【本当に安全になるの?】WebサイトのHTTPS化の流れについて
はじめに
今回のブログは少し長文なので2回に分けて紹介することにしました。これから説明する「HTTPS化」は、IT関係者には周知のことなので、ご存知の方はスルーして下さいね。
インターネットは危険に満ち溢れている
先日あるブログのリンクをクリックしたら某宗教系サイトに入ってしまいました。
今まで見たことがない洗練された構成で、Webサイトのデザインサンプルとして非常に参考になったのですが、何気にブラウザのアドレスを見ると、はてなのビッグアイコンに似た( i )マークが見えました。
試しにこのアイコンをクリックすると
このサイトでは接続が保護されてません。
このサイトでは機密情報(パスワードやクレジットカードなど)を入力しないで下さい。悪意のあるユーザに情報が盗まれる恐れがあります。
と表示されました。
訪問してはイケない危ないサイトだったのか!と閲覧を止め、速攻でブラウザを閉じたのですが、( i )のマークは今迄も度々見かけていることに気づきました。
後で詳しく説明しますが、『このサイトは暗号化されてなく盗聴可能です。偽造SSLサーバ証明書を使った「フィッシング」の偽サイトだったり、あなたに「なりすまし」て取引したり、あなたの入力情報が「改ざん」される恐れがあります』という意味だったのです。
ところで「WannaCry」という暗号化型ランサムウェアが2017年5月12日に猛威を振るったのは記憶に新しいと思います。
(注)この記事は「はてなブログ」で2017/09/09に公開したものです。
ランサムウェア「WannaCry」の脅威
この過激なウイルスを社内ネットワークに持ち込んでしまった企業・組織は、次々と感染が拡大し、ファイルやメールが勝手に暗号化され、さらに身代金を要求され、まさに「泣きたくなる」非常事態に陥ってしまいました。
あまりにも被害が拡大したので、MSはサポート終了のXPにまで修正パッチを提供する緊急事態となりました。
IPA(情報処理推進機構)が公開した感染デモを参考に貼っておきます。
まだ見てない方は、交通安全の講習会と思って一度見ておくと良いかも知れません。
なぜ感染したのか
感染し発症したPCはMSが3月15日にリリースした「MS17-010」のパッチ更新を実施してなかった、と言う非常にお粗末なものでした。
マイクロソフト セキュリティ情報 MS17-010 - 緊急
正直な話、セキュリティパッチの更新はきりがなく面倒なだけです。忙しくて対応をずーっと忘れてしまった放置状態のPCがあっても不思議ではありません。
しかし、今回報道された企業・組織は「当社では基本的なセキュリティ対策をすみやかに実施することが困難です。また、どのPCが未対策か把握できておりませんでした。」と世間に知らしめることになりました。
2ケ月も放置していたのですから、通常業務への影響以外に、ブランド・信用の失墜という大きなオマケが付いて来たかも知れませんね。
「私はスマホ/Macだから関係ない」「日本は影響少なかったのでは」と思っている方は、別の問題で足元をすくわれる可能性があるので注意が必要です。
「常時SSL化」って何?メリットあるの?
「改正個人情報保護法」が2017年5月30日からいよいよ全面施行されました。
今後ビッグデータの活用が今以上に加速されることが期待されます。
しかし、企業・組織のWebサイトの安全は取り残されている状況にあり、今後発生する情報漏洩は過去に例を見ない大規模なものとなるリスクがあります。
個人情報流出を報道され、事業に多額な損失を出した企業はこれまで多数ありますが、その企業でさえ「常時SSL化」はあまり進んでません。
安全・安心に情報を授受できない状況はネットビジネスの成長を阻害する大きな要因となりますが、トップランナーであるGoogleは早くから対策を警鐘してました。
SSLとは
SSL(Secure Sockets Layer)はWebサーバーとWebブラウザーとの通信を暗号化して送受信できる方法で、1994年にNetscape社によって開発されました。
少し詳しく知りたい方はマンガで解説された下記アドレスをご覧下さい。
常時SSL化のメリット・デメリット
ユーザの立場から見ると、常時SSL化は以下のメリットがあります。
①非SSLサイト/SSLサイトの両方からリファラ(参照元)の情報が取得でき、Googleの検索順位が優遇される為、SEO対策の効果を期待できる。
②HTTP/2プロトコルで複数のリクエストを平行して処理できる為、読み込みが早くなり、通信速度が上がる。
③信頼性が向上するので、ユーザの流出を防ぎ、流入の増加が期待できる。
デメリットは移行作業が面倒なだけでしょうか。
なお、信頼度が高いSSLサーバ証明書の取得には多少お金がかかりますが、トータルコストを考えるとメリットの方が大きいので、早い判断・実行がお得だと思います。
SSL認証の種類
SSL認証の信頼度は松竹梅の3レベルに分かれてます。
<松> EV(Extended Validation SLL:EV SLL)
ドメイン使用権と組織の法的・物理的実在性の確認の証明
<竹> OV(Organization Validation SLL:企業実在認証)
ドメイン使用権と組織の法的実在性の確認の証明
<梅> DV(Domain Validation SLL:ドメイン認証)
ドメイン使用権のみ確認の証明
雑なイメージで例えると、DVは名刺・楽天カード、OVは学生証・社員証、EVは健康保険証・運転免許証のようなものだと思って下さい。
CT(Certificate Transparency)とは
CT(Certificate Transparency)はGoogleが考えた仕組みで、2013年にRFC(Request for Comments)化されました。
正規に発行されたすべてのSSLサーバ証明書の情報をログサーバーに登録し公開し、クライアントがサーバに接続する時この情報を参照し、皆で不正なSSLサーバ証明書を見つけ出すものです。
シマネックのしくじり
再発防止の為、Googleはシマンテックが2016年6月1日以降に発行するすべての証明書はCTに対応するよう勧告しました。
これが守られない場合、「Chrome」ブラウザはシマンテックの証明書を使用するウェブサイトを安全ではない可能性があると警告する、とアナウンスしました。
しかし、その後も証明書発行プロセスの改善が徹底されてなく、3万件に拡大したとGoogleは説明しており、両者の衝突が続いてました。
WebサイトのSSL化度合
WebサイトのSSL化はざっくり3パターンに分類できます。
丸腰系(SSL化:0%)
丸腰系は情報が抜かれ放題です。大手企業や官公庁だから大丈夫、と何の確認もせずサイト内をアクセスしていると、思わぬところで重要な情報が盗まれる恐れがあります。
特にフリーのWi-Fiスポットでのアクセスは要注意ですね。
見掛け倒し系(SSL化:1%~99%、DV認証)
なんちゃってSSL化サイトと呼んでも良いのですが、ログインページや個人情報を入力する特定のフォームだけをSSL化したものが多いようです。一見安全そうに見えますが「Firesheep」や「SSL Strip」の脅威に対して脆弱であると言われてます。
また、詐欺サイトはドメイン認証SSLを使う場合があるので、注意が必要です。
完全装備系(常時SSL化サイト、OV認証・EV認証)
完全装備系はサイト内すべてをSSL化したもので、Googleが推奨しているものです。
ChromeはFirefoxより判断基準が厳しく、アドレスがhttpsであっても、サイト内に1つでも非SSLの外部リンクがあると「情報、または保護されていない通信」と見なします。
OV認証orEV認証だと緑色の鍵マークが表示される仕組みになっており、詐欺サイトかどうかを見分けることができます。(現在は緑色表示はありません)
安全を示すアイコン
Chromeでは安全のレベルは3区分になってます。
ChromeとFirefoxで若干違いがあるので、詳細は下記アドレスを見て下さい。
Chromeでの警告表示(まとめ)
上記説明を読んでもあまりピンと来ないかも知れませんね。Chrome 56~62ではどのような時どのような警告がアドレスバーに表示されるのかまとめてみました。
なお、スマホだと🔒有りと🔒無しの二択しかないので、警告に気づけないという不便さがあるので、最終的には緑色の🔒と赤色の▲警告の2種類になると思われます。
2017年は常時SSL化のビッグウェーブになる?
ハッキングや偽サイトによる情報漏洩で問題を発生させた企業・組織は数多くありますが、形だけの「謝罪」「注意喚起」や「〇〇委員会の設置」「△△マークの取得」等をアピールするだけで、実効性のある施策に取り組んでいるのは少ない状況です。
ひと昔迄はサイトを常時SSL化すると、アクセスが遅くなる、アドセンスの収益が下がる、等のデメリットが叫ばれてましたが、今は完全に逆転している状況です。
SSL化の震源と歴史
SSLへの歴史をざっくりまとめて見ました。ご存知でしたら読み飛ばして下さい。
2007年4月(始まり)
Googleは2007年4月よりGmailの提供を開始しました。Gmailは最初からSSL化したhttpsでの通信となっており、メールが傍受できないセキュアなサービスとなってます。
但しGmailの内容はすべてGoogleが自動解析している、という仕組みがあるので、Gmailを業務で利用することを禁止している企業もあります。
2010年5月
Googleは2010年5月にSSL化したベータ版の検索サイトを提供しました。
2012年3月
Googleは遂に2011年11月にwww.google.comを常時SSL化し、4か月後の2012年3月にwww.google.co.jpも常時SSL化となりました。
2014年8月
Googleは常時SSL化を推進する為に、2014年8月に「HTTPS をランキング シグナルに使用します」とアナウンスしました。
2015年12月
Googleは常時SSL化を更に加速する為に、2015年12月に「HTTPS ページが優先的にインデックスに登録されるようになります」と宣言しました。
ブログで小銭を儲けようとアドセンスを積極的に利用している方は少なからずいらしゃると思いますが、常時SSL化してないサイトのユーザ様は衝撃を受けたことと思います。
2016年9月
Googleは2016年9月8日に、ユーザーがウェブを安全に閲覧できるよう、第一ステップとして、2017年1月リリースのChrome 56より、アドレスバーにアイコンとセキュリティを表示すると発表しました。
これは入力フォームのページでHTTPが使われていると、アドレスバーのURLの前に灰色で「Not secure(保護されてません)」の警告を表示するというものです。
そして、将来はセキュリティ・インジケータを、壊れたHTTPSに使用する赤い三角に変更する予定だそうです。
この変更により、約4ケ月間で入力フォームのHTTPは23%削減される効果があったそうです。Googleの影響力は大きいですね。
2017年4月
Chrome 56からの変更で一定の効果が確認できたので、Googleは2017年4月27日に安全なWeb閲覧の仕組み第二弾を、2017年10月17日(Chrome OS 安定版は10月24日)にリリースすると発表しました。
Chrome 62より入力フォームがあるHTTP(非暗号化)のすべてのページで、「Not secure(保護されていません)」の警告が例外なく表示されるものです。
多くのサイトのトップページには検索バーが配置されているケースが多いので、SSL化(https)してないトップページは「保護されていません」とアドレスバーに警告が表示されることになります。
SSL化に関するGoogleの取り組みを時系列に見て来ましたが、Googleは最終ゴールに向けて、当たり前のことを丁寧にかつ着実に実行していることが分かったと思います。
セキュリティを最優先に考えているのですから、詐欺サイトを検索の上位に表示したり、何の注意喚起もしないことはあり得ないですよね。
安全性がより高いサイトを検索の上位に優先的に表示し、「安全である」「安全でない」をはっきり表示するのは当たり前のことだと思います。
このようにGoogleは常時SSL化の舵を積極的に取っているのですが、この変化に付いていけない企業はWebビジネスの負け組になってしまう恐れがあります。
またアメリカは国民に最高のプライバシー保護を維持する一つの手段として政府サイトの常時SSL化を義務付けてますが、セキュリティに不感症な日本では積極的な動きはありません。
近い将来日本はセキュリティ後進国の烙印を押され、オリンピックで大規模なハッキングやサイバーテロが多発したら世界の笑いものになるかも知れません。
Google 透明性レポート
皆さんは「Google 透明性レポート」を見たことはありますか?
管理人はSSLを調べて行く中で初めて見たのですが、とても興味深いデータが公開されてます。
HTTPSの国別使用状況
2016/10/31のhttpsの国別使用状況を見ると、Windowsだとアメリカが61%に対して日本は35%で10カ国中「最下位」です。
Androidでもアメリカが50%に対して日本は21%で10カ国中「最下位」です。
このデータから日本のサイトの約70%は丸腰系で非常にリスクがある状態だと分かります。
ちなみに「WannaCry」で被害を報道された日立製作所・イオン・JR東日本の常時SSL化を調べると、トップページはすべて非SSLの丸腰系サイトでした。
これは別に責められるものではなく、国内家電メーカはほとんど丸腰系ですし、衆議院、参議院、東京都、外務省等のお役所もすべて丸腰系のサイトです。(笑)
GoogleでのHTTPSの対応
Googleのサーバーで暗号化された接続のリクエストは2014年は48%であったものが、2017年5月は87%と約2倍の伸びになってます。
また、サービス別のリクエストを見ると、広告の伸びは凄く、2014年1月は10%であったものが、2017年5月は91%となっており9倍になってます。
Google Adsense(グーグル アドセンス)をやっている非SSLサイトのユーザ様は、この数字を見たら常時SSL化のサイトに移行せねば、と焦るかも知れませんね。
アメリカ政府系サイトの常時SSL化
宣言通りには進捗してませんが、2017年5月31日時点で76%がhttps化されてます。
年内に80%を超えそうですね。
まとめ
Googleにお尻を叩かれながら、これから日本でも常時SSL化が加速されることを期待したいのですが、2020年オリンピック迄に50%に到達できるか微妙です。
一方、「安心」「安全」「情報セキュリティ」という言葉でイメージをアピールしている企業・組織は、自身のWebサイトもその対象範囲に含めるべきなのですが、常時SSL化への対応は進んでない状況です。
その為、すばらしいキャッチ・フレーズやスローガンが形骸化し、ブラックジョークとも思える残念なサイトを見かけます。
退屈なセキュリティの話について、最後までお付き合い頂きお疲れさまでした。
気軽に足跡残してね!
この記事が「気になった・参考になった」と感じた方は、リアクションボタンか、ツイッターで♡いいねを押して、足跡を残して頂けると嬉しいです。
https://t.co/8PuTkm0YUG
— heavy-peat (@AfterWork_Lab) November 26, 2020
HTTPS化の歴史をまとえた過去ブログです。#HTTPS #SSL #Blogger
それでは今回の記事はこれでおしまい。