SSLによる暗号化通信はセキュリティの魔法の杖ではない

Column

中央省庁のWebサイトの8割弱がSSLによる暗号化通信に対応していないという現状を伝える新聞記事について、セキュリティの観点から誤解しやすそうな点を解説します。

少し時間が経ってしまっていますのでタイムリーな話題ではないのですが、下記の新聞記事について少し気になる点がありましたので簡単に触れてみたいと思います。

上記サイトは、会員登録してログインしないと全文を読めない仕様のWebサイトですので、閲覧にログインが必要な部分の引用は控えますが、記事の内容を簡単に要約すれば、『政府機関のWebサイトの約8割において、Webサイト全体をSSL通信によって保護する、所謂「常時SSL化」が行われておらず、改竄や盗み見のリスクにさらされている』という内容になっています。

もちろん、問題提起としてこの記事の内容は有意義なものですが、あまり知識がない人がこの記事を読んだ場合、「常時SSL化さえされていれば、改竄や盗み見の危険を完全に排除することができる」と勘違いされる可能性があるのではないかという懸念を持ちました。

Webサイト全体をSSL通信によって保護する常時SSL化は、通信経路上での盗み見のリスクを低減し、例えば悪意のある第三者による中間者攻撃(man-in-the-middle attack)の一部を防ぐ効果があることは確かですし、特にEV SSL証明書を用いることで、悪意ある第三者による「なりすまし」行為、例えばフィッシング詐欺の難易度を上げたり、発見を用意にすることでその実行を困難にし、結果としてユーザーを保護することが可能になるなど、セキュリティ対策として効果が高いことは間違いありません。

ログイン情報や個人情報を入力するWebページがSSLで保護されていないなどというのは問題外ですし、可能であればWebサイト全体に対して常時SSL化を行うべきです。SSLサーバ証明書の購入コストなど大したものではありませんし、Webサイトの企画・設計時に最初から組み込むべき要件として考えるべき時代になっていると個人的には思います。

しかし一方で、SSLによってWebサイトを保護しさえすれば改竄や盗み見のリスクがゼロになるという話ではありませんし、EV SSL証明書も、なりすましを完全に防ぐことができる仕組みではありません。

Webサイト全体をSSL/TLS(便宜上、以降はSSLと記述します)で保護していても、サーバやWebアプリケーションに脆弱性や設定ミス(例えばCookieにsecure属性を付与し忘れたことでSSL通信を行っているのにCookieの内容を盗聴されたり、改竄されるといったケース)があれば、Webサイトを改竄されたり、ユーザーが送信するデータを盗まれたりすることはありますし、SSL関連の設定に不備があれば、SSLプロトコル自体の脆弱性を悪用されるといった可能性もあります。

また、サーバやアプリケーションの脆弱性を悪用される他にも、ずさんな情報管理が原因、もしくはソーシャルハッキングなどによってサーバや管理用の端末に不正アクセスされ、Webサイトを改竄されたり、不正なプログラムを設置されてデータ盗聴の被害にあう場合も多く、これらの場合、WebサイトがSSLで保護されているか否かは本質的に関係ありません。

Webサイトのセキュリティ対策は、様々な対策の積み重ねが重要です。その対策の1つとして「SSLによるWebサイトの暗号化」も重要であることに間違いはありませんが、WebサイトをSSLで暗号化しさえすれば、セキュリティが飛躍的に向上し、様々なセキュリティ上のリスクからWebサイト運営者や利用者を完璧に守ってくれるといった魔法のような話はありませんので、正しい知識を持って取り組むことが重要です。

関連するコラム