Webサイトの常時SSL化が加速、そのメリットとデメリット:セキュリティ強化塾(2/3 ページ)
ログイン画面や機密性の高い情報を入力させる場合に必須のSSLサーバ証明書。だが、Webサイトの全てをHTTPS化する時代となった。
当たり前だが常時SSLに対応することで、従来通りユーザーに対して「暗号化通信」というメリットを提供する。だが、これ以外にも多くの利点があることを紹介したい。
SSL暗号化は「公衆無線LAN」利用に効果てきめん
通信が常に暗号化されることでセキュリティ上のメリットが大きい。カジュアルに行われる可能性のある「盗聴」や「なりすまし」を防ぐことが可能である点は無視できない。
例えば、都市部で普及が著しい公衆無線LAN(フリーWi-Fi)サービス。ワークスタイル改革がバズワードになるように、企業のタブレットやスマートフォン活用が進んでいる。だが、外回りに出ている営業が何の自衛策も講じずに公衆無線LANサービスを使って仕事をするわけにはいかない。情報漏えいのリスクが高すぎるからだ。
フリーWi-Fiサービスが提供するアクセスポイントが暗号化されていたとしても、実際の運用ではパスワード(パスフレーズ)が共有されている。同じSSIDに同じパスワードで接続している他のユーザーであれば、ARPスプーフィングというハッキング手法を用いることで他者のHTTPでの通信内容を容易に盗聴できる。
そこで現状では、公衆無線LANを利用する際にはVPNを使って全ての通信を暗号化するという自衛手段が必要だ。だが、常時SSLが適用されていれば、そもそもWebサーバへの全てのアクセスがHTTPSになっているので、盗聴されたとしても通信内容は暗号化されておりリスクは低減する。
なお、自社サイトが一般消費者など不特定多数のユーザーからのアクセスを想定しているのであれば、単純なコンテンツページであっても常時SSL化しておくべきだろう。サイトの改ざんリスクを減らすことができる。
SEO効果アップと表示速度の改善
常時SSLはSEO(Search Engine Optimize)の面からも注目されている。しかし、この観点からは、これまでSSL化のデメリットばかりが強調されてきた。例えば、暗号化処理によってサーバ負荷が増えたり、Webサイトのレスポンスが遅くなったりするといわれ、それを改善するためにSSLアクセラレーターなどの追加投資が必要になるといった点だ。一体、何が変わったのか。
1つには、CPUの性能向上やクラウドインフラによるリソース追加の柔軟さといった技術的なアップデートが挙げられる。だが、それ以上に大きいのは「HTTP/2」の登場だ。このプロトコルに対応することで、接続の多重化やヘッダの圧縮による表示時間の高速化が可能になった。
そして、HTTP/2プロトコルを使うためにはTLS 1.2を適用する必要がある。つまり、高速化プロトコルを利用するためには、事実上、常時SSLが必須条件となっているわけだ。なお、HTTP/2プロトコルはGoogle Chrome、Microsoft Edge、Firefox、Safariなど主要なWebブラウザで対応済みだ。
さらに、Googleが「SSL/TLSはSEO順位向上要素の1つである」と公表しているという背景もある。似たようなコンテンツがあった場合には、常時SSLを実施しているWebサイトを優遇される可能性が高い。全コンテンツが常時SSLに対応していれば、サイト全体としての評価も高まるだろう。
HTTPとHTTPSの混在解消によるメリット
ログインページなどサイトの中に1カ所でもHTTPSが必要になるページがあれば、サイト全体でみるとHTTPページとHTTPSページが混在することになる。これが管理の煩雑さにつながる。
例えば、ユーザーの利便性を高めるためにCookieを利用している場合、HTTPページとHTTPSページ間のページ遷移時に受け渡しのための条件分岐プロセスが必要になる。常時SSLとなれば、データの受け渡しが簡単になり、サイト開発でもメリットが得られるだろう。
また、「ログ解析」にも影響がある。HTTPSページからHTTPページに遷移した場合、リンク元ページ情報である「リファラー(Referrer)」は引き渡されない仕様になっている。多くのサイトが常時SSLに対応していく中で、自社サイトがHTTPのままとなるとログ解析ができない項目が増加する可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.