「常時SSL」がセキュリティ対策の抜け穴に、対策を急げ

　最近、急速に「常時SSL（HTTPS）化＝常時暗号化」が広がっている。WebサイトとWebブラウザー間の通信を常時暗号化することで通信の安全性を高めようというものだ。

　通信の盗聴を防げる一方で、SSLを駆使した巧妙なサイバー攻撃の“隠れみの”に悪用されるリスクがある。企業などの情報システム部門にとってはこれまでとは異なるセキュリティ対策を迫られる。

　常時SSLとは、ログイン後の通信を常時暗号化することを指す。ログインを伴う多くのWebサイトでは、部分的にSSLを採用している。例えばITproの場合、記事閲覧時の通信トラフィックは平文（非SSL、HTTP）で流れる（写真1）。

写真1●ITproは通常時はSSL化されていない

　だが、ユーザーIDとパスワードを入力する際の通信にはSSL（HTTPS）が使われ、通信内容が暗号化される。URLの隣に鍵のアイコンが表示され、URLが「https://」から始まることが、それを示している（写真2）。

写真2●ログインするときのみSSL通信が行われ、鍵のアイコンが現れる

写真3●日本航空（JAL）のWebサイトは会員ログイン後は常時SSL化されており、鍵のアイコンが表示され続ける

[画像のクリックで拡大表示]

　つまり、IDとパスワードの通信は暗号化されるが、それ以外の記事本文などのコンテンツは平文で流れる。現時点ではこうしたWebサイトが主流である。

　一方で、常時SSLを採用している日本航空（JAL）のWebサイトの場合は、いったん「JALマイレージバンク」の会員としてログインをすると、その後のすべての通信が暗号化される（写真3）。