ついにやってきた「常時HTTPS」の波、デメリットを再検証:ハギーのデジタル道しるべ(1/2 ページ)
筆者は今まで何回も「あなたの企業はまだ常時SSL(常時HTTPS)になっていないのですか?」と警鐘を鳴らしてきたが、いよいよその波がやってきたようだ。企業の対応で懸念されるポイントについて解説する。
筆者は、今まで何度かにわたってWebサイトやユーザーを守るために「常時SSL」「常時HTTPS」を導入すべきだと提起してきた。
- 日本の金融機関はなぜ「常時SSL」を実装しないのか?(2013年10月11日)
- 銀行に期待した「常時SSL」 その後……(2015年2月20日)
- 「HTTP」前提が崩れる――早く「常時SSL」にすべき理由(2015年5月22日)
- 「常時SSL」の疑問に答えよう、どうすればできるか(2015年5月29日)
そして今年に入り、さまざまな状況が変化してきた。例えば、Yahoo! JAPANは4月から2017年3月にかけて、全てのYahooサービスを常時SSLに対応させると表明している。
また、筆者の本職であるITセキュリティのコンサルタント業務の中で、複数の金融機関と一般企業が予算を確保して「常時SSL対応プロジェクト」を立ち上げたり、その準備に取り組み始めている。一部のインターネット接続事業者(ISP)もSSL対応のサービスを開始しており、その動きを広めつつある。
少し前には、役員会の席上で「わざわざお金をかけてまで常時SSLにする必要はない」と言われたこともあった。しかし、FacebookやTwitter、GoogleなどのメジャーなWebサイトが既に常時SSLになっており、ヤフーも取り組みを発表したことによって、役員から表面的な反対意見は聞こえなくなったのである。
ここで再度、常時SSLに対するデメリットをおさらいしてみたい。世間では多数の意見があるものの、本質的には次の5つほどだと思われる。
- Webサイトが重くなる
- 費用がかさむ
- HTTPS非対応のコンテンツや広告が非表示になる
- 「いいね!」などのカウントがゼロになる
- 暗号化通信そのものが「攻撃のかくれみの」になる
これらについて解説するが、先に結論を言えば、やはり世界的な動向やセキュリティの観点から「常時SSL化」は避けて通れないと考えてほしい。世間の常識が「まだしなくても」から「まだしていないの?」へと変わるのに、それほど長い時間はかからないと思われるし、シマンテックなどは将来的にインターネットの通信が全てSSL化になるとも述べている。ぜひ(せめて)導入のための検討くらいは、すぐに始めるべきだ。
また、一部の個人サイト運営者は企業に先行して常時SSLを導入されている。とても勇気のある決断だと思うのだが、明らかに「ここはしない方が良い」と思われるWebサイトが散見されるのも事実だ。もう少し様子をみて、無理なく導入できる所から実現した方が良いとも思う。
関連記事
- 日本の金融機関はなぜ「常時SSL」を実装しないのか?
通信内容を盗聴されないための暗号化通信の導入が世界中の多くのWebサイトで進んでいる。だが、日本ではまだ少なく、金融機関でも対応が鈍い。その理由はなぜか。 - 銀行に期待した「常時SSL」 その後……
以前に「銀行がなぜ常時SSL(HTTPS)を実装しないのか」と指摘したが、2014年末にGoogleがHTTPSを推進し、将来は「HTTPを安全でない」と明示することを宣言した。そこで国内の銀行を調べてみたところ、意外な状況だと分かった。その事実とは? - 「HTTP」前提が崩れる――早く「常時SSL」にすべき理由
WebサイトをトップからHTTPSにする「常時SSL」が本格化の気配を見せてきた。「HTTPで十分」という意識ではやっていけなくなるだろう。その理由とは? - 「常時SSL」の疑問に答えよう、どうすればできるか
「常時SSL」化はもはや避けられないと思うが、まだ疑問に思う人は多いようだ。「常時SSL」に対応するための“方法”を示す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.