Googleの目指す常時SSLは先憂の心ではじめたい
先憂後楽という言葉をご存じだろうか?
先に努力や苦労をすれば、後は楽々!と誤解する人も多いようだが、元々は政(まつりごと-政治)を司る人間は、国の大事については、世の人がまだ気づかない先からその問題を心に留めていろいろと処置し、そして国がよく治まり、人民が楽しんでいるのを見届けてから、初めて自分も楽しめという格言だ。
Googleは、HTTPSを使ったセキュアな接続の普及が当然になるIT社会を目指している。
GoogleのブラウザChromeの取り組みをみても、近い将来「常時SSL化」が、ユーザーのブラウジングルーチンに、「サイトの安全性」が影響していくと想定していることが読み取れる。
Chromeでは、アドレスバーの鍵をクリックするとウェブサイトの接続が確認可能だ。
ウェブも安全が求められる時代
成熟した世界では、衣食住、生活に関わるものすべてに安全が求められるようになった。
同様に、ITも「そこにあればいい」時代は急速に終焉に近づき、「安全」が求められ、「安全」ではないサイトは淘汰されていくであろう。
2014年12月から2015年1月に、Googleの広告プログラム「AdSense」に不正広告が掲載され、ウェア感染サイトにリダイレクトされる問題が相次いで起こった。
悪意をもった人間こそが悪いのだが、IT社会において、ウェブを管理する運営者のセキュリティーへの対策も問われている。
実際に、金融業界のサイトや政府のサイトでも個人情報流出が起き、その対応には、日本という国民性の甘さを感じる。
Google Display NetworkやDoubleClickパブリッシャーに配信される広告の大部分は、2015年6月30日までに暗号化されると発表された。
現在、個人情報入力を求めるページにSSLサーバ証明書でセキュアな接続がされているサイトも、今後は、サイト全体に適用させていくことが当然になるだろう。
SSLサーバ証明書はコストもかかる。接続にも、過去、時間を費やしていたが、その接続時間も加速的に改善されている。
こうした時代を先取りし、将来、問題となるであろうITの安全性のために、初期段階から手を打っておく「先憂の心」をもって、サイト運営を行うべきであろう。
明確なGoogleの常時SSL化の理由
2010年「Firesheep」という誰でもハッカーになれてしまうFifefoxのアドオンが配布された。
F-Secure Corporationのmikko_hypponen氏の「Firesheep」:複雑だったことを容易にするツールは、当時、多くの人が驚いた。
公共のWiFiネットワークをスキャンして、Facebook、Twitter、Google、Amazon、Dropbox、Evernote、Wordpress、Flickr、bit.lyといった、Webサービスにログインしているユーザーを洗い出し、そのユーザーに成りすますことをいとも容易く可能にしてしまったのだ。
予防は完璧ではないが、無防備に曝け出していることは、自分で自分の首を絞めるようなものだ。
SSLサーバ証明書には、個人情報を守る暗号化ツールとしての機能に加え、通信先のサイト運営主体の身元確認(ID情報確認)機能がある。
そのページの個人情報は守られても、サイト運営の身元が「なりすまし」であった場合、危険もあり得る。
SSLサーバ証明書を発行する認証局は、身元(ID)情報確認の際、ドメイン管理権限の有無、法的実在性や事業実態の有無等を、認証局個別の恣意性を排除し厳格に検証している。
Google理想ブラウザのセキュリティ表示
Googleは「HTTPは安全でない」と明示し、「HTTPS」については、現在の仕様では、HTTPSを使っているWebサイトには安全であることを示す鍵マークが表示されるが、いずれ、HTTPのようにノーマークにするという。
つまり、当然あるべきものであり、Google検索順位の表示にもSSLサーバ証明書のないサイトは、いずれ淘汰されていくだろう。
具体的にはセキュリティ状況は3段階に分類されるという。
1.有効なHTTPSなどを使っている場合は「安全」(Secure)
2.HTTPSを使っていてもTLSにマイナーなエラーがあるといった場合は「疑問あり」(Dubious)
3.HTTPを使っている場合は「安全でない」(Non-secure)
Googleは以下のように説明する。「Web上のデータ通信はすべてセキュアで行うべきだ。情報セキュリティが存在しない(安全でない)ことを明らかにする責任がある。そして、ユーザーは、それらの情報を知り得た上で、自己責任で対応を決められるようにしなければならない」と。
米国家安全保障局(NSA)によるネットの監視活動の事例でもWeb上の改ざんや監視などの攻撃は、実際に横行していると伝えられている。
食の安全が長い時間を費やして、できるだけの真実表示が求められるようになったように(それでも法ギリギリの不当表示は無くならないが)、個人ページであっても、SSL導入は、運営の責任を問う指針になるであろう。
参考:総務省「国民のための情報セキュリティサイト」