Google Chromeで「保護されていません」と表示されたので、遅ればせながら当ブログもTLS対応することにした。はてな開発者ブログの記事を読んで、設定画面からポチっとなとやれば済むので至極簡単。だが、これまで貯めてきた全てのはてなブックマークが全てリセットされてしまった。これは痛い!と一瞬焦ったけど、そのうち移行されるらしいので気長に待つことにしよう。にしてもFacebookの「いいね」とか諸々引き継がれないし、はてな以外のブログを使ってれば移行自体できない訳で、だいたいサービスが対応していなければTLS対応できず、独自ドメインを使っていれば証明書の入手やサーバーの設定から頑張る必要がある訳で、なかなか大変そうである。昔と違ってLet's Encryptのような仕掛けもあるので、ITエンジニアであれば、ちゃちゃっと設定しちゃえよとは思うけれども、参考書を見よう見まねでWord Pressでサイト立ててみました的な人は苦労するだろう。「TLS対応完全入門」「できるAOSSL」みたいな本が書店に並んだりするのだろうか。
20年ちょっと前を振り返ると、クレジットカードをやり取りするECサイトくらいしかSSLを使っていなかった。それから少し経ってパスワードのやり取りなんかも暗号化されるようになった。1990年代にSSLサーバーというとNetscapeをはじめとして、ライセンスだけで100万円以上もしていたからだ。
ところでNetscapeが潰れたのはMicrosoftがWindowsにInternet Explorerをバンドルしたからだとまことしやかにいわれたが、実際のところNetscapeの収益源はブラウザよりもSSLに対応した商用Webサーバーだった。ところがSSLに対応したオープンソースのライブラリとしてSSLeayが公開され、これを組み込んだApache-SSLが登場、RSA Data Securityは慌ててSSLeayの作者を雇用したが、SSLeayはOpenSSLにforkしてオープンソースのまま存続した。
MicrosoftがWindows NT ServerにInternet Information ServerをバンドルしてSSL Webサーバーを無料提供したことも、SSLのコモディティー化に貢献した。Netscapeはブラウザをオープンソース化し、それが紆余曲折を経てFirefoxとなった。確かにMicrosoftによるIISの無償提供はNetscapeに対する兵糧攻めとなったが、どのみちSSLはコモディティ化する運命にあった。
ここ数年、全てのWebサイトがTLS化される背景としては、何といってもGoogleの役割が大きい。検索結果を表示するアルゴリズムでTLS対応サイトを優先し、今回ChromeでTLSに対応していないサイトで「保護されていません」と表示するようになった。何故このタイミングでグーグルがTLSを推進しているのかだが、結局のところ国家による通信傍受といったWeb閲覧に対する干渉や、犯罪者によるフィッシング詐欺などが悪質化していることに対して、TLSの利用が有効だということだ。Googleは以前からOpenSSLにPerfect Forward Securityの機能追加を寄贈するなど、国家による干渉に対抗するためのWeb技術の発展に貢献してきた。政府によるDNSブロッキングやDNSを通じたWeb閲覧の監視を無効化するDNS over HTTPSにも、いち早く対応している。
TLSで安全なWebを実現できるかというと、いろいろと課題が残ってはいるけれども、昨今のセキュリティ環境の変化を考えれば必要な対策であることは確かだ。URLが変わってしまうと様々なサービスに影響があったり、役所をはじめとして急激な変化に追いついていない実情が報じられている。この記事を配信した共同通信はTLS化を終えているが、配信した新聞各社のWebサイトは「保護されていません」という表示のまま役所の対応を批判する椿事もあった。
米国政府は2015年8月に2016年中に対策を終えるよう指示したが、日本は今週発表された政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)で初めて方針を打ち出した。政府のTLS対応を巡ってはGPKIのサーバー証明書がFirefoxで正式に拒否されるなど、このところ対応が後手に回る事案が続いている。
技術的に正しいTLS運用は、日本において政府だけでなくベンダーもユーザー企業も割とできていないところが多いことには理由がありそうな気がする。Webサイトの運用を外部に委託しており予算確保や案件化の小回りが利かないこともあれば、グーグルのような個別ベンダーの方針に振り回されることを潔しとしないプライドもあるのだろう。グローバルでWebサービスを提供する企業が少なく、中国や中東、アフリカの実情に疎いこともあるのだろうか。
いまさら知財本部がブロッキングの話を蒸し返したり、情報も発想も周回遅れなのが残念だ。全てが暗号化される時代に中間者による情報の統制は難しくなった。いまや米国も中国もエンドポイント(端末)での統制を強化している。プラットフォームもハードウェアも持っていない日本には打つ手がなくなりつつある展開だ。
例えばブラウザやJavaの仕様変更によって政府や自治体の提供する電子申請が動かなくなったり、GPKIのサーバー証明書を使った多くの政府系WebサイトがFirefoxで遮断されて手も足も出ない実情を見れば、制御がエンドポイントに移りつつあることによる影響を実感できる。サーバーや足回りこそ国内で完結してもシステムの制御は奪われたままだ。
テロ対策で電子メールや通信の監視は行いつつ軍でTorを配布しグローバル企業が情報の自由な流通に資する技術を展開し続ける米国であれ、世界でいち早くネットに検閲を持ち込んで潤沢な資源を投入してSDNをはじめとした最新技術を駆使してネットを統制しようとする中国であれ、立場や方針は違えど当事者として最先端の取り組みを行って人を育て世界に影響を与えている。それに引き換え日本は各国における2000年代半ばの取り組みをいまさら引っ張り出して碌に検証もせず、できることならISPなり民間事業者にただ乗りしようと考えているようだ。
それは相対的に平和で人材の流動性が低いことの裏返しかも知れないが、自由でもなければ技術の発展もない中途半端な立ち位置となるだろう。どのみち投入される資源の量で米国にも中国にも勝てない日本なのだから、自由で住み心地が良いとか、爛熟した文化なりで才能を集めるしかない。本気でコンテンツの輸出を考えるのであれば、日本国内でのアクセスの遮断よりもサイトの閉鎖のための法整備と法執行能力の拡充を目指すべきだが。このままでは法の域外適用や民間企業の実質的な影響力、法執行機関の国際執行協力においても、米欧だけでなく中国の後塵を拝することになる。
今はまだ大して売上に影響しない海賊版サイト程度の問題で済んでいるけれど、DarkWebや仮想通貨が当たり前のように普及すると、もっと困ったことが山ほど起こり、法で禁じただけでは実質的に規律できない事態を招来する。起こる事案が技術を駆使して国境を超えるならば、法執行当局も実情を理解し技術を知悉した人材を集めて経験を積み、国境を超えた連携を図らなければ手も足も出ない。海賊版サイト問題は、そういった現実と向き合い対策を考える上で絶好の機会にすべきところ、黴の生えた対策で業界のガス抜きさえできれば満足だとしたら残念だ。
