Webサイト全体をSSL化することで、高いセキュリティを実現する「常時SSL」への移行が本格化しつつある。SSLサーバー証明書で高い実績を誇るシマンテックに「常時SSLは高コスト」「通信は遅くなる」「管理が大変になる」といった常時SSLにまつわる懸念について聞いてみた。
Webサイトの信頼性を高める常時SSLとは?
常時SSLとは、文字通りWebサイト全体にSSL※を実装すること。1990年代のインターネット黎明期から、Webサイトのセキュリティを守ってきたSSLを用いて、Webサイト自体の安全性をユーザーに保証すると共に、通信を暗号化し、データの漏えいを防ぐ。以前は問い合わせやショッピングカードのフォームのみSSLをかけることが多かったが、これをサイト全体に拡大するのが常時SSLだ。
※通信の暗号化技術の名称として「SSL」が広く普及しているため、本稿では「TLS」を指していてもSSLと表記しています
既存のSSLの利用と常時SSLの違い
常時SSLはセキュリティ面でのメリットが大きい。昨今は銀行やコマースサイトでは対策が進んできているため、昨今のサイバー攻撃では対策の遅れている官公庁や一般企業をターゲットにすることが多い。「特に無線LANの普及により、通信に割り込んで正規ユーザーになりすます「中間者攻撃」のセキュリティのリスクが高まっています」とシマンテックの中川就介氏は指摘する。
シマンテック Trust Services ダイレクト・チャネルマーケティング部 マネージャー 中川就介氏
銀行やコマースサイトでもないのに全サイトをSSL化することにためらうIT部門は多いだろう。また、クレジットカードやパスワードを入力させてない、そもそも個人情報を入力させているフォームがないというユーザーもいるだろう。しかし、最近ではメールアドレスやCookie、アクセスするユーザーの嗜好性も保護の対象になっている。そのため、「フォームだからSSL」という前提は崩れつつある。その点、まるごとSSL化できれば、サイトとの通信はすべて暗号化されているのを前提にして、Cookie等をやりとりできる。Webサイト自身の信頼性を高め、ユーザーに安心感を与えることが可能になるわけだ。
HTTP/2時代になると常時SSLの方が速くなる
常時SSLの概念自体は決して新しいものではないが、以前はWebサイトの信頼性を向上させるセキュリティ対策としてのみ捉えられていた。ユーザーに個人情報を安心して登録してもらうためのどちらかというと守りの投資だったわけだ。しかし、現在では常時SSLによって、Webサイトの設計や開発負荷の軽減や通信速度の向上、さらにはアクセス解析やSEOの向上などさまざまなメリットが得られる。
たとえば、従来のようにSSL化の有無で導線を分けずに済むため、Webサイトの設計や開発が楽になる。「誤解されることも多いのですが、同一サイト(FQDN)内であれば、100ページだろうが、100万ページだろうが、インストールや管理のコストはページ数に応じて変わるわけではありません。フォームをSSL、通常ページをHTTPで分けて管理するより、全部SSLにして、ページ間のリンクには相対パスを指定してしまった方が管理も楽になるケースが多く、結果的にコストパフォーマンス向上につながります」とシマンテックの阿部貴氏は指摘する。
シマンテック Trust Services プロダクトマネジメント部 マネージャー 阿部貴氏
また、常時SSLを用いた方が通信速度が速くなるという点もある。SSLと言えば、暗号化の処理でサーバーの負荷がかかるため、通信は遅くなるというのが定説だが、それとはまったく逆の事実だ。
ここには、さまざまな高速化技術を施した次世代プロトコルHTTP/2への移行が急速に進んでいるという背景がある。「5月にIETFで標準化されたHTTP/2での通信の場合、主要なWebブラウザはHTTP/2のプロトコルをSSL前提で実装します。HTTP/2による速度向上の恩恵を受けるためには常時SSL化を検討することになります」と中川氏は指摘する。
実際、速度計測サイトで計ったところ、HTTPで10秒かかるサイトの表示が、HTTP/2では2秒で終了する。並列処理能力の高いマルチコアCPUの普及や新暗号アルゴリズムECCの採用などのほか、サーバー設定のチューニングなどで、SSLでありながらより高い性能を得ることも可能。「SSLで遅くなる」はもはや過去の話と言ってよい。
HTTP/2の速度面での恩恵を受けるにはむしろ常時SSLの方が向いている
米国の政府系サイトは2016年までにすべて常時SSL化
ここまではおもにIT部門にとっての常時SSLのメリットだが、Webサイトを管轄するWebディレクター側にもいくつかメリットがある。まずは多くのリファラ情報が取得できることだ。HTTPリファラを使えば、クライアントがどのサイトから訪問してきたかを分析できるが、SSLサイトから非SSLサイトに移動してきた場合は、ブラウザのセキュリティの仕様によって、リファラ情報を収集することができない。ログ解析しても、どのサイトから訪問したかをきちんと調べられないわけだ。しかし、Webサイトを常時SSL化して置けば、SSLサイトからの訪問でもリファラ情報を多く収集できる。
さらに常時SSL化されているサイトの方が、検索順位が高まるというメリットもある。Googleが通常のHTTPサイトよりも、SSLサイトのページランキングの優先度を高めているのは、ご存じの通り。もちろん、サイトの身元が証明されているSSLサイトであれば、ユーザーも安心。「サイト全体をSSL化すること自体が企業のセキュリティに対する積極的な姿勢を見せることになり、サイトの信頼性につながっていきます」と中川氏は語る。今後、ChromeなどのWebブラウザではSSL化されていないサイトに警告を出すことも検討している段階だ。
こうした常時SSL化の流れは、もはや止められない。Google、Facebook、Twitter、YouTube、Wikipedia、NetflixなどのWebサービス事業者の多くはすでに常時SSL化されているほか、米国の政府機関も政府系サイトをすべて常時SSL化するガイドラインを発行している。現状、米国政府系サイトの常時SSL化率はすでに34%程度(2015年11月時点)に達しているが、2016年末までにはすべてをSSL化していく計画となっている。インターネットのトラフィックの1/5がすでにSSLとなっており、将来的にはデフォルトが常時SSLになっていくと見込まれる。
米国政府サイトのSSL化率はすでに34%に達している(出典:Pulse https://pulse.cio.gov/)
このように常時SSLはもはや「行くか、行かないか」という話ではなく、「いつ行くか」というのが今のテーマになっているわけだ。中川氏は、「大手の採用、HTTP/2の標準化、ホスティングサービスの拡充など、常時SSLを巡る外部環境がこの数年でずいぶん変わっています。理解も進み、常時SSLに移行するサイトも増えています。Webディレクターの方に対する問い合わせも今後確実に増えてきます。将来やるのではなく、今やることで競争力のあるポジションをつかんでいただきたいです」と指摘する。
常時SSLにおける証明書選びの決め手とは?
あらゆる点で常時SSLのメリットは明らかだ。しかし、常時SSLに移行するに当たって、一番悩ましいのはコストの問題だ。常時SSLサイトには当然ながらSSLサーバー証明書が必要になるため、HTTPのサイトよりコストがかかる。今までは個人情報保護を行なう必要のあるサイトのみSSL化していることが多いはずだが、これがサイト全体に拡大するとのことで、コスト面は当然懸念される。
これに関してシマンテックは、不特定多数のユーザーにも高い視認性を持つEV証明書を導入するのが理想だが、サイトの規模や性質によっては、現実的ではないと主張する。「SSLサーバー証明書自体は低価格なものを含めいくつか種類がある。”www.”にはEV証明書を利用しつつイントラネットにはDV証明書を用いるなど、利用シーンに応じた使い分けが今後のベストプラクティスとなるだろう」と阿部氏は語る。商用の証明書を販売しているベンダーとしては、異例とも言える現実的な選択肢だ。
こうした前提の上で、ドメインの所有名義を審査する暗号化メインのDV証明書、企業の実在を認証するOV証明書、グローバルで統一した実在証明基準を持つEV証明書など複数の証明書、セキュリティの強度に合わせて使い分けるのがベストな最適解だという。もちろん、シマンテックはすべての種類の証明書を提供しているので、まずは認証レベルにあわせた証明書を選択。ドメイン名に応じて、複数のサブドメインに対応するワイルドカードや複数のドメインに対応するマルチドメインなどを選択すればよい。
シマンテックのSSLサーバー証明書ではセキュリティの強度に応じてDV証明書(ジオトラストから)、OV証明書、EV証明書などを選択できる
なにより重要なのは、SSLサーバー証明書の正当性を担保する認証局の信頼性だ。いわゆる“オレオレ証明書”の場合、外部機関の保証がないという根本的な欠陥のほか、責任者は不在、盗難に気づかない、何枚あるのか把握するのも難しいという管理上の問題がある。これに対して、商用の証明書を1990年代から展開してきたベリサインブランドを引き継ぐシマンテックグループでは、認証局としてのインフラやプラットフォーム対応、企業ユーザーへのサポートにも高い実績がある。
商用の証明書でも、安いだけのサービスを使うと、認証局のインフラ自体が外部の攻撃に晒され、攻撃者に悪用される可能性がある。実際、オランダの老舗認証局であるDigiNotarは2011年6月に認証局管理のサーバーすべてをハッキングされ、不正なSSLサーバー証明書が悪用されてしまった。その結果、Webブラウザの信頼される認証局リストから外され、利用者はサイトへのアクセス時の警告などを回避するため、他の認証局から証明書を再度購入せざるをえなくなったという。コストだけでSSLサーバー証明書を選択すると、後で痛い目を見るという好例と言える。
次世代Webサイトの常時SSL化をシマンテックで始める
常時SSLは魅力的だが、移行ノウハウが少ないという声も多い。特に日本で常時SSLにチャレンジしている企業が多くないため、移行のためにどのような作業が必要か、プロジェクトの見積もりができないという悩みもあるだろう。これに対しては、日本でも公的なSSLの実装ガイドラインが提供されるようになったほか、シマンテック自体もセミナーやホワイトペーパーの提供を準備しているという。
【ホワイトペーパー】Web担当者とサーバー担当者のための「常時SSL化」成功のポイント
Webサイトの全ページをHTTPS化する「常時SSL/TLS」が、大きなトレンドとなっている。一方でWeb担当者やサーバ担当者の中には、その意義は十分に理解しつつも、常時SSL/TLS化には特別なスキルや手間が必要になると考えて導入に二の足を踏んでいる方もいるのではないだろうか?
本書では、常時SSL/TLS化へと踏み出すためにWebサイト設計・運用の現場を担うWeb制作者とサーバー担当者が抑えておくべきポイントをわかりやすく解説する。
ダウンロードはこちら
運用管理の手間が心配というユーザーは、常時SSLで提供するホスティングサービスやクラウドを利用するという選択もある。「多くの大手クラウドベンダーがシマンテックとパートナーシップを結び、率先して常時SSLの環境を提供しています。今後は日本でのパートナーシップも進めていきます」と阿部氏は語る。証明書管理を自動化するサービスやツールも進化しているほか、1つのIPアドレスで複数のバーチャルドメインを利用できるSNI(Server Name Indication)を採用する事業者も増えており、常時SSL導入の敷居は確実に下がっていると言えよう。
特にグローバル化やインバウンド市場を狙う企業において、サイトの信頼性を担保するためには、SSLサーバー証明書は重要な武器になる。中川氏は、「常時SSLでEV SSL証明書を導入なさったお客様にその理由を聞いたところ、海外での認知度が不十分な企業が信頼できるかどうかをアピールするためにも、アドレスバーがグリーンになるEV SSL証明書は必要だったとおっしゃっていました。認証のバリューを理解していただいているお客様は確実に増えています」と語る。
「認証のバリューを理解していただいているお客様は確実に増えています」(中川氏)
もちろんWebサイトのセキュリティ対策はSSLサーバー証明書のみでは終わらない。Webサイトへの攻撃は苛烈を増しており、多くの企業にとって人ごとではないからだ。その点、セキュリティ専業ベンダーであるシマンテックでは、SSLサーバー証明書のみならず、WAFや標的型攻撃対策、情報漏えい対策など幅広いポートフォリオを持っており、セキュアで安定的なWebサイトの運用を力強くサポートしてくれるはずだ。
(提供:シマンテック・ウェブサイトセキュリティ)
