ついにやってきた「常時HTTPS」の波、デメリットを再検証ハギーのデジタル道しるべ(1/2 ページ)

筆者は今まで何回も「あなたの企業はまだ常時SSL(常時HTTPS)になっていないのですか?」と警鐘を鳴らしてきたが、いよいよその波がやってきたようだ。企業の対応で懸念されるポイントについて解説する。

» 2016年05月27日 08時00分 公開
[萩原栄幸ITmedia]

 筆者は、今まで何度かにわたってWebサイトやユーザーを守るために「常時SSL」「常時HTTPS」を導入すべきだと提起してきた。

 そして今年に入り、さまざまな状況が変化してきた。例えば、Yahoo! JAPANは4月から2017年3月にかけて、全てのYahooサービスを常時SSLに対応させると表明している

 また、筆者の本職であるITセキュリティのコンサルタント業務の中で、複数の金融機関と一般企業が予算を確保して「常時SSL対応プロジェクト」を立ち上げたり、その準備に取り組み始めている。一部のインターネット接続事業者(ISP)もSSL対応のサービスを開始しており、その動きを広めつつある。

 少し前には、役員会の席上で「わざわざお金をかけてまで常時SSLにする必要はない」と言われたこともあった。しかし、FacebookやTwitter、GoogleなどのメジャーなWebサイトが既に常時SSLになっており、ヤフーも取り組みを発表したことによって、役員から表面的な反対意見は聞こえなくなったのである。

 ここで再度、常時SSLに対するデメリットをおさらいしてみたい。世間では多数の意見があるものの、本質的には次の5つほどだと思われる。

  • Webサイトが重くなる
  • 費用がかさむ
  • HTTPS非対応のコンテンツや広告が非表示になる
  • 「いいね!」などのカウントがゼロになる
  • 暗号化通信そのものが「攻撃のかくれみの」になる

 これらについて解説するが、先に結論を言えば、やはり世界的な動向やセキュリティの観点から「常時SSL化」は避けて通れないと考えてほしい。世間の常識が「まだしなくても」から「まだしていないの?」へと変わるのに、それほど長い時間はかからないと思われるし、シマンテックなどは将来的にインターネットの通信が全てSSL化になるとも述べている。ぜひ(せめて)導入のための検討くらいは、すぐに始めるべきだ。

 また、一部の個人サイト運営者は企業に先行して常時SSLを導入されている。とても勇気のある決断だと思うのだが、明らかに「ここはしない方が良い」と思われるWebサイトが散見されるのも事実だ。もう少し様子をみて、無理なく導入できる所から実現した方が良いとも思う。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ