セキュリティだけじゃない、常時SSL/TLS化がもたらすメリットとは:「フォームページのみHTTPS」はもう古い?
ブラウザーで「鍵」マークを確認するのは、フォームに個人情報やクレジットカード情報を入力する時だけ……。そんな世界が、新たな標準「HTTP/2」の登場によって変わろうとしている。全てのページでSSL/TLSを利用する「常時SSL/TLS」を採用するWebサービスが増加しているのだ。常時SSL/TLSを導入することで、セキュリティの向上やマーケティング面でのメリットがもたらされる。しかし一方で、Webサイト管理者には、いくつか考えなければならない課題があるのも事実だ。本稿では、それらのメリットと課題を整理してみる。
Webサービスに個人情報を入力して会員登録をするとき、あるいはオンラインショッピングサイトで決済を行うためにクレジットカード番号を入力するとき、皆さんはおそらくWebブラウザー上の「鍵」アイコンを確認しているだろう。不特定多数のユーザーが利用するインターネットの世界においては、こうした重要な情報を入力するWebページをHTTPSで保護するのは「当たり前」だ。
SSL/TLSはこうしたシーンにおいて、入力データが暗号化され、悪意ある人物に盗聴されていないことを保証するというセキュリティ上の重要な役割を果たしてきた。
だがSSL/TLSは、セキュリティ以外の面でも、ユーザーとWebサイト運営者の双方にさまざまなメリットをもたらすという。詳しくは後で述べるが、こうした利点を評価し、入力フォームのあるWebページだけではなく、Webサイトを丸ごとHTTPS化する「常時SSL/TLS化」に踏み切るサイトが増加している。
例えば米国では、Googleが2012年3月に検索サイトを常時SSL/TLS化したのを皮切りに、FacebookやTwitter、YouTube、Netflixといった大手Webサービスが次々と常時SSL/TLSを採用している。インターネットのトラフィックを計測しているHTTP Archiveの統計を見ても、HTTPSトラフィックが占める比率は年々増加しており、2015年8月の時点で全トラフィックの20%を超えるまでに至っている。さらに、米政府は2016年末までに、政府関連の「.gov」全サイトを常時SSL/TLS化することを義務付けている。この流れは今後も加速することだろう。
技術だけでなくマーケティング面でも意味がある常時SSL/TLS
では、なぜ今、常時SSL/TLS化を採用するサイトが急速に増加しているのだろうか。一つには、無線LAN接続の普及により「中間者攻撃」のリスクが高まったことで、「End-to-Endで通信内容を暗号化」し、「自分が正しい相手に接続していること」を確認できる手段がいっそう求められるようになったというセキュリティ上の理由がある。だが、それだけではない。
「これまで、SSL/TLSは認証や暗号化といったセキュリティ向上のために必要という意識から、フォームの部分だけで十分と思われていました。しかし、常時SSL/TLSはそれ以外にも、マーケティングや技術の面でさまざまなメリットをもたらします」と、シマンテック Trust Services ダイレクト・チャネルマーケティング部 マネージャー 中川就介氏は説明する。
SSL/TLSがもたらすメリットの一つが、SEO順位の向上だ。Googleは2014年8月から、検索サイトでHTTPサイトよりもHTTPSサイトの順位を優先するロジックを組み込んだ。同じコンテンツを扱っていても、常時SSL/TLSを採用しているサイトの方が、検索結果で上位に来る仕組みになったのだ。さらに、常時SSL/TLSを採用することは、ユーザーに向けて「第三者機関に認証された本物の会社のWebサイトであり、セキュリティに力を入れている」ことをアピールし、信頼性を保つ役割も果たす。
また、技術面では、HTTPとHTTPSが混在したWebサイトは、ページ遷移を理解した上でCookieなどを適切に取り扱う必要があり、Webアプリケーション開発を複雑なものにしていた。だが、サイト全体をHTTPS化することによって、全ての接続がHTTPSであることを前提にしたシンプルな導線設計ができるので、システム開発の効率を高めることが可能になる。さらに収集できるリファラー情報が増え、ログ解析の精度を高めることにもつながるという。
常時SSL/TLS化を後押しするもうひとつの理由は、新たなWeb標準「HTTP/2」の登場だ。HTTP/2では、接続の多重化やヘッダー圧縮による接続速度の向上が期待されているが、「この新しいプロトコルの恩恵を受けるには、実質的にHTTPSが必要になります。つまり、HTTPSによって新しい価値が提供できるということになります」(中川氏)。
Webブラウザー側もこうした前提でSSL/TLS接続への対応を進めている。中にはGoogle Chromeのように、HTTPで接続した際には「安全ではない」という警告を表示させることを検討するなど、一歩踏み込んだ取り組みを進めているブラウザーもある。
こうした動きを背景に「今すぐとはいかないでしょうが、中長期的には確実に常時SSL/TLSが一般化していくのではないでしょうか」と中川氏は予測する。
用途に合わせて証明書を選択、低コストで導入可能な常時SSL/TLS
こうした利点を踏まえて続々と常時SSL/TLS化が進む海外とは対照的に、日本国内での対応はまだまだこれからといった状況だ。常時SSL/TLS化に踏み切れない理由としてよく挙げられる事項はいくつかあるが、過大な懸念はもはや不要と中川氏は指摘する。
常時SSL/TLS化に対する最たる懸念は、証明書発行に掛かるコストに関するものだろう。常時SSL/TLS化するとなれば、サイトを構成するサーバーそれぞれに証明書を発行する必要があり、コストが膨らむのではないか、というわけだ。
「これにはいくつか解決方法があります。例えば、1枚で同じサブドメインの複数のサーバーに対応できる『ワイルドカード証明書』を利用すれば、サーバーごとに証明書を1枚1枚発行する必要はないし、1枚で複数のドメイン名を保護できる『SANs(Subject Alternative Names)対応証明書』という手段もあります。常時SSL/TLS化に合わせ、このように柔軟な運用が可能な証明書を検討する価値は十分にあります」(中川氏)。
どうしてもコストを増やしたくないという場合は、公開サーバーではなくイントラネットでの利用という前提付きになるが、簡易的な認証のみで安価に発行できる「ドメイン名認証型証明書(DV)」という選択肢もある。
ワイルドカード証明書やSANs証明書の活用は、初期導入費用だけでなく、運用管理負担の削減という効果ももたらす。さらにシマンテックでは、クラウドベースのサーバー証明書管理サービス「マネージドPKI for SSL」や、インストール作業を含む証明書ライフサイクル管理を自動化する「Certificate Intelligence Center」などの仕組みを提供することで、証明書の数が増えても少ない工数で適切に管理できる環境を整えている。
エンジニア視点で気になる点としては、パフォーマンスの低下があるだろう。しかし「今や、マルチコアCPUを搭載したハードウエアが普及しており、暗号化に伴うパフォーマンスの問題は気にならないレベルになっています」と中川氏は指摘する。加えて、サーバー設定のチューニングテクニックの広がりや「楕円曲線暗号(ECC)」のような高速な暗号アルゴリズムを採用することも解決策の一つとなる。何より、「HTTP/2によってプロトコル自体が高速化します。むしろ常時SSL/TLSの方が、HTTP/2のメリットを最大限に享受できるため、高速化が期待できます」(同氏)
コンプライアンスの観点からは、暗号化されてしまうと、内部と外部との間でどのような通信が行われているかを監視できないという懸念があるかもしれない。だがこれも、ゲートウェイ部分に通信内容を確認するためのリバースプロキシを導入することで解決できる。常時SSL/TLS化を一つのきっかけにして、こうしたリバースプロキシの導入や、より厳密な認証によって発行されるEV SSL証明書の活用、さらには脆弱性診断やWebアプリケーションファイアウォール(WAF)、次世代ファイアウォールといった対策を組み合わせ、多層的な防御を実現していくことが重要だ。
残る課題は、Webサイトに埋め込まれる広告やログ解析ツールといった、Webサイトを取り巻くサードパーティーのHTTPS対応が完全ではない点だろう。だが「大手を中心に事業者側の対応も進んでおり、HTTPとHTTPSが混在するという問題は減っています。サードパーティーが対応していないから常時SSL/TLS化を諦めるのではなく、常時SSL/TLS化を機に、サイトに埋め込むツールを見直してみてはいかがでしょうか」と中川氏は述べる。
シマンテックではさらに、ホスティング事業者、クラウド事業者向けに、証明書の管理作業を自動化するAPIを提供することによって、サーバーの構築から証明書の発行、インストール、管理までを低コストで、しかもスケール可能な形で実現できるようなプログラムを提供しているという。
数年後に慌てないために、今から備えを
SSL/TLSとサーバー証明書、PKIといった仕組みは、安全なインターネットの基盤そのものだ。証明書を発行する認証局はもちろん、サーバーの管理者も、セキュアな基盤の運用を支えていく一員となる。
今後常時SSL/TLS化が広がれば広がるほど、用途に応じた証明書の正しい選択とインストール、設定、運用に関する知識は欠かせないものとなっていくだろう。シマンテックでは、正しい手順をまとめたドキュメントを公開するとともに、手元のサーバーで正しくSSL/TLSが設定されているかを確認できる「インストールチェッカー」を提供し、正しい知識を広げていく手助けも行っている。
「今後は残り80%のサイトが常時SSL/TLS化していくことになるでしょう。そうなるとIT管理者だけでなく、セキュリティにそれほど詳しくない人も、証明書を取り扱う機会が増えそうです。そうした人たちに向けて、正しい知識とともに、ベストプラクティスを踏まえつつも簡易に操作できる自動化ツールの提供にも注力していきます」(シマンテック Trust Services プロダクトマネジメント部 マネージャー 阿部貴氏)。
Webサイトは企業の顔であるだけに、常時SSL/TLS化によって生じるさまざまな影響を懸念するのはもっともだ。だが、この世界的な潮流は日本にも間違いなくやってくる。影響を最小限に抑えるためにも、2〜3年後を見据えて今から取り組みを開始し、課題を洗い出し、つぶしていくことこそが重要だ。「遅かれ早かれ、ほとんどの企業はどこかで常時SSL/TLS化に踏み切ることになるのではないでしょうか。それに向け、まずは次のプロジェクトで常時SSL/TLS化を試してみてほしいと思います」(中川氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:合同会社シマンテック・ウェブサイトセキュリティ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年3月31日