日本の金融機関はなぜ「常時SSL」を実装しないのか？：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

「常時SSL」を実装する、しない

　さて、この辺から本題に入りたい。今、インターネット上ではワンタイムパスワード（使用する度にパスワードが変化するもの。金融機関ではメールへの通知と事前に配布される専用機器を使うタイプが主流）のような二段階（二要素ともいう）認証を使っていても、サイバー犯罪の被害に遭ってしまう。それは、一例として「中間者攻撃」という手口が使われているからだ（興味のある方はネット検索などで調べてほしい。参考ページ）。

　一部の金融機関は、ワンタイムパスワードの機器を機能拡張させることで、この中間者攻撃を回避しているところもある。ただし筆者は、もっと基礎的な部分では「常時SSL」で対応し、多層的な防御構造にする、その上で機器でも防御するのという対策が自然だと考えている。実は、日本の金融機関でこの「常時SSL」を実装しているところはあまりない。

　「常時SSL」とは、Webサイトのトップページから既にHTTPSになっているWebサイトである。これは「中間者攻撃」にも有効な防御策である。例えば、前述した「日本銀行」のWebサイトのトップページのURLは「http://www.boj.or.jp/index.html/」だが、このトップページに「https」でもアクセスできる。このようにトップページからHTTPSを利用可能なのが「常時SSL」である。

　日本でも日本銀行や佐賀銀行、その他に琉球銀行、青森銀行、みずほ銀行、東京スター銀行、山口銀行、トマト銀行、長崎銀行、宮崎太陽銀行、南日本銀行などが、トップページから「常時SSL」となっており、Webサイトの構造自体が耐中間者攻撃への防御になっている。こうしたWebサイトを訪れる場合には、HTTPSでアクセスする方が絶対に安全だ。なお、Googleなど検索からアクセスすると、HTTPのトップページに誘導されてしまう。その際「https」と入力し直してアクセスすることをお薦めする。

　ところが、このような銀行は全体の中では少数派にとどまっているが実状である。全ての金融機関を調べる時間はなかった。メガバンクや地銀、第二地銀、ネット銀行の中からランダムに筆者が調べてみると、「常時SSL化」は約38％だった（あくまで参考の範囲にとどめてほしい）。

　筆者は銀行のシステムに携わってきた経験から内部状況も理解しているつもりだ。「常時SSL」を実装するには、そのためにだけWebサイトの内容を簡単に変えられないことやコストの問題、外部のシステム管理の問題といったさまざま障壁が確かに存在する。しかし、本来の「お客様優先」の精神があれば速やかに「常時SSL」にすべきではないかと思うだけに、とても残念でならない。ネットバンキングには素人の利用者も多い。だから、できればさらに「EV SSL」も導入した方がご高齢の利用者にも喜ばれるはずだ。

　世界ではBank of America以外にも、PayPalやState Bank of India（インドステイト銀行）、Bank of Hawaii、CitibankなどのWebサイトのトップページが軒並み「常時SSL」になっている。金融後進国の銀行ではまだまだ「常時SSL」の採用は少ないし、英国の有名銀行のようなところでも一部は「常時SSL」を導入していない。

　彼らはよく「『常時SSL』は費用負担の問題より、お客様のPCに負荷がかかる」と言う。でも、今のPCのスペックは昔と桁違いだ。筆者が銀行認証局を真剣に検討していた頃は、「OCSPレスポンダー」の仕組みがダウンロード方式だった（簡単に解説すると、SSL証明書が有効か無効かを返信する仕組み）ので、確かに応答するまでに少なからず時間が掛かり（コンマ何秒以上程度）、彼らの言い分も当時は理解できた。しかし、今では一部の格安SSL証明書を除けば、そういうことは無いはずだ（この辺については専門家もさまざまに指摘されるだろうと思うが、物事の本質が隠れてしまう方が怖いので初心者にも分かるように概要だけ記載している）。

　また、前述したGoogle検索で「http」のトップページに誘導されてしまう件だが、ここについても申し上げたい。日本の金融機関には、GoogleやPayPal、Bank of Americaを見習ってほしいと感じる。上に挙げた日本銀行などの日本の金融機関は確かにGoodではある。でも、まだ足りない。実際にGoogleやPayPalのWebサイトを訪れてみるとすぐに分かるが、HTTPでトップページにアクセスすると、強制的にHTTPSに切り替わる。ここまで取り組みをしている日本の銀行を筆者はまだ見たことが無い（筆者が知らないだけかもしれないので、「うちはそこまで行っている」というところがあれば教えてほしい）。なお、外国の銀行でも本国のWebサイトは強制的にHTTPSに切り替わるが、日本版サイトはHTTPのままというところも一部認められた。

　日本の金融機関は「常時SSL」が少数派で、さらに「強制的にHTTPS」を導入しているところ（というよりはHTTPのWebサイトを廃止しているところ）は皆無だ。（調査した範囲ではあるが）お客様にとっては多少の認識できる程度の遅延があったとしても、どちらがより安全な通信であるかは言うまでもないだろう。Googleにできて、なぜ日本の金融機関にできないのか――不思議でならない。実は明確な理由があってそうしているかもしれないが、もしそうならぜひ論理的な裏付けや学会論文などの第三者が納得できる資料をいただけると幸いである。

追記（2013年10月11日12:00）

　本記事掲載後に早速、最近住宅ローンで急成長されている住信SBIネット銀行のWebサイトが「常時SSL」＋「強制HTTPS」になっているとご報告があった。とても嬉しい。日本の全ての金融機関を筆者個人で調査する時間が無かったものの、調べた範囲では皆無だった。「どこかにいないのか？」と思っていたからである。ここに日本の銀行でも存在した事を確認したので追記させて頂く。本当に良かったと思う。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。