なぜ2020年代から(或いはその5年前から)常時SSL化が必須と言えるのか?
セキュリティの確保
- 通信の暗号化
- SSL/TLSの技術により、Webブラウザ~サーバ間の通信が暗号化。第三者による盗聴や改ざんを防ぎます。
- 入力情報の保護
- ログイン情報、個人情報、問い合わせフォームの内容など、機密性の高い情報のやりとりが安全になります。
ユーザーの信頼性向上
- ブラウザの警告表示への対処
- 2020年代より、Chrome/Safari/Edgeと言った主要なブラウザは従来のhttp通信を「保護されていない通信」としてブラウザに表示するようにしました。これは読者、アクセス者に対してユーザの不安を招きます。
- 攻撃者にとっての絶好の餌を与えない
- HTTP通信の状態であるというのは、攻撃者にとっての「オイシい」獲物です。ログイン情報やセキュリティの脆弱性などをより好んで狙うという状況を防ぎます。
(筆者には余り関係ないが) SEOへの影響
- Googleを筆頭とする各種検索エンジンは、2014年以降、SSL対応を検索上位の評価要因に含めています。
- HTTPS化されたサイトはSEOで有利になります。
Web標準としての定着
- HTTPS by default機能
- Chrome/Edge/ChromiumなどはHTTPSを標準接続とする仕様を導入。これにより、HTTPサイトはますます排除される傾向になります。
企業・サービスの信頼性維持
- SSL化はもはや企業サイトの基本マナーとされています。
- 未対応のままでは信頼性を損なう可能性があります。
余談 (私怨かつ直接的な動機)未対応企業への溜飲
- 強烈なパワハラを喰らい去ることになった会社が「辞めてから10年経ってもHTTP通信のまま」というIT企業の存在は、「あんたは未だにHTTPS化をしていないわけ?」という精神的な勝利に繋がっています。
- 器が小さいとかみみっちいと言われていても、かなり重要な動機です。
ログが重要な理由
トラブルシューティングが容易になる
- 最も重視する項目です。先般の「記憶に頼るな。ログを信じろ」の全ての根拠です。
- 特定のサイトでエラーが発生した場合、該当サイトのエラーログだけを確認できるため、原因特定が迅速になります。
- バーチャルサイトごとにログがないと以下を招きます。
- ノイズが多いことによる調査効率の低下。
- 不審なアクセスの迅速な検知の非効率化。
セキュリティサービスとの連携
- WAF連携
- 筆者が用いているModSecurityの連携は、ひとえに「この、エラーログ・アクセスログ」を根拠にセキュリティの強化や利便性強化を図っています。
- 攻撃のトレンドを知る
- どのような攻撃があるからサーバはパフォーマンスが落ちているのか? を知る上でもこれは重要です。
サイトごとのアクセス解析が可能/容易になる
- 複数のドメインやサービスを1台のサーバで運用している場合、ログを分けることで書くサイトのアクセス状況を個別に把握できます。
- 例えば「example.com」と「sample.jp」のPV数や人気ページを比較したいとき、ログが分かれていないというのは分析が困難になります。
セキュリティ監査に対応しやすい
- サイトごとにログを分けることで、不正アクセスや改竄の痕跡を個別に追跡可能です。
- 仮に、何らかの法的なインシデントに巻き込まれたとしても、そのログを元に、迅速な対応が可能になります。
読者への回答
「これだけ長いのに何故2つに分けないのか?」は
- SSL化
- ログの設定
は、先に示した「加害者にならないための具体的手順」の1つ。「この両者は不可分であり、インターネットで公開する上では必須」だからです。
- SSL化という2020年代セキュリティの標準
- ログの可視化というインターネット黎明期から続くトラブルシューティングと解析
は絶対に必要な項目です。次ページから具体的な手順です。
コメントを残す