編集部からのお知らせ
PickUp! オンラインストレージの進化と課題
HCIの記事をまとめた資料ダウンロード

HTTPのページに「安全でない」ことを表示しよう--グーグルが提案

Larry Seltzer (Special to ZDNet.com) 翻訳校正: 編集部

2014-12-18 12:24

 Googleは、ウェブブラウザなどのユーザーエージェントが、すべての通常のHTTPウェブページに「安全でない」ことを示すマークを付けることを提案し、コメントを求めた。「Chromium」のセキュリティに関するウェブサイトに掲載されている。

 Googleは、SSL/TLSの強化と利用の推進に、かなり積極的な姿勢をとってきた。2014年だけでも、設計上の問題が見つかったSSLv3のサポート停止の前倒しや、独自の証明書失効チェック方法の導入などを進めているほか、将来HTTPSを利用しているページを検索エンジンで高くランク付けすることまで示唆している。

 ほかの企業やほとんどの顧客は、基本的なプロトコルの変更には対応が遅れる傾向があり、それと比較すると、Googleの取り組みはかなり前のめりだ。

 HTTPのサイトにはデータのセキュリティがまったくない。それをユーザーに警告するのは、あるべき姿かも知れない。ほかのケースでは(たとえば暗号化されていないWi-Fiなど)、暗号化すべきなのにされていないものに対して、警告を表示している。しかし現在のウェブに対するアプローチは、SSLを採用しているサイトを見分けられるようにしているだけで、古いHTTPのサイトにセキュリティが欠如していることを注意喚起するものではない。

 マイナス面は、おそらくユーザーが煩わしく感じるという点だろう。現時点では、ウェブページの大半はHTTPSではなくHTTPだ。つまり、これまではずっと正常に見えていたページに警告が表示されることになる。それ自体はいいことかも知れないが、多くのユーザーは混乱し、恐がり、サポートに問い合わせるだろう。

 筆者の懸念は、あまりにもセキュリティの警告が多くなりすぎると、ユーザーが単にそれを無視するようになってしまう可能性があることだ。ただしGoogleは、現在フィッシングサイトに対して行っているように、ページ表示前に割り込む形の警告を出そうとしているわけではないため、アドレスバーが変わったことを気にしないユーザーであれば、気にせずに済むだろう。

 筆者はGoogleの目標には共感するが、現時点ではこれは急進的すぎると考えている。ユーザーが関与しなくても、自動的に安全になる手段であれば全面的に賛成だ。だが、HTTPページをすべて安全でないとマークする方法は、ユーザーが適切な判断をできるということを前提にしており、この方法では逆効果になる可能性が強い。

 これはまだ観測気球であり、GoogleがChromeにこのような修正を加える意思を宣言したわけではないことに注意してほしい。同社はフィードバックを求めている。筆者はこれはよいアイデアではないと思うが、Googleの行動には敬意を表したい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]