常時SSL Lab.編集部「SSL=セキュリティ」と漠然と思っていませんか?セキュリティと一言で言っても、様々な側面があります。ここでは「常時SSL」で実現できるセキュリティ対策をご案内します。
まずはWebサイトの運営者がキチンとセキュリティについて理解し、Webサイトのセキュリティを強化しましょう。
通信情報の漏えいを防ぐ
いままでは、「個人情報などの重要なデータを入力するページはSSLを!」というのが主流でした。
それは、画面上で入力されたID、パスワード、名前、クレジットカードなどの情報データを暗号化するためでした。
しかし、通信データの中には、画面上で入力されたデータだけではなく、目に見えないところで利用されているCookieなどの情報も送られています。
Cookieなどの情報が盗まれると、第三者が不正にエンドユーザーになりすましてログインができてしまう、どのページをよく見ているかなどの趣味・嗜好を知られてしまうなど、様々な被害が発生します。
常時SSLに対応すると、Webサイトを通じてやりとりするすべてのデータ(画面上に入力するような目に見えるデータはもちろんのこと、目に見えない裏側でやりとりされているデータも)が暗号化されるので、サイト利用者のデータを盗聴からより広い範囲で守ることができます。
ここでわかりやすい例を見てみましょう。
Aさんは、"http://"で公開されているWebサイトにアクセスをし、「プリン」と検索しました。
さらに「プリン」が紹介されている複数ページを閲覧しました。
この場合、AさんのパソコンとWebサイト間のやりとり(通信データ)はそのままインターネット上に流れていますので、通信データには検索キーワードの「プリン」の文字がそのまま読める形式で送信され、さらにはどのページをよく見ていたのかもわかってしまいます。
もし、この情報が盗み見されていたら、、、「Aさんはプリン好きだな。」とばれてしまいます。
次にBさんは、"https://"で公開されているWebサイトにアクセスをし、Webサイト上で「ゼリー」と入力しました。
さらに「ゼリー」が紹介されている複数ページを閲覧しました。
この場合、BさんのパソコンとWebサイト間のやりとり(通信データ)は暗号化された状態でインターネット上に流れていますので、「abc1dfg2hij3k」などのようにアルファベットと数字の羅列となり、人間がそのままでは解読できない形式で送信されます。
もし、この情報が盗み見されても、Bさんの嗜好はわからないですね。
今回は、漏れたところで大きな問題ではなさそうな「プリン好き」という情報を例に挙げましたが、これがID・パスワード、注文番号だったらどうでしょう?なりすまして追加注文などがされる可能性だってあります。
"http://"も"https://"もどちらも同じインターネットを使っている以上、通信データを盗み見(盗聴)される可能性はゼロではありません。
いつ、どこで通信データが盗聴されるかわからないからこそ、通信データ自体をまるごと暗号化する「常時SSL」に対応して、サイト利用者に安心してサイトを利用してもらいましょう。
通信情報の改ざんを防ぐ
会社間での大規模な取引や、ネットショップの買い物でデータが改ざんされたら・・・と想像するとぞっとするシーンは多くありますね。
前述の「通信情報の漏えいを防ぐ」でも説明したのと同じように、"https://"の通信の場合は、万が一通信データが盗み見(盗聴)されたとしても、暗号化されているので書き換え(改ざん)されることはありません。
通信情報の改ざんを防ぐという意味では、Webサイト全体をSSL化する「常時SSL」でも、Webサイトの一部だけをSSL化する方法でも大きな差はないように感じてしまうかもしれませんが、Webサイトの利用ユーザーが危険な目にあうリスクを可能な限り少なくするためにも、できるだけ早く常時SSLに対応したほうがいいですね。
なりすまし、フィッシング詐欺を防ぐ
なりすましやフィッシング詐欺は "自分には関係ない" と思っていませんか?
フィッシング対策協議会のレポートによると、日本国内でも被害が急増しておりその被害額は年間約29億円強にもなるそうです。
29億円!すごい・・・。(*1)
ここで念のためおさらいですが、なりすましとは「他人のふりをして活動すること」です。
インターネットの世界では、他人の名前やID/パスワードを不正に取得し、その人のふりをしてアクセスする行為を指します。
では、このなりすましと常時SSLとはどんな関係があるのでしょう。
大きく2つのポイントがあります。
1. 情報の不正取得を防止する
"https://"通信にすることで通信データはすべて暗号化されるので、不正に情報を取得(盗聴)することを防止できます。
2. フィッシングサイトが作りにくくなる
サイトを常時SSLにすることで、フィッシングサイト(偽物のサイト)を作る際のハードルが上がります。
SSLサイトを作るためには、サーバーの設定、SSLサーバー証明書の設定…など、いくつか準備を行わないといけません。
その労力や費用をかけてまでフィッシングサイトを作るでしょうか?
これらの準備を怠ると、利用者がサイトにアクセスしたときに警告が表示される、ページが正しく表示されないなど、本物のサイトとの区別が容易になります。
これではフィッシングサイトの意味がないですよね。
ユーザー自身が対策するには?
今までの説明では、Webサイト運営者側での通信データを守る方法として常時SSLをご案内しました。
では、もし通信データの暗号化をユーザー側の責任で行うとなれば…?
完全な手法でやるなら、VPN(Virtual Private Network)という技術をつかって、インターネット上に自分専用のトンネルを作ってデータをやり取りします。
言葉で言うのは簡単ですが、VPNを使うには、接続拠点ごとに専用の機器を設置する必要があり、知識や費用も必要になります。
これをユーザーに強要することはなかなか難しいのは想像できますよね。
VPNは無理としても、インターネットを気軽に安心して利用いただくためには、ユーザー側でも最低限のモラルやセキュリティ知識などは必要ですが、どうしても使い勝手などが優先してしまい、個々のセキュリティレベルに差が出来てしまいます。
そこで登場するのが「常時SSL」です。
ユーザーに任せるのではなく、Webサイト運営者側が積極的にユーザーの通信データを守ることができます。
「常時SSL」の場合、ユーザーのセキュリティレベルに差があってもサイト側で提供するセキュリティレベルは均一です。
ユーザーはなにも意識しなくても、"https://"通信になっているだけでデータが暗号化されていて通信データが守られている。
ユーザーにとって、こんな安心なことはありませんね。
この記事のポイント
- 通信データには、目に見えない情報も含まれているので、常時SSLで広範囲をカバーしましょう
- 常時SSLは通信情報の漏えい・改ざん・なりすましの防止に有効
- ユーザーまかせではなく、Webサイト運営者が積極的なセキュリティ対策を!
株式会社IDCフロンティア
