なんとなくしか知らない常時SSL化の必要性を解説します
Googleが推奨していることもあり、近年、常時SSL化の勢いは増すばかりです。
導入にネックだった費用面でも、無料でSSLサーバー証明書を発行する認証局「Let's Encrypt」が発足するなどあって、常時SSLに切り替えやすい環境が整いつつあります。
カラーミーショップ
にも、ショップサイトの常時SSLは有料オプション(1,000円+税)ですが、常時SSLへの切り替えは、簡単に行えるような仕組みが用意されています。(実際の切り替え話は別の機会に)。
「個人情報保護という社会的要請みたいな?」や「情報流出騒ぎのあれ?」風のなんとなく知識は持っているけど、常時SSL化について、本当はよくわからない方向けの読み物です。
常時SSLの”常時”って一体なに
カラーミーショップの管理画面内にあった図がとてもわかりやすかったので、下図を引用させていただきます。
常時SSLは、カートページを見ているときも、それ以外のページを見ているときも、ウェブサイト全体いつでも暗号化通信をして情報を保護します、という仕組み。
暗号化通信をして保護すべき情報はなに?って話はのちほど。
なぜいま、常時SSLを言われているのか?
インターネット上でやり取りするデータが多種多様になり、またウェブの影響度・重要度が以前に比べると大幅に増している、という時代性が背景にあります。
そのような状況を鑑みて、Googleがウェブサイトの安全性を評価に反映すると表明したことへの反応が、昨今の常時SSL化の流れなのだと考えます。
また、ブラウザに「通信が保護されている」と表示されることは、ウェブサイト全体の信頼感アップにつながるというメリットもあると言われています。
以前から、ログイン情報や顧客の個人情報などの重要情報をやり取りするページでは暗号化通信をしていました。それだけでは足りないのでしょうか?
暗号化は重要ページだけでは足りない?
カラーミーショップを例に説明してみます。
これまではカート画面から先、お客様のログインID・パスワード、配送先情報を入力するところで暗号化通信をしていました。ブラウザ(Google Chrome)のアドレスバーには「保護された通信」と表示されています。
常時SSLでないショップサイトですと、トップページや商品ページなどは暗号化通信していません。
実はショップサイトを開いた際に、カラーミーショップのサーバーからセッションIDを割り振られ、ブラウザのメモリに記憶されます。これは誰からの注文か判別するための整理番号のようなものです。
商品をカートに入れた際に、先にカートに入れた商品も合わせて表示されますが、それは商品ページからカラーミーショップのカート画面に移る際に、セッションIDのやり取りがあるからです(※)。
カラーミーショップにおいては、保護されるべき情報はこのセッションIDになります。
セッションIDのやり取りが暗号化されていなければ、悪意を持った第三者が通信内容を盗聴・改ざんした場合に、なりすましが可能になります。
とはいえ、なりすましをされたからと言っても、この場合は自分のカートに勝手に商品を追加されるくらいだと思いますけれど。
※ 旧カートの話
具体的な話はハッカーに訊いて
通信内容の盗聴・改ざんが簡単に行えるか、具体的なことは知りませんが、条件が必要なのでしょう(そうでなかったら、いまの世界が大変なことになっています)。
それでも常時SSLが必要な訳
常時SSLは「いつか必要になるでしょうが、いつやりましょうか?」というようなものだと、そんな風に考えていました。
今回、私が知っている範囲でどれくらいの危険性があるかを検討してみました。
とはいえ、私の知識はネットセキュリティの専門家と比べればずいぶんと貧弱でしょう。往々にして、想定外が存在するはずです。
常時SSL化を進めることの意義も同じように考えられます。
情報システムの構築に際し、きちんと設計し、脆弱性についても対策を施してしているとはいえ、まったく不具合を含んでいないとは言えないのです。想定外のトラブルには、想定外の被害は付き物なのです。
常時SSL化のまとめ
Googleがウェブサイトの安全性を評価に反映すると表明していますので、常時SSL化の流れは止まりそうにありません。
未知の脆弱性が存在することまで考えれば、一定以上の堅固な情報システムを組んでおくことが、これからのインターネット社会全体の流れなのだと思います。
執筆者
えいじ@naeco.jp この記事を書いた人
自作するのが好きですぐに試したくなる、凝り性なWebエンジニア。
カラーミーショップ、モールなどのECについて記事にしています。
ご相談・お問い合わせはこちら