あなたのサイトは大丈夫? 待ったなしのChrome 68対策、安全性向上にはWAFも有効
この7月にリリースされるGoogle Chrome 68では、暗号化されていないWebサイトで警告が表示されるようになる。暗号化していないWebサイトは、早急な対策が必要だが、暗号化だけで十分な安全性は得られるのか。Web担当者が自社サイトの安全性についてまず考えるべきことは何か――。
純国産のWAF(Web Application Firewall)を提供するジェイピー・セキュア、SSL証明書で国内トップのシェアを誇るGMOグローバルサイン、20年以上の実績を有するクラウド・ホスティング事業を展開するGMOクラウドの3社のキーマンが語り合った。
HTTPS暗号化されていないWebサイトは問答無用で警告表示される
堤 貴規氏(以下、堤) 本日はお忙しい中、お集まりくださりありがとうございます。
さっそくですが、GMOクラウドのレンタルサーバー「WADAX」は中小企業のお客さんが多いのですが、専任のWeb担当者がおらず、他の業務との兼ね合いで十分な時間が取れないといった事情から、セキュリティ対策が後手に回っているケースも少なくありません。
そうした中でGoogleは、2018年7月にリリースするChrome 68で、HTTPS暗号化を導入していないすべてのWebサイトに対し、「保護されていません」という警告表示を行うことを明らかにしています。
警告を目にした閲覧者はすぐにページを閉じてしまう可能性もあり、自社の信用低下につながりかねません。そのため、駆け込みでSSL証明書を導入したいと考える企業からの問い合わせが増えているのではないでしょうか?
河田 大地氏(以下、河田) おっしゃるとおりです。これまでのChromeでも情報入力フォームや決済ページが暗号化されていないと警告が表示されましたが、今後は暗号化されていないすべてのページに問答無用で警告が表示されます。
Chromeは最もシェアが大きいブラウザだけにこのインパクトは非常に大きく、Web担当者のみならず広報・宣伝やマーケティングなど、自社のブランディングに携わっている様々な部門の方々からの問い合わせが急増しています。
堤 常時SSL化が最近のトレンドですが、すべてのページにSSL証明書を入れる必要があるのでしょうか。
河田 いくら情報入力フォームや決済ページを暗号化していても、その前プロセスとして閲覧するページにSSL証明書が入っていないと簡単になりすましサイトを作られ、詐欺ページに誘導されてしまう恐れがあります。たとえ情報をまとめただけのウェブページであっても、暗号化されていない通信では、通信内容に細工をされるリスクもあります。そうしたリスクを低減するためにも、やはりWebサイトは頭から足の先まで暗号化するのが望ましいのです。
堤 SSL証明書と共に、Webサーバー上で稼働している各種アプリケーションやCMS(コンテンツ管理システム)に対するサイバー攻撃を防ぐ仕組みとしてWAF(Web Application Firewall)への関心も高まっていますね。ジェイピー・セキュアさんへの問い合わせも増えているという話を聞きます。
齊藤 和男氏(以下、齊藤) そうですね、CMSに関しては、2017年に発生したWordPressの脆弱性を悪用した大規模改ざんで、さまざまなセキュリティベンダーや専門機関から注意喚起が発せられました。今年は、Drupalに深刻な脆弱性が発見されており、こちらも大きな話題になりました。
また、度々話題になるWebアプリケーションフレームワークのApache Struts 2の脆弱性では、2017年に大量の個人情報が流出するという事件も起こりました。こうした危機感の高まりから弊社が今春に立ち上げたセキュリティ研究調査の専門組織「JP-Secure Labs」にも、多くの企業から問い合わせが寄せられています。
堤 一般的なファイアウォールとSSL証明書を導入するだけでは、Webサイトのセキュリティは十分とは言えないと当社は考えています。
齊藤 はい、確かにその通りで、ファイアウォールはルールにしたがって外部からのアクセスを制御する門番の役割を果たしますが、ウェブでやり取りされるデータの内容をチェックすることはしませんので、公開を前提としているWebサイトへの攻撃を防ぐことはできません。
また、SSLによる暗号化は通信内容を外に漏らさないためのもので、WebサイトのSSL化に対応していたとしても、SSL接続(HTTPS)によるサイバー攻撃を防ぐことはできません。
そこでWAFが登場するわけですが、WAFはWebサイトへのアクセスを精査・検査する役割を担います。HTTP/HTTPSによる通信内容をチェックして、正当な通信は通し、不当な通信はブロックする。Webサイトへの攻撃を防ぐには、どうしてもWAFのような仕組みが必須となるのです。
堤 なるほど、よくわかりました。SSL証明書とWAFはお互いに補完しあう関係にあるのは間違いないですね。昨今、ネットワークの出入り口だけを固める境界型のセキュリティ対策は破たんしたと言われており、特定のレイヤーだけを守っていても安全を担保することはできません。あらゆる企業は複数のレイヤーに渡る多階層型のセキュリティ対策を強化する必要があるということでしょう。
対外的なWebサイトでは最低限でも「企業認証」が必須
堤 あらためてSSL証明書について伺います。GMOグローバルサインでは「クイック認証(ドメイン認証)」「企業認証(企業実在認証)」「EV SSL(EV認証)」というSSL証明書を提供していますが、どうやって選べばよいでしょうか。
河田 GMOグローバルサインが提供する3種類のSSL証明書は、「通信の常時暗号化によってブラウザの警告表示を防ぐ」という点で共通していますが、それぞれ次のような特徴があります。
- クイック認証SSL:最短2分でスピード発行されるSSL証明書です。特別な申請書類は不要で、レジストリにドメインが登録されてあり、ドメイン所有の確認がとれれば、個人事業主でも取得することが可能です。外部公開することのない社内サイトや個人のサイト、低コストで軽に導入したい場合にお勧めです。
- 企業認証SSL:運営組織の実在性を認証してサイトの信頼性をアップしたい場合に取得すべきSSL証明書です。審査がありますが、帝国データバンクや東京商工リサーチなど第三者のデータベースに企業情報が登録されており、代表番号などで担当者に確認が取れれば最短即日のスピード発行も可能です。
- EV SSL:世界最高基準の認証が行われるSSL証明書です。Webブラウザのアドレスバーに運営組織名が表示され、フィッシングを防止します。銀行や証券会社、保険会社などの金融機関のWebサイトではEV SSLが広く使われており、決済機能を持つECサイトもかなりの割合でEV SSLを採用しています。
堤 一般企業が公式サイトで使う場合は「企業認証」が妥当と言えそうですね。一方、世間では無償のSSL証明書も出回っていますが、これを利用するのはどうでしょうか。
河田 暗号化だけを目指すなら有用です。しかし、無償の証明書は審査が十分ではないため、自社Webサイトの真正性の証明にはつながりません。かつてはSSL証明書を取得すること自体に高いコストがかかるだけでなく、決済行為が介することで足がつきやすくなり、犯罪に利用されるケースはまれでしたから、暗号化されているサイトは安全性が高いという認識が通用していました。
しかし、無償のSSL証明書をいくらでも利用できるようになった現在、この方程式は崩れ去りました。実際、無償のSSL証明書を使ったフィッシングサイトがどんどん作られている状況です。
堤 身元の確かなサービスプロバイダーがサポートするSSL証明書を導入することで、はじめて自社サイトの信頼性や安全性をアピールできるということですね。
セキュリティ対策のセーフティネットとしてWAFの役割が増大
堤 SSL証明書と同様にWAFを導入していることも、自社サイトの信頼性や安全性をアピールすることにつながりますか?
齊藤 残念ながらSSLのように見た目での信頼性アピールというのは難しいかもしれませんね(笑)。WAFは縁の下の力持ちといった立ち位置かもしれませんが、セーフティネットとして重要な役割を果たします。
堤 セーフティネットは具体的にどういうことでしょう。
齊藤 先ほどWordPressやApache Struts 2の脆弱性を突いたWebサイト攻撃の例をお話しましましたが、これらのセキュリティリスクの根本的な対策としては、当該製品を新しいバージョンにアップデートすることが大原則となります。
とはいえ、単なるセキュリティパッチのレベルではなくバージョンアップともなれば、仕様や機能が大きく変更されることがあるため事前の検討や検証、移行計画などにそれなりの時間を要します。その期間にもWebサイトが攻撃される可能性があるため、そこをWAFで守るというわけです。
自社でウェブアプリケーションを開発しているWebサイトにおいても、脆弱性対策の強化につながりますし、対策・修正漏れをカバーする目的で活用されることもあります。WAFという後ろ盾により、Web担当者は、サイト運営やアプリ開発に注力することができます。
堤 河田さん、齊藤さん、今日はとても示唆に富んだお話をありがとうございました。SSL証明書やWAFの重要性がよくわかりました。
ただ、私がもうひとつの問題だと思っているのは、多様な業務を兼務している中小企業のWeb担当者は、セキュリティに関するさまざまな情報が氾濫する中で、なかなか自社に必要な解決策にたどり着けない、気づきを得るまでに至らないことです。逆に言えば、そこにこそGMOクラウドの使命があると考えています。
法人向けレンタルサーバー「WADAX」では、できるだけWeb担当者の負担を減らせるよう、SSL証明書やWAFをオプションサービスとしてワンストップで提供しています。さらにSSL証明書(クイック認証)とWAFを初年度無料で利用できるキャンペーンも開始しました。今後もあらゆる企業のWebサイトにセキュリティを中心とした新たな付加価値を提供していきたいと考えています。どうかご期待ください。
ソーシャルもやってます!