「HTTP」前提が崩れる――早く「常時SSL」にすべき理由:萩原栄幸の情報セキュリティ相談室(3/3 ページ)
世の中の動き
ITmediaだけの情報でも「常時SSL」化の動きは大まかに把握できる。
- 2013年11月21日付「サービス暗号化の優等生はGoogleとDropbox、Amazonは要注意──EFF調べ」
この記事は1年半ほど前のだが、ここにある「サービス暗号化状況リスト」が興味深い。FacebookやDropboxなど一部のサービスは全項目で「OK」とあるが、ほとんどは一部項目が「NG」となっている。
実際問題として、これらの対応が満点であるということと、サービス自体のセキュリティが強固であることとは別物だが、事実を知るのに役立つ。この記事で見るべきポイントは「supports HTTPS」と「HSTS」の2種類である(一部の専門家は反論されるかもしれないが)。「supports HTTPS」とは、「HTTPSでTOPページにアクセスできる」ということでグリーンになっているサービスだ。「HSTS」は、HTTPでTOPページにアクセスしても「強制的にHTTPSになる」もので、同様にグリーンで示される。
ここでは世界最大の通販サイト「Amazon」のサービスが「要注意」になっている(グリーンの項目が1つもない)。記事にある調査結果は1年半も前なので、現時点で筆者が調査したところ、米国版サイトと日本版サイトでは挙動に違いがみられた。
日本版サイト(www.amazon.co.jp)ではHTTPSでTOPページにアクセスすると、そのまま表示された。つまり、HTTPSをサポートしている。ところが、米国版サイト(www.amazon.com)ではHTTPSでアクセスすると、HTTPに強制変更されてしまう。「HSTS」とは真逆だ。もしHTTPSを手入力してアクセスし、その変化にユーザーが気付かずに利用していたら、あまり良くないことになりはしないだろうか。
この記事以外にも常時SSL化の動きを知ることができる。今回はその一部のみご紹介させて頂く。
- 2014年1月8日付「米Yahoo!Mail、HTTPS接続をデフォルトに」
- 2014年7月2日付「Microsoft、Outlook.comとOneDriveもTLS/PFSでサービス暗号化」
- 2014年8月8日付「更新WebサイトのHTTPS対応、Google検索ランキングに反映」
最後の記事によれば、GoogleはデフォルトでのHTTPS接続を推進する一環として、WebサイトがHTTPSを使っているかどうかを検索ランキングに反映させるという。ただ、この場合の影響が大きくなる可能性を考慮して検索クエリーの1%未満にとどめ、Web管理者がHTTPSに切り替える時間を与えるとしている。この措置は暫定的であり、将来はこの対応が大きく検索結果に反映する可能性も十分に考えられる。
なお、誤解を招きかねないので以下の点を補足しておきたい。
まず、「常時SSL」化には大きく2つの解決手段がある点だ。HTTPSのみのWebサイトを設計・構築するものと、HTTPをHTTPSにリダイレクトする方法である。双方にメリット・デメリットがあり、現在運営されているWebのプログラム構造・言語・外部I/Fなどによって異なる。ただ、HTTPSのみでのサイト構築は、その変更のよる対応範囲(人・時間・費用ともに)が大きくなる可能性も想定されものの、セキュリティレベルはリダイレクトする方法より強くなる傾向にある(例外もあるが)。
そういう意味ではタイムリーに公開されたIPAの「SSL/TLS暗号設定ガイドライン」は参考資料として役に立つ。特に現実解として、「POODLE問題」として話題になったSSL 3.0の扱いやハッシュ選定についてなど、サーバ構築における安全性と接続性のトレードオフから次の3種類に分けて議論をしている。何が何でもセキュリティを最高の強度にするというビジネス上における非現実的な机上の空論になっていないことが好感できる。
- 高セキュリティ型
- 推奨セキュリティ型
- セキュリティ例外型
個人運営のWebサイトについて本稿では割愛させていただくが、その運営母体とご自身のポリシーなどで総合的な現実解を決めてほしい。個人レベルではまだ時間に余裕があるので、企業サイトを最優先させればいいと思う。
次回も「常時SSL」に関する考察を述べてみたい。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Windows 11の永続ライセンスが消えて“毎月課金”になる予感
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
- 爆売れだった「ノートPC」が早くも旧世代の現実
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- プロンプト作成は「ヒトに残された」仕事か? それともただの「時間の浪費」なのか
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- S&P 500企業の半数以上が個人情報の流出を経験 SecurityScorecardが脅威実態調査
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
ITmediaはアイティメディア株式会社の登録商標です。