インターネット上を流れる情報を盗聴などから保護する暗号化通信の利用が広がりつつある。暗号化通信はセキュリティ対策の1つだが、利用の拡大が従来の対策手法に新たな課題をもたらしているようだ。
NRIセキュアテクノロジーズは7月26日、同社のセキュリティサービスを利用する企業や組織の状況を分析した「サイバーセキュリティ傾向分析レポート2017」を公開した。この中で、HTTPSによる暗号化通信の利用実態や課題が紹介されている。
「常時SSL」ブームの到来
SSLやTSLを利用したHTTPS通信は、これまでユーザーのログインなどを伴う一部のウェブサイトの通信で利用されてきた。ところが近年は、通信を暗号化で保護する機運が高まり、ウェブサイト全体の通信を暗号化する「常時SSL」と呼ばれる取り組みが広がりつつある。
「常時SSL」の動きで中心的な存在がGoogleだ。Googleは、以前から自社サービスへのHTTPS導入を進めてきたが、現在では検索アルゴリズムにもHTTPSの導入状況を積極的に取り入れるようになり、HTTPSを導入するウェブサイトを安全性の観点から評価して、検索結果へ優先的に反映するようになった。これを受けて海外サイトではHTTPSの導入が加速し、国内でもYahoo! JAPANが導入を完了させるなど、徐々に広まっている。
企業からHTTPSでウェブサイトにアクセスする割合が1年で倍増した
NRIセキュアテクノロジーズ サイバーセキュリティサービス開発部 上級セキュリティコンサルタントの内藤陽介氏
NRIセキュアテクノロジーズの調査では、顧客企業におけるHTTPSリクエストの割合は、2016年4月時点では19%だったが、2017年3月には40%に、ほぼ倍増した。サイバーセキュリティサービス開発部 上級セキュリティコンサルタントの内藤陽介氏は、「かなり衝撃的な変化」と指摘する。
HTTPS通信が増える背景には、ウェブサイト側の導入拡大だけでなく、SaaSの利用拡大もある。同社によれば、2017年3月時点で1MB以上の通信が1回以上観測された企業の割合は、MicrosoftのOffice 365で61.0%、Dropboxで58.6%、Evernoteで46.3%だった。アンケートではSaaSを利用する企業が40.4%に上り、これら3つのサービスはそれぞれ単独でこの40.4%を上回るほどに、広く利用されている実態だという。
業務で利用されるSaaSは、ユーザーの通信内容を保護する必要性から、「常時SSL」によるHTTPS通信が当たり前となっている。現在はSaaSの普及でHTTPS通信が増え、これに通常のウェブサイトへのアクセスにおけるHTTPS通信も加わりつつある状況だ。
暗号化通信が広まれば、サイバー攻撃者など外部から情報を盗聴されるリスクは低減される。一見すればセキュリティの向上につながる動きだが、通信内容を"見えない"ことが、対策上の課題になり始めた。
