ついにやってきた「常時HTTPS」の波、デメリットを再検証:ハギーのデジタル道しるべ(2/2 ページ)
筆者は今まで何回も「あなたの企業はまだ常時SSL(常時HTTPS)になっていないのですか?」と警鐘を鳴らしてきたが、いよいよその波がやってきたようだ。企業の対応で懸念されるポイントについて解説する。
「常時SSL」のデメリットを再検証
それでは先に挙げた「常時SSL」の5つのデメリットについて、改めて考えてみたい。
Webサイトが重くなる
これはある側面ではその通りだが、ある側面では逆に速くなる。それは、「HTTP/2」が2015年に正式な仕様として決定され、この仕様では常時SSLについて、逆にスピードがアップされる。その理由は、古い仕様の「HTTP/1.1」ではヘッダ処理に費やす時間がかさんでしまうためであり、HTTP/2プロトコルではその処理が高速化される。ただし、このプロトコルに対応するには、多くのWebブラウザで常時SSLになっている必要がある。
費用がかさむ
これも確かに、現状のWebサイトを改良することから、その分のコストが必要になるのは当たり前だ。このコストをゼロにすることは不可能である。ただし、既にこの導入に関係なく大幅なリニューアルを検討しているのであれば、実質的に無料に近い形で常時SSLできるチャンスが生まれるということでもある。だからこそ、ぜひ検討してほしい。実際に、ライバルとの差別化に常時SSLを戦術として導入するというケースも散見される。いずれにしても、既に大義名分はあるので、あとは実践あるのみだと思う。
HTTPS非対応のコンテンツや広告が非表示になる
通常の企業サイトであれば、デメリットにはならないと思う。実際に筆者が複数の企業や金融機関から依頼をされたところでは、これらは一切導入していなかった。一部の個人サイトでは大きな問題になる可能性があるので、事前にそこは確認すべきだろう。
「いいね!」などのカウントがゼロになる
これも、主に個人サイトからの意見であり、企業サイトとしては大きな問題になることはほとんどないと考えている。
暗号化通信そのものが「攻撃のかくれみの」になる
これについては、少々対策を講じた方がいいかと思われる。攻撃者がSSL対応による攻撃を仕掛けてくる可能性があり、通信の中身について、きちんと復号してから加害者かそうではないのかを確認しようとしても、常時SSLに対応する内容を正しく確認する術がない。ITセキュリティの専門企業ではここに焦点をあてた対策製品を提供しているので、一度はこれらについて、「コンティンジェンシープラン(緊急時対応計画)」を構築する際に考慮してみるのがよいと思う。
その他の点や導入時のポイントについては、先に挙げた以前の記事も参考にぜひ検討していただきたい。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- 日本の金融機関はなぜ「常時SSL」を実装しないのか?
通信内容を盗聴されないための暗号化通信の導入が世界中の多くのWebサイトで進んでいる。だが、日本ではまだ少なく、金融機関でも対応が鈍い。その理由はなぜか。 - 銀行に期待した「常時SSL」 その後……
以前に「銀行がなぜ常時SSL(HTTPS)を実装しないのか」と指摘したが、2014年末にGoogleがHTTPSを推進し、将来は「HTTPを安全でない」と明示することを宣言した。そこで国内の銀行を調べてみたところ、意外な状況だと分かった。その事実とは? - 「HTTP」前提が崩れる――早く「常時SSL」にすべき理由
WebサイトをトップからHTTPSにする「常時SSL」が本格化の気配を見せてきた。「HTTPで十分」という意識ではやっていけなくなるだろう。その理由とは? - 「常時SSL」の疑問に答えよう、どうすればできるか
「常時SSL」化はもはや避けられないと思うが、まだ疑問に思う人は多いようだ。「常時SSL」に対応するための“方法”を示す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.