情報セキュリティ担当者が考えるWebサイト常時SSL化の必要性

常時SSL化とはWebサイト内の全てのページをHTTPS(SSL/TLS暗号化)にするセキュリティ対策です。これまでは個人情報など重要な情報を入力して送信するフォームが設置されたページに限ってHTTPSを用いてWebサーバと端末間の通信を暗号化する方法が一般的でしたが、これをWebサイト内の全てのページをSSL化することによりユーザーセッション開始から終了するまで保護する方法が常時SSLです。

常時SSLをWebサイトに導入することで、Webサイトの信頼性向上やgoogle検索順位の優遇、来訪者の流入元が分かるリファラーを得やすい、公衆無料WiFi利用時の盗聴や成りすましを防ぐ、など多くのメリットがあります。

Webサイトを見に来てくれた人にに安全と安心を提供することはもちろん、ログ解析の改善や、GoogleがWebマスター向け公式ブログで常時SSLを検索ランキング向上の要素として使用することを発表しているとおり、常時SSLによって、全てのページに対してSEO上有利な影響を与えることが出来る他にも、情報管理部門においては成りすましや盗聴の防止、サイバー攻撃対策などのメリットがあります。

なぜ常時SSL化が必要とされるのか

セキュリティレベルが低い公衆Wi-Fiの増加

空港や飲食店、観光地など公共の場所に日々設置され続けている公衆Wi-Fiネットワークでは、悪意ある第三者に傍受ツールを使用されると、Webサーバとの通信を盗聴されたり、cookieの情報を盗まれて、あなたに成りすましてWebサイトにアクセスされたりする危険があります。

また、情報を盗まれるだけではなく、悪意のあるプログラムが埋め込まれるなど通信情報が改ざんされる可能性もあります。常時SSL化によって、このような危険からWebサイト訪問者を保護することができます。

スマートフォンユーザーが増加し、Webサイトを閲覧しているデバイスの6割以上がスマートフォンとなり、公衆WiFiネットワークの利用は今後ますます増加することがあきらかであり、常時SSLで全てのページで暗号化を実施していないWebサイトは公衆WiFiネットワーク経由の閲覧者を守れないため、日本の大手ポータルサイトやECサイト、公共的なサイトは必然的に常時SSL化を進めて行かざるを得ない状況になっているのです

HTTP/2を利用したページ表示速度の向上

以前はHTTPS通信は暗号化復号処理を行うためにHTTP通信よりもページ表示速度が遅いと言われていましたが、ウェブページを高速に表示できる可能性があるHTTP/2プロトコルが登場し、このHTTP/2を使った通信を行うことにより、ヘッダ圧縮やストリームの多重化が行われて、ウェブページが表示されるまでの時間を短縮させることができるようになりました。

HTTP/2プロトコルを利用すれば、場合によっては同じ内容のページをHTTP通信で表示するよりも、複雑な処理がともなうHTTPS通信で表示するほうが表示時間が早くなるため、現在注目されているプロトコルです。代表的なwebブラウザでこのHTTP/2プロトコルを利用するにはHTTPSの接続が必要となるため、Webサイトの常時SSL化が進められているという背景もあります。

大手Webサービス、米政府機関による常時SSL化の動き

アメリカでは、Googleが2012年3月に検索サイトを常時SSL化したのをはじめとして、大手WebサービスのYouTubeやFacebook、Twitter、Netflixなどが続いて常時SSL化するようになり、アメリカ政府では2016年末までに政府関係の全サイトを常時SSL化するよう義務付けていました。*期限内に100%完了したわけではありません。

その結果、Googleの調査(透明性レポート)によると、2017年11月29日現在、GoogleChrome で HTTPS 経由で読み込まれたページの割合(国別)がアメリカは78%に達し、調査10か国中トップとなっており、webサイトセキュリティにおいてもアメリカが世界をけん引していると言えるでしょう。

実在証明のために常時SSL化という側面も

企業認証型(OV)証明書や、さらに厳格な認証が行われるEV証明書を使って、閲覧しているWebサイトが間違いなく目的の企業のWebサイトであることを証明する手段として常時SSL化を行うという側面も以前からありました。よってドメインの利用権だけを確認して発行されるDV証明書では企業の実在証明とならないため、企業のWebサイトでDV証明書を用いることはセキュリティレベルが低いと見られることもあります。

しかし、DV証明書でもEV証明書でも暗号強度に差はなく、常時SSL化を必要とする背景からみても、3種類のSSL証明書の優劣よりも、暗号化や盗聴、成りすまし対策が常時SSL化の一番の目的であり、企業のWebサイトはもちろんEV証明書を利用することが最善ではあるものの、個人が運営しているWebサイトに対して今後はDV証明書の需要も高まると思われます。

無料で常時SSL化出来るレンタルサーバも増えている

このような流れを受けて、国内レンタルサーバ会社でも無料で常時SSL化出来るサービスが増えてきました。利用料金の高いレンタルサーバでは、以前から常時SSL化サービスを利用することが可能でしたが、最近になり、安価で利用出来てユーザーも多いロリポップレンタルサーバでも、Let’s Encryptプロジェクトを利用した無料の常時SSL化サービスを開始したことは驚きでしたが、今後はWebサイトの常時SSL化が当たり前になっていくことを明確に示していると言えます。

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
TLS/SSL:https暗号化
arisaをフォローする
情報セキュリティ対策の真実

コメント