Webサイトの常時SSL化が加速、そのメリットとデメリット：セキュリティ強化塾（3/3 ページ）

[キーマンズネット]

常時SSLで気を付けること

　このようにSSL化には多くのメリットがある。しかし、SSLサーバ証明書の取得にはコストが掛かる上に、定期的に証明書を更新する必要もあり、SSL化は必要最低限しか行われてこなかった。だが、今後はWebサイトの主流が常時SSL対応になっていくと想定されており、“損益分岐点”が変わる可能性がある。この潮の変わり目の到来に備え、一般的なSSLサーバ証明書導入時の注意点をチェックしよう。

HTTPS関連の脆弱性に注意

　暗号化のプロセスにおける各種ツールの「脆弱（ぜいじゃく）性情報」には目を光らせておきたい。例えば、2014年4月に発生したOpenSSLの脆弱性、通称「Heartbleed」では、SSLサーバ証明書の秘密鍵が漏えいする可能性があった。このような脆弱性が明らかになったタイミングで、該当のツール／プログラムを適切にアップデートする必要がある。

「証明書入れ替え」の訓練

　Heartbleed対策では、プログラムのアップデートだけでなく「証明書の入れ替え」も適切に行う必要があった。さらにSSLサーバ証明書には有効期限が設定されており、通常1〜3年に一度、証明書のメンテナンスが必要になる。全ページのアクセスがSSL前提となれば、証明書の有効期限切れはWebサイト閲覧者に不安感や不信感を与えてかねない。作業頻度の低さ故に、担当者の経験やスキルに依存しないよう手順をドキュメント化しておきたい。

混在コンテンツの排除

　常時SSL化は、「WebサーバにSSLサーバ証明書を設定し、HTTPSでアクセスすれば完了」というほど簡単に終わるものではない。HTMLソースを見れば分かるように、一般的にWebページを構成するパーツをさまざまなところから呼び出している。WebサイトのHTMLを全面的に見直す必要がある。

　例えば、URLが「https://」から始まるWebページからJavaScriptやCSSファイル、画像ファイルなどをHTTPで呼び出すと、ページに「錠」マークが表示されない。これはHTTPとHTTPSのコンテンツが混在した状態になっているからだ。また、このような状態では、なりすましや暗号化されていないCookieを仕込まれるリスクがあるため、Webブラウザが「セキュリティ警告」を表示する。

コラム：一緒に検討したい「HSTS」とは

　既にHTTPで運営しているWebサイトを常時SSLへと移行したいのであれば、HTTPでアクセスしてきたリクエストをHTTPSにリダイレクトすることが必要になる。しかし、リダイレクトが適切に設定できていないと、悪意あるものにその隙を突かれて偽サイトに接続され、HTTPによる中継を行うような仕組みを埋め込まれる可能性がある。「中間者攻撃」による盗聴だ。

　このような攻撃を防ぐために「HSTS」（HTTP Strict Transport Security）を設定しておきたい。これはWebサイトがWebブラウザに対して「今後もこのサイトにアクセスするなら必ずHTTPSで接続するように」と伝え、HTTPによるアクセスをさせない仕組みだ。HSTSは「RFC 6797」として規定されており、ApacheなどのWebサーバ、IE、Chrome、Safariなど著名なWebブラウザが対応している。