Symantec Website Security

Home > Symantec Website Security > 製品情報 > 常時SSLとは

常にSSLをかけておく理由 - 「常時SSL」とは?

「常時SSL」とは、ログインページや決済ページなど通常暗号化が必要とされているページだけではなく、全てのページをSSLで暗号化する手法です。常時SSLによってCookieやURLパラメータで保管されることが多いユーザ識別子(セッションIDなど)が常に暗号化され、検索履歴、会員情報、オンラインショッピングなどがより安全になります。ユーザが訪問する全てのウェブページを常にエンド・ツー・エンドで守る事で、サイトの信頼性を高めることができます。

常時SSLは基本的で導入も簡単で、ウェブサイト運営団体の実在性を確認できる手段を提供したり、Cookieを含むユーザとウェブサイト間でやり取りされる機密情報を暗号化し、不正なアクセスから情報を守ることができます。

常時SSLが必要な理由

広がる常時SSLの動き

米国の非営利法人Online Trust Allianceでは、常時SSLの導入を積極的に呼び掛けています。現在、世界有数のサイトも常時SSLを導入し、Firesheepや悪意のあるコード、マルバタイジング(悪質な広告)などによるセッションハイジャックや中間者攻撃からユーザを守っています。※1

2012年2月米国で開催されたRSAカンファレンスでは、OTA主催のパネルディスカッションで、シマンテック社、グーグル社、マイクロソフト社、ツイッター社、フェイスブック社、ペイパル社が各社の常時SSL導入に関するディスカッションを行いました。

常時SSLを導入するメリット・事例

 
セキュリティ上の利点

Firesheepの登場
オンラインでの攻撃がより頻繁に、より容易になるにつれて、機密情報を扱うすべてのオンライン取引の安全性を監視しなければいけなくなりつつあります。2010年10月にEric Butler 氏によって公開されたFirefoxアドオン「Firesheep」の出現により、ホットスポットと端末の間に割り込んで、個人情報を盗み取る中間者攻撃が容易にできるようになりました。Firesheepは同じホットスポットに接続している他人のアカウントでなりすましを可能にしてしまうツールで、特にフリーのホットスポット(公衆無線LAN)ユーザはアカウントを乗っ取られるリスクが高くなります。

空港や喫茶店など公共施設のWi-Fiネットワークは利用を促進するために、しばしば暗号をかけていない、あるいは脆弱な暗号のなままになっています。Firesheepのようなツールを使うと、暗号化されていないHTTPセッションを簡単に盗聴したり、ユーザのCookieに割り込んで、Cookie内の機密情報を盗み取ることができてしまいます。

広がる無線LAN(Wi-Fi)

Wi-Fi

最近では、スマートフォン、タブレット、PSP、ニンテンドーDS、デジカメ、携帯ルータ等のWi-Fi対応端末が増加しています。加えて、スマートフォンをWi-Fiスポットにして複数の携帯Wi-Fi機のハブとするテザリングの登場など無線LAN利用環境は急拡大しています。
また、ホテル、空港、カフェなどの無線LANインフラが広がったことに加えて、携帯キャリアの3Gオフロード戦略なども後押しになり、無線LANインフラは今後も拡大が見込まれます。
このような無線LAN環境の増大は、中間者攻撃にエンドユーザが晒されるリスクが増大することにも繋がる可能性があります。

常時SSLでエンドユーザを保護
中間者攻撃に対するエンドユーザ側での対策には限界があることから、恒久的にはウェブサイトの運営者によるサーバ側での対応が求められます。全てのウェブページにSSLサーバ証明書を導入し、常時SSL化すると、端末ユーザがホットスポットを経由して、ウェブサイトにアクセスする時に、Cookieの情報を保護することができます。

page up

マーケティング上の利点

常時SSLを利用することによりマーケティング面でもメリットがあります。

Cookieのセキュア属性
以下のような標準的なウェブサイト構成を例にしてみます。

  URL 接続 Cookie
セキュア属性 セッション
TOP www.abc.com http/https −/ 受け渡し可能 有効範囲
製品紹介 www.abc.com/products/ http
FAQ www.abc.com/faq/ http
ログイン www.abc.com/account https 受け渡し可能
決済 buy.abc.com https 受け渡し可能

通常、セッションCookieの定義時に有効範囲とセキュア属性の定義を行うことができます。セキュア属性を指定すると、httpsの通信時にのみCookieを送信できます。仮にhttpsのログインページで作成したCookieにセキュア属性が定義されていないと、httpの製品紹介ページでCookieを参照することができてしまいます。

常時SSLとセキュア属性できめ細かいマーケティングを
httpのページで機密情報を含むCookie情報を渡さないように、セキュア属性を定義するだけでなく、常時SSL化することにより、製品紹介ページでログイン情報を利用したマーケティングができるようになります。例えば、ログイン情報を基にユーザに合った製品を製品ページで表示するなどのきめ細かいマーケティングが可能になります。

page up

常時SSLの先進事例

米国では最も有名なウェブサイトで常時SSLの動きが広まっています。2012年2月に米国で開催されたRSAカンファレンスでは、OTA主催のパネルディスカッションで常時SSLの事例が紹介されました。

グーグル社
2010年5月、グーグル 社は検索の暗号化オプションを導入し、ユーザは他のユーザによる傍受に対して、より保護された状態で検索ができるようになりました。また、グーグル 社は最近、サインインしているユーザのデフォルトの検索環境として HTTPS を使用し始めました。この変更により、ユーザの検索クエリーとグーグルの検索結果ページが暗号化されるようになりました。google.co.jpでも2012年3月から、ログインユーザの検索環境としてHTTPSを使用し始めました。
フェイスブック社
2011年1月、フェイスブック社は 常時SSL の実装を開始し、ユーザは https によってウェブサイトを閲覧できるようになりました。フェイスブックのアクティブユーザの19パーセント以上が、安全なウェブ閲覧の有効化を選択しました。HTTPS に対応していないサードパーティのアプリケーションでは、ユーザが安全な ウェブ閲覧を行っているときに、コンテンツの混在に関するセキュリティ警告がブラウザで表示され、多くのアプリケーションがブロックされます。
自社のフェイスブックページをSSL対応させるにはiframe内のコンテンツを自社管理のSSL対応ホスティング領域にアップする必要があります。そのため、フェイスブック社は、開発者の移行を支援するため、サイトとアプリケーションをhttpsに移行するための開発者向けロードマップを作成し、6カ月間にわたる計画の概要を明らかにしました。
ペイパル社
ペイパル社は、2000 年にはすでにユーザのログイン画面以降の全ページを HTTPS 経由で提供しており、2006 年には ログイン画面もHTTPS によって保護し始めていました。また、ペイパル社は、EV SSL証明書を導入した最初の企業の1つであり、早くも 2007年にはすべてのログインページにこの証明書を実装し始めていました。
ペイパルのサービスは多くのトランザクションを処理するものであるため、ペイパル社は、ユーザエクスペリエンスに影響を与えかねないパフォーマンスを注意深く監視し、管理しなければならないことを認識していました。しかし、ペイパル 社はブラウザへの接続によってすべてのコンテンツを同じサーバから提供できたため、実際には、HTTPSへの転換によってサイトが高速化されたケースもありました。

ツイッター社
ツイッター は話題性のあるいくつかのセキュリティインシデントにおいて標的となりましたが、ツイッター社は、サイトをより安全にする取り組みを急速に進めてきました。ツイッターの PC サイト、スマートフォンクライアント、モバイルサイトは、[ツイート]ボタンなどの機能も含め、すでに HTTPS に対応していましたが、ツイッター社はすぐに、常時SSL 実装という目標を掲げました 。2011年5月、ツイッター社は、ユーザが決めた設定に基づき、常にhttpsを使用できるオプションを提供すると発表しました。2012年1月にすべてのユーザに常時SSLを提供開始し、https はすべてのユーザのデフォルトオプションとなりました。

page up