Googleは、ウェブブラウザなどのユーザーエージェントが、すべての通常のHTTPウェブページに「安全でない」ことを示すマークを付けることを提案し、コメントを求めた。「Chromium」のセキュリティに関するウェブサイトに掲載されている。
Googleは、SSL/TLSの強化と利用の推進に、かなり積極的な姿勢をとってきた。2014年だけでも、設計上の問題が見つかったSSLv3のサポート停止の前倒しや、独自の証明書失効チェック方法の導入などを進めているほか、将来HTTPSを利用しているページを検索エンジンで高くランク付けすることまで示唆している。
ほかの企業やほとんどの顧客は、基本的なプロトコルの変更には対応が遅れる傾向があり、それと比較すると、Googleの取り組みはかなり前のめりだ。
HTTPのサイトにはデータのセキュリティがまったくない。それをユーザーに警告するのは、あるべき姿かも知れない。ほかのケースでは(たとえば暗号化されていないWi-Fiなど)、暗号化すべきなのにされていないものに対して、警告を表示している。しかし現在のウェブに対するアプローチは、SSLを採用しているサイトを見分けられるようにしているだけで、古いHTTPのサイトにセキュリティが欠如していることを注意喚起するものではない。
マイナス面は、おそらくユーザーが煩わしく感じるという点だろう。現時点では、ウェブページの大半はHTTPSではなくHTTPだ。つまり、これまではずっと正常に見えていたページに警告が表示されることになる。それ自体はいいことかも知れないが、多くのユーザーは混乱し、恐がり、サポートに問い合わせるだろう。
筆者の懸念は、あまりにもセキュリティの警告が多くなりすぎると、ユーザーが単にそれを無視するようになってしまう可能性があることだ。ただしGoogleは、現在フィッシングサイトに対して行っているように、ページ表示前に割り込む形の警告を出そうとしているわけではないため、アドレスバーが変わったことを気にしないユーザーであれば、気にせずに済むだろう。
筆者はGoogleの目標には共感するが、現時点ではこれは急進的すぎると考えている。ユーザーが関与しなくても、自動的に安全になる手段であれば全面的に賛成だ。だが、HTTPページをすべて安全でないとマークする方法は、ユーザーが適切な判断をできるということを前提にしており、この方法では逆効果になる可能性が強い。
これはまだ観測気球であり、GoogleがChromeにこのような修正を加える意思を宣言したわけではないことに注意してほしい。同社はフィードバックを求めている。筆者はこれはよいアイデアではないと思うが、Googleの行動には敬意を表したい。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。