初代編集長ブログ―安田英久

御社の企業情報ページはhttpsでアクセスできますか？

企業情報として正しい情報を伝えるべきページは、httpsでアクセスできるようにしておきましょう。

2010年3月2日 10:00

今日は、企業サイトで意識するべき「正しい情報提供」の手法について。企業情報ページの連絡先情報やIRページなど、正しい情報を伝えるべきページは、httpsでアクセスできるようにしておきましょう。

セキュリティ専門家の高木浩光氏が、ブログで「なぜ一流企業はhttpsでの閲覧をさせないようにするのか」という記事を出しました。銀行など金融機関のサイトで、電話問い合わせ番号を掲載しているページがhttpsではアクセスできない場合があることを警告している記事です。

・なぜ一流企業はhttpsでの閲覧をさせないようにするのか (高木浩光＠自宅の日記)
→ http://takagi-hiromitsu.jp/diary/20100227.html#p01

元は携帯サイトの「かんたんログイン」の仕組みのセキュリティ上の問題点を述べる話題ですが、金融機関の問い合わせ先電話番号を掲載しているページがhttpsでアクセスできないことに言及しています。今回のテーマはそちら。

なぜ問い合わせ先電話番号が掲載されているページなど、顧客に間違いなく情報を伝える必要のあるページはhttpsでアクセスできるべきなのでしょうか？それは、SSLを使っていれば、その内容が正しいサーバーから送られた情報であることを確認できるからです。逆に言うと、SSLを使わない通常のhttpページでは、偽のサーバーに誘導されていたり、経路上で内容が改ざんされていたりしても、それに気づかないことがあるのです。

【要件】 ◎Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること
SSL/TLS には、機密性保護に加え、アクセスしている Web サーバの正当性(ドメイン名を含めたサーバ名と運営者との関係について認証局が確認をとっているということ)を検証する機能が備わっている。Web サイト、Web サービスに関する緊急時の連絡先及びガイダンス等、Web サイト運営者から正しく情報を伝える必要のあるページは SSL/TLS でのアクセスを可能とし、顧客が Web サイト運営者からページコンテンツが提供されていることを確認する手段を提供することが望ましい。
フィッシング対策ガイドライン, フィッシング対策協議会, 2008年9月10日

高木氏が記事内で紹介している、フィッシング対策協議会が公表した「フィッシング対策ガイドライン」内の記述

たとえば、あなたが外出先で財布をなくしたとします。幸い手元にノートパソコンがあったので、野良WiFi（だれかが設置している無線LANアクセスポイント）からインターネットに接続してクレジットカード会社の問い合わせ先ページを見て、カードの停止を依頼したとします。しかし、その無線LANアクセスポイントが悪意をもって設置されたもので、そのネットワークではクレジットカード会社や金融機関の問い合わせ先電話番号ページへのアクセスが偽のページに誘導されていたとすると、あなたは偽ページの情報を見て、悪意をもった罠の番号に電話をかけることになります。あなたは当然、正しいクレジットカード会社の問い合わせ先に電話していると思っているので、クレジットカード番号と名義、さらに「本人確認のために」と言われたら、カードの有効期限やその他の個人情報も伝えてしまうでしょう。

問い合わせ先電話番号ページがhttpsで提供されていれば、あなたは証明書を確認して、それが正しいサーバーから送られてきた情報であり、経路の途中で改ざんされていないことをチェックできますが、httpsでなければそれすら確認できません。

野良アクセスポイントでなくても、パソコンに入り込んだウイルスがブラウザの通信を途中で書き換えたり、イベントスペースが提供しているネットワークが悪意をもったハッカーにやられていたりなど、悪意をもって偽の情報に誘導される状況はさまざまです。でも、サーバー側がhttpsでページを提供していれば、少なくともSSL証明書を確認して正しいサイトにつながっているかどうかをチェックできます。

もちろん、そんなことを言い出したら、ネットで出す情報はすべてhttpsにしなければいけなくなりますし、サイト側がhttpsでページを提供しているからといって、フィッシングを防げるわけではありません。というのも、何らかの悪意でサイト訪問者がまったく別のコンテンツに誘導されていたら、訪問者が自分でhttpsでアクセスし直してSSL証明書を確認しない限り、正当な内容ではないことを知り得ないからです。おそらく多くの消費者はそんなことはしてくれないでしょう。

でも、企業活動にとって重要性を増しつつあるWebサイトだからこそ、重要な情報はhttpsで提供することを当然にしていくべきなのではないでしょうか。「クレジットカード番号を入力するフォームでは、ブラウザの鍵マークを確認する」文化は、10年以上かけてネット利用者に浸透していきました。次は、「重要な情報はブラウザの鍵マークをクリックして本物かどうか確認する」になるのかもしれません。

まずは、間違った情報が伝わるとまずいページに関しては、httpsで提供できるようにしてみませんか？そうすれば、セキュリティの意識をもった人は証明書を確認してあなたのサーバーから送られた情報であることを確認できるようになります。

それができたら、次は、サイト内からそのページへのリンクをすべてhttpsにして、そのページにhttpでアクセスされたらhttpsに強制的にリダイレクトするようにするといいでしょう。。

あなたの企業サイトの問い合わせ先ページは、httpsでアクセスできますか？

この記事のキーワード：