最新情報

大手企業/自治体の多くが未対応 ― Webサイトの常時TLS化のススメ

「ホームページにアクセスしたら、『保護されていない通信』と表示されたのですが、大丈夫でしょうか?」

最近Webサイトの利用者から、表題にあるような問い合わせを受けたことはありませんでしょうか。もしくは、Googleで検索しても自社のWebサイトが上位に表示されないことはないでしょうか。それは公開しているWebサイトがHTTPのままで、TLSで暗号化されたHTTPSに対応していないからかもしれません。

TLS(Transport Layer Security)は、これまで広く使われてきたSSL(Secure Socket Layer)の後継で、TCP/IPを使ったサーバー-クライアント間の通信を暗号化する仕組み(通信プロトコル)です。多くの人は、Webサイトでクレジットカード番号を入力する際や、ECサイトでユーザーIDとパスワードでログインを行う際の通信内容の暗号化に使われているHTTPS(HTTP Secure)で馴染みがあると思います。

長くSSLの呼称が使われていましたが、SSLに複数の脆弱性が発見され、仕様を改定し標準化する際にTLSと呼称を変更しました。SSLのバージョンはSSL3.0を最後に、無効化するように注意喚起されているため、現状では多くのHTTPSサイトではTLSを利用しています。TLSの初期バージョンであるTLS1.0とTLS1.1もこれまで脆弱性が発見されたため利用は推奨されておらず、現状広く利用されているTLSのバージョンはTLS1.2です。また、安全性や速度を向上した最新のTLS1.3が2018年8月に標準化団体であるIETFからリリースされ、2019年末を目安に多くのサイトでTLS1.3への対応が進むと考えられています

表題で述べている「Webサイトの常時TLS化」というのは、社外に公開しているWebサイトを全てTLS1.2以上に対応したHTTPSサイトにすることを指しています。ここ数年、ポータルサイトや検索サイト、動画サイトのようなコンシューマにサービスを提供する大手のWebサイトが次々とHTTPS化されたことにお気づきの方も多いと思います。上記の通り個人情報をはじめとする重要な情報を扱うときだけHTTPS化すれば良いのに、なぜ全てのサイトをHTTPS化する必要があるのでしょうか?それにはいくつかの理由があります。

大きな契機はアメリカ国家安全保障局(NSA)による通信の盗聴がスノーデン事件で発覚した2014年に遡ります。この事件以来、NSAやその他の諜報機関、もしくは悪意のある人物からの通信の盗聴を防ぐ目的から、TLS/SSLによる通信の暗号化が急速に進みました。その後Google社などがTLS/SSL対応のWebサイトを上位に表示する方針を示し、Let's Encryptなどの証明書を取得しやすくするムーブメントや、多くのWebサイトがクラウドサービス上で提供され、証明書の取得が容易になったことの後押しもあり、Webの通信においては2018年7月時点ですでに全通信の70%以上がTLS/SSLにより暗号化されており、米国の連邦政府機関では全てのサイトで常時TLS化が完了しています。また、Webサイトへのアクセスを高速化する新しいHTTPの仕様であるHTTP/2ではTLSによる暗号化を前提としており、クライアントからのHTTP/2を使ったWebサイトへのアクセスもTLSでの暗号化が行われます。

また、2018年に入ってからもWebサイトの常時TLS化を後押しする大きな動きがありました。それはGoogle社が提供するChromeの新しいバージョンを始めとするWebブラウザで、HTTPで接続するWebサイトについて「保護されていない通信」や「この接続は安全ではありません」というようなメッセージが表示されるようになったことです。2018年10月にリリースされたGoogle Chromeのバージョン70からは、HTTPサイトにアクセスした際にアドレスバーに「保護されていない通信」と表示されるだけでなく、そこでデータ入力を行った際には「保護されていない通信」の文字が赤字に変わって警告を表示します。Mozilla FirefoxやMicrosoft EdgeなどではWebサイトのアドレスの前に注意喚起をする「!」マークが表示され、そこをクリックすると「この接続は安全ではありません」、「注意してください」などと表示されます。この結果、表題にあるようなWebサイト利用者の問い合わせが発生するわけです。

企業の立場で考えた場合、自社のWebサイトが「保護されていない」、「安全ではない」と言われるのは利用者からの信頼やブランド価値を毀損することになり、避けたい事態です。また、自治体においては総務省が発行している「地方公共団体における情報セキュリティポリシーに関するガイドライン」が2018年9月に改定され、「インターネットに公開するウェブサイトにおいては、転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じることが望ましい。」との記述が追加されており、Webサイトの常時TLS化への対応は待ったなしの状況です。

企業・自治体の常時TLS化の対応状況と常時TLS化への注意点

では実際に日本の企業・自治体ではどの程度Webサイトが常時TLS化に対応しているのでしょうか?feedtailor社が公開している2018年6月の調査レポートによれば、全上場企業3620社のうち54.3%の1965社が常時TLS化を済ませている一方で、半数近い45.7%の企業では対応が完了していません。またJIPDECによる同年同月の調査レポートでは、自治体サイトの対応比率は対応済みが37.4%と、企業に比べ多くの自治体で常時TLS化に未対応であることが明らかになっています。

それではWebサイトを常時TLS化に対応させる際には、何に気を付けたらよいのでしょうか。以下の3つの注意点があります。

  1. 脆弱性の少ない暗号化方式の採用
  2. 脆弱性の少ない(より強力な)暗号化方式を利用する必要があります。通信プロトコルとしてTLS1.2以上を利用し、利用する暗号技術(暗号スイート)の鍵交換方式を暗号強度の高いPFS(Perfect Forward Secrecy)方式にすることが望ましいです。
  3. 暗号化処理の負荷対策
  4. HTTPサイトをHTTPSに対応させるには、サーバー証明書を取得し、暗号化方式に対応するようにWebサーバーの設定を変更する必要がありますが、その結果、Webサーバー上で暗号化処理を実施することになることから、Webサーバーの負荷が大きく増大します。
  5. 運用の効率化
  6. 管理者は複数のWebサーバーの設定変更と維持管理を行わなくてはならず、Webサーバーの台数や利用ドメイン数が多い場合には設定変更の負荷が高いだけでなく、証明書の失効に伴う定期更新の負荷も増大します。

TLSオフロード機能の活用による常時TLS化の実現

A10の提供するアプリケーションゲートウェイ「A10 Thunderシリーズ(以下Thunder)」の持つTLSオフロード機能を活用することで、Webサーバー側の設定を大きく変えることなく常時TLS化への対応と高パフォーマンスなWebアクセスの実現ができます。

ThunderをWebサーバーの手前に配置し、証明書をインストールすることで、Thunderとサーバー間の通信はHTTPのまま、クライアントとThunderとの間の通信をHTTPSにすることができます。Thunderは専用ハードウェアにより高いTLS通信処理性能を備えています。最新の第3世代SSL / TLS専用ハードウェアを搭載したThunderシリーズはInterop Tokyo 2017のBest of Show Awardのパフォーマンスオプティマイゼーション部門でグランプリを獲得しています。ThunderがTLS処理を行うことでWebサーバー側の負荷が増大することなく常時TLS化を実現し、HTTPS通信を高速に処理できるようになります。ThunderはTLS1.2やPFS方式、AEAD方式の暗号方式にも対応しています。

また、サーバー証明書はThunder上で一元管理でき、各Webサーバー上での設定変更は必要ありません。証明書失効前に管理者に事前通知することもでき、常時TLS化に伴う運用負荷も大きく軽減されます。複数ドメインに対する証明書も一元管理できます。

Thunderはサーバー負荷分散の機能も備えており、複数のWebサーバーへの最適な負荷分散とサービス可用性の向上を、TLSオフロードと併せて実現できます。さらにクライアントとThunder間でHTTP/2を利用することができ、HTTP/2非対応のWebサイトをHTTP/2対応にすることが可能です。これにより顧客/利用者からのWebサイトへのアクセスを高速化することができます。WebサーバーがHTTP/2に対応していれば、ThunderとWebサーバー間もHTTP/2で通信でき、より高速なクライアント‐Webサーバー間の通信も実現できます。

A10 Thunderシリーズは、Webサイトの常時TLS化、およびWebサイト利用者の利便性向上に役立つソリューションです。