脆弱性管理

HTTPS Everywhere
とは何ですか?

HTTPS Everywhere とは何ですか?

HTTPS Everywhere とは、インターネットの脅威からユーザーエクスペリエンス全体の安全を守るための Web サイトのためのベストプラクティスのセキュリティ対策です。これは単に、HTTPS (TLS/SSL によって実現されるセキュアな Web プロトコル)を選択的にではなく Web サイト全体にわたって使用することを指す言葉です。つまり、Web サイトのすべてのページを TLS/SSL 暗号化によって保護し、Web ブラウザに「安全でない」サイトとして表示されないようにするということです。

HTTPS は、Web サイトのアイデンティティ、接続、データ完全性を認証し、Web サイトとユーザーの間で共有されるすべての情報(やりとりされる Cookie を含む)を暗号化し、データを不正な閲覧、改ざん、使用から保護します。高度ななりすまし、インジェクション、中間者攻撃からユーザーを守るためには、ブラウジングセッション全体にわたって安全な接続を維持することが不可欠です。

ブラウザと HTTPS の利用促進

ユーザーの接続の一部だけを保護することは、もはや容認されません。Web サイトで HTTPS を断続的に使用している場合、TLS/SSL の暗号化とセキュリティで保護されるのは一部のページのみで、他のページはデータの盗難、コンテンツのインジェクションや改変、インターネット監視によるプライバシー侵害の危険にさらされることになります。TLS/SSL を断続的に導入していては、ユーザーのセキュリティに対する期待や権利を満たすことができないばかりでなく、ブラウザや OS プラットフォームの要求にも対応できません。

Google、Mozilla、Apple などの主要なブラウザでは、HTTPS Everywhere の採用を促進する複数年にわたる取り組みの一環として、HTTP を使いづらくしてセキュアな HTTPS を積極的に奨励するために HTTP のみを使用するすべての Web サイトにネガティブな警告ラベルを表示しました。

HTTPS Everywhere で Web サイトのセキュリティを確保すべき理由

信頼はインターネットエコノミーの基盤です。その信頼を獲得するためには、ログインページやショッピングカートだけでなく、ユーザーが訪問するすべての Web ページを保護するのに役立つエンドツーエンドのセキュリティが必要です。インターネット標準や Web ブラウザの新たな変更も HTTPS の使用を後押ししており、未だに HTTP を使用している安全でないサイトに積極的にペナルティを課しています。たとえば、Google は 2014 年以降、HTTPS で提供されているページについて検索結果のランキングをアップさせています。また、HTTPS のページのアドレスバーに「保護された通信」というラベルを表示していたこともありました。2018 年 7 月からは、HTTP のみを使用しているページについて Google Chrome に警告ラベルが表示されるようになりました。

すべての HTTP ページでユーザーに警告した最初の主要ブラウザが Chrome でした。インターネットが「デフォルトで安全」という基準に移行するにつれて、他のブラウザも追随しました。また、HTTPS は多くの新しい Web 技術やブラウザの機能を利用するには必須です。たとえば、HTTP/2 (Web サイトのパフォーマンスを大幅に向上させる可能性のある Web 通信プロトコルの根本的な改善)や、各種ブラウザ機能(ジオロケーション、通知、Service Worker、Google の AMP モバイル規格、新しい圧縮手法など)です。簡単に言えば、HTTPS を導入しなければ、あなたの Web サイトは事実上「過去の遺物」となってしまうということです。

HTTPS Everywhere に移行するための 3 つのヒント

  1. 「混合コンテンツ」の問題を避けるため、サイトが依存しているすべてのサードパーティサービス(サイト上で動作する広告やアナリティクスサービスなど)が HTTPS で利用できることを確認します。
  2. Web サイトの一部が別々のサーバーまたはドメインで実行されている場合、追加の TLS/SSL 証明書を購入します。
  3. すべての Web ページを HTTPS 対応の新しいページにリダイレクトし、Google ウェブマスターツールを更新します。HTTPS Everywhere に切り換えると、SEO に影響があります。Google をはじめとする検索エンジンからは、これは新しいドメイン名に引っ越した場合と同様に Web サイトの移動とみなされます。