常時SSL/TLSとは

常時SSL/TLSとは

常時SSL/TLSとはウェブサイトの全てのページをHTTPS化（SSL/TLS暗号化）するセキュリティ手法です。
これまでは個人情報を入力する場面など、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、
これをウェブサイト全体に広げる方法が常時SSLです。

なぜ常時SSL/TLSが必要なのか?
-常時SSL/TLS化が進む背景-

安全性の低いWi-Fiと中間者攻撃増加

空港やカフェなど公共の場所に設置されている安全性の低いWi-Fiネットワークは便利な反面、 特定のツールを使用すると、暗号化されていない通信が盗聴されます。利用中のCookieが傍受されると、Cookieに含まれるログイン情報を盗んで第三者がWebサービスにアクセスできてしまうといった被害が発生します。

新しいHTTP/2プロトコルによるブラウジング体感速度の向上

ウェブページの表示を高速化することができるHTTP/2プロトコルが登場しました。このプロトコルを使った通信を行うとストリームの多重化やヘッダ圧縮の機能により、ウェブページが表示されるまでの待ち時間を短縮化させることができます。 主要なブラウザでこのプロトコルを利用するためにはHTTPS（SSL/TLS）接続が必要となっているためウェブサイトのSSL/TLS化が進んでいます。

大手Webサービス、政府機関による常時SSL化の動き

米国では、Googleが2012年3月に検索サイトを常時SSL/TLS化したのをはじめとして、FacebookやTwitter、YouTube、Netflixといった大手Webサービスが常時SSLを採用するようになりました。また、米国政府は2016年米政府は2016年末までに、政府関連の「.gov」全サイトを常時SSL/TLS化することを義務付けています。 インターネットのトラフィックを計測しているHTTP Archiveの統計を見ても、HTTPSトラフィックが占める比率は年々増加しており、2015年8月の時点で全トラフィックの20％を超えるまでに至るなど、ウェブサイト管理者にとって常時SSLは今後検討すべき流れの一つといえます。

常時SSL/TLS導入のメリット

常時SSL/TLSを導入することで、「ウェブサイト価値の向上」「管理の効率化」「セキュリティの強化」といったメリットが得られます。ウェブサイトへの訪問者に安心・安全を提供することはもちろん、マーケティング部門においてはGoogle検索におけるSEOの向上やログ解析の改善、開発部門においてはウェブアプリ開発の効率化、情報システム部門においては盗聴・なりすましの防止、サイバー攻撃対策などのメリットがあります。

具体的にみていきましょう。

	常時SSL	一部SSL
マーケティング部門	Googleの検索順位優遇によりSEO対策に効果 ログ解析の精度を向上	HTTPページとHTTPSページが別々に扱われるのでSEO対策に効果がない ログ解析の精度が低い
開発部門	ウェブアプリ開発を効率化できる
情報システム部門	盗聴やなりすましを防止 ウェブサイトの信頼性を向上 通信速度の向上 攻撃者の事前調査を防御	盗聴やなりすましの危険がある 平文で通信するページがある 攻撃者に事前調査される

常時SSL/TLSの具体的なメリット

常時SSL情報リンクナビ

信頼は、インターネットでの経済活動の基礎

信頼を確実に得るためには、ログインページやショッピングカートだけでなく、ユーザーがアクセスするすべての Web ページを保護できるエンドツーエンドのセキュリティが必要です。

お客様の保護と企業の評価に真剣に取り組む企業は、信頼された認証局から発行される SSL/TLS サーバ証明書を利用して常時 SSL/TLS を実装します。この基本的で使いやすいセキュリティ対策により、Web サイトが本物であることを証明し、Web サイトとユーザーの間で共有されるすべての情報（交換されるすべてのクッキーを含む）を暗号化できるので、データの不正な閲覧、改ざん、または使用からデータを保護できます。

Online Trust Alliance は、Web サイトで常時 SSL/TLS を採用するように呼び掛けています。世界で最も成功した Web サイトの一部では、常時 SSL/TLS を実装して、Firesheep、悪質なコードインジェクションなどの脅威によるサイトジャッキングやハッキングから保護しています。¹

永続的なオンラインの保護の必要性

永続的なオンラインの保護の必要性 サイバー攻撃の頻度が高くなっており、また攻撃しやすくなっているため、世界中の企業は、機密データを伴うすべてのオンライン決済の安全性を確保する方法を詳しく調査しているところです。現在、企業は次のような課題に直面しています。

安全でない Wi-Fi や Cookie はあらゆるところにあります。空港、コーヒーショップなどの公共の場所で提供される Wi-Fi ネットワークは、多くの場合、利用しやすいように開かれたままになっています。Firesheep などのツールにより、暗号化されていない HTTP セッションで盗聴したり、ユーザーのクッキーを傍受したり、クッキー内の機密情報を盗んで Web サービスにアクセスすることが今までよりも簡単になっています。

FAQ: Firesheep とサイトジャッキングの防止

政府および個人情報保護団体は企業に常時 SSL を求めています。SSL/TLS ハッキングの報告に応えて、議会議員は、Web サイトの常時 SSL への移行を早めることを公的に要求しました。²

1 回の情報漏えいがブランドを棄損しかねません。『U.S. Cost of a Data Breach』レポートで、企業は 1 回の情報漏えいあたり平均 720 万ドル、被害データレコード 1 件あたり 214 ドル支払っていることがわかりました。³

顧客の流出の増加によるビジネス損失は、情報漏えい時に発生する総コストの 63% を占めていました。つまり、情報漏えい後、多くの既存の顧客と将来の顧客が他社に流れています。エンドユーザーと Web サイトの間のセキュリティで保護されていない接続は、サイトとそのサーバを攻撃することを目的とした悪質なコードを送り込むために必要な抜け穴をハッカーに提供するおそれがあり、その攻撃によって、情報漏えいが発生する可能性があります。

¹ https://otalliance.org/resources/always-ssl-aossl
² http://news.cnet.com/8301-1009_3-20037253-83.html, 2011 年 2 月 28 日
³ 『2010 Annual Study: U.S. Cost of a Data Breach』、Ponemon Institute、2011 年 3 月

TLS/SSL サーバ証明書の基本

SSL/TLS サーバ証明書について知っておくべきこと