項目別バックナンバー[1]:インターネット情報:60
HTTPS通信
インターネットでウエブサーバと利用者との間でデータの送受信を行うために用いられるプロトコル(通信規約)として、HTTPが使用されている。
そこではウエブサイトのページを作っているHTMLファイルや、ページに関連付けられたスタイルシートやスクリプトや画像や音声や動画などのファイルを通信している。
HTTPは「Hyper Text Transfer Protocol」だが、それをHTTPS「Hypertext Transfer Protocol Secure」に置き換える動きが現在増えている。
その差の説明がいくつか行われているがその中に郵便にたとえる説明があった、郵便物にたとえると、HTTPは「はがき」で、HTTPSは「封書」に該当するとたとえる。
はがきでは書かれている情報が全て配達系路にいる第三者を含めて見る事が可能だ(最近の目隠しラベル方式や弱接着タイプは除く)同時に本文を書き換える事も可能だと考える、HTTPで通信する情報も通信を傍受すれば読んだり改竄可能と考える。
封書では開封しない限り内容までは読めなく開封した場合は痕跡が残る、HTTPSの場合では内容が暗号化されているので中身は受け手以外には分からない、従って傍受・盗聴被害を防止すると考える。
平文で通信するHTTP通信において、より安全に行うために認証や暗号化を行う目的で、ネットスケープコミュニケーションズが開発したのがHTTPSというプロトコルおよびURIスキームだった。
HTTPS自体は正確にはプロトコルではなくSSL/TLSプロトコルによって提供される機能だった、平文で送受信するHTTPとは異なり、SSL/TLSプロトコルを用いてサーバの認証と通信内容の暗号化・改竄検出を行っている。
暗号化と認証機能によって、なりすまし・中間者攻撃などの攻撃を防ぎ通信時の盗聴を防ぐことができる。
初心者がインターネットを利用し始めて普及した事で、初心者でも判るレベルのハッキング手順書やツールが容易に手に入るようになってきて特別な技術なしにフィッシング詐欺やネット攻撃などでのサイバー犯罪を行うことが可能になった、それによってネット詐欺や暗号化されていない通信経路の盗聴や改ざんが増加した。
加えてその後の無線LANの普及した状態では、攻撃者が無線LAN経由で攻撃を仕掛けることが容易になってきている、そこでは個人情報の入力がない場合でも改ざん手法を用いた詐欺から自身を守るため暗号化されたHTTPS通信の利用が推奨されている。
HTTPSはウエブサイトとインターネット上での個人情報の送信や電子決済などにおいてセキュリティが重要な場合に使用され始めた、そして前述の様に公衆無線LANの普及による通信とその中間での攻撃を受けるリスクの増加と、監視プログラムによる盗聴等に対する対策として導入が進んで来た。
HTTPSは、HTTPを変更せずに通信データを暗号化すると言う考え方であり、セキュリティの機能を追加する方法を考えて作られた、そこでTLSのような仕組みを使って、HTTPのデータ通信と同じに出来る様にされた。
従ってTLSには通信相手が正しいかを判断して認証を行う機能はないことから、HTTPSでも同様に通信相手を間違うと危険なサーバ等に繋がってしまう可能性はある。
HTTPSによるセキュリティ保護の強度は、インターネットサーバやブラウザで使用されているSSL/TLSの正確性や、使用される暗号アルゴリズムに依存する。
インターネットではインフラは参加者が作って行くという仕組みがある為に、郵便や電話とは異なり、正しい相手に繋ぐ事を保証する事業者がいない、従って配達・通信系路内に悪意が紛れ込む可能性が高い。
HTTPS通信では暗号化と共に通信相手を確認するための手段として「証明書(SSLサーバ証明書)」が利用できるようになっている。
HTTPSのメリット
・通信が暗号化されて、改竄や盗聴などの攻撃を防げる。
・HTTP/2対応でブラウザ表示が高速化される可能性がある。
・Google検索エンジンでの表示順位が高くなる可能性がある(後述)
デメリット
・導入手続き作業と時間がかかる。
・一般的には、導入に費用がかかる。
・SSL証明書の定期的(例えば一年毎等)更新が必要で、管理作業が増える。
・https非対応のツールや広告、ブログパーツなどが非表示になる。
・暗号化/復号が必要であり、クライアントとサーバ共に負荷が上がる。
・古いウエブブラウザから閲覧ができない。
HTTP/2
HTTP/2は2015年に公開された新しい通信方法(プロトコル)であり、従来のHTTP/1.1はウェブサーバーに対し1つずつリクエストを送るが、HTTP/2では複数のリクエストを同時に処理出来る。
Google ChromeやFirefox等の主要ブラウザではHTTPSの通信上でのみHTTP/2が使える(HTTPは稼働するが、HTTP/2で動作しない)。
コンテンツが少ないサイトではHTTP/2へ対応させても大きな効果は期待出来ない。
HTTPSの登場した初期は個人情報の入力部分だけがHTTPSで、その他のページはHTTPの構成のウエブサイトが主流だったが、次第にウエブサイト全体をHTTPS化する「常時SSL」のウエブサイトが増えた。
それらのウエブサイトではHTTP/2の通信様式に対応していて表示速度の向上を図っている、HTTPSされている代表的なウエブサイトにはポータルサイトや「Youtube」「Instagram」「Twitter」などの利用者が多いウエブサイトがあり、ページ数の多い巨大なウエブサイトではHTTP/2のページの表示速度の向上の効果が大きい。
検索サイトGoogleでは検索結果表示ページにおいて、ユーザーの情報保護を図るHTTPSページのほうをHTTPページよりわずかだが優先的に扱う、それはGoogleがHTTPSでの通信に対応したウエブサイトへの重み付けを増して、検索結果でより上位に表示する方針に変更した事による。
その事から「常時SSL」化されたウエブサイトの運営は、ウエブサイト管理者にとってはSEO(検索結果上位表示)方策のひとつになる。
HTTPSはHTTPを保護するプロトコルであり、ウエブブラウザとウエブサーバの間の通信を暗号化して盗聴や改竄を防ぐ、ただし情報処理全てを保護はしていない。
情報を受け取ったウエブサイトは、送信された必要な最小限の情報データのみを安全に保管する事が期待されるのだが、誤って重要な個人情報が入る可能性もあるし、ウエブサイトのデータベースは外部からの攻撃を受ける可能性もあり、情報が人為的に不当流用されたりまたは漏洩する可能性がある。
通信が完全に保護されていても安全性が全て確保されてはいない、それ故に現在のインターネットでは通信の盗聴より、それ以外の脅威が情報の保護の重要な要素となっている。
HTTPS通信は暗号化されており通信内容を読んだり改竄はできず通信内容の検閲もできない、だがこの証明書までも悪用しての犯罪もある、例えば証明書を使い紛らわしい偽のウエブサイトを作りそこに被害者を呼び個人情報を盗んだり悪質なマルウェアに感染させたりする事もある。
対抗策としてHTTPSサイトの証明書を見て、安全かを見分ける必要がある。
「https://」で始まるウエブサイトの証明書をパソコンでクロムブラウザで見る手順は
1:「F12」>英字検証ウインドウを開く>
2:「security」をクリック>「View Certificate」をクリック>
3:証明書ウインドウを開く>「全般」「詳細」「証明のパス」を確認する。
同報電子メール
電子メールは基本は1対1で通信するツールだが、同じ内容を複数宛てに同時に送るメールを同報メールと呼ぶ、用途的には電子メールである必要はないし、メールでは無く多数側が掲示板等を見に行く仕組みもある。
スマホ等のSNSでは、利用者がアプリを閲覧する掲示板方式もあるし、逆にプッシュ通知を行う機能を持ち電子メール受信通知またはそれ以上の割り込み表示機能を使う場合もある、パソコンではプッシュ通知は利用は少なく、電子メール方式と掲示板方式が長く使用されてきた。
電子メールで多数宛てに同報メールを送る機能として、CCとBCCで設定する方法がある、CCは受信者がメールの他の受信者のアドレスが判る方式であり、BCCは受信者のアドレスを秘匿する方式だ、メールアドレスという個人情報の扱いが問題となるので使用は限られてきている。
メールアドレスの秘匿の設定の可否に注目すると、管理者を除いて、1:送信者のアドレス公開か非公開か、2:受信者のアドレス公開か非公開かの重ね合わせになり、同様に名称(ID)でも同様の分類がある。
登録メンバーでグループを作り参加者の1人が参加メンバー全員に同報メールを送る方式があり、そこでは送信者も参加者もアドレスは秘匿して、送信者は名称(ID)を公開する設定が多く使用される。
同報メールには種類は幾つかあるが、基本は電子メールソフトで他のメールと同時に一括受信する仕組みになっている。
それは電子メールの利便性ではあるが、メールアドレスを一括受信に含めておればメーリングリストのメールも一般のメールと同時に毎回受信する事になる、投稿数の多いメーリングリストや複数のメーリングリストに加入した場合はメールサーバー能力や受信者の処理能力の面で負担になる事もある。
それを避けるにはメールアドレスの使い分けを行い一括受信から外す等の方法は色々あるが、受信側がコントロールする必要がある。
メーリングリストと似た目的に使用される物に、インターネット掲示板等がある、投稿者はメールの代わりに書き込み投稿し、読者はメール受信の代わりに必要な時に読みに行く事になる。
インターネット掲示板では一般には事前の登録は不要だが、同報電子メール例えばメーリングリスト的な用途で会員に限る場合は登録者間掲示板を使用する、それはリストに登録するための事前手続きが必要でありメーリングリストとの類似性がある。
複数の人に同時に電子メールを配信=同報する仕組みの代表としてメーリングリストがあり「ML」とも言う。
メーリングリストの原理は
1:登録メンバーの電子メールアドレスのリストを準備する
2:メーリングリスト宛ての代表電子メールアドレスを用意する
3:代表アドレスへ送信されたメールを、リスト登録メンバー全員のアドレスへ転送する
4:メールを受けた個々のメンバーが返信すれば、その返信メールも登録メンバー全員に送信される
メーリングリストは複数人同士でのメールの送受信が実現できるのが特徴だ。
メーリングリストはブログや電子掲示板とは異なる双方向の情報交換が簡単に実現出来るので、それを利用した用途に多く利用される。
メーリングリストを自身でサーバ上に構築するには、ソフトやメールサーバに関してのかなりの技術的知識が必要になる、一般的にはインターネットのウエブサイト上で僅かな知識で使用できるメーリングリストも提供されていて無料サービスもある。
メーリングリストは1つのメールアドレスへの投稿(メール送信)を介して、同報メールを多数に送る仕組みだ。
その機能を含むが、メールの送信と受信をグループで一括管理するシステムのグループメールがある、そこでは複数の人に同じ内容のメールを送信して、受信状況も確認できる。
グループメールのメリットは
・グループ内で情報を共有できる。
グループメールでは、1通のメールに対して一覧で既読状況や返信内容を確認できる。
複数メンバーでのプロジェクトでも、情報共有を出来るので、トラブルを少なく出来る。
・コミュニケーションの向上を図れる。
グループ内での情報共有と同時に、メンバー間のコミュニケーションが向上する。
・追加の機能がある。
メールを一覧で管理できるシステムがある場合は、グループ参加者が多い場合でも、メールの到達や返信の有無を一覧管理を利用して、一通一通の個別よりは少ない時間と手間で確認出来る。
他には、送信時間の指定機能や、相手方の受信までの自動再送機能がある。
グループメールのメリットはビジネス用途でも有用だ。
グループメールはビジネス用途でも有用だが、用途に応じた設定や管理や運用が必要である、無料サービスを使用して情報の公開性の高い使用方法の設定で使用すると当然ながらリスクや不具合もある。
汎用の無料のメールサービスやメーラーでグループメールを使う場合には、デフォルトの設定では差出人の明記がない事が一般的だ、それはメーリングリストでは1つのアドレスを通じてメールの送受を行う方法に由来している設定だ。
ビジネス用途でも社内での送受信であれば、差出人の明記がなくとも本文等で判れば可能な場合もあるかも知れないが、相手が社外であれば送信メールに差出人が無いと受信する側に不安があるし迷惑メール扱いで読まれない可能性もあるし、そもそも礼儀的にも疑問がある。
グループメール内のコンテンツ・情報の閲覧の権限は設定で決められるが、デフォルト設定ではグループのメンバー以外でも閲覧が可能になる場合が多い、それでは情報流出のリスクが発生する。
差出人の明記や閲覧権の設定による情報の流出に関する問題には、汎用の無料のグループメールの場合にはデフォルトをオープン型の設定にしている事が理由だ、ビジネス用途ではそのままではリスクが高く細部の設定を行ってから使用する事が重要だ、ビジネス用のセキュリティに優先的に配慮した有料のメール共有システムや管理システムを利用する選択も有用だ。
同報電子メールの一つのメーリングリストは、主力だったサービスが終了した事でも判るようにスマートホンでのSNS等の利用の方が増えている。
現在利用されているメーリングリスト系の同報電子メールとしては、グループメールの名称である「グーグルグループメール」がある、それは無料のサービスであり多数の機能を持っているとされるが、設定によってメーリングリストとしても使用出来る。
グーグルグループでメーリングリストを作るには、管理者は初期の登録と作成設定にはグーグルのアカウントを持つ必要がある、しかし一般参加者はグーグルアカウントを持っていなくとも可能だ。
管理者はグーグルアカウントを登録(作成)してログインして、グーグルグループのページに行く、「グループを作成」を押して初期登録を行う、この時の項目「基本的な権限」を用途に合わせる必要がある(メーリングリスト用途ならば「トピックを表示>全メンバー、投稿>全メンバー、グループに参加>招待メンバーのみ」になる、一般公開にするとメンバー以外でも、グループの内容を見ることができて、公開になってしまう。
グループのメンバーの登録は、管理画面の「メンバー」でメンバーの招待かメンバーアドレスの管理者の直接入力かで行う。
