ホーム > PC-Webzineアーカイブ > HTTP 接続を使うWebサイトは安全ではない! 常時SSL 化でWebサイトの安全性と自社への評価をアップ デジサート・ジャパン

HTTP 接続を使うWebサイトは安全ではない! 常時SSL 化でWebサイトの安全性と自社への評価をアップ デジサート・ジャパン

HTTP 接続を使うWebサイトは安全ではない! 常時SSL 化でWebサイトの安全性と自社への評価をアップ デジサート・ジャパン

2018年03月09日更新

HTTP接続を使うWebサイトは安全ではない! 常時SSL化でWebサイトの安全性と自社への評価をアップ

デジサート・ジャパン

WebサイトのHTTPS化が進んでいる。インターネット上での犯罪が横行しており、ユーザーを被害から守るには通信の暗号化とWebサイトの運営主体の実在性を証明する必要があるからだ。今後はHTTPS化に加えてWebサイトとの全ての通信を暗号化する「常時SSL化」も必要となる。

グーグルがHTTP接続のWebサイトに警告
HTTPS化と常時SSL化による対策が必要

 先日、グーグルが同社のWebブラウザーの新バージョンに搭載する機能について発表を行った。発表によると今年7月にリリースを予定している「Chrome 68」でHTTP接続を使っているWebサイトにアクセスした場合、アドレスバーに「not secure」(安全ではない)の文字を表示するという。

 ちなみに現在のChromeでもHTTP接続を使っているWebサイトにアクセスするとURLの左側に「i」というアイコンが表示され、このアイコンをクリックすると「このサイトへの接続は保護されていません」というメッセージとともに、「このサイトでは機密情報(パスワード、クレジットカードなど)を入力しないでください」という警告文が表示される。

 グーグルでは以前よりユーザーの端末とWebサイトとの通信の内容が暗号化されるHTTPS接続を推進しているためこのような機能を搭載しており、Chrome 68ではその姿勢をさらに顕著にすることになる。

 こうした姿勢はグーグルだけではない。主要トップサイトを自動分析してレポートするサービス「HTTP Archive」によると、インターネットではHTTPSトラフィックが急増しており、2017年には57%に達しており現在も増加を続けている。

 その背景にあるのはインターネット上での犯罪の横行だ。特に誰もが無料で自由に使える公衆Wi-Fiでは、通信の盗聴や改ざんの被害が後を絶たない。こうした被害を防止するのがSSLサーバー証明書だ。

 SSLサーバー証明書とはWebサーバー向けの電子証明書で、Webサイトの運営主体の実在性を証明するほか、Webサイトとの通信を暗号化して情報を盗聴や改ざんから保護するサービスだ。

 グローバルでSSLサーバー証明書の発行とサービスを提供しているデジサートの日本法人、デジサート・ジャパンのダイレクト・チャネルマーケティング部 マネージャー 中川就介氏は「今後はWebサイトのHTTPS化が常識となり、Webサイトのすべての通信をHTTPS化する「常時SSL化」も進みます」と説明する。

(左)デジサート・ジャパン
ダイレクト・チャネルマーケティング部 マネージャー 中川就介 氏

(右)デジサート・ジャパン
営業部 部長 二宮 要 氏

常時SSL化したWebサイトが増加中
OVやEVを利用した証明書が有効

 Webサイトとの通信の暗号化はクレジットカードの情報やパスワードなどの機密情報をやり取りする場合など、一部で利用することが多い。しかし通信を盗聴して情報を抜き取るだけではなく、通信の内容を改ざんしてマルウェアを仕込み仮想通貨のマイニングに加担させるなど犯罪の手口が多様化しており、被害を防ぐには全ての通信を暗号化する常時SSLが必須だ。

 オーストラリアのインターネットマーケティング会社、BuiltWithのデータによると常時SSLされたWebサイトは2018年2月現在、インターネット調査会社のクアントキャストによるトップ1万サイトの49.8%、同トップ10万の46.1%、BuiltWithによるトップ100万サイトでは36.4%にも達している。

 中川氏は「今後はHTTPS化されていないWebサイトは利用されにくくなり、常時SSL化されているWebサイトの安全性の高さが評価されることになります」と強調する。

 自社のWebサイトをHTTPS化および常時SSL化するにはSSLサーバー証明書の利用が必要となる。企業による一般公開サイトでは実質的に「企業実在性認証(OV)」や「EV」と呼ばれる証明方法が必要となる。OVは組織情報の審査を経て発行されるSSL証明書で採用される認証方式だ。組織情報の確認に加えて認証局が電話で確認するため、Webサイト運営者のなりすましを防止できる。

 さらにEVではより厳格な審査を経てSSL証明書が発行される。いずれもSSL証明書の属性には組織情報が記載されるほか、EVではWebブラウザーのアドレスバーがグリーンで表示される。

 サービス提供者および認証局の実績も重要となる。Webブラウザーに表示されるベリサインのベリサイン セキュアドシールやシマンテックのノートン セキュアドシールは広く知られている。実はこの二つは同系なのだ。というのもシマンテックがベリサインのセキュリティ事業を買収したからだ。

 そして現在のノートン セキュアドシールはデジサートによるものだ。2017年にデジサートがシマンテックのウェブサイトセキュリティ事業とその関連するPKIソリューションを買収したためだ。

 デジサートのSSLサーバー証明書はベリサインからシマンテックを経て続く実績に加えて、フェイスブックやペイパル、誰もが知る世界的なECサイトなどに利用されており信頼性の高さも証明されている。

セキュリティ機能も同時に提供
IoT時代に向けて管理を自動化・可視化

 デジサートのSSLサーバー証明書には付加価値もある。同社 営業部 部長 二宮 要氏は「デジサートのOVおよびEVタイプのSSLサーバー証明書は通信の暗号化と証明機能だけではなく、セキュリティ機能も提供されます。例えばWebサイトをスキャンし、マルウェアが埋め込まれるよう改ざんされていないかを確認します。マルウェアが発見されるとノートン セキュアドシールの表示が消え、改ざんの恐れがあることがわかるようになっています」と説明する。

 デジサート・ジャパンでは証明書の管理機能の自動化と可視化を強化して、管理者の負担を軽減するとともに証明書の発行などの手続きを迅速化していくという。中川氏は「IoTやドローンの普及が広がりインターネットに接続される端末やセンサーが激増し、証明書の発行や入れ替えなどの管理が大変になります。その負担を軽減するために、デジサートでは証明書の管理機能の自動化と可視化を強化していきます」という。

 さらに今後、デジサートのSSLサーバー証明書の必要性を広く認知させるために、ダイワボウ情報システム(DIS)と連携して販売店およびエンドユーザーへの働きかけを積極的に展開する。中川氏は「まずは販売店様のWebサイトをHTTPS化および常時SSL化していただいて、お客様にご提案していただきたいと考えています」とアピールする。

キーワードから記事を探す