2017年 4月

企業のITセキュリティ講座

常時SSL化の時代―そのメリットは?

テキスト/吉澤亨史

「常時SSL化」という言葉を耳にすることはないだろうか? SSL(SSL/TLSとも呼ばれる)は、Webブラウザーでの通信を暗号化する通信規格のこと。これまでも個人情報やクレジットカード情報を入力するページはSSL化されていたが、常時SSL化はWebサイトにある全てのページをSSL化することを指す。今回は常時SSL化が進んでいる背景やメリットなどについて紹介する。

常時SSL化とは?

常時SSL化とは、Webサイトにある全てのページをSSL化すること。SSL化とは、WebサイトにSSLサーバー証明書を導入することで、Webブラウザーとの通信を暗号化するものだ。SSL化していない状態では、ユーザーがWebブラウザーに入力した文字がそのまま送信されるため、何らかの方法で通信を盗聴された場合、その内容が第三者に知られてしまう。

そこで、例えばWebサービスのログインページや、ショッピングサイトの決済ページ、資料請求などで個人情報を入力するページはSSL化されていることが一般的だ。ユーザーがそれを確認するためには、アドレスバーのURLをチェックすればよい。SSL化されていないWebページでは、URLが「http://」から始まるが、SSL化されているWebページでは「https://」から始まる。また、Webブラウザーによってはアドレスバーの色が変わったり、「保護された通信」と表示されたりする。

最近では、常時SSL化を行うWebサイトが増えている。有名なところでは、アメリカ政府も関連サイトの常時SSL化を発表しているほか、既に「Facebook」や「Wikipedia」、「Washington Post」などが常時SSL化しており、「Yahoo! JAPAN」や「Google」も常時SSL化すると発表している。全てのページをSSL化することでユーザーはより安全にWebサイトの閲覧が可能になるためだ。

Google Chromeのアドレスバー表示

Google Chromeのアドレスバー表示

目次へ戻る

HTTP/2の登場により常時SSL化が加速

常時SSL化が加速している背景にはさまざまな要素がある。特に大きな要素は「HTTP/2」の標準化だ。「HTTP/2」とは、インターネットの通信規格「HTTP/1.1」の実質的な後継となるもので、実に16年ぶりのアップデートとなった。「HTTP/2」の特長の一つに高速化がある。しかも、HTTP接続よりもHTTPS接続の方が高速になるという現象が起きている。その理由は、HTTPの特性とWebブラウザーの実装にある。

従来の「HTTP/1.1」では、Webブラウザーでファイルをダウンロードする際に、一つのファイルのダウンロードが完了するまで、次のファイルのダウンロード要求を送信できない仕様となっている。このため、ホームページのような小さいファイルをたくさんダウンロードする場合には表示に時間がかかってしまう。一方「HTTP/2」では、多数のファイルを並行してダウンロードできる仕様となっているため、「HTTP/1.1」よりも高速化が期待できる。

また、「HTTP/2」はHTTP接続とHTTPS接続の両方に対応しているが、WebブラウザーメーカーはHTTPS接続を前提に「HTTP/2」の実装を進めている。つまり、「HTTP/2」の効果はHTTPS接続でないと発揮されない。そのため、実質的に「HTTP/2」の高速化を享受するためには、SSL化が前提となるわけだ。

HTTP/1.1とHTTP/2のリクエストとデータのやりとり

HTTP/1.1とHTTP/2のリクエストとデータのやりとり。HTTP/2は多数のファイルを並行してダウンロードできる。

目次へ戻る

常時SSL化のメリットと導入のポイント

常時SSL化のメリットは、「HTTP/2」による高速化だけではない。全てのページを暗号化することで、暗号化強度が弱い、あるいは暗号化されていない無線LAN(Wi-Fi)に接続した際にも、盗聴による情報流出を防ぐことができる。通常の通信でも、SSL化しないことによるリスクが高まっている。さらに、Googleが検索ランキングにおいて、常時SSL化されたサイトを優遇するという発表を行っている。その効果は数パーセントといわれるが、その数パーセントの差が検索結果の順番に影響することも多い。

また、SSL化の際にはSSLサーバー証明書を導入することになるが、この証明書にも種類がある。現在は「DV証明書」「OV証明書」「EV証明書」の3種類があり、基本的にDV、OV、EVの順に信頼性が高くなっていく。具体的な違いと、どのように使い分ければいいのかを説明する。

DV(Domain Validation:ドメイン認証)証明書は、サーバーの運営組織がドメインの利用権を有することを確認して発行されるもので、審査が最もシンプルだ。このため短時間・低コストで入手できるケースが多く、無料のものも登場している。その半面、運営組織の実在性やドメイン名との関係などは確認せずに発行される。

DV証明書は、不特定多数の利用者がアクセスするようなECサイトなど、一般的なWebサイトには適していない。例えば社内向けのポータルサイトや、暗号化機能のみが必要とされるシステム環境での利用が適切といえる。

OV(Organization Validation:企業実在性認証)証明書は、ドメインの利用権だけでなく、運営組織の実在性の確認やドメイン名との関係についても確認して発行される。そのためOV証明書は、不特定多数の利用者がアクセスするような、一般的なWebサイトでの利用に適している。特に企業の顔となるような公式サイトでは、OV証明書を利用することが勧められている。

EV(Extended Validation)証明書は、3種類の証明書の中で最も厳格性が高く、価格も高いものとなっている。例えば運営組織の実在性については、CA/Browser Forumが規定した国際的な基準に基づいて確認される。また、Webブラウザーのアドレスバーが緑色で表示され、そこに運営組織名も表示されるので、Webサイトの利用者に安全なWebサイトであることを分かりやすく伝えることができる。不特定多数の利用者がアクセスするようなWebサイトだけでなく、ショッピングサイトやアンケートページなど利用者が個人情報を入力するようなWebページで特に有効といえる。

常時SSL化といっても、全てのページにEV証明書を導入したところで、コストがかかるだけでメリットは少ない。トップページやログインページ、決済ページなどに使用することが効果的だ。それ以外の外向けページにはOV証明書、社内向けのページにはDV証明書を使うなど、適材適所の運用が効果的といえる。

目次へ戻る