「HTTP」前提が崩れる――早く「常時SSL」にすべき理由萩原栄幸の情報セキュリティ相談室(1/3 ページ)

WebサイトをトップからHTTPSにする「常時SSL」が本格化の気配を見せてきた。「HTTPで十分」という意識ではやっていけなくなるだろう。その理由とは?

» 2015年05月22日 13時00分 公開
[萩原栄幸ITmedia]

 本連載で以前から「常時SSL」(TOPページからのHTTPSであること)の必要性を取り上げてきた。最初2回目は金融機関向けだったが、実は全ての企業、個人にとって必要になっている。今回はそのことを解説してみたい。


SSL/TLS暗号設定ガイドライン SSL/TLS暗号設定ガイドライン

 先日の「情報セキュリティEXPO」で情報処理推進機構(IPA)が、「SSL/TLS暗号設定ガイドライン」について解説するというので聴講した。残念ながらHTTPSの実装については全く触れられなかったが、それでも十分に参考になる内容であり、よく説明されていた。


 「常時SSL」に関する過去2回の記事で金融機関に言及していたのは、筆者が銀行出身であることやコンサルティング先の多くが金融機関であることが理由だが、昨今のネット世界の動向をみるに、「金融機関」に限定せず、全ての企業のサイト、強いては個人を含む全てのWebサイトについて「常時SSLの是非」を考える必要性を強く感じざるを得ない状況である。

 結論を先に述べる。「大半のWebサイトがHTTPであるが、この常識は1、2年後に大きく崩れる。企業サイトがこの変化に対応するには、いまから計画的に準備する必要があり、速やかに、謙虚に、その対応を計画すべきである」と。

 理由を5つ挙げる。

  1. 世の中の検索エンジン(Googleなど)は今後HTTPサイトを「セキュリティ上問題あり」と判断し、そういう表示やその“印”を掲載すると予告している
  2. GoogleのGmailやFacebook、Twitter、Outlookなどが既に「HTTPS」をデフォルトにしている
  3. GoogleはSEO対策の1つとしても、HTTPSサイトが上位になるよう少しずつ検索エンジンのパラメータを変更するとしている。AdWordsやDoubleClickなどの広告掲載サービスでも広告主に全HTTPS対応インベントリ向けに配信できるようにしている
  4. 既にYouTubeでは2014年末に全広告がHTTPS化している
  5. MozillaがHTTPサイトのサポートを縮小する方針を発表。新機能は安全なWebサイトのみに提供し、安全ではないWebサイトはブラウザ機能を縮小していくと明言

 つまり極論を言えば、営利目的の企業サイトはどう考えても「HTTPS」化を避けられない。個人サイトでも正当に評価されたいなら「常時SSL」にすべきである。そう判断すべき時期にきていると筆者は思う。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ