新しいセキュリティ対策のトレンド、常時SSL化とは? ウェブ担当者が知っておきたい個人情報の漏えい対策 | 日本ベリサイン
セミナーイベント「Web担当者Forumミーティング 2012 Spring」(2012年4月19日開催)の講演をレポートする。他のセッションのレポートはこちらから。
(ボックスが広がって
再生が始まります)
Webサイト運営で欠かせないセキュリティ対策。利用者の信頼感にもつながるため、マーケティングの観点でも重要だ。そして今、常時SSL化という流れがきている。本セッションでは、総合セキュリティサービスプロバイダである日本ベリサインの中川就介氏が、セキュリティ対策の最新トレンド常時SSL化の流れを解説した。
常時SSL化、それが今の大きな流れ
GoogleをはじめTwitterやFacebookなど、海外のサイトが常時SSL化への転換に踏み切っている。Webサイト運営者として、こうした状況にどのように対応していくべきか。中川氏は「わたしはベリサインのWebマスターでした。本日はシステム寄りの話とマーケティング寄りの話を交えながらお話しさせていただきます
」と、SSLの2つの機能をポイントとして挙げた。
- Webサイトとの送受信データの暗号化
- 本物のサイトか、ニセモノのサイトか見極める判断基準
この2つの機能を組み合わせることにより、ユーザーに対して正規のWebサイト(Webサーバ)とIDやパスワードといった個人情報をやり取りする「安心感」を与えることができると中川氏は説明した。
では、講演のテーマでもある常時SSL化とはそもそもどういったものなのか。従来のWebサイト運営では、ユーザーがIDやパスワードなどの個人情報を入力する問い合わせフォームやログインページなどでのみ、SSLを使うケースが多かった。一方、常時SSL化では同じドメイン名のページすべてのページをSSL化する、あるいはログイン後に常時SSLのページへと切り替える。ログイン後に継続して「https」でページを移動させるような仕組みも常時SSL化と呼ばれ、中川氏によると次の利点があるという。
- cookie(セッションID)の情報を保護できる(「なりすまし」防止)
- 信頼性をアピールできるようになる
たとえば、主要なWebサイトの中では、Googleの「Google+」が常時SSL化されている。またGoogleウェブ検索でも、2012年3月6日以降は、Googleアカウントでログインしたユーザーには、常時SSL化された検索ページが表示されている。
Twitterも常時SSL化に対応し、2012年2月以降はデフォルトで常時SSL化されている。Twitterでは「EV SSL証明書」を導入したことにより、アクセスするとブラウザのアドレスバーが緑色に変わり、正規のTwitterのWebサーバであることの証明として社名が表記されている。同サイトはフィッシング詐欺などの標的とされることが多かったため、この施策により、正規のサイトか偽サイトかをユーザーが目視確認できるよう配慮されていると中川氏は解説した。
また、Facebookも今のところオプション提供ではあるが、常時SSL化を進めている。これにより、企業のWebサイト担当者は、自社のFacebookページをSSL対応させる(SSL対応ホスティング領域にコンテンツをアップする)必要があると中川氏は言及した。
Facebookでは、現在オプションで「セキュアな接続を選択」をチェックすると通信がSSL化されるが、選択しているユーザーは現在19%程度いるという。そのため、企業が開設しているFacebookページでもコンテンツ部分をSSL対応していないと、SSL通信を選択しているユーザーには警告画面が表示されてしまう。せっかく用意した自社のFacebookページが見られなくなる可能性があると中川氏は述べた。
常時SSL化はWi-Fiの利用拡大と深く関係
こういった常時SSL化への流れは、スマートフォンやタブレットの普及により、無線LAN(Wi-Fi)の利用シーンが急拡大していることに深く関係すると中川氏は指摘した。
デジタルカメラやゲームなど、様々なモバイル端末がWi-Fiの機能を備えはじめている。そういった機器の充実だけでなく、ホテルや空港などの施設事業者側も公衆無線LANサービスを提供している。しかし、こうした中には通信暗号化などの適切なセキュリティ対策が施されていないアクセスポイントも存在し、これを経由してWi-Fi接続するとネットワークを流れるログインIDやパスワード、Cookie情報(セッションID)といった様々な情報を第三者に取得される危険性が高くなる。
このように、無線LANをはじめとするネットワークの通信内容を盗聴したり、改ざんしたりする攻撃手法は「マン・イン・ザ・ミドル(中間者攻撃)」と呼ばれ、中川氏は代表的な手口として次の4種類を示し注意を促した。
- Evil Twin(なりすましアクセスポイント)
同じ名前(SSID)のアクセスポイントを立ち上げてユーザーを騙す
- ARPスプーフィング
端末の識別子(MACアドレス)のリストを不正に書き換えてユーザーを騙す
- DNSスプーフィング
IPアドレスのリストを不正に書き換えてユーザーを騙す
- SSL Strip
通信する二者間に偽のproxyサーバ(紛らわしいURLなど)を立ち上げ、当事者の代わりに本物のサーバとSSL通信する
こうした脅威をエンドユーザーはどのように防御すればいいのか。まず「Wi-Fiを使うときはhttpsもしくはVPNを使う」暗号化だと中川氏は話した。また、https接続ではアドレスバーを目視確認すること、つまり「南京錠」のアイコンや証明書の発行者を確認することも必要だという。
Web担当者が行う常時SSL化のポイント
それでは企業のWeb担当者はどう対応するべきか。中川氏は、常時SSL化のアプローチとして次の4点を挙げた。ポイントはSSLのみで運用するか、ハイブリッドで対応するかということで、それぞれメリットやデメリットがある。
- https(SSL)のみでサーバを運用する方法
安全性は高いがhttpによるアクセスを取りこぼしてしまう。
- すべてのhttpのアクセスをhttpsに転送する(実質SSLのみ)
同じURLのhttpsページにリダイレクトすることで、httpでアクセスしても、httpsでアクセスしても必ずSSL暗号化される状態となる。
- ハイブリッド(httpとhttpsの両方運用)にして、httpsへのリンクを設置
httpsへの切り替えボタンを用意してユーザーに選択させる。
- ハイブリッド(httpとhttpsの両方運用)のみ
httpsへの切り替えボタンを用意せず、httpsを知っているユーザーやリンクで誘導されたユーザーだけSSL化される。
この中では、2番の手法が現実解ではないかと中川氏は話した。常時SSL化には、「httpサーバとhttpsサーバを併用し、httpsでアクセスした際に切り替える方法」「オプション選択により常時SSLに切り替える方法」「オプションオフにしない限り常時SSLにする方法」など、いくつかの段階があるという。
常時SSL化のメリットと誤解
一方で、「常時SSL化にはデメリットもあるのではないか」という声があることも事実だ。しかし、中川氏は今では多くが誤解であると、いくつかの例について解説した。
たとえば、常時SSL化により通信速度が遅くなる原因はCPUパワーの影響が大きい。しかし、マルチコアCPUの登場で性能が格段に向上している現在、格段に影響は小さくなっている。SSLの処理を受け持つ製品・サービス(SSLアクセラレータ)を利用することでさらに改善が可能だ。
SSL化するとサーバ運用コストが高くなるという話も、10年前ならいざ知らず現在はほとんど影響がないと、「Gmailの常時SSL化による影響はCPU負荷の1%以下だった」というGoogleエンジニアのコメントと合わせて中川氏は説明した。
httpsのページで「http混在」の警告がでてしまわないか、という問題も、画像の表示指定を相対パスや絶対パスで記述することで回避できる。また、パケットキャプチャソフトを利用してhttp接続しているコンテンツを探し出すことも可能だという。
httpとhttpsで被リンクが分散するため、SEOに不利ではないかと言われているが、301転送でhttpsにリダイレクトすることでSEO効果を引き継ぐことが可能だ。
また、アクセス解析に影響するという指摘もある。サーバログ解析型ツールの場合は、httpとhttpsでログファイルが別になるが、常時SSL化により一緒に解析しやすくなるという。また、主要ブラウザはhttpsのページからhttpのページへ移動したときに参照元を引き継がないが、逆のケースでは引き継げるため、常時SSL化により情報の増加も期待できるという。
このように、中川氏は暗号化によるセキュアな通信を実現する「常時SSL」のメリットと、導入のための課題について解説してきた。中川氏によると、アドレスバーに社名が表示されて緑色に切り変わる「EV SSL証明書」と常時SSLを組みあわせることで、強力なセキュリティを実現できるという。
最後に中川氏は登壇のまとめとして、「常時SSL化」と「http/httpsのハイブリッド運用」のメリットとデメリットを改めて示した。そして、ベリサインの提供するEV SSL証明書は、Webサイトの脆弱性がないか定期的に診断する「脆弱性アセスメント(診断)」や「マルウェア検知」、ベリサインのサーバ証明書の導入を検索結果に表示させる「シールインサーチ」の3つのユニークな新機能を提供しているので導入を検討してみてほしいと、講演を締めくくった。
\Web担主催リアルイベントが“オンデマンド配信”決定!/
満席で申し込みできなかった講演も聞ける【12/13(金)18:00まで視聴可能】
ソーシャルもやってます!