ホームページからの情報漏洩はあり得る?
Q ホームページからの情報漏洩はあり得る?
A はい、可能性はあります。
このテーマで書くことにしたきっかけは、ある法律事務所さまから、
「事務所のホームページのメールフォームから情報漏洩する可能性はあるか?」
と質問されたことでした。
ホームページをみたセキュリティ会社の方から、
「情報漏洩の可能性を示唆された」
「セキュリティ重視の企業はセキュリティが甘い法律事務所に依頼しようとは思わない」
と言われたとのこと。
ご存知のようにインターネットの世界では動きが目まぐるしく、数年前の常識は今の非常識になったり、コストがかかり過ぎて導入が難しかったシステムがいまは手に届く範囲にきたり、修正プログラムが次々と配布されたりと、日々変化・進化しています。
弊社では、お客様が法律事務所の方々ですので、情報漏洩しないようメール、サーバー、運営サイトそれぞれについて、情報を集め対応し、リスク軽減につとめてきました(セキュリティソフトや、パスワード設定、セキュリティアップデートなど)。
ですがそうした情報をどこまでお客さまにアナウンスできていたのかというと・・・。
そこで遅まきながら、今回のテーマは、ホームページのセキュリティについて。
SSLに関連しての最近の傾向、HTTPとHTTPSとの違いなどについて簡単にまとめました。
もちろんすでにご存知のことも多いかと思いますが、ご容赦ください。
もしヒントにできる部分だけでもありましたら、ご確認していただけたら幸いです。
1. インターネットに関連しての最近の傾向
最近ではスマートフォンやタブレット端末の普及にともない、無線LANインフラの利用も増加しています。しかし、フリーのホットスポットなどの公衆無線LANを使い、データが暗号化されていない状態で通信を行うと、アカウントの乗っ取りや、なりすましの危険が生じてしまうことから、SSL通信やSSLサーバー証明書の必要性が高まってきています。
Googleは HTTPS URL の掲載順位を若干引き上げる取り組みに着手しています。(2015年12月)
「Google では常にユーザーのセキュリティを最優先に考え、長年にわたってウェブの安全性の向上やブラウジング体験の改善に取り組んできました。Gmail、Google 検索、YouTube では以前からセキュアな接続を実現しており、昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。
ウェブのブラウジングはウェブサイトとユーザーとの間の私的な体験となるべきであり、傍受、中間者攻撃、データ改ざんの対象となってはいけません。Google が「HTTPS everywhere」の推進に取り組んできたのはこのためです。
この流れの一環として、Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします」
2. HTTP と HTTPS との違いとは?
HTTPとHTTPSの違いについては、札幌のSEO会社、株式会社ブルームプロモーションさんの記事が、イラストつきでとても分かりやすく書かれていましたので、こちらのサイトをご紹介します。
「httpとhttps(ssl)の違いは、直球と魔球くらい違う」
※協北からの補足になります。
記事中に「問い合わせフォームなどが直球の方は、httpsの導入を検討してみましょう」とあります。
これはサイトの中の「問い合わせフォーム」だけをhttps(ssl)化にするという意味ではありません。以前は「問い合わせフォーム」だけでもhttps(ssl)化にという話もあったのですが、最近はサイトの一部が暗号化されていても、ほかが見えているとあまり意味がないと変わり、サイト全体をhttps(ssl)化する方向になってきています。
以前にくらべ導入費用が下がったことも一因ではないかと思っています。
3. HTTPS(SSL)化すべきかどうか?
ホームページにどのような情報をのせているかによります。
ホームページは公開が基本ですので、問題ない場合がほとんどです。
ただ、最近、フィッシング詐欺サイトのように、危ないホームページにわざと誘導して詐欺を働くというサイトが世間をにぎわしていることから「このサイトは詐欺サイトではありません」というような 意味合いからHTTPS(SSL)化するサイトも出てきているようです。
また、メールフォームがあり、その情報が個人情報に当たる場合は、念のため、全体をHTTPS(SSL)化すると安心です。
HTTPS(SSL)化すべきかどうかの判断基準として、メリットとデメリットを上げます。
メリット
・ユーザー・Webサイト間の通信を「暗号化」で保護。
・Webサイトを運営する企業が実在する(フィッシング詐欺サイトではない)ことの証明。
・個人情報保護に力を入れているというサイト全体の信頼性向上。
・ハッカーへの牽制。
デメリット
・暗号化通信はサーバ、クライアント双方に多少の負荷をかける。
・コストがかかる。
4. HTTPS(SSL)化の費用について(概算)
数年前は月額数万円だったものが、現在では大分費用が下がってきております。
たとえば、弊社の場合はセキュアコア株式会社の「ドメイン認証SSL」を利用しています。
費用は
セキュアコア株式会社の「ドメイン認証SSL」
・SSL証明書料 3年 3,600円+税(税込3,888円、キャンペーン期間中)
・契約更新時お支払い料金1年ごと 9,000円(税込:9,720円)
・サイトシールあり
これを選んだのは、世界シェアNo.1~5のComodo社を認証局に採用していること、サイトシールが必要だったためです。
他にも下記のようなものがあります。 (弊社が利用しているエックスサーバーの場合)
セキュアコア株式会社「CoreSSL」
・SSL証明書料 3年 1,500円(税込:1,620円、キャンペーン期間中)
・契約更新時お支払い料金1年ごと 1,000円(税込:1,080円)
・サイトシールなし
・ネームベース
ジオトラスト株式会社「ラピッドSSL」
・SSL証明書料 3年 3,200円+税(税込:3,456円)
・契約更新時お支払い料金1年ごと 1,500円(税込:1,620円)
・サイトシールなし
・ネームベース
ジオトラスト株式会社「クイックSSLプレミアム」
・SSL証明書料 3年 36,000円+税(税込:38,880円)
・契約更新時お支払い料金1年ごと 14,000円(税込:15,120円)
・サイトシールあり
・ネームベース
など。
なお、お使いのサーバー会社ごとに契約内容が異なりますので、ご不明な場合はご連絡ください。
法律事務所は信頼第一です。
とはいうものの、本当のところ、100パーセント安全はあり得ません。
たとえば、有名な「コモド事件」。
2011年、大手認証局の コモドが外部からの攻撃によって、偽証明書を発行してしまうという事件が起こりました。
残念なことに認証局へのハッキングは成功するかどうかはともかく、頻繁に発生しています。
大手認証局ベリサインも2010年にハッキングを受けていたことが明らかになっています。
この件については「当時の米VeriSignの企業内ネットワークが対象で、商用システムとは別に運用され、インフラも規定も手順も異なるものだったため、サーバー証明書やDNSなどの商用システムは一切影響受けていない」とのことですが、認証局がその役割の重要性から最も攻撃される対象の1つであることは間違いありません。
こうしたことを受けて、「SHA-2」証明書への移行がはじまっています。
エックスサーバーでも
「これまで広く用いられてきた「SHA-1」ハッシュ関数の安全性が相対的に低下してきていることを背景に、当サービスにおいても、2014年12月4日以降に発行される証明書を、より強固な暗号化が可能な「SHA-2」を用いて発行するように対応いたしました。
2014年12月4日以前よりご利用の当サービスのSSL証明書は、全て「SHA-1」の証明書ですので、以降の契約更新時、または必要に応じて「SHA-2」の証明書への移行を行ってください」
といったアナウンスがなされました。
このように、一度入れたからあとはOK、安全ということでもないのです。
参考情報として捉えていただければ幸いです。