日本の金融機関はなぜ「常時SSL」を実装しないのか?萩原栄幸の情報セキュリティ相談室(1/2 ページ)

通信内容を盗聴されないための暗号化通信の導入が世界中の多くのWebサイトで進んでいる。だが、日本ではまだ少なく、金融機関でも対応が鈍い。その理由はなぜか。

» 2013年10月11日 08時00分 公開
[萩原栄幸,ITmedia]

 本連載で以前にノマドワーカーに関する記事を掲載した。記事の最後に「HTTPS通信などについては、機会があれば筆者の意見を含めて解説したい」を記載したところ、「この続きを読みたい」というご依頼のメールを何通かいただいたので、今回はその件について触れたい。

 きっかけは、以前の記事にも登場したノマドワーカーでフリーライターのA君である。彼は筆者の忠告を素直に聞きながら、できるだけ安全な公衆Wi-Fiを利用するようになった(公衆Wi-Fiそのものを利用しないという選択肢はなかったようである)。その時の続きから始めよう。

 なお、以降では日本の金融機関でのHTTPSの利用状況について筆者が独自に調べた結果を示すが、あくまで参考の範囲にとどめていただきたい。

A君 萩原さん、HTTPSにすると安全に通信ができるということですけど、実際にはどういうことですか。

筆者 理屈はさまざまなところで解説されているのでここでは割愛するが、簡単に言うなら、HTTPSとは暗号化されたSSL通信を行うということだよ。つまり、盗聴されたり、その内容を見られたりするリスクが大きく低下すると理解してほしい。

A君 どうすればそのSSL通信ができるのですか。

筆者 簡単だ。説明するより、実際にインターネットに接続して体験した方がいい。例えば、「日本銀行」(実際にアクセスしてみてほしい)」にアクセスしてみよう。

A君 僕も良く経済記事を執筆するので、知っていますよ。でも、これは普通のWebサイトでしょう。

筆者 そうだよ。そこで今、公衆Wi-Fiからアクセスしていると仮定しよう。だから、できるだけ暗号化通信をしたいわけだ。そのアドレスバーの「http」を後ろに「s」を入力して再送信してごらん。

A君 「https://www.boj.or.jp/index.html/」にするわけですね。あれ? アドレスバーがグリーンに変化しましたよ。でも、表示内容は同じですね。

筆者 そうだね。グリーンになるということは、実は初心者へその安全性が視覚的に分かるように、「EV SSL」が導入されているということだよ。ただ、これはHTTPSにとっては必須ではなく、無くても良い。A君は佐賀県出身なので佐賀銀行に銀行口座があると話していたね。そこで「佐賀銀行」のWebサイト「http://www.sagabank.co.jp/」をまず表示し、同時に別のWebブラウザで「https://www.sagabank.co.jp/」を表示させてみよう。どうかな。

A君 同じです。HTTPSの方のWebサイトはグリーンにはなっていないけど、きちんと表示されますよ。

筆者 佐賀銀行ではどちらの通信も許容しているということだ。だから、本来ならHTTPSのWebサイトを利用した方が格段に安全だということになる。

A君 それなら、どこのWebサイトもHTTPSにすればいいじゃないですか。

筆者 そうはいかない。SSL通信をするということはその分コストがかかる。どんなところでも使えるわけではない。というより、日本では通常の一般企業のWebサイトでHTTPSが使えるところはあまりないのだよ。

 A君は、試しに契約をしている出版社のWebサイトにアクセスしたが案の定、HTTPSではアクセスできなかった。通常は「極めて重要な通信を行う」時だけSSL通信を利用している場合が多い。注意深い読者の中にはインターネットで重要なクレジットカード情報やネットバンキングのパスワードを入力する際に、「https」とアドレスバーの表示が変化しているのに気が付いた方もいるだろう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ