2015年6月上旬、セキュリティ業界にとって興味深いニュースがいくつかありました。1つ目は、米国政府が、2016年末までに連邦政府関係機関によって管理されるすべての Webサイトで HTTPS の使用を義務化すると発表したことです。2つ目は「Wikipedia」を運営するウィキメディア財団が、財団が管理する Webサイトで HTTPS使用の義務化を展開し、2週間以内にすべてを完了させると発表したことです。
大企業は全 Webサイトに HTTPS を導入する方向となり、ブラウザベンダも同様の動きを見せています。例えば、Mozilla は、最終的には新機能が HTTPS の Webサイトのみで使用可能になることを発表しています。小規模な Webサイトの所有者もこうした流れに従うべきでしょうか。また、一般ユーザはお気に入りの Webサイトに HTTPS を導入するよう働きかけるべきでしょうか。そして、HTTPS はインターネットのセキュリティに本当に有効なのでしょうか。
■HTTPS はセキュリティ強化に有効
端的に答えるなら、HTTPS はセキュリティ強化に有効です。Webサイトの所有者は、自身の Webサイトに HTTPS を導入することを真剣に検討すべきでしょう。長い目で見れば、HTTPS の適切な導入は Webサイトのセキュリティを強化します。Google や Mozilla といった大手のインターネット企業や、「インターネット技術タスクフォース(Internet Engineering Task Force 、IETF)」、「World Wide Web Consortium (W3C)」といった国際組織は、HTTPS の導入を声高に支持しています。現在作成中の Webサイトは、最初から HTTPS を使用すべきでしょう。これは Webサイトが進むべき方向性であり、現在作成中の Webサイトは、ユーザの安全とプライバシーを念頭に置いて構築されなければなりません。既存の Webサイトに関しては、特に個人情報を取り扱っている場合は、HTTPS の導入が実現可能になり次第、速やかに適用することを Webサイトの所有者は本格的に検討すべきです。
Webサイトの管理者が考慮すべきもう 1つのことは、将来的に、検索エンジンは HTTPS 使用の有無を検索結果の順位を決定するアルゴリズムの一部に含める可能性があるということです。実際、Google では、すでにこれを導入済みです。現在のところ、HTTPS使用の有無は特に重要な「信号」ではないかもしれませんが、今後は変更される可能性があります。Webサイトの所有者が先陣を切り、ユーザをより安全で私的な Webサイトに導くことは良い考えでしょう。
■HTTPS導入はセキュリティ強化の第一歩
HTTPS導入の義務化は、インターネットセキュリティを強化するための非常に重要な一歩ですが、努力をそこで止めないように意識することが大切です。HTTPS は確かに改善ですが、インターネットセキュリティの中の一部分であり、また万能薬でもありません。
HTTPS とは、金庫のような安全な箱に手紙を入れて送るようなものです。攻撃者は、非常に安全な偽の金庫とそっくり入れ替え、金庫を開けて手紙を窃取するか(つまり、ユーザの PC から復号した情報を窃取する)、爆弾が仕込まれた非常に安全な金庫をユーザに送ります(安全な通信経路からユーザを不正な Webサイトに誘導する)。HTTPS とは、インターネット上で情報が送信される際のセキュリティ問題に対処するものです。インターネット上のその他のセキュリティ問題は解決せず、またそのように意図されていません。
しかしながら、HTTPS の導入を Web上の基準にするという今回の進展は、間違いなく正しい方向へ進む一歩であり、Webサイトの所有者はそれに倣うことが極めて重要です。
■トレンドマイクロの対策
トレンドマイクロでは高いコスト削減効果と柔軟な運用方法を持つ SSLサーバ証明書のサービスとして「Trend Micro SSLサーバ証明書(TMSSL)」を提供しています。
参考記事:
- 「US Government, Wikipedia Go All-HTTPS. Should Site Owners Do It, Too?」
by David Sancho (Senior Threat Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)