気になったニュース: 政府機関Webに改ざん・盗み見リスク
December 5, 2017 – 2:43 pm12月3日付の日経一面トップに「中央省庁サイト、8割に改ざん・盗み見リスク」という物騒な記事がでいた。
この記事のリード文は次のとおり(以下転載):
政府機関のウェブサイトが改ざんや盗み見リスクにさらされている。日本経済新聞と日経BP社の専門誌「日経コンピュータ」が調べたところ、中央省庁の8割弱が閲覧中の不正加入を防ぐ暗号をサイト全体に施していない。米国は政府情報の信頼性を高めるため暗号化を義務付け、中央省庁はほぼ完了した。日本は人手や予算の手当が送れており、公開情報を活用するネットサービスに支障がでる懸念もある。
実際に省庁のサイトにアクセスしてみると:
情報通信に関係しそうな中央省庁として、総務省、通産省、文科省、防衛省の4つにアクセスしてみると、驚くことに、上記した4省のHPのトップページの全てが http:// から始まり接続が保護されていない非SSL化サイトということがわかる。
私の理解では、情報通信を監督する立場にある総務省は、こうした情報セキュリティについては率先して、接続の保護を図る立場にあるはずだ。この総務省のHPのなかに「総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト」があり、このなかに「基礎知識 情報セキュリティ関連の技術 SSLの仕組み」というページがある。このなかには次のようなくだりがある:
SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する仕組みのひとつです。・・・また、SSLは暗号化に加え、電子証明書により通信相手の本人性を証明し、なりすましを防止するなど、今日のインターネットの安心・安全を支えています。
残念なことに、総務省のこのページについては「なりすましを防止する」仕組みは導入されていない。改ざんのリスクを抱えながらSSL技術の重要性を唱えている。お役所仕事だなと感心してしまう。お粗末な話だ。
Webサイトの「常時SSL化」は今や常識:
我がブログサイト、Yama’s Memorandum、は、約10日前に「常時SSL化」した(「我がブログサイトをSSL対応にした」を参照)。
長年の懸案だったが、無料で「SSL/TSSサーバ証明書」が使えることを知り、早速、「常時SSL化」とした次第だ。
我がブログをSSL化したのは、それが今や常識となっているからだ。もはや、SSL化してないサイトは「信頼できない」サイトと判定される恐れさえある。
こうした流れは、このブログ運営にも使用しているプログラム WordPressの利用について、その「要件(Requirement)」のひとつにHTTPSを挙げていることにもみることができる。
WordPressにおける HTTPSの導入にかかわり次のような文書も示されている(Moving Toward SSL)(以下リード文転載):
We’re at a turning point: 2017 is going to be the year that we’re going to see features in WordPress which require hosts to have HTTPS available. Just as JavaScript is a near necessity for smoother user experiences and more modern PHP versions are critical for performance, SSL just makes sense as the next hurdle our users are going to face.
この文書で理解されるように、一般のブログサイトでさえ、SSL技術の取り込みがサイト運営のひとつの重要な要件となってきている。
最近では、SSL化していないサイトに対しては、一定のブラウザでは使えない機能もあらわれた。例えば、Google Maps APIのひとつで、端末の現在地を取得する navigator.geolocation.getCurrentPosition()というのがあるが、ChromeとかSafariなどのブラウザ上では非SSL化サイト上では、この機能は使用できない。
「常時SSL化」の流れ、傾向は、今後、さらに拡大してゆくと思うべきだ。