【社長ブログ】自社ウェブサイトを開き、アドレスバー部分に注目!
JOPS社長ブログ
cooperated by several associates
第8話 意外と知られていない情報セキュリティの常識
第3回 自社ウェブサイトを開き、アドレスバー部分に注目!
使用ブラウザがMicrosoft Edge の場合
使用ブラウザがGoogle Chrome の場合
使用ブラウザがMozilla Firefox の場合
皆さんの会社のウェブサイトを表示させて、上の絵のような「セキュリティ保護なし」「保護されていない通信」などの警告がアドレスバーのところに出ていなければ、ウェブサイトとその閲覧者との間の通信は暗号化されていて、セキュリティが確保されていることになります。通信方式はhttps(最後の「s」は secure を意味します)を使っているということです。
しかし、警告が出ている場合は暗号化されていない(通信方式がhttpで「s」がついていません)ので、第三者が通信内容を改ざんして、偽の情報を閲覧者に送信したり、閲覧者が「問い合わせページ」を使って何らかの入力を行う際にそれが盗み読まれたりする懸念が出てきます。
5~6年前までは、「注文ページや問い合わせページのように、お客様に入力していただく部分など、お客様からの通信があるページだけをhttpsにしておけば大丈夫で、それ以外は(できるだけサーバー処理の負荷をさげるという目的もあり)httpでも大丈夫」、という考え方だったのですが、現在はそういう通信がなくとも、ページがハッキングされて、重要部分をそれとなく改ざんされるようなケースがありうるため、サイト全体をhttpsにするのが一般的になりました。
また、httpsによる暗号化に加えて適切な改ざん検知システムを導入することにより、仮にわずかな改ざんをされても、ハッシュ値(内容全体を表す符号)が大きく変わるため発見しやすく、直ちにサイト公開を停止することができるため、被害を最小限に抑制することができます。
ハッシュ値の説明
そうした経緯を経て、現在ではhttpのページには何らかの警告がでるのが標準的になったわけです。
そうなると、httpの通信方式を使っているウェブサイトを今でも使っていると、以前は特に表示されていなかった警告が現在では出てしまいます。
これは実際にあった事例ですが、数年前、秘密保持を売り物にする某企業のウェブサイトをChromeのブラウザで見たところ、隙の無い洗練されたデザインのページに「セキュリティ対策は万全です」と記されていながら、その上にあるページのアドレスバーに「セキュリティ対策なし」と表示されていたのです。
そのようなウェブサイトでは、接遇トレーニング研修の講師が、口元にごはんつぶを付けて身だしなみの大切さを講義するようなもので、説得力がありませんね。
私はこの業界に入ってしばらくしたころ(2021年前後)に、このことに気がつき、何人かにお伝えして改善を促しました。その中には某業界の取引所のウェブサイトもあり、数か月経過後に https 方式に変更され、アドレスバーのセキュリティ警告は消えました。
その当時はまだGoogle Chromeだけが露骨な表現で警告しており、当時まだ多くの人が使っていたInternet Explorerでは露骨な警告が出ていなかったため、あまりこの問題を深刻に考える人はいなかったようです。現在では、その他のブラウザでも警告が出るようになっています。
ウェブサイトを新しく更新する際には、現在ではhttps方式を採用するのがごく普通になりましたので、知らぬ間にこの問題がクリアーされるケースも多いようです。しかし、今一度、ご確認されるようお勧めします。
(第8話おわり)