ウェブを介したサイバー攻撃からユーザーを保護するためには、ウェブサイト運営者やウェブ開発者が安全なウェブサイトづくりを心がけなければならない。セキュアで確実な安全対策がなされているサービスであるからこそ、ユーザーは安心して利用できる。
効果的な施策として考えられるのが「SSLサーバー証明書」を利用した暗号化である。ウェブページを暗号化することで、通信経路上のデータの盗聴を防止し、またサーバー証明書の実在証明によってなりすましも防ぐことができる。企業の実在証明のプロセスをより厳格にした「EV-SSL証明書」であれば、ウェブブラウザのアドレスバーに緑色のマークが表示され、安心して利用できるサイトであることがひと目でわかるようになる。
従来は、会員ページや問い合わせフォームなど、送受信する情報の機密性が高いウェブページのみをHTTPSに対応させ、暗号化するのが一般的だった。しかし昨今のように、サイバー犯罪が高度化したり、ウェブサービスが多様化したりするにしたがって、サイト全体を暗号化する「常時SSL」が注目されるようになっている。
常時SSL化の5つのメリット
日本ジオトラスト
プロダクトマネージメント部 主任
平賀巌氏
日本ジオトラスト プロダクトマネージメント部主任の平賀巌氏によれば、常時SSLを選択する目的としては、次のような5つのポイントがあげられる。
- HTTP/2による高速化
- SEO
- 信頼性向上
- ウェブ解析の精度向上
- 効率的でスピーディな開発
「HTTP/2」は、2015年にRFCとして公表され、近く本格的な普及が始まるとされている。現行のHTTP 1.1は、1999年に規定された古い技術であり、最新のリッチなウェブコンテンツには適さないことが指摘されている。ユーザーにとっても、高速なウェブページのほうが快適であるため、HTTP/2に対応したサービスを選ぶようになることはまちがいない。
ただしウェブブラウザでは、ベンダーの安全施策によって、HTTPSに対応したページでなければHTTP/2を利用することができない。一般のウェブサイトをHTTP/2対応にしたい場合、SSL暗号化が必須条件になるということだ。
「つまり、従来のように一部のページのみをHTTPSにしている場合、そのページしか高速化できないということです。高速化したいはずのリッチコンテンツは従来のまま低速で、特別な高速化は不要な問い合わせフォームのみがHTTP/2に対応するというのでは本末転倒です」(平賀氏)
2つ目の「SEO」への効果というのは、GoogleによるHTTPS優遇施策のことを意味する。同社は、より安全でユーザーが安心して利用できるウェブページの検索順位を上位にするアルゴリズムを2014年に発表している。ウェブページ全体をHTTPS化すれば、ロングテールSEO施策としての効果が期待できるようになる。
ウェブサイトの「信頼性」は、ECサイトのような会員向けサービスだけでなく、一般の企業サイトなどでも重要度が増している。2020年の東京オリンピックに向けて、公衆Wi-Fiサービスが増加していくことがその要因の1つだ。セキュリティレベルの低いWi-Fiサービスの場合、マン・イン・ザ・ミドル攻撃による盗聴やなりすましを受ける可能性がある。このとき、ウェブサイト側で暗号化が実施されていれば、被害を避けることができる。上述したEV-SSLを組み合わせれば、なりすましの被害も減じることができるだろう。
HTTPSページとHTTPページを混在させていると、両者をまたいだリンクでReferrerデータがやり取りされないという問題がある。Referrerとは「リンク元ページ」を示すもので、ユーザーの挙動を分析するために重要なデータの1つである。常時SSL化してHTTPS接続のみとすれば、リファラーの取得ができて、アクセスログ解析精度が高まるため、より効率よくウェブサービスの品質向上を図ることができる。これが「ウェブ解析の精度向上」だ。
HTTPとHTTPSを混在させていると、セキュリティを意識したウェブアプリケーション開発などの負担が大きくなる。例えば、Cookie情報をHTTPSではやり取りし、HTTPではやり取りしないという設計と運用を行う必要があるためだ。これを誤ると、SSL暗号化を利用しているのに、ウェブページの改ざんなどのリスクを抱えることになる。常時SSL化されているウェブサイトであれば、安全にCookieを常用しつつ「効率的でスピーディな開発」が期待できるようになる。