企業活動に欠かせないインターネットについては、情報漏洩や使い勝手など改善すべき課題が山積している。解決に向け、米グーグルや日米欧の組織が動き出した。

特定のWebサイトを開くと警告が表示され、場合によってはアクセスできない。グーグルやモジラなどのWebブラウザーでこんな事態が起こっている。ネットの安全を重視する姿勢が世界的に強まっていることに対応した動きだ。

 保護されていない通信──米グーグルのWebブラウザー「Chrome」の利用者が総務省のWebサイトから検索機能を使おうとすると、こんな警告が赤く表示される。グーグルは2018年7月にリリースした「Chrome 68」から警告を出し始め、10月に提供を始めた「70」でさらに表示を強調した。

図 Chromeブラウザーの表示例
総務省のWebサイトにも警告
[画像のクリックで拡大表示]

 警告は他のWebサイトを開いても出てくる。共通するのは、訪問先のサイトが「常時SSL(セキュア・ソケッツ・レイヤー)/TLS(トランスポート・レイヤー・セキュリティ)」と呼ぶ暗号化技術に対応していない点だ。

 常時SSL/TLSは第三者が発行した電子証明書を利用して、Webサイトの運営者が他人のなりすましではなく本物であると保証する。Webサーバーにアクセスする際にデータを暗号化して外部から盗み見られないようにしたり、通信内容の改ざんを検知したりできるため、安全性も高まる。データが読み取られる恐れがあるHTTPプロトコルを補完する役割を果たす。

図 HTTPSによる暗号化を導入したWebサイトの機能
常時SSL/TLSでWebサイトの利用者を守る
[画像のクリックで拡大表示]

 グーグルは常時SSL/TLSに対応していないサイトについて利用者が安全に利用できないとみなし、警告表示という「強権」を発動した。Chromeは世界のWebブラウザー利用者の4~6割が使っているとされる。グーグルの動きに対応しないとアクセスの急減やユーザーの離反につながりかねない。世界中のWebサイトの運営者は急きょ見直しや対応を迫られた。

認証局の証明書を無効に

 グーグルは強権発動の矛先を認証局(CA)の証明書にも向けた。Webサイトの運営者が常時SSL/TLSを導入する際は、CAと呼ばれるベンダーに証明書の発行を依頼する必要がある。

 グーグルは旧シマンテックブランドの証明書を2018年7月から10月にかけて段階的に無効にした。Chromeの利用者がこの証明書を導入しているサイトにアクセスすると「この接続ではプライバシーが保護されません」と警告を表示し、事実上アクセスを遮断する。

 グーグルは公式ブログで、この措置の理由を次のように説明する。「シマンテックが業界ルールに準拠しない証明書を多数発行するとともに、適切な監督なしに証明書の発行を外部に委託していた」。旧シマンテックブランドの証明書はかつて世界で4割超、国内で6割のシェアを占めていた。

 米シマンテックは2017年10月に証明書の事業を米デジサートに売却した。Webサイトの運営者が証明書を使い続ける場合はデジサートに再発行を依頼する必要がある。デジサートは約1年かけて無償で証明書を再発行する対応に追われた。一般に公開されてアクセス数が多い日本のWebサイトが使っている証明書のうち、「Chromeの警告対象となるものの91.6%については再発行などの対応を完了した」とデジサート・ジャパンの平岩義正カントリーマネージャーは話す。それ以外の中小サイトなどは旧証明書を使い続けている可能性がある。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら