「常時SSL化」時代に向けたセキュリティ対策指南書
2. インターネット利用の現状と暗号化
インターネットの商用利用が進むにつれ、通信内容の盗聴や本物のWebサイトに似せたフィッシングサイトを作って誘導するなどのサイバー攻撃の頻度が増加し、Webサイトのセキュリティ対策を向上させる目的で、WebサイトとWebブラウザのネットワーク接続を安全にするSSLが考案されました。SSLは、サーバーとクライアントの間で受け渡しを行うデータの暗号化と、暗号化に使用する証明書によるサーバーの認証、そして通信内容を改ざんするなどのサイバー攻撃を防ぐための技術です。
SSLは、電子商取引などインターネットの商用利用の拡大に伴い普及が進みました。httparchive.orgが調査した情報によると、2011年にはWeb通信のわずか2%がSSL化されているに過ぎませんでしたが、2018年10月段階では約80%のWeb通信がSSL化されています。
急増の大きな理由は、2014年8月にGoogleがセキュリティを考慮しSSLサイトを検索ランキングの評価要素とすることを発表*2 したことによります。Webをビジネスで活用する多くの企業では、過半数が検索エンジンからの流入である現状を考え、検索エンジンで圧倒的なシェアを誇るGoogleの動向に合わせて検索エンジン最適化(Search Engine Optimization:以下、SEO)の対策を行っていますが、検索ランキング評価向上の一環でもサイトコンテンツ全体をSSL化する「常時SSL」が当たり前になりました。
そして、この傾向をさらに加速させたのが2018年7月にGoogleが実施したGoogle Chromeで非SSLサイトを閲覧すると警告が表示される仕様変更*3 でした。これは従来の非SSLサイトの運用からすると、突然、不審サイトの扱いを受けてしまうものとなり、半ば強制的に常時SSLが加速したことになります。
また、今後HTTP/2の普及により常時SSL化の流れはさらに加速されると予測でき、現在の80%前後の常時SSL化の状況は、近い将来限りなく100%に近づくと予想されます。
