脆弱性管理

常時 SSL (AOSSL)
とは何ですか?

常時 SSL (AOSSL)とは何ですか?

常時 SSL は、Always on SSL(AOSSL)のことも呼ばれ、組織の Web サイトとサーバー全体に暗号化を適用(HTTPS 化)するための業界標準のベストプラクティスです。常時 SSL を正しく導入すると、社内および社外のすべての Web ページが暗号化され、サイバー攻撃にさらされにくくなります。包括的なセキュリティ体制を実現するには、常時 SSL を組織が直接管理する Web ページに適用するだけではなく、ベンダーやサードパーティーとの統合についても義務付ける必要があります。

ログインページやショッピングカートだけでなく、ユーザーが訪問するすべての Web ページを保護することができる HTTPS (エンドツーエンド暗号化)は、すべての Web サイトに必要です。顧客と自社の評判を守ることを真剣に考えている企業では、信頼できる認証局が発行した TLS/SSL 証明書による常時 SSL を導入しています。この簡単に導入できる基本的なセキュリティ対策は、Web サイトが正規のものであることを認証し、Web サイトとユーザー間で共有されるすべての情報(やりとりされる Cookie を含む)を暗号化し、データを不正な閲覧、改ざん、使用から保護できます。

インターネットソサエティや IETF など、インターネットの保護とセキュリティに取り組んでいる団体が組織にあらゆる場所で暗号化を導入するよう呼びかけており、そのことも常時 SSL の普及に一役買っています。世界で最も成功している Web サイトの中には、常時 SSL を導入して、かつての Firesheep や悪意のあるコードのインジェクションなどの脅威によるサイドジャッキングやハッキングなどを未然に防ぐことに成功しているサイトもあります。

オンライン攻撃の頻度が高まり、実行が容易になるにつれて、機密データを伴うあらゆるオンライン取引の安全性を確保することについて、世界中の組織がより厳しい目を向けるようになってきています。現在、組織が直面している具体的な課題の 1 つとして、安全性の低い Wi-Fi や Cookie が至る所に存在しており、空港やカフェなどの公共の場所の Wi-Fi ネットワークは利用しやすいように認証なしで開放されていることが多いということが挙げられます。Firesheep などのツールの登場により、暗号化されていない HTTP セッションを盗聴し、ユーザーの Cookie を傍受し、Cookie に含まれる機密情報を盗んで Web サービスにアクセスすることは、これまでになく容易にできるようになっています。

政府関係者やプライバシー保護団体は企業に常時 SSL を提供するよう求めています。TLS/SSL ハッキングの報道を受け、議員らは Web サイトの常時 SSL への移行を早めるよう公的に要請しています。

ブランドを守るのに常時 SSL が重要である理由

たった 1 回のデータ侵害があなたのブランドを台無しにしてしまうかもしれません。1 回のデータ侵害で平均 424 万ドルのコストがかかります。IBM 社による 2021 年「データ侵害のコストに関する調査」レポートによれば、その 38% にあたる 159 万ドルはビジネス機会の損失によるものです。つまり、データ侵害が発生すると、現在、そして将来の顧客の多くが別の取引先に乗り換えてしまうということです。データ侵害による総コストが最も高かったのは 11 年間連続して医療機関で、923 万ドルです。

エンドユーザーと Web サイトの間の接続が保護されていないと、ハッカーに Web サイトとサーバーを攻撃するための悪質なコードを仕込む隙を与え、データ侵害につながる可能性があるのです。