常識化する常時SSL/TLS対応

7月24日（日本時間では7月25日）、デスクトップ向けWebブラウザで比較的高いシェアを占めるGoogle Chromeにつき、その安定版がバージョン68にアップデートされます。Chrome 68ではかねてより予告されてきた通り（Googleウェブマスター向け公式ブログの記事「保護されたウェブの普及を目指して」参照）、すべてのHTTPサイトで「保護されていません」という警告が表示されるようになります。

開発ベンダーの立場からすれば、通信の盗聴やなりすましといった脅威からユーザーを守り、安心してWebブラウザを使っていただけるようにするのは当然のこと。であればこそ、Webサーバーにあるコンテンツを暗号化通信で送り届けていないHTTPサイトについて、上述のような措置を取るのはごく自然なことと思えます。

Chromeにおける注意喚起は、今後さらに強化される見通しです。Google Developers Japanの記事、「Chrome の進化するセキュリティ インジケーター」によりますと、10月にリリース予定のバージョン70では、HTTPページにある入力フォームで入力しようとすると、警告がグレーから赤に変わり、ユーザーに対しさらに積極的に注意を促すようになります。対照的に、常時SSL/TLS対応済みのHTTPSサイトについては9月にリリース予定のバージョン69以降、暗号化通信がさも当然であるかのように、目立たない表示に変更されます。

かつてはHTTPサイトが大半を占めていたWebですが、今や状況は逆転しました。Googleの公開する透明性レポート「ウェブ上での HTTPS 暗号化」によれば、Web全体におけるHTTPSサイトの割合は着実に増加しているようです。「世界各国におけるChromeでのHTTPSの使用状況」のグラフを見ますと、アメリカやドイツ、ロシアなどと比べ日本は遅れを取っているものの、それでも6割以上のページがHTTPSを経由して読み込まれています。

企業のWebサイトに限定しますと、どのような状況なのでしょうか？ その点については、株式会社フィードテイラーが調査・公開されている「常時SSL化 調査レポート 上場企業サイト対応状況（2018年7月版）」が参考になります。同レポートによれば、全上場企業の56.8%が常時SSL/TLS対応を終えており、先月の調査と比べ2.5ポイント増加しているとのこと。逆に言えば、4割以上の上場企業が何らかの理由で常時SSL/TLS対応を先送りにしているか、もしくは対応しない判断を（現時点では）しているようです。

常時SSL/TLS対応を行うことの意義は、Webサイトのユーザーをセキュリティリスクから守ったり、あるいはブラウザの警告表示を防ぎユーザーの不信感を招かないようにすることにとどまりません。HTTPSの採用が前提として必要な技術、例えばHTTP/2やService Worker、Geolocation APIなどを用いた機能拡張が可能となるメリットもあります。そういうわけで、中長期的な運用を見込む企業Webサイトであれば常時SSL/TLS対応は必要不可欠であり、論点はその是非ではなく「いつ」対応するかであると考えます。

冒頭で触れたChrome 68のリリースを、あたかも企業が常時SSL/TLS対応を完了させる期限であるかのように喧伝している向きもあるようですが、必ずしも焦る必要は無いでしょう。Webサイトが常時SSL/TLSに未対応の企業の中には、サイトの規模が大きいがゆえに、次期リニューアルですとか配信インフラの見直しの時期に合わせて対応を計画されているところもあるかと思います。

確かにChrome 68の登場により、HTTPSではなくHTTPをWebコンテンツの配信に利用し続ける企業が、ユーザーからの信用・信頼を損なうリスクが高まるのは、間違いありません。ですが、サイトの規模やつくりによっては慎重に対応を進める必要があります。これから常時SSL/TLS対応を検討ないし実施されるご予定のご担当者さま、常時SSL/TLS対応に関してお困りのことがあれば是非お気軽にご相談ください。