「HTTP」前提が崩れる――早く「常時SSL」にすべき理由：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

常時SSLが必要なワケ

　銀行のシステムを経験してきた筆者としては、金融機関における「常時SSL」がいかに容易ではないかが理解できる。それでも前述の理由に挙げた最近の動きを鑑みるに、過去2回の記事では速やかに「常時SSL」化の検討を開始し、負担が最小限で済む対応を急ぐべきだと主張してきた。

　もちろん反対派の考えもある程度は理解できる。だが、SEO対策に毎年高額な費用をかけていたり、また万一HTTPゆえの脆弱性に起因した情報漏えいや顧客への直接被害が起きたりすれば、その損失は図りしれない。そして、さらに強硬な措置をGoogleやブラウザベンダーが実施する可能性をちらつかせている。

　こんな状況を考慮すれば、「できない理由」を並べるより、「実施するためにどうすべきか」という建設的な考えに転換すべき時期だと考えている。GoogleがHTTPサイトを検索結果から除外することはあり得ないと思うが、検索結果の順位を大きく下げたり、リンク先サイトの表示に「このサイトはセキュリティに問題があります。クリックする場合は自己責任でお願いします」とかいう文言を表示したりするだろう。そうなってから慌てたところで、「対応しなかったほうがねぇ……」と思う。

　「常時SSL」化について、本来はセキュリティに最も敏感に対応するはずの金融機関ですら腰を上げる気配が少ない。「まわりをみながら」という姿勢が大半だ。筆者が心配し過ぎなのだろうか。でも、その昔に筆者が学生の頃に先生から聞いた寓話を思い出す。

とても大きな池に魚たちが住んでいた。そこにハス（水草かも？）の種が風に乗って来た。池の養分で蓮はあっという間に大きくなり、一晩で2倍に育っていった。心配性の魚が「もしこのハスが池を全部覆い尽くしたら私たちは死んでしまう」と考えたが、大部分の魚たちは大笑い。大きくなったら考えようとしたが、数日後に池の全てがハスで覆われ、魚たちは全滅した。

　そう、仮にハスが池の面積の25％を覆っているとしたら、1晩で2倍の50％、2晩でその倍の100％になる。この寓話の原典は分からないし、だいぶ昔の話で内容の細かいところは誤っているかもしれない。でも真意はご理解いただけると思う。自分を守るなら先を考慮して速やかに実践することしかないのだから――。