ついにやってきた「常時HTTPS」の波、デメリットを再検証：ハギーのデジタル道しるべ（1/2 ページ）

筆者は今まで何回も「あなたの企業はまだ常時SSL（常時HTTPS）になっていないのですか？」と警鐘を鳴らしてきたが、いよいよその波がやってきたようだ。企業の対応で懸念されるポイントについて解説する。

[萩原栄幸，ITmedia]

　筆者は、今まで何度かにわたってWebサイトやユーザーを守るために「常時SSL」「常時HTTPS」を導入すべきだと提起してきた。

• 日本の金融機関はなぜ「常時SSL」を実装しないのか？（2013年10月11日）
• 銀行に期待した「常時SSL」　その後……（2015年2月20日）
• 「HTTP」前提が崩れる――早く「常時SSL」にすべき理由（2015年5月22日）
• 「常時SSL」の疑問に答えよう、どうすればできるか（2015年5月29日）

　そして今年に入り、さまざまな状況が変化してきた。例えば、Yahoo! JAPANは4月から2017年3月にかけて、全てのYahooサービスを常時SSLに対応させると表明している。

　また、筆者の本職であるITセキュリティのコンサルタント業務の中で、複数の金融機関と一般企業が予算を確保して「常時SSL対応プロジェクト」を立ち上げたり、その準備に取り組み始めている。一部のインターネット接続事業者（ISP）もSSL対応のサービスを開始しており、その動きを広めつつある。

　少し前には、役員会の席上で「わざわざお金をかけてまで常時SSLにする必要はない」と言われたこともあった。しかし、FacebookやTwitter、GoogleなどのメジャーなWebサイトが既に常時SSLになっており、ヤフーも取り組みを発表したことによって、役員から表面的な反対意見は聞こえなくなったのである。

　ここで再度、常時SSLに対するデメリットをおさらいしてみたい。世間では多数の意見があるものの、本質的には次の5つほどだと思われる。

• Webサイトが重くなる
• 費用がかさむ
• HTTPS非対応のコンテンツや広告が非表示になる
• 「いいね！」などのカウントがゼロになる
• 暗号化通信そのものが「攻撃のかくれみの」になる

　これらについて解説するが、先に結論を言えば、やはり世界的な動向やセキュリティの観点から「常時SSL化」は避けて通れないと考えてほしい。世間の常識が「まだしなくても」から「まだしていないの？」へと変わるのに、それほど長い時間はかからないと思われるし、シマンテックなどは将来的にインターネットの通信が全てSSL化になるとも述べている。ぜひ（せめて）導入のための検討くらいは、すぐに始めるべきだ。

　また、一部の個人サイト運営者は企業に先行して常時SSLを導入されている。とても勇気のある決断だと思うのだが、明らかに「ここはしない方が良い」と思われるWebサイトが散見されるのも事実だ。もう少し様子をみて、無理なく導入できる所から実現した方が良いとも思う。