Webサイトに“常時SSL”の実装を――団体提唱の米国で機運高まる?

インターネットのセッションに割り込まれてユーザー情報が盗聴される危険性が高まっていることから、米国ではHTTPS通信を前提にすべきという声が上がっているという。

» 2012年03月29日 08時00分 公開
[國谷武史,ITmedia]

 Webサイトおよびページに“Always on SSL(常時SSL)”を――2月に米国で行われたセキュリティカンファレンスRSA Conference 2012のセッションで、インターネットサービス企業やセキュリティ企業、米国政府機関などが参加する「Online Trust Alliance」がこう提唱したという。

 日本ベリサイン主催のメディア会合の場にゲストスピーカーとして登壇したSymantec トラストサービシズ プロダクトマーケティング担当のロブ・グリックマン氏、日本ベリサイン SSL製品本部の安達徹也氏が、「常時SSL」が提唱された背景や対応策などを解説した。

 Online Trust Allianceは、主にWebやメールサービスに関わるセキュリティについて取り組む組織で、同団体の提唱にはSSL通信の適用拡大を進めるGoogleやFacebook、Twitterなども賛同している。

 グリックマン氏によると、常時SSLが必要となった背景には、Wi-Fi通信で暗号化されていないセッションを自動的に検出してcookie情報を盗み取る「Firesheep」というツールを使った「サイトジャッキング」の出現があるという。

 「米国では至るところでWi-Fiサービスが普及し、スマートフォンやタブレット端末での利用が急拡大している。Firesheepを使えば、子どもあってもcookieを盗み出して正規ユーザーになりすまし、インターネットサービスに不正にログインできてしまう」(グリックマン氏)

 インターネットサービス利用での危険の一つに「中間者攻撃」と呼ばれるものがある。中間者攻撃では攻撃者がセッションに割り込んで通信内容を傍受する。攻撃者がそこで盗み取った情報を悪用する場合もあれば、マルウェアを併用して正規ユーザーとサーバとの通信内容を部分的に差し変え、さらに機密性の高い情報を盗み取ったり、異なるマルウェアに感染させたりするケースもある。

 Wi-Fiスポットが特に危険とされるのは、攻撃者が正規ユーザーのすぐ近くに身を潜めて通信を傍受できてしまう可能性が高いため。「携帯電話回線のひっ迫から、日本でも通信事業者がスマートフォンユーザーにWi-Fiの利用を推奨しており、将来的にこのリスクが高まる恐れがある」(安達氏)という。

 SSL通信(HTTPS通信)は、一般的にオンラインサービスへのログイン時や決済時などに適用される。HTTPS通信中のセッションでは通信内容が暗号化されるため、攻撃者による盗聴のリスクを低減できる。だが暗号化されていないHTTP通信が途中に介在する場合ではHTTPSからHTTPに切り替わった際に、盗聴されてしまう危険がある。

常時SSLが必要な理由(日本ベリサイン資料)

 ユーザー側が取り得る対策としては、専用ソフトなどを導入してVPN接続を行う、HTTPS対応サイトではHTTPSを積極利用するといったことが挙げられる。また、HTTPS対応の有無や自動接続を支援するFirefoxのアドオンツール「HTTPS Everywhere」や「HTTPS Finder」を活用する手もあるという。Google Chrome 4.0.211.0以上やFirefox 4以上には、通信内容を強固に保護する「HTTP Strict Transport Security」が実装されているが、Webサイト側の対応が必要になる。

 安達氏は、ユーザー側での対応には限界があり、Webサイト側で対処する方が効果的だと指摘する。

 「Webサイト側ではセッションcookieの有効範囲とセキュア属性をきめ細かく定義することで、HTTPとHTTPSとの間でページ遷移があっても盗聴を極力防ぐことができるが、そのためには大きな負担や手間が伴う。実績のあるSSLを常に利用できるようにすれば、手間を掛けることなく顧客(訪問者など)の安全性を高められる」(安達氏)

 Online Trust Allianceの提唱に対して常時SSLを全面的に導入しているWebサイトは、それほど多くはないのが現状だろう。だがGoogleではGoogleアカウントにログインした後ではSSLをデフォルトにしており、FacebookやTwitterでは常時SSLをオプションで提供するなど、取り組みは少しずつ広がっている。国内でも野村証券が積極的な対応を進めているという。

 また、常時SSLの実装にはさまざまな課題が伴うが、特に懸念されるが通信速度の低下やSSLサーバ証明書の追加導入といったコストの上昇だろう。

 これに対して両氏は、「マシンパワーの向上で通信速度の低下は心配するほどではないと言える。Keep Alive設定でSSLのネゴシエーション回数を減らすなどの工夫も可能」(安達氏)、「追加で必要になるSSLサーバ証明書の枚数は実際には数枚程度だと思われ、顧客の保護という観点からすれば大きな負担ではないとみることができる」(グリックマン氏)と回答。

 Online Trust Allianceでも常時SSLの実装に関するホワイトペーパー(日本語版PDF)を提供している。

常時SSLがアクセス解析やSEOに与える影響についての見解(日本ベリサイン資料)

関連キーワード

SSL | HTTPS | ベリサイン | サーバ証明書


Copyright © ITmedia, Inc. All Rights Reserved.