Googleが9月からTLS証明書の有効期限を短縮、Webサイト・メールのセキュリティを高める「通信の暗号化」の今
米Googleは今年6月、2020年9月以降に発行されるTLSサーバ証明書に関し、有効期限の最長期間を「398日(約13か月)」とすることを発表しました。同日以降、有効期限が399日以上のWebサイトは「不正な証明書を使っている」として接続が出来なくなるため、Webサイトの管理者は対応を迫られることとなります。
そもそもなぜWebサイトの通信を暗号化する必要があるのか、そして、私たちが普段見慣れている電子メールでも活用されている「通信の暗号化」の現状について、振り返りと共にご紹介します。
【目次】
主要ブラウザが横並びで期限を短縮
Webサイト・メールの通信を暗号化する意義とは
おわりに
主要ブラウザが横並びで期限を短縮
TLSサーバ証明書の期限については、自社製ブラウザ「Safari」を展開する米Appleが今年3月、2020年9月以降発行の証明書の有効期限を「398日以下」とする方針を発表しており、「Firefox」を提供する米Mozillaも同様の制限を8月31日より課すことを明らかにしていて、Googleの発表はこれらに倣ったものと言えます。
ではなぜこれらのベンダーが横並びで期間を短縮することになったのでしょうか。背景には、情報技術の進化のスピードに比例してセキュリティ対策を見直す頻度が高まっていることが挙げられます。
Webサービスにおいても「パスワードはこまめに変更しましょう」という掛け声を聞くことが多くなったことに表れている通り、演算技術の向上により、暗号化アルゴリズムの危殆化リスクは年々高まっています。そうしたアルゴリズムについて、こまめに変更(更新)を行うことで解読される可能性を減らし、結果としてより安全なインターネット通信環境を維持できる、というのが各ベンダーの見解です。
インターネット通信の電子証明書の運用については、上述のベンダーや証明書の発行を手掛ける認証局事業者等からなる「CAブラウザーフォーラム」という業界団体がガイドラインを定めていますが、同フォーラムにおいては期限の短縮が一定程度セキュリティ向上に資するという見解がある一方で、毎年の更新を要するレベルでの期限短縮は事業者の対応コストや手間が増大するという懸念もあり、ガイドラインの改定は見送られていました。
しかしながら、上記のブラウザに加えGoogleのオープンソースブラウザである「Chromium」をベースとする米マイクロソフトのWebブラウザ「Microsoft Edge」にも同様の期限が設定されることで、実質的に殆どのブラウザで証明書の期限を「398日以下」とせざるを得ない状況となったことから、国内大手認証局でも従来販売してきた有効期限が「2年間」のサーバ証明書を終売とする動きが出ており、移行は避けられない情勢となっています。
Webサイト・メールの通信を暗号化する意義とは
「暗号化」とはその名の通り、やり取りする情報をそのまま判読可能な状態(平文)ではなく複雑化して判読不能な状態とすることを指します。ここで言う「情報」とは、単にWebサイト上に掲載されている文字などに限らず、WebサービスへのログインIDやパスワード、決済時のクレジットカード番号、さらには電子メールの内容等も含みます。インターネットの普及に伴い、傍受や盗聴、改ざんによるリスクが大きいこうした情報をやり取りする機会が増えたことから、暗号化の技術が普及しました。
暗号化に対応したWebサイトは、URLの始まりが「https://~」となっており、Chrome等のブラウザでは対応状況を示すアイコンがURLの横に表示され、一目で判別されるようになっています。
一方、メール通信の場合は「送信者クライアント(メールソフト)」→「送信側サーバ」→「受信側サーバ」→「受信者クライアント」と複数の経路を経て情報がやり取りされるため、その全てを暗号化しないとセキュリティを高めることに繋がりません。自社でメールサーバーを管理している場合にそのサーバーに対し暗号化対応を施しても、その先の通信(送信側サーバを出て以降)が暗号化され無い限り、傍受や改ざんのリスクは残ります。
そのような中、GoogleのWebメールサービスである「Gmail」が常時HTTPS対応となり、自社から送出されるメールシステムが暗号化に対応していれば、Gmailユーザーに対する送信メールは受信まで暗号化された状態で送り届けることが可能になりました。自社でメールサーバを運用しているケースに加え、暗号化通信に対応したメール配信システムを利用している場合にも、セキュリティが確保された状態でメール送信ができるようになっています。Gmailの場合、暗号化に対応していないサーバや配信システムを介して届けられたメールには「赤い南京錠」のアイコンが送信者名欄に示され、そのメール通信が暗号化されていないことが警告されます。
近年ではフィッシング詐欺などWebサイトアクセスをキーとした犯罪への対策として、通信の暗号化による改ざん防止、なりすまし対策の重要性が叫ばれていますが、こうしたサイトへの誘導手段として用いられることの多い迷惑メール対策としても、メール通信の暗号化がWebサイトと同様に重要視されています。インターネットの成熟期にある現代においてリスクはあらゆる局面に潜んでおり、「どれか1か所を対策する」のでは既に不十分となっています。Webサイトやメール通信をビジネスで活用している場合には、今一度こうした対策そのものの運用状況はもちろん、証明書の更新が適切に行われているかをはじめ、セキュリティ対策を定期的に点検、見直しできているかも併せてチェックしていく必要があります。
おわりに
今回は、大手WebブラウザにおけるTLS証明書期限の短縮と、Web通信における暗号化の意義と現状についてご紹介しました。普段何気なく試用しているブラウザやGmailでも、セキュリティ対策を反映したアップデートが着々と実装されています。日進月歩と言えるサーバーセキュリティ分野のさらなる進化に、引き続き注目する必要がありそうです。
キューノート エフシー
メール配信システムCuenote FC(キューノートFC)は、会員管理やメール配信後の効果測定をグラフィカルに表示。システム連携用APIなども提供しており、一斉配信からメールマーケティングまで行えます。独自開発のMTA(配信エンジン)とノウハウで、月間のメール配信数41億通・時間1,100万通以上(※)の高速配信を実現し、スマートフォンや携帯にもストレスなく高速・確実にメールを届けます。
※クラウド型サービス(ASP・SaaS)の実績値