常時SSL化を目指す情報セキュリティ担当者を嫌う広報部門

しっかりと世の中の流れを理解している情報セキュリティ担当者は、自社、自組織のWebサイト常時SSL化は待ったなし、今すぐ取り組んでもすでに遅いという状況を理解していると思います。

GoogleChrome62を使って自社のHPのサイト内検索フォームを設置しているページを閲覧すると、アドレスバーにビックリマーク!が表示され、何かと思いビックリマーク!をクリックすると「この接続は保護されていません」という警告メッセージが表示される。サイト内検索フォームはほぼ全ページに設置すべきものなので、結果、自社のhttp://からはじまるSSL化されていないWebサイトでは、ほぼ全ページで警告表示がなされる。

ビックリマーク!をクリックしなくても、検索フォームなどに文字入力を開始した途端、アドレスバーには「保護されていません」というメッセージが表示されてしまう。

日本の会社や企業、団体、自治体、省庁のHPの多くは今このような状況になっています。しかし、その事に危機感を覚えるのは、実は情報セキュリティ担当者である私やアナタだけかも知れません。

Webサイトを所管する広報部門は常時SSL化なんてやりたくない

恥ずかしながら私の組織のWebサイトも常時SSL化されておらず、情報セキュリティ部門ではWEBサイト常時SSL化を喫緊の課題と捉え、Webサイトを管理している広報部門へ何度となくアプローチしているのですが、残念なことに広報部門は「必要があることは理解出来るが、今すぐ取り組むのは難しい」と繰り返すばかりで、それは私の組織だけでなく、多くの会社、組織も似たような状況だと思います。

広報部門としてはWebサイトを分かりやすくして多くの人に見てもらう事、体の不自由な人への配慮というアクセシビリティや閲覧障害が発生しない事など、いろいろな事に取り組んでいるし、お問い合わせフォームのあるページはすでにSSL化している、なのに何故今、喫緊に常時SSL化する必要があるのか、今後に取り組むべき課題という認識でいいのではないかという思惑に包まれています。この状況は特に日本が、公衆WIFIネットワークの整備が遅れておりWebサイトセキュリティへの取り組みが遅れていることが根本の原因ともなっています。

海外では数年前に常時SSL化は当たり前になっていたのに

アメリカでは、Googleが2012年3月に検索サイトを常時SSL化し、続いてFacebookやTwitterなどのWebサービスも常時SSLされていきました。そしてアメリカ政府は2016年末までに、政府関連の全サイトを常時SSL化することを義務付けるなど、Webサイト閲覧者をサイバー攻撃から守るために迅速な対応を行っていました。

ところがその当時はもちろん、現在においても、日本では常時SSL化されていないWebサイトは危険であるという認識が、閲覧者にもサイト管理者にもほとんどなく、必死になって取り組んでいるのは、セキュリティ対策というよりは広告収入目当てにgoogleに検索順位を落とされまいとするアフィリエイトサイトだけ、そんななか、ついにWebブラウザが保護されていないWebページを警告する時代になったのです。

日本では省庁や大企業のWebサイトでも常時SSL化されていない

日本ではWebサイトの常時SSL化の取り組みが遅れているということが明確に分かるのは、地方公共団体などの情報セキュリティ対策を管轄している総務省のWebサイトですら、2017年11月現在も常時SSL化されておらず、当然他の省庁も同じく、よって常時SSL化に対する公的なガイドラインも存在しません。

Googleの透明性レポートからも分かるとおり、日本におけるchromeでのHTTPS(SSL通信)の利用は調査10カ国のうち大きく離れた最下位です。

東京オリンピックに向けて政府のサイバーテロ対策がクローズアップされることも多くなってきましたが、未だ総務省のWebサイトですら保護されていない日本の情報セキュリティ対策の遅れが全世界に露呈しないこと願うばかりです。

そしてさらに驚くことに国内で情報システムを多数扱い、大企業や省庁、全国の自治体とも関わりの深い国内大手電機メーカーのWebサイトもほとんどが常時SSL化されていないことです。安心安全をテーマに、情報を守るというコンセプトはどこの電機メーカーでも掲げられているポリシーのはずですが、自社への、つながりのきっかけ、窓口となり得るWebサイトに対しては、全く安心安全でなく情報を守るという姿勢が示せていません。

きっと多くの企業や組織で情報インフラや社内ネットワーク、Webサーバ、Webサイトの保守管理に国内大手電機メーカー各社との関わりがあるはずですが、残念ながら国内大手電気メーカーは情報システムの開発と売り込みは出来ても、情報セキュリティに対する意識が薄く、情報を守る事は後回しにしているためか、web サイトの常時SSL化の必要性を理解することも遅れているようです。

こうした日本全体の取組みの遅れが情報セキュリティ担当者の足かせに

情報セキュリティ部門から早急にWebサイトを常時SSL化せよ、とアドバイスを受ける広報部門は、その意向をWebサーバやWebサイトの保守管理を委託している業者に打診するも、その業者自身のWebサイトすら常時SSL化されておらず省庁のWebサイトも常時SSL化されていない、常時SSL化すべしという公的なガイドラインも存在しない、そんな状況なのに今すぐ常時SSL化する必要はあるのですか、そんなことよりもっと便利で先進的なシステムを導入しましょう、と保守業者は返事をしてくる。

それでもCMSの改修と併せて全ページをSSL化する見積を保守業者に頼めば、とんでもない金額を吹っかけて、しかも不完全SSL化によるエラーを出さない保障はなく、依頼元のおこなう作業も多く発生する、失敗すれば不完全SSLを警告する表示の方が目立つのに、そんな危険を冒してまで常時SSL化するなんて時期尚早でしょうと言われる。

お金はかかる、自社で実施する作業も多くある、実際に不完全にSSL化されたホームページも多く、その場合の警告メッセージの方が目立つ、そんな状況で、いきなりHPの常時SSL化に踏み切れる広報部門は少ないと思います。

私の組織のHPは月間1000万PV以上、総ページ数10万ページ以上、Webサイト内コンテンツの更新を行っている部署は300以上、このような大規模なWebサイトを公開している組織にとって、ホームページの常時SSL化を一発で成功させるのは至難の業だということは重々承知しています。

ほとんどのページはコンテンツの表示以外の機能はなく、今現在はWebブラウザの目立たない注意表示があるのみ、なのに、「なんで常時SSL化を慌てる必要があるのか」「常時SSL化すれば不完全なページには大きく目立つ警告表示が出てしまう」「そんな指導もガイドラインもなく国のHPもSSL化されていないのに、なんでうちだけやる必要があるのか」「いつも頼りにしている保守業者は、大変な作業になるし多額の費用もかかると言っている」「どうしてもやれと言うなら、公的な指針やガイドラインを示せ」という日本人的発想と企業理念も分からなくはないですが、省庁だって自分のところのHPが常時SSL化完了すればいきなり指針を出すことは明らかですし、それから準備を始めていたら、一体何年先になるのか気が遠くなります。

それまで「このページは保護されていません」という警告を閲覧者に見せ続けるのか、なにより今後も拡大の一途である公衆WIFIネットワーク経由の閲覧者のリスクを放置し続けて良いのか、ということを、我々情報セキュリティ担当者はWebサイトを管理している部門に粘り強く説明していくしかありません。

今は控えめなビックリマーク!だけですが、それがいつ大きな警告メッセージになるのか、そうなってから慌てても手遅れなのです。倒れてから家を補強しようとする人はいません。倒れる前に補強する必要があることを私たち日本人は知っているはずです。

Webサイトを常時SSL化するには、相当の困難が待ち受けています。しっかりと作業工程を理解し、関係部署、関係先と調整出来なければ、不完全な常時SSL化を行ったために警告メッセージ表示が頻発する、という悲劇を生むことになります。