セキュリティトピック

常時SSL/TLSとは

常時 SSL/TLS とは、Web サイトのためのコスト効率の高い基本的なセキュリティ対策です。
ユーザーエクスペリエンス全体を最初から最後まで保護し、
オンラインでの検索、共有、買い物の安全を確保します。

常時SSL/TLSとは

常時SSL/TLSとはウェブサイトの全てのページをHTTPS化（SSL/TLS暗号化）するセキュリティ手法です。
これまでは個人情報を入力する場面など、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、
これをウェブサイト全体に広げる方法が常時SSLです。

Chrome 68以降のブラウザではHTTPS化されていないウェブページの訪問者に「保護されていません」「Not Secure」等の警告が表示されます。
また、iPhone等の標準ブラウザのSafariでもiOS 12.2から同様に「安全ではありません」と警告が表示されます。
WebサイトにSSLサーバ証明書をインストールし、全ページが常にHTTPSでページが表示されるよう301転送設定を行うこと（「常時SSL化」）で警告表示を回避することができるようになります。
また、常時SSL化するとWebサイト訪問者とサーバ間の通信が暗号化され、改ざん（危険なサイトに転送されたり、マルウェアを埋め込まれる等）や盗聴（詐欺を行うための情報や販売のため個人情報の取得等）を未然に防ぐことができるようになります。
このような警告表示がどんな意味をもたらすのか一見わかりにくいのですが、社会インフラとしてのインターネット通信が常に信頼できるものにするための業界全体の取り組みなのです。

なぜ常時SSL/TLSが
必要なのか?
-常時SSL/TLS化が進む背景-

安全性の低いWi-Fiと中間者攻撃増加

空港やカフェなど公共の場所に設置されている安全性の低いWi-Fiネットワークは便利な反面、特定のツールを使用すると、暗号化されていない通信が盗聴されます。利用中のCookieが傍受されると、Cookieに含まれるログイン情報を盗んで第三者がWebサービスにアクセスできてしまうといった被害が発生します。

新しいHTTP/2プロトコルによる
ブラウジング体感速度の向上

ウェブページの表示を高速化することができるHTTP/2プロトコルが登場しました。このプロトコルを使った通信を行うとストリームの多重化やヘッダ圧縮の機能により、ウェブページが表示されるまでの待ち時間を短縮化させることができます。主要なブラウザでこのプロトコルを利用するためにはHTTPS（SSL/TLS）接続が必要となっているためウェブサイトのSSL/TLS化が進んでいます。

大手Webサービス、政府機関による
常時SSL化の動き

米国では、Googleが2012年3月に検索サイトを常時SSL/TLS化したのをはじめとして、FacebookやTwitter、YouTube、Netflixといった大手Webサービスが常時SSLを採用するようになりました。また、米国政府は2016年米政府は2016年末までに、政府関連の「.gov」全サイトを常時SSL/TLS化することを義務付けています。インターネットのトラフィックを計測しているHTTP Archiveの統計を見ても、HTTPSトラフィックが占める比率は年々増加しており、2015年8月の時点で全トラフィックの20％を超えるまでに至るなど、ウェブサイト管理者にとって常時SSLは今後検討すべき流れの一つといえます。

常時SSL/TLS導入のメリット

常時SSL/TLSを導入することで、「ウェブサイト価値の向上」「管理の効率化」「セキュリティの強化」といったメリットが得られます。ウェブサイトへの訪問者に安心・安全を提供することはもちろん、マーケティング部門においてはGoogle検索におけるSEOの向上やログ解析の改善、開発部門においてはウェブアプリ開発の効率化、情報システム部門においては盗聴・なりすましの防止、サイバー攻撃対策などのメリットがあります。
具体的にみていきましょう。

	常時SSL	一部SSL
マーケティング部門	・Googleの検索順位優遇によりSEO対策に効果・ログ解析の精度を向上	・HTTPページとHTTPSページが別々に扱われるのでSEO対策に効果がない・ログ解析の精度が低い
開発部門	・ウェブアプリ開発を効率化できる
情報システム部門	・盗聴やなりすましを防止・ウェブサイトの信頼性を向上・通信速度の向上・攻撃者の事前調査を防御	・盗聴やなりすましの危険がある・平文で通信するページがある・攻撃者に事前調査される

常時SSL/TLSの具体的なメリット

1. 検索順位向上

Googleは2014年8月から、HTTPサイトよりもHTTPSサイトの検索順位を優先するロジックを組み込みました。同じウェブコンテンツ内容であっても、常時SSLを採用しているウェブサイトの方が、検索結果で上位になる仕組みになったことを表します。常時SSLを導入することで、すべてのページに対してSEO上ポジティブな影響を与えることができるのです。

2. セキュリティ

SSLサーバ証明書の導入により、通信内容の盗聴や改ざんを防ぐだけでなく、正規のウェブサイトであることを示し、なりすましを抑制することが可能です。常時SSLを用いることにより、サイトユーザがどのページに接続しても、正しいサイトにアクセスしていることを示すことができます。この際、SSLサーバ証明書が導入されていることが視覚的に伝わりやすい、EV SSL証明書を導入することもひとつの方法です。

3. リファラ増加

リファラ情報には、利用者が直前に訪問していたウェブサイトの情報などが含まれます。HTTPSのウェブサイトからHTTPのウェブサイトに遷移した場合は、リファラ情報が送信されません。常時SSL化にすることで、より多くのリファラ情報を収集してウェブサイトの分析に活かすことができます。

サーバ

リファラ情報の送信有無		訪問先
リファラ情報の送信有無		HTTP	HTTPS
訪問元	HTTP	〇	〇
訪問元	HTTPS	X	〇

4. 通信高速化

HTTP/2を利用するためにはブラウザやウェブサーバをHTTP/2に対応させる必要がありますが、主要なブラウザはすでに対応済みです。ウェブサーバの対応も進んでおり、HTTP/2の利用環境は確実に広がってきています。Load Impact AB社によるとHTTP/2プロトコルの採用によって50％～70％程度の速度向上が期待できると考えられています。

5. 開発効率化

従来のように一部のページだけSSL化する場合、ページ間のリンクのパス指定やCookieの設定など、管理すべき項目が増えてしまいます。
常時SSLを導入するとページ間のリンクは相対パスで統一でき、Cookie受け渡し処理などのシンプル化が可能です。

常時SSL/TLS化のポイント

常時SSL導入
三大カン違い

正しいWebサイトの構築ポイント

技術者が注意
すべき設定

証明書と
オプション選び

『無料ホワイトペーパー：常時SSL/TLS化の実践マニュアル』

常時SSL/TLS化の実践マニュアル - 現場ですぐに役立つ"ハウツー"を集約 -

「常時SSL/TLS化の必要性は分かった、でもどうやって自社サイトを常時SSL/TLS化すればいい？」というWebご担当者に最適なマニュアルをご用意しました。コマンド例を用いた具体的な実装手順や、実装時のよくある質問など、常時SSL/TLS化の実装ノウハウを理解できる一冊です。

資料をダウンロードする

信頼は、インターネットでの経済活動の基礎

信頼を確実に得るためには、ログインページやショッピングカートだけでなく、ユーザーがアクセスするすべての Web ページを保護できるエンドツーエンドのセキュリティが必要です。

お客様の保護と企業の評価に真剣に取り組む企業は、信頼された認証局から発行される SSL/TLS サーバ証明書を利用して常時 SSL/TLS を実装します。この基本的で使いやすいセキュリティ対策により、Web サイトが本物であることを証明し、Web サイトとユーザーの間で共有されるすべての情報（交換されるすべてのクッキーを含む）を暗号化できるので、データの不正な閲覧、改ざん、または使用からデータを保護できます。

Online Trust Alliance は、Web サイトで常時 SSL/TLS を採用するように呼び掛けています。世界で最も成功した Web サイトの一部では、常時 SSL/TLS を実装して、Firesheep、悪質なコードインジェクションなどの脅威によるサイトジャッキングやハッキングから保護しています。¹

永続的なオンラインの保護の必要性

永続的なオンラインの保護の必要性サイバー攻撃の頻度が高くなっており、また攻撃しやすくなっているため、世界中の企業は、機密データを伴うすべてのオンライン決済の安全性を確保する方法を詳しく調査しているところです。現在、企業は次のような課題に直面しています。

安全でない Wi-Fi や Cookie はあらゆるところにあります。空港、コーヒーショップなどの公共の場所で提供される Wi-Fi ネットワークは、多くの場合、利用しやすいように開かれたままになっています。Firesheep などのツールにより、暗号化されていない HTTP セッションで盗聴したり、ユーザーのクッキーを傍受したり、クッキー内の機密情報を盗んで Web サービスにアクセスすることが今までよりも簡単になっています。

FAQ: Firesheep とサイトジャッキングの防止

政府および個人情報保護団体は企業に常時 SSL を求めています。SSL/TLS ハッキングの報告に応えて、議会議員は、Web サイトの常時 SSL への移行を早めることを公的に要求しました。²

1 回の情報漏えいがブランドを棄損しかねません。『U.S. Cost of a Data Breach』レポートで、企業は 1 回の情報漏えいあたり平均 720 万ドル、被害データレコード 1 件あたり 214 ドル支払っていることがわかりました。3 顧客の流出の増加によるビジネス損失は、情報漏えい時に発生する総コストの 63% を占めていました。つまり、情報漏えい後、多くの既存の顧客と将来の顧客が他社に流れています。エンドユーザーと Web サイトの間のセキュリティで保護されていない接続は、サイトとそのサーバを攻撃することを目的とした悪質なコードを送り込むために必要な抜け穴をハッカーに提供するおそれがあり、その攻撃によって、情報漏えいが発生する可能性があります。

¹ https://otalliance.org/resources/always-ssl-aossl
² http://news.cnet.com/8301-1009_3-20037253-83.html, 2011 年 2 月 28 日
³ 『2010 Annual Study: U.S. Cost of a Data Breach』、Ponemon Institute、2011 年 3 月