httpをすべて「https」に ユーザーの安全を守るAOSSL対応

httpをすべて「https」に ユーザーの安全を守るAOSSL対応

現在、Yahoo! JAPANは、ユーザーのみなさんの安全を守るための施策として「ウェブサイト全体のSSL(※)化」(AOSSL対応)を行っています。
2016年4月から始まったこの「AOSSL対応」にはどういったメリットがあるのか、また、どういった事に気をつければより安全にインターネットを使うことが出来るのかについて、このプロジェクトを進めている大河内と戸田に聞きました。(写真左から大河内、戸田)

(※)https通信は実際にはTLS(Transport Layer Security)という技術で実現されていますが一般的にはSSLという呼び方が広まっている事を鑑み、本稿では「SSL化」と表記させていただきます。


- まず「SSL化」、そして「AOSSL対応」とはどういった取り組みなのでしょうか。

大河内 :
「SSL化」とは、ウェブサイトを「http通信」から、暗号化されたより安全な「https通信」へ変更する取り組みです。Yahoo! JAPANのサービスのなかでも決済に関係するサービスなどではすでに「https通信」に移行しているのですが、今回はYahoo! JAPANのウェブサイト全てを常に「https通信」で提供出来るように変更してしまおうと。
だから「AOSSL(Always On SSL)対応」ですね。

image

(大河内)


- この対応を行うことで、ユーザーにはどんなメリットがあるのですか?

戸田 :

第三者に情報を盗まれるリスクを抑える事が出来ます。
「SSL化」をしていないインターネット環境では「通信の盗聴リスク」が発生します。

無線LANでのアクセスが多い今、ユーザーのインターネットへのアクセスを「盗聴」することが、盗聴ツールを使えばできてしまうんですね。そのリスクを回避するためには「SSL化」して通信を暗号化させることが有効です。

もちろんYahoo! JAPANでも、Yahoo! JAPAN IDのログイン時やYahoo!ウォレットの利用情報など、機密度の高い情報を表示するサービスでは既に「SSL化」が完了しています。ですが、Yahoo! JAPAN全てのサービスで「SSL化」することは、ユーザーにより安全な利用環境で安心して使っていただくため、とても重要な取り組みです。


- 「盗聴リスク」についてもう少し詳しく教えてください。

戸田:
盗聴は、いろいろなケースが考えられますが、ここでは、みなさんがよく利用されているであろうWi-Fiをテーマにお話します。通信を盗聴されるシチュエーションは、以下の3つが考えられます。

1.暗号を利用していないWi-Fi接続

「暗号を利用していないWi-Fi」は、盗聴が可能です。家の外まで電波が漏れてしまっていたり、暗号を利用していない公衆のWi-Fiは盗聴のリスクがあります。

2.非推奨の暗号を利用したWi-Fi接続

古い暗号を利用した通信は、簡単に解読ができてしまうものもあります。非推奨の暗号を利用すべきではありません。

3.「野良Wi-Fi」

空港、お店、ホテルなどのいろいろなところにWi-Fiが提供されていますが、それとは別に、誰が提供しているか不明な 「野良Wi-Fi」 も存在しています。

誰が提供しているかわからないWi-Fiに接続してしまうと、暗号化されていない通信が盗聴・改ざんされる恐れがあります。

- 安全にインターネットにアクセスするために、ユーザー自身が気をつけるべきことや、ほかにできることはありますか?

ユーザーが気をつけたほうが良いこと、やれることはたくさんあります。今回挙げたものがすべてではないのですが、いくつか例を挙げてみました。

1.最新バージョンを使う

ハードウエア、OS(OSもソフトウエアですが)、ソフトウエア、あらゆるものは、新しいものを利用するのが、安全への近道と考えています。

古いハードウエアでは、最新のOSが利用できない、セキュリティの新しい機能が使えない、といったケースがあり、ハードウェアもどんどん変えていくのが望ましいです。
古いOS 、たとえばXPは、すでにマイクロソフトがサポートを打ち切っているので、はやく新しいものに交換するのが望ましいです。

OSやソフトウエアの古いものがなぜダメかというと、攻撃者に攻撃方法を知り尽くされているからです。
弱点が一番少ないものは、おそらく一番新しいバージョンのものだと考えられます。
もちろん、一番新しいものに穴がないという保証もありませんが、まだ、攻撃者に知られてない可能性が一番高い、ということになります。

2.すぐに使えるセキュリティ機能は利用する

いろいろなサービスがセキュリティの機能を提供しています。
無料で使えるケースも多いので、使えるものはしっかり使う、というのが良いでしょう。
たとえば、ヤフーでは、

 - ログインテーマ
 - シークレットID
 - Y!OTP
 - ログインアラート

などの機能を提供しています。

フィッシングサイトに引っかからないための予防やアカウントが乗っ取られないための対策、万一乗っ取られてもすぐに気付ける、などの効果がありま す。

3.パスワードの扱いに注意する

パスワードは、アカウントを守るための重要な要素です。
パスワードで注意してほしいこととして、

  - パスワードは必ず設定する
  - 簡単なパスワードは使わない
  - デフォルトのパスワードは使わない
  - パスワードを使いまわさない

などがあります。

4.Wi-Fiを安全に使う

盗聴リスクでWi-Fiを例に挙げましたが、Wi-Fiの使い方の注意点を以下にいくつか挙げます。
 - 暗号化通信を利用する
 - 暗号の鍵は推測されにくいものを使う
 - 野良Wi-Fiにはつながない


自身を守ることがみんなを守ることにつながる


上記に述べたことは、ご自身で身を守るための対策ですが、アカウントを乗っ取られにくくなるということは、結果的にみなさんのご家族やご友人を守ることにもつながっていきます。

image

(戸田)

- ちなみに、他のIT企業でもこの「AOSSL」対応は進んでいるのでしょうか。 

戸田:
TwitterやFacebook、Appleなどの海外の企業は、昔から「SSL化」に取り組んでいます。

日本では、金融系の企業サイトでは「SSL化」が進んでいますが、「サイト全てをSSL化」(=AOSSL)できているという事例は、大きなサイトを運営している企業ではまだ聞いていません。今回、全社をあげて「AOSSL」を進めることで、ユーザーの安全をもっと確実に守りたいと思っています。Yahoo! JAPANのように大きなサイトを運営する企業が「AOSSL」に成功したという話はまだ聞いたことがありません。だからこそとてもやりがいがありますし、必ず1年で完了させたいですね。

最後に、CTO(最高技術責任者)の藤門にも話を聞きました。

-Yahoo! JAPANがAOSSLに取り組む意義とは?

藤門:
安全なサイトで最高のインターネット体験をしてもらう、これはYahoo!JAPANにとって重要なミッションの1つです。

これまでは「HTTPS=安全なサイト」と言われてきましたが、これからは「HTTP=危険なサイト」という認識がされる時代に変わっていくと考えています。

さらに、テクノロジー視点では、「HTTP/2(RFC7540)」のようにHTTPSを前提とした新たなテクノロジーが出てきています。Yahoo! JAPANのウェブサイト全体のHTTPS化を終えたあとは、HTTP/2などにもチャレンジし、通信パフォーマンスの改善によるユーザーのインターネット体験の向上を狙っていきます。

image

(CTOの藤門)

【関連リンク】
Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します