ニュース
» 2015年05月22日 13時00分 UPDATE

萩原栄幸の情報セキュリティ相談室:「HTTP」前提が崩れる――早く「常時SSL」にすべき理由 (3/3)

[萩原栄幸,ITmedia]
前のページへ 1|2|3       

世の中の動き

 ITmediaだけの情報でも「常時SSL」化の動きは大まかに把握できる。

 この記事は1年半ほど前のだが、ここにある「サービス暗号化状況リスト」が興味深い。FacebookやDropboxなど一部のサービスは全項目で「OK」とあるが、ほとんどは一部項目が「NG」となっている。

 実際問題として、これらの対応が満点であるということと、サービス自体のセキュリティが強固であることとは別物だが、事実を知るのに役立つ。この記事で見るべきポイントは「supports HTTPS」と「HSTS」の2種類である(一部の専門家は反論されるかもしれないが)。「supports HTTPS」とは、「HTTPSでTOPページにアクセスできる」ということでグリーンになっているサービスだ。「HSTS」は、HTTPでTOPページにアクセスしても「強制的にHTTPSになる」もので、同様にグリーンで示される。

ssl01.jpg (記事より)

 ここでは世界最大の通販サイト「Amazon」のサービスが「要注意」になっている(グリーンの項目が1つもない)。記事にある調査結果は1年半も前なので、現時点で筆者が調査したところ、米国版サイトと日本版サイトでは挙動に違いがみられた。

 日本版サイト(www.amazon.co.jp)ではHTTPSでTOPページにアクセスすると、そのまま表示された。つまり、HTTPSをサポートしている。ところが、米国版サイト(www.amazon.com)ではHTTPSでアクセスすると、HTTPに強制変更されてしまう。「HSTS」とは真逆だ。もしHTTPSを手入力してアクセスし、その変化にユーザーが気付かずに利用していたら、あまり良くないことになりはしないだろうか。

 この記事以外にも常時SSL化の動きを知ることができる。今回はその一部のみご紹介させて頂く。

 最後の記事によれば、GoogleはデフォルトでのHTTPS接続を推進する一環として、WebサイトがHTTPSを使っているかどうかを検索ランキングに反映させるという。ただ、この場合の影響が大きくなる可能性を考慮して検索クエリーの1%未満にとどめ、Web管理者がHTTPSに切り替える時間を与えるとしている。この措置は暫定的であり、将来はこの対応が大きく検索結果に反映する可能性も十分に考えられる。

 なお、誤解を招きかねないので以下の点を補足しておきたい。

 まず、「常時SSL」化には大きく2つの解決手段がある点だ。HTTPSのみのWebサイトを設計・構築するものと、HTTPをHTTPSにリダイレクトする方法である。双方にメリット・デメリットがあり、現在運営されているWebのプログラム構造・言語・外部I/Fなどによって異なる。ただ、HTTPSのみでのサイト構築は、その変更のよる対応範囲(人・時間・費用ともに)が大きくなる可能性も想定されものの、セキュリティレベルはリダイレクトする方法より強くなる傾向にある(例外もあるが)。

 そういう意味ではタイムリーに公開されたIPAの「SSL/TLS暗号設定ガイドライン」は参考資料として役に立つ。特に現実解として、「POODLE問題」として話題になったSSL 3.0の扱いやハッシュ選定についてなど、サーバ構築における安全性と接続性のトレードオフから次の3種類に分けて議論をしている。何が何でもセキュリティを最高の強度にするというビジネス上における非現実的な机上の空論になっていないことが好感できる。

  1. 高セキュリティ型
  2. 推奨セキュリティ型
  3. セキュリティ例外型

 個人運営のWebサイトについて本稿では割愛させていただくが、その運営母体とご自身のポリシーなどで総合的な現実解を決めてほしい。個人レベルではまだ時間に余裕があるので、企業サイトを最優先させればいいと思う。

 次回も「常時SSL」に関する考察を述べてみたい。

関連キーワード

HTTPS | SSL | セキュリティ | Google | 企業サイト


萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

前のページへ 1|2|3       

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -