- 2017-4-6
- HP制作と運用
Googleなどインターネットをリードしている企業や、セキュリティ関連企業、ブラウザを開発元各社などがWebサイトをSSL化することを推進しています。
SSLって何でしょう
これまで、一般的なホームページのアドレスは、
「http://~」
という文字列から始まっていました。
SSL化すると、
「https://~」
という文字列から始まるようになります。
例えば、HTTP://barbwire.co.jp
↓HTTPS://barbwire.co.jp
というような感じです。
しかし、アドレスの先頭が変わるだけなら、やる意味は全くありません。
SSLの本質は、「盗聴や改竄(かいざん)を防ぐ」セキュリティ技術です。
では、何のために盗聴するのか
それは、
「人の秘密を盗んでお金に換える」ためです。
インターネットを利用していると、さまざまなシーンで「知られたくない情報」を入力したり、閲覧したりしています。
それらの情報は、
- 問合せフォームから送信する名前や住所、電話番号などの個人情報、
- ECサイトで買い物するときのカード番号、
- インターネットバンキングでの口座情報、
- ログインする際のパスワード、
など多岐にわたります。
そして、そのような、パソコンとサーバーの間でやりとりされている情報を盗み、悪用することで利益を得ようとする輩が存在します。
実際に発生している被害として主なものは、
- カードの不正使用、
- 銀行口座からの不正な振込み、
- サイトの改竄によるフィッシング詐欺、
- 盗んだ情報を元にした恐喝、
などの犯罪被害が挙げられます。
どこで盗聴しているのか
当たり前ですが、パソコンの横で耳をすましても、情報を抜き出せるわけではありません。
パソコンと接続している「サーバー」や「通信機器」上を、「知られたくない情報も含んだ全情報」が通過しています。
「悪意」と「技術」があれば(それらの機器がハッキングされれば)盗聴できてしまいます。
下の図では、左側の枠で囲まれたPCやスマートフォンが、ユーザーの使っている端末機器です。
インターネットは、
- 会社内のLAN、
- ご家庭などの無線LAN、
- お店などの公衆LANなど、
小さなネットワークであるLAN同志を繋ぐことで接続しています。
※ LAN:Local Area Network
ネットワークに接続するということは、接続経路上にある「あらゆる機器上に潜む盗聴リスクに晒される」ことになります。
下の図では、スマートフォンで利用する4G回線などによるアクセスは割愛していますが、同様のリスクが存在します。
盗聴を防ぐために
この、盗聴を防ぐための技術がSSLです。
SSL化することで、「パソコン・アクセスの対象となるサーバー間」の通信情報を不正に取得しても、解読できないように暗号化処理を施すことになります。
経由サーバー、公衆無線LANなどの関連機器、LAN上にある他のパソコンにおいても、不正に取得した情報の内容を解読することはできません。
仮に盗聴されたとしても暗号化されており、暗号を読み解くことができない限り、結果として情報漏洩を防ぐことができるというわけです。
下の図は「パソコンなどの端末機器とWebサーバー間」をSSL化した結果、盗聴リスクが低減した状態を表しています。
「端末機器とWebサーバー間」の通信は「情報が暗号化」されているため、盗聴者はデータの中身を知ることができません。
更に、SSLは「サーバーの正しい所有者であることを証明する機能」も有しています。
不用意に不正サイトにアクセスし、カード番号を入力してしまう、というような事件から身を護ることも出来るのです。
自社のサイトをSSLにする必要があるのか?
サイト運営している方でも、「ハッキングによる盗聴被害」なんて、自分とは関係のない世界、と多くの方が思われているのではないでしょうか。
確かに、発生率は決して高くはありません。だからこそ、「被害に遭ってから考えれば良い」と考えてしまいがちです。
一方で、このような被害は交通事故のようなものであり、毎日のように起こっています。
いつ、どこで被害者になってしまうか、全く予測のつかないものです。
つまり、サイトをSSL化することは、予防のためのシートベルトであり、ヘルメットなんです。
以前から盗聴被害は発生しており、最近になって危険性が増したわけではありません。
近年、情報漏洩やセキュリティ事故が頻発し、より身近な脅威となったことで、改めて「SSLの必要性」が求められています。
- 少なくとも、今日現在、サイト上に「お問合せフォーム」を設置しているのであればSSL化は必要でしょう。
- また、ブログなどで管理者画面へのログイン機能を有するのであれば、やはりSSL化が必要です。
現在の潮流では、上記事例のように
- 「必要な個所に絞ってSSL化する」のではなく
- 「サイト全体をSSL化する」(トップページのアドレスもHTTPSで始まるURLにする)
のが、一般的な流れ となっています。
Googleも推奨する「サイト全体のSSL化」
その一因として、Googleが「サイト全体のSSL化」を推奨していることが挙げられます。
HTTPSとそうでないHTTPのサイトがある場合、HTTPSを、優先的にインデックスすると発表しています。
参照:https://webmaster-ja.googleblog.com/2015/12/indexing-https-pages-by-default.html
- 今のところ、「どちらかと言えばHTTPSを優先」というレベルですが、
- 今後、「HTTPSの優遇は拡大する」ものと思われます。
昨年(2016年)末から徐々に、Chrome、Firefox各ブラウザについても、
カード番号やパスワードを入力するページが「 HTTPS でなければ警告を表示する」という対応が施されています。
お客様がECサイトにログインする際、不安を煽る警告 が表示されたらどうでしょうか?
商品を買い物かごに入れたまま、サイトから立ち去ってしまうかもしれません。
SSL化することで、全てのハッキング被害から逃れられるわけではありませんが、大きく低減させることが可能です。
