ジオトラストとベリサインに聞く
「常時SSL」の最新動向

　Webサービスやオンライン決済が広がるにつれてユーザーの利便性は高まったが、同時に、個人情報などが盗聴されるリスクも高くなっている。そうした悪意のある第三者からの盗聴を未然に防ぎ、通信の安全を確保するために広く使われている暗号化技術が「SSL」だ（SSLについてはジオトラストのWebサイトを参照）。

　主に問い合わせフォームや会員のログインページなどで利用されることの多いSSLだが、最近、サイト内すべてのページに適用する「常時SSL（Always-on SSL）」に注目が集まっている。その背景と効果を、低価格帯のSSL証明書発行で国内でも多くの実績を持つ日本ジオトラストと、市場最大手の日本ベリサインにそれぞれ聞いた。

無線LANの普及で高まる「中間者攻撃」のリスク

　Webサービスにログインするとき、自分の個人情報を入力するとき、あるいはクレジットカード決済を行うとき……こうしたシーンでSSL暗号化は必須の技術だ。だが、こうしたページだけでなく、サイト全体を丸ごとSSL化する「常時SSL」が主要なサイトで広がり始めている。

　背景には、モバイルデバイスと無線LANサービスの普及にともなうリスクの変化がある。最近では、場所を問わず、スマートフォンやタブレット端末から、無線でインターネットに接続することが当たり前になった。無線LANサービスを利用する際は、アクセスポイントと、PCやスマートフォンなどの端末の間で電波を利用して通信を行う。そのため、適切なセキュリティ対策がなされていない場合には、従来の有線イーサネットなどに比べて、第三者に盗聴されたり、同じネットワーク内のファイルを不正に見られたりするリスクが高くなる。特に公衆無線LANのアクセスポイントの中には、セキュリティ設定が適切になされていないものもあるのが現状だ。

日本ジオトラスト
上村淳氏

　この結果、ユーザーIDやパスワード、cookieといった重要な情報が盗み取られ、攻撃者がなりすましを行ったり、改ざんによって勝手に不正な取引が行われたりする、中間者攻撃（Man in the middle）の危険性があると、日本ジオトラストの上村淳氏は説明する。

　「現に、特別なハッキング技術がなくてもcookie情報を盗聴し、それを用いたなりすましを可能にするFirefoxのアドオンツール『Firesheep』といったツールが登場しており、公衆無線LAN経由でアクセスした場合に中間者攻撃を受けるリスクが高まっている」（上村氏）。

サイトの常時SSL化でアクセスしたすべてのユーザーに安心を提供

　こうした中間者攻撃に対する解決策は、ユーザーとサーバの間をVPNやSSLによって暗号化することが挙げられる。ただしVPN接続を実現するには、端末にソフトウェアをインストールするなどの手間がかかり、ユーザーに負担をかけることになってしまう。その点、Webサイト運営側のみの作業で対策が可能な常時SSLは、少ない手間で、広範囲な防御が可能だという。

図1　ユーザーとサーバの間を常時SSLで保護することによって、手間をかけることなく、Firesheepなどを用いた盗聴や中間者攻撃からユーザーを保護できる

　「すでにSSLサーバ証明書を導入していれば、設定やファイルの置き場所を変えるだけで比較的簡単に実現できる。手軽にリスクを回避でき、アクセスしたすべてのユーザーに安心を提供できる方法だ」（上村氏）。すべてのページがSSL化されると、ログインのパスワードが読み取られたり、cookie情報が読み取られるリスクを軽減できる。

　また、Webサイト運営側の対策として、重要なcookieにはsecure属性を必ず定義するといった方法もある。ただし、cookieにsecure属性をつけるとHTTP通信ではcookieが送信されなくなるため、サイトによってはWebアプリケーションの動作に支障を来す可能性があるので注意が必要だ。また、サイト全体の設計やページごとの設定などが煩雑になる可能性がある。「それならばサイト全体をSSL化するほうが、HTTPかHTTPSかに応じて2通りの設定を用意する必要もなく、設計からテスト、実装までがシンプルに済む」（上村氏）。

　こうした効果を踏まえ、大手Webサービスも常時SSLへの対応を進めている。例えばGoogleは、Google+のほかGoogle AnalyticsやAdwordsといったサービスで常時SSL化に対応した。Twitterは2012年2月から、デフォルトで常時SSL化を図っている。Facebookも2011年2月からオプションとして常時SSLの提供を開始しており、2012年2月時点でユーザーの約2割が常時SSLを選択しているという報告もある。もし、マーケティングの一環としてFacebook内に自社ページを用意している場合は、iframeで表示させるコンテンツがSSLに対応していないと、常時SSLオプションを選択している約2割のユーザーにはエラーメッセージが表示されてしまうので、注意が必要だ。そのほか、Firefox14では、組み込まれている検索ボックスから検索を行うとGoogleの検索結果画面がSSLで表示されるようになっている。こうしたWebブラウザ側でのサポートも広まり始めている。

画面1　Googleは、Google+をはじめ、Google AnalyticsやAdwordsといったサービスで常時SSL化に対応

画面2　Twitterも2012年2月からデフォルトで常時SSLに対応した

　「常時SSLは、中間者攻撃に有効に対策できる方法だ」（上村氏）。日本ジオトラストは、ベリサイングループの一員として堅牢な証明書の発行体制を整えているという信頼性と、オンライン審査で証明書を発行できる手軽さ、スピード発行によって、低価格帯のSSLサーバ証明書市場で世界有数のブランドを確立しており、日本国内では2年連続純増数1位を獲得（2012年1月ネットクラフト社調べ）した実績がある。また、2012年5月にセキュリティ情報サイト「ScanNetSecurity」を運営するイードが実施した顧客満足度調査では、ジオトラストブランドが総合満足度の第1位を獲得した。日本ジオトラストは今後も、常時SSLの推進を通じて、さらなる安全を提供していきたいという。

「常時SSL」を実装する際に気をつけるポイントとは

　常時SSLによって、中間者攻撃や盗聴に対するセキュリティを強化できることは分かった。しかし、常時SSLを実装するにあたっては、どうしてもコストや通信パフォーマンスへの影響が気になるという人もいるだろう。しかし、日本ベリサイン SSL製品本部ダイレクトマーケティング部 マネージャー 中川就介氏に尋ねたところ、実際には通信パフォーマンスにはほとんど問題が生じないケースが多いという。

日本ベリサイン SSL製品本部ダイレクトマーケティング部
マネージャー 中川就介氏

　日本ベリサインは言わずと知れた、SSLサーバ証明書市場のリーディングカンパニーだ。最近では、検索結果画面で同社が提供するシールを表示する「シールインサーチ」機能や、対象サイトにマルウェアが含まれていないかどうかを1日1回検証する「マルウェアスキャン」といったサービスをすべてのSSLサーバ証明書の利用者に無償で提供し、アクセスするユーザーにより安心してもらえる仕組みを構築している。

　常時SSLを実装することによるWebパフォーマンスの影響については、米国のセキュリティカンファレンス「RSA Conference」で業界団体のOTA（Online Trust Alliance）が公開したレポートによると、Goolgleにおける常時SSL化によるサーバCPUへの影響は1％以下で、結果としてコストもほとんどかからなかったという。むしろ、適切な設定変更によってレスポンスタイムが向上したサイトもあったそうだ。

　「最近のサーバはマルチコア搭載などでパフォーマンスが格段に向上しており、SSLネゴシエーション処理はあっという間に終わる。適切なサーバ設定（Cache-Controlで画像など静的コンテンツをキャッシュする、keep-aliveをオンにしておくなど）が施されていると常時SSLの対応でWebパフォーマンスが低下する心配はほとんどない」（中川氏）。

画面3　ディレクターズが運営する企業情報ポータルサイト
「Kmonos（クモノス）」でも常時SSLを導入した

　また、主にホスティング事業を展開しているディレクターズでは、上場企業約3500社のさまざまな企業情報を調べられる同社のポータルサイト「Kmonos（クモノス）」にて、常時SSLを実装した。サイト担当者によると稼働率は「CPU使用率は平時でも10％を下回っているため、常時SSLの導入による負荷増は実際ほとんどなかった」という。

　Webパフォーマンスの影響のほかにも、SEOの順位への影響が気になるという意見もあるが、これもきちんとした設定をすることで、ネガティブインパクトを払拭することができる。具体的には、httpへのアクセスを301転送ですべてhttpsにリダイレクトする方法が最も簡単だ。「ベリサインの公式サイトでもこの方法をとっているが、SEOの順位に影響が出ることはなかったので、安心していただきたい」（中川氏）。

　さらに中川氏は、常時SSL化によって、顧客に向けてセキュリティ対策をとっていることを積極的にアピールでき、サイトへの安心感を持ってもらうことができると説明した。「特にEV SSL証明書を組み合わせ、ブラウザのアドレスバーに社名をきちんと表示させることで、信頼性が非常に分かりやすくなる。いますぐ常時SSL化は難しくても、リニューアルのタイミングなどでぜひ検討してほしい」（同氏）。

　なお、日本ベリサインでは、中間者攻撃によるリスクを説明し、常時SSL化の方法を解説するためのホワイトペーパーを公開しているほか、定期的にセミナーも開催している。自社サイトの信頼性向上や他社との差別化という観点から、常時SSLの裾野はさらに広がるものと思われる。関心を持たれた方はぜひ参照してほしい。