あなたのサイトは大丈夫？ 待ったなしのChrome 68対策、安全性向上にはWAFも有効

HTTPS暗号化されていないWebサイトは問答無用で警告表示される

GMOクラウド 西日本技術運用セクション セクションチーフ 堤 貴規氏

堤 貴規氏（以下、堤）　 本日はお忙しい中、お集まりくださりありがとうございます。

さっそくですが、GMOクラウドのレンタルサーバー「WADAX」は中小企業のお客さんが多いのですが、専任のWeb担当者がおらず、他の業務との兼ね合いで十分な時間が取れないといった事情から、セキュリティ対策が後手に回っているケースも少なくありません。

そうした中でGoogleは、2018年7月にリリースするChrome 68で、HTTPS暗号化を導入していないすべてのWebサイトに対し、「保護されていません」という警告表示を行うことを明らかにしています。

警告を目にした閲覧者はすぐにページを閉じてしまう可能性もあり、自社の信用低下につながりかねません。そのため、駆け込みでSSL証明書を導入したいと考える企業からの問い合わせが増えているのではないでしょうか？

Google Chrome 68では暗号化されていないサイトでアドレスバーに「保護されていません」という警告が表示される（Google Chrome 68ベータ版の画面）

河田 大地氏（以下、河田）　おっしゃるとおりです。これまでのChromeでも情報入力フォームや決済ページが暗号化されていないと警告が表示されましたが、今後は暗号化されていないすべてのページに問答無用で警告が表示されます。

Chromeは最もシェアが大きいブラウザだけにこのインパクトは非常に大きく、Web担当者のみならず広報・宣伝やマーケティングなど、自社のブランディングに携わっている様々な部門の方々からの問い合わせが急増しています。

堤　常時SSL化が最近のトレンドですが、すべてのページにSSL証明書を入れる必要があるのでしょうか。

河田　いくら情報入力フォームや決済ページを暗号化していても、その前プロセスとして閲覧するページにSSL証明書が入っていないと簡単になりすましサイトを作られ、詐欺ページに誘導されてしまう恐れがあります。たとえ情報をまとめただけのウェブページであっても、暗号化されていない通信では、通信内容に細工をされるリスクもあります。そうしたリスクを低減するためにも、やはりWebサイトは頭から足の先まで暗号化するのが望ましいのです。

堤　SSL証明書と共に、Webサーバー上で稼働している各種アプリケーションやCMS（コンテンツ管理システム）に対するサイバー攻撃を防ぐ仕組みとしてWAF（Web Application Firewall）への関心も高まっていますね。ジェイピー・セキュアさんへの問い合わせも増えているという話を聞きます。

齊藤 和男氏（以下、齊藤）　そうですね、CMSに関しては、2017年に発生したWordPressの脆弱性を悪用した大規模改ざんで、さまざまなセキュリティベンダーや専門機関から注意喚起が発せられました。今年は、Drupalに深刻な脆弱性が発見されており、こちらも大きな話題になりました。

また、度々話題になるWebアプリケーションフレームワークのApache Struts 2の脆弱性では、2017年に大量の個人情報が流出するという事件も起こりました。こうした危機感の高まりから弊社が今春に立ち上げたセキュリティ研究調査の専門組織「JP-Secure Labs」にも、多くの企業から問い合わせが寄せられています。

堤　一般的なファイアウォールとSSL証明書を導入するだけでは、Webサイトのセキュリティは十分とは言えないと当社は考えています。

齊藤　はい、確かにその通りで、ファイアウォールはルールにしたがって外部からのアクセスを制御する門番の役割を果たしますが、ウェブでやり取りされるデータの内容をチェックすることはしませんので、公開を前提としているWebサイトへの攻撃を防ぐことはできません。

また、SSLによる暗号化は通信内容を外に漏らさないためのもので、WebサイトのSSL化に対応していたとしても、SSL接続（HTTPS）によるサイバー攻撃を防ぐことはできません。

そこでWAFが登場するわけですが、WAFはWebサイトへのアクセスを精査・検査する役割を担います。HTTP/HTTPSによる通信内容をチェックして、正当な通信は通し、不当な通信はブロックする。Webサイトへの攻撃を防ぐには、どうしてもWAFのような仕組みが必須となるのです。

堤　なるほど、よくわかりました。SSL証明書とWAFはお互いに補完しあう関係にあるのは間違いないですね。昨今、ネットワークの出入り口だけを固める境界型のセキュリティ対策は破たんしたと言われており、特定のレイヤーだけを守っていても安全を担保することはできません。あらゆる企業は複数のレイヤーに渡る多階層型のセキュリティ対策を強化する必要があるということでしょう。

SSL証明書による暗号化は通信内容を盗聴から保護する。一方のWAFは通信内容をチェックし、攻撃をブロックする

対外的なWebサイトでは最低限でも「企業認証」が必須

GMOグローバルサイン 営業本部 ストラテジックパートナー営業部 チームリーダー 河田 大地氏

堤　あらためてSSL証明書について伺います。GMOグローバルサインでは「クイック認証（ドメイン認証）」「企業認証（企業実在認証）」「EV SSL（EV認証）」というSSL証明書を提供していますが、どうやって選べばよいでしょうか。

河田　GMOグローバルサインが提供する3種類のSSL証明書は、「通信の常時暗号化によってブラウザの警告表示を防ぐ」という点で共通していますが、それぞれ次のような特徴があります。

堤　一般企業が公式サイトで使う場合は「企業認証」が妥当と言えそうですね。一方、世間では無償のSSL証明書も出回っていますが、これを利用するのはどうでしょうか。

河田　暗号化だけを目指すなら有用です。しかし、無償の証明書は審査が十分ではないため、自社Webサイトの真正性の証明にはつながりません。かつてはSSL証明書を取得すること自体に高いコストがかかるだけでなく、決済行為が介することで足がつきやすくなり、犯罪に利用されるケースはまれでしたから、暗号化されているサイトは安全性が高いという認識が通用していました。

しかし、無償のSSL証明書をいくらでも利用できるようになった現在、この方程式は崩れ去りました。実際、無償のSSL証明書を使ったフィッシングサイトがどんどん作られている状況です。

堤　身元の確かなサービスプロバイダーがサポートするSSL証明書を導入することで、はじめて自社サイトの信頼性や安全性をアピールできるということですね。

セキュリティ対策のセーフティネットとしてWAFの役割が増大

ジェイピー・セキュア 取締役 CTO兼プロダクト推進部長 齊藤 和男氏

堤　SSL証明書と同様にWAFを導入していることも、自社サイトの信頼性や安全性をアピールすることにつながりますか？

齊藤　残念ながらSSLのように見た目での信頼性アピールというのは難しいかもしれませんね（笑）。WAFは縁の下の力持ちといった立ち位置かもしれませんが、セーフティネットとして重要な役割を果たします。

堤　セーフティネットは具体的にどういうことでしょう。

齊藤　先ほどWordPressやApache Struts 2の脆弱性を突いたWebサイト攻撃の例をお話しましましたが、これらのセキュリティリスクの根本的な対策としては、当該製品を新しいバージョンにアップデートすることが大原則となります。

とはいえ、単なるセキュリティパッチのレベルではなくバージョンアップともなれば、仕様や機能が大きく変更されることがあるため事前の検討や検証、移行計画などにそれなりの時間を要します。その期間にもWebサイトが攻撃される可能性があるため、そこをWAFで守るというわけです。

自社でウェブアプリケーションを開発しているWebサイトにおいても、脆弱性対策の強化につながりますし、対策・修正漏れをカバーする目的で活用されることもあります。WAFという後ろ盾により、Web担当者は、サイト運営やアプリ開発に注力することができます。

堤　河田さん、齊藤さん、今日はとても示唆に富んだお話をありがとうございました。SSL証明書やWAFの重要性がよくわかりました。

ただ、私がもうひとつの問題だと思っているのは、多様な業務を兼務している中小企業のWeb担当者は、セキュリティに関するさまざまな情報が氾濫する中で、なかなか自社に必要な解決策にたどり着けない、気づきを得るまでに至らないことです。逆に言えば、そこにこそGMOクラウドの使命があると考えています。

法人向けレンタルサーバー「WADAX」では、できるだけWeb担当者の負担を減らせるよう、SSL証明書やWAFをオプションサービスとしてワンストップで提供しています。さらにSSL証明書（クイック認証）とWAFを初年度無料で利用できるキャンペーンも開始しました。今後もあらゆる企業のWebサイトにセキュリティを中心とした新たな付加価値を提供していきたいと考えています。どうかご期待ください。