常時SSL/TLSとはウェブサイトの全てのページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法です。
これまでは個人情報を入力する場面など、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、
これをウェブサイト全体に広げる方法が常時SSLです。
Chrome 68以降のブラウザではHTTPS化されていないウェブページの訪問者に「保護されていません」「Not Secure」等の警告が表示されます。
また、iPhone等の標準ブラウザのSafariでもiOS 12.2から同様に「安全ではありません」と警告が表示されます。
WebサイトにSSLサーバ証明書をインストールし、全ページが常にHTTPSでページが表示されるよう301転送設定を行うこと(「常時SSL化」)で警告表示を回避することができるようになります。
また、常時SSL化するとWebサイト訪問者とサーバ間の通信が暗号化され、改ざん(危険なサイトに転送されたり、マルウェアを埋め込まれる等)や盗聴(詐欺を行うための情報や販売のため個人情報の取得等)を未然に防ぐことができるようになります。
このような警告表示がどんな意味をもたらすのか一見わかりにくいのですが、社会インフラとしてのインターネット通信が常に信頼できるものにするための業界全体の取り組みなのです。
常時SSL/TLSを導入することで、「ウェブサイト価値の向上」「管理の効率化」「セキュリティの強化」といったメリットが得られます。ウェブサイトへの訪問者に安心・安全を提供することはもちろん、マーケティング部門においてはGoogle検索におけるSEOの向上やログ解析の改善、開発部門においてはウェブアプリ開発の効率化、情報システム部門においては盗聴・なりすましの防止、サイバー攻撃対策などのメリットがあります。
具体的にみていきましょう。
常時SSL | 一部SSL | |
---|---|---|
マーケティング部門 |
|
|
開発部門 |
| |
情報システム部門 |
|
|
「常時SSL/TLS化の必要性は分かった、でもどうやって自社サイトを常時SSL/TLS化すればいい?」というWebご担当者に最適なマニュアルをご用意しました。コマンド例を用いた具体的な実装手順や、実装時のよくある質問など、常時SSL/TLS化の実装ノウハウを理解できる一冊です。
資料をダウンロードする信頼を確実に得るためには、ログインページやショッピングカートだけでなく、ユーザーがアクセスするすべての Web ページを保護できるエンドツーエンドのセキュリティが必要です。
お客様の保護と企業の評価に真剣に取り組む企業は、信頼された認証局から発行される SSL/TLS サーバ証明書を利用して常時 SSL/TLS を実装します。この基本的で使いやすいセキュリティ対策により、Web サイトが本物であることを証明し、Web サイトとユーザーの間で共有されるすべての情報(交換されるすべてのクッキーを含む)を暗号化できるので、データの不正な閲覧、改ざん、または使用からデータを保護できます。
Online Trust Alliance は、Web サイトで常時 SSL/TLS を採用するように呼び掛けています。世界で最も成功した Web サイトの一部では、常時 SSL/TLS を実装して、Firesheep、悪質なコードインジェクションなどの脅威によるサイトジャッキングやハッキングから保護しています。1
永続的なオンラインの保護の必要性 サイバー攻撃の頻度が高くなっており、また攻撃しやすくなっているため、世界中の企業は、機密データを伴うすべてのオンライン決済の安全性を確保する方法を詳しく調査しているところです。現在、企業は次のような課題に直面しています。
安全でない Wi-Fi や Cookie はあらゆるところにあります。空港、コーヒーショップなどの公共の場所で提供される Wi-Fi ネットワークは、多くの場合、利用しやすいように開かれたままになっています。Firesheep などのツールにより、暗号化されていない HTTP セッションで盗聴したり、ユーザーのクッキーを傍受したり、クッキー内の機密情報を盗んで Web サービスにアクセスすることが今までよりも簡単になっています。
FAQ: Firesheep とサイトジャッキングの防止
政府および個人情報保護団体は企業に常時 SSL を求めています。SSL/TLS ハッキングの報告に応えて、議会議員は、Web サイトの常時 SSL への移行を早めることを公的に要求しました。2
1 回の情報漏えいがブランドを棄損しかねません。『U.S. Cost of a Data Breach』レポートで、企業は 1 回の情報漏えいあたり平均 720 万ドル、被害データレコード 1 件あたり 214 ドル支払っていることがわかりました。3 顧客の流出の増加によるビジネス損失は、情報漏えい時に発生する総コストの 63% を占めていました。つまり、情報漏えい後、多くの既存の顧客と将来の顧客が他社に流れています。エンドユーザーと Web サイトの間のセキュリティで保護されていない接続は、サイトとそのサーバを攻撃することを目的とした悪質なコードを送り込むために必要な抜け穴をハッカーに提供するおそれがあり、その攻撃によって、情報漏えいが発生する可能性があります。
1 https://otalliance.org/resources/always-ssl-aossl
2 http://news.cnet.com/8301-1009_3-20037253-83.html, 2011 年 2 月 28 日
3 『2010 Annual Study: U.S. Cost of a Data Breach』、Ponemon Institute、2011 年 3 月
SSL/TLS サーバ証明書について知っておくべきこと
脅威インテリジェンスについて Twitter @Threatintel をフォロー
YouTube チャンネルでデジサートのビデオを見る
オンラインの情報を保護し、Web サイトの信頼性を高める SSL サーバ証明書。「SSLとは?」「なぜSSLが必要なのか」「SSLの種類」「SSLがどのように機能するのか」をわかりやすく説明します。