認証の更新失敗で社員PC全停止。 VPN・社内Wi-Fiでクライアント証明書を使っている環境で、ルート証明書失効により全端末が認証不可。Intune/MDMでの計画的な配布更新が必須です。

⑤ ドメイン変更後の旧ドメイン証明書放置。 不要な証明書が残っていると、攻撃者にDNS乗っ取り→なりすましリスク。**廃止ドメインの証明書は失効申請（Revoke）**してください。

まとめ

SSL/TLS証明書は「通信暗号化＋相手認証」の役割を持ち、HTTPSをはじめあらゆるシステムの基盤になっています。中小企業の標準は DV証明書（Let’s Encryptや国内CA）+ 自動更新 で十分ですが、業界要件・ワイルドカード運用・ECサイト等では有償OV/EV証明書を検討します。最重要なのは証明書台帳・監視・自動更新の3点で、有効期間短縮トレンド（〜47日）を踏まえると、手動更新前提の運用は早期に脱却が必要です。

情シス365のSupport365では、SSL/TLS証明書の棚卸し・自動更新の構築・監視運用を含めて中小企業のITインフラをサポートしています。無料ヒアリングからお気軽にどうぞ。