Bizコンパス

なぜサイト全体をHTTPS化する必要があるのか?
2019.05.16

今知っておきたいITセキュリティスキルワンランクアップ講座第11回

なぜサイト全体をHTTPS化する必要があるのか?

著者 北河 拓士

 Webサイトなどでパスワードやクレジットカード番号などの機密情報を入力する場合は、ブラウザのアドレスバーに「鍵マーク」が出ていることや、URLが「https://」から始まることを確認するようにとのアドバイスを聞いたことがあると思います。「鍵マーク」やURLの「https://」は通信がTLS(Transport Layer Security)で暗号化されていることを表し、機密情報の盗聴を防げるとされています。

 従来は、機密情報を入力するページのみをHTTPS化し、それ以外のページではHTTPを用いることが一般的でした。しかし、最近では通常のコンテンツも含めたサイト全体をHTTPS化することが必須とされるようになってきました。今回はなぜサイト全体をHTTPS化する必要があるかについて解説してみたいと思います。

(サイト全体をHTTPS化することを「常時SSL」と呼ぶこともありますが、SSLはセキュリティの問題があり現在では推奨されていないこと、「常時TLS」という呼び方はあまり普及していないことから、ここでは「HTTPS化」と呼ぶこととします。)

 HTTPS化の役割には大きく分けて「通信の暗号化」、「通信の改ざん防止」、「通信相手の正当性の証明」の3つがあります。この3つの役割ごとになぜサイト全体をHTTPS化することが必要とされるようになったかを見てみましょう。

 

通信の暗号化

 HTTPSでは通信が暗号化され、通信経路の盗聴から保護されることは、多くの方が理解していると思います。しかし、以前はHTTPSを使用するのは、ログインページや個人情報の入力ページなど機密情報を入力するページに限定することが一般的でした。HTTPS通信では暗号鍵の交換や暗号化/復号などの処理が必要となるため、当時のネットワークインフラやサーバーのスペックでは、HTTPに比べオーバーヘッドが大きいとされていたからです。

 2010年頃までは、FacebookやTwitterなどの大手SNSでも、ログインページでのパスワード入力はHTTPSで暗号化されていましたが、それ以降のページは暗号化されないHTTPで提供されていました。ログイン後のページでは、ページにアクセスするたびに、ユーザを識別するためのセッションID(ユーザ識別子)がCookieとして送信されていましたが、これが暗号化されないHTTPで送信されていたため、公衆無線LANなどでの盗聴によりセッションIDが取得されることで、ユーザになりすましてWebサイトにアクセスをされる可能性がありました。

 また、私たちのプライバシーに関する情報は、氏名、住所、電話番号、生年月日やパスワード、クレジットカード番号だけではありません。

 たとえば、Webメールで読んでいるメールの内容や検索サイトで入力した検索ワード、Wikipediaなどのオンライン百科事典で何を調べているか、ECサイトでどのような商品を閲覧しているか、図書館の検索システムでどのような本を探しているのか、このような情報はプライバシーとして守られるべきものですが、以前はこのようなページは暗号化されないHTTPで提供されていることが一般的であり、通信経路での盗聴のリスクにさらされていました。

 HTTPSでは、本文だけではなく、HTTPヘッダー(Cookieなど)やURLのパス、クエリー文字列も暗号化されるため、通信経路でセッションIDや閲覧しているページ、検索ワードなどを取得されることはありません。(ただし、HTTPSでも通信先のIPアドレスやホスト名などは通信経路での盗聴により取得できてしまいます。)

 2010年1月にGmail 、2012年2月にTwitter 、2012年10月にGoogle検索 、2013年7月にFacebook がデフォルトでHTTPS化されるなど、大手サイトを中心に少しずつHTTPS化への機運が高まっていましたが、大きく流れが変わったのは… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

SHARE

あなたへのおすすめ

BCP/BCMの効果を最大にする、クラウドサービス活用術

2019.03.08

災害対策にも使えるクラウド

BCP/BCMの効果を最大にする、クラウドサービス活用術

聖域なきセキュリティ「ゼロトラスト・モデル」とは

2019.03.06

セキュリティ対策に求められる新たな視点第2回

聖域なきセキュリティ「ゼロトラスト・モデル」とは

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である