ニュース
» 2016年05月27日 08時00分 公開

ハギーのデジタル道しるべ:ついにやってきた「常時HTTPS」の波、デメリットを再検証 (2/2)

[萩原栄幸,ITmedia]
前のページへ 1|2       

「常時SSL」のデメリットを再検証

 それでは先に挙げた「常時SSL」の5つのデメリットについて、改めて考えてみたい。

Webサイトが重くなる

 これはある側面ではその通りだが、ある側面では逆に速くなる。それは、「HTTP/2」が2015年に正式な仕様として決定され、この仕様では常時SSLについて、逆にスピードがアップされる。その理由は、古い仕様の「HTTP/1.1」ではヘッダ処理に費やす時間がかさんでしまうためであり、HTTP/2プロトコルではその処理が高速化される。ただし、このプロトコルに対応するには、多くのWebブラウザで常時SSLになっている必要がある。

Webブラウザでの常時SSL(HTTPS)の表示イメージ

費用がかさむ

 これも確かに、現状のWebサイトを改良することから、その分のコストが必要になるのは当たり前だ。このコストをゼロにすることは不可能である。ただし、既にこの導入に関係なく大幅なリニューアルを検討しているのであれば、実質的に無料に近い形で常時SSLできるチャンスが生まれるということでもある。だからこそ、ぜひ検討してほしい。実際に、ライバルとの差別化に常時SSLを戦術として導入するというケースも散見される。いずれにしても、既に大義名分はあるので、あとは実践あるのみだと思う。

HTTPS非対応のコンテンツや広告が非表示になる

 通常の企業サイトであれば、デメリットにはならないと思う。実際に筆者が複数の企業や金融機関から依頼をされたところでは、これらは一切導入していなかった。一部の個人サイトでは大きな問題になる可能性があるので、事前にそこは確認すべきだろう。

「いいね!」などのカウントがゼロになる

 これも、主に個人サイトからの意見であり、企業サイトとしては大きな問題になることはほとんどないと考えている。

暗号化通信そのものが「攻撃のかくれみの」になる

 これについては、少々対策を講じた方がいいかと思われる。攻撃者がSSL対応による攻撃を仕掛けてくる可能性があり、通信の中身について、きちんと復号してから加害者かそうではないのかを確認しようとしても、常時SSLに対応する内容を正しく確認する術がない。ITセキュリティの専門企業ではここに焦点をあてた対策製品を提供しているので、一度はこれらについて、「コンティンジェンシープラン(緊急時対応計画)」を構築する際に考慮してみるのがよいと思う。

 その他の点や導入時のポイントについては、先に挙げた以前の記事も参考にぜひ検討していただきたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ