特集

なかなか進まない「常時SSL」

JIPDECは国内企業等のWebサイトの内、常時SSL(対象のサイト内の全ページがSSL化されていること)に対応しているのは20.6%だったとする調査結果を公表しました。

業種別では大学と銀行がそれぞれ50%を超え、学校・ホテル・通販・動物病院・インターネットなどが続きます。それ以降はサービス業が30%前後の割合で並び、下位を見ると製造業が多いという印象でしょうか。
都道府県別だと東京・福井・沖縄・富山・京都が上位、下位には山形・青森・栃木・茨城となっています。また資本金・従業員数・売上高別で見ると、それぞれ規模と比例して常時SSL化対応が進んでいるというのも面白いところです。

SSL証明書の認証タイプで見ると、「ドメイン認証(DV)」が8割以上を占めていて、「EV認証(EV)」は1.9%と大きく差が開いています。

(参考:SSL証明書の種類)

ドメイン認証(DV) ドメイン認証タイプの証明書(Domain Validation)で、メールなどを利用してドメインのオーナーシップを確認した上で発行する証明書
認証項目:ドメイン名の利用権
企業実在認証(OV) 実在認証タイプの証明書(Organization Validation)で、申請した企業の存在を確認した上で発行する証明書のこと
認証項目:ドメイン名の利用権、組織の法的実在性
EV認証(EV)  Extended Validationのことで、厳格な審査を行った上で発行する証明書のこと
ブラウザのバージョンによってはアドレスバーが緑色になる

認証項目:ドメイン名の利用権、組織の法的・物理的実在性、組織の運営、承認者・署名者の確認

 

さて、これらの数値を「高いと見るか低いと見るか」というわけですが、思いの外低いというのが率直な印象でしょうか。
Google Chromeが非SSLのWebサイトに対してアドレスバーに「保護されていない通信」と表示するようになったのは今年7月のChrome 68以降です。
この方針は以前から告知されており、特にWeb系の企業などからは煽り気味な危機感が盛んに叫ばれていました。
ところが実際にChromeの表示変更が行われても、一般ユーザの印象はそれほど影響しなかったということなのか、大きな混乱は起きませんでした。Googleからのアナウンスによると、SEO面での優位性も明言されていますが、その差については諸説あり、なんとも言えないというのが正直なところなのかもしれません。

何故対応が進まないのでしょうか?
システムに対する保守的な考え方だったり、SSLに対する無理解、効果や有効性が明らかでない、そして日本人に強いと言われる「右へ倣え」意識の強さなど、これらの複合的な要因ではないかと想像できます。
特に首相官邸や総務省など、この問題に音頭を取ってもいいはずの中央官庁が非対応なことから「まだいいや」という意識が根強く存在しているのではないかと思われ、2016年末までに政府機関のWebサイトの常時SSL化を義務付けたアメリカとは温度差が大きく異なっています。
民間企業を見ても、銀行業界ではみずほ銀行が対応済みなのに対して三菱UFJ銀行と三井住友銀行が非対応、自動車業界ではトヨタとホンダは対応済みなのに対して日産やマツダが非対応、通信業界で見てもソフトバンクが対応済みなのに対してNTTやKDDIが非対応(ドコモや東西は対応済みですが)と、まだまだばらつきがあるのが実情です。
加えて「SSL=暗号化」というイメージが強いというのも一因ではないかと思われます。
「別に公開のコンテンツしかないし、暗号化するほどのものでもない」という考えが少なからずあると思いますが、本来SSL/TLSの機能は認証と改ざん検出があり、原理で言えばフィッシングやなりすましに対しても一定程度の効果が期待できます。

何よりも「常時SSLじゃないとダサい」という空気がまだ一部にしかないというのが最大の要因ではないかと思います。
対応する企業側もそうですし、利用する一般のユーザ側もです。
結果としてWebサイトの構築や運営に対する敷居が上がってしまうのが残念なところですが、以前に比べればインターネットを取り巻く環境も大きく変化しているので致し方ないところかもしれません。
個人的にはメールの送信ドメイン認証である、SPF・DKIM・DMARCももう少し普及が進まないものかと思っていますが、こちらも理解と有用性の認知がいまいち進んでおらず歯がゆく感じられます。
結局の所、インターネットを「正しく安全に使う」ためにやらなければならないことが近年爆発的に増えてるという事実に対してすら、世間の理解が追いついていないということなのかもしれません。