常時SSL化で失敗しないために知っておくこと

自宅のパソコンからインターネットを利用することがほとんどだった時代から、スマホなどモバイル端末の利用が当たり前になり、公衆無線LAN環境が整備拡大されていく現在、HPを閲覧するユーザーに対して、表示内容の真正性を担保するための常時SSL化が求められる流れを止めることは出来ません。

飲食店、観光地など公共の場所に日々設置され続けている公衆Wi-Fiネットワークでhttp://からはじまるURLのwebサイトにアクセスすると、悪意ある第三者にwebサーバとの通信を盗聴されたり、cookieの情報を盗まれ、あなたに成りすましてウェブサービスにアクセスされたりする危険があります。また、情報を盗まれるだけではなく、悪意のあるプログラムが埋め込まれるように通信情報が改ざんされる可能性もあります。

最近の動向としては、WebブラウザのChrome バージョン62から、HTTPページ、つまりSSL化されていないページでは、Webサイト内の検索フォームなどに入力を開始した場合にもアドレスバーに「保護されていません」という警告が表示されるようになりました。また、PC版スマホ版ともにChromeのシークレットモードを使用した場合には、お問い合わせフォームやWebサイト内検索の入力エリアの有無に関係なくアドレスバーに保護されていない旨の警告が表示されるようになりました。他にもFirefoxなどWebブラウザでもHTTPページを「保護されていない」と警告することが推進されています。

chrome62でhttp://から始まるURLのページに設置された検索フォームに文字入力を開始した時に表示される警告メッセージ

スマホ版chromeのシークレットモードでhttp://から始まるURLのwebページにアクセスした場合に表示される警告メッセージ

このように段階的に、常時SSL化されていないWebサイトは保護されていないWebサイト、つまりセキュリティレベルが低いWebサイト、であることを閲覧者が理解出来るための仕組みは増えています。特に近年においては、かなり早い流れで常時SSL化が求められるようになり、いつまでもHTTPページ、常時SSL化されていないまま、で大丈夫だという認識は捨てるべきであり、企業や組織においては公開しているWebサイトが常時SSL化へ完全移行するのに数年かかろうとも、今すぐ検討を始める必要があることは間違いありません。

私の組織のwebサイトは実は恥ずかしながら常時SSL化されていません。近年になって急激に常時SSL化の必要性を見聞きするようになり、広報担当部署で常時SSL化に向けた検討が始まっていますが、webサイトの規模が大きく関連部署も多く、簡単に「数か月後には常時SSL化出来る」というものではないことを痛感しています。
スポンサーリンク
スポンサーリンク

すでに公開されているWebサイトを常時SSL化することの難しさ

あらゆるWebサイトにおいて早急な常時SSL化が求められているのですが、今後公開されるWebサイトは常時SSL化されているのが当たり前で、常時SSL化されていないWebサイトを構築するなんて愚かとしか言えませんが、すでに公開されているWebサイトを常時SSL化するには、相当の困難が待ち受けています。しっかりと作業工程を理解し、関係部署、関係先と調整出来なければ、不完全な常時SSL化を行ったために警告メッセージ表示が頻発する、という悲劇を生むことになります。

不完全な常時SSL化の一例

https://www.city.sapporo.jp/ 札幌市公式ホームページは全国の地方公共団体の中でも比較的早いスピードで常時SSL化に取り組んでいます。もっとも常時SSL化が求められる公的サービスのためのWebサイトでも、ほとんどが保護されていないのが日本の悲しい現状であるなか、果敢に常時SSL化に取り組み、閲覧者を保護しようとする姿勢は賞賛に値します。

が、しかし残念なことに2017年11月現在、札幌市公式HPは不完全な常時SSL化となっており、閲覧に用いるWebブラウザによって、「セキュリティで保護されたコンテンツのみ表示されています」という警告メッセージや、「保護されていません」という旨の警告メッセージが頻発しており、一般の閲覧者に対して不安を煽る状況になっています。

表示している画像がhttp://から始まるURLで呼び出されたままになっている等、不完全なSSLページではIE11をはじめほとんどのwebブラウザが警告を表示します。

不完全な常時SSL化になる原因

常時SSL化を行うために証明書を用意してWebサーバにインストールする行程は、証明書のイニシャル、ランニングコストとインストール作業費だけなので、費用対効果で考えても比較的安価に実施できます。これだけで常時SSL化のバックボーンは用意出来るのですが、実際はそこからの作業に大変な手間、あるいは作業費用が発生するWebサイトがほとんどです。

常時SSL化に必要なコンテンツ修正作業

常時SSL化を行うにあたっては、Webサイトコンテンツの影響調査と修正が必須になります。主な修正は次のとおりです。

  • コンテンツの「http://」からはじまる画像やスクリプトのリンクを「hppts://」からはじまるように修正する。つまりページで表示されている内容は全て「hpps://」からはじまるURLから呼び出されているように修正が必要となる。
  • 広告バナーなど外部サイトにある画像を表示している場合や、外部サービスによって作り出されたコンテンツについても、「https://」からはじまるリンクを埋め込む必要がある。
  • CMSで入力されたリンク先やWYSIWYGエリアで記述されたHTMLソース、CMSへアップロードされたスクリプト内やスタイルシート内での記述も「https://」からはじまるURLに修正が必要となる。

このような対応が必須となり、修正漏れがあるままSSL化されたページでは、セキュリティ警告メッセージが表示されるようになります。常時SSL化をおこなう前に、当該Webサイトにおける上記修正の必要範囲について影響調査が必要であり、内製で作業出来ない場合は、事前に作業見積りを依頼し予算を把握する必要があります。

作業見積りの中には、コンテンツ修整だけでなく、修正後に、これまで「http://」からはじまるWebサイトへのリンクを辿ってアクセスされた場合に、新しく用意した「https://」からはじまるWebサイトへのリダイレクト処理についても費用を計上してもらいましょう。

明確な作業方針とスケジュールを立てなければ完全常時SSL化は困難

札幌市公式HPを例にすれば、Webサーバへの証明書のインストールまでは簡単に行えた、そして新しく用意した「https://」からはじまるWebサイトへのリダイレクト処理も行った、しかしコンテンツの修整が全く出来ていないままWebブラウザにセキュリティ警告をされながら公開を続けているという状況です。

この状況は札幌市公式HPに限らず、常時SSL化を試みるWebサイトにおいて、めずらしいことではありません。常時SSL化の必要性に迫られコンテンツ修正が出来ないまま「https://」からはじまるURLに切り替えてしまうWebサイトは今後も増えるはずで「セキュリティで保護されたコンテンツのみ表示されています」という警告表示を目にする頻度も増えることが予想されます。

大きな組織のWebサイトでは、ページ数も膨大で、コンテンツ管理も複数の部署で分担されている場合がほとんどであり、常時SSL化を推進した直接の部署の力だけではどうにもならず、関係部署に事前に十分な説明を行い、コンテンツ修整作業の必要性を理解させ、常時SSL化へのスケジュールを共有し、作業の進捗を把握して、SSL化した場合に警告表示が出ないことを確認してから「https://」のURLに切り替えるようにしなければなりません。

それでも常時SSL化は必要

ここに述べた、簡単ではない常時SSL化に、中途半端にして警告表示が頻発するくらいなら、今まで通りに「http://」からはじまるURLのWebサイトのままで良いのではないか、という意見も出るでしょうが、それこそが一番愚かな選択であり、閲覧者を保護する意識が残念ながら全くない組織、企業であると判断されてしまいます。

現在は不完全常時SSL化で警告表示が出るとしても、何も危機感を覚えずにSSL化を検討もしないWebサイトよりは一歩先を行き、残るはコンテンツの修整だけであり、いずれは閲覧者を保護するセキュアなWebサイトになることは間違いありません。

常時SSL化には十分な調査、多くの作業が伴い、いきなり検討を始めてから数ヵ月後に移行出来るほど簡単なことではありません。だから今、先を見据えてまずは動き出す必要があるのです。

常時SSL化を目指す情報セキュリティ担当者を嫌う広報部門
情報セキュリティ担当者は、自社、自組織のWebサイト常時SSL化は待ったなし、今すぐ取り組んでもすでに遅いという状況を理解していると思いますが、広報部門は「ガイドラインもなく国のHPもSSL化されていないのに、何故やる必要があるのか」と簡単には納得しません。
arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
Webサイトセキュリティ
arisaをフォローする
情報セキュリティ対策の真実

コメント