ウェブサイトを保護する方法について

7月 14, 2020
サイバーエスピオナージ、情報窃盗などが大きな問題になった。会社もインターネットユーザーも個人情報やプライバシーを守ることに対して、関心が高まっている。
ウェブサイトを保護するのは必要になる。サイトへの接続を保護するために、グーグルはHTTPSを導入することを進める。
HTTPSとは何か。
HTTPS は「Hyper Text Transfer Protocol Secure(ハイパー・テキスト・トランスファー・プロトコル・セキュア)ということだ。ウェブサイトのデータ(文字だけでなく、画像や動画も含めて)をサーバとクライアントの間で通信する時、通信規約(プロトコル)がある。
HTTPSではTLS(Transport Layer Security)というプロトコルが使用され、ウエブサイトのデータをやり取りする時、通信内容を暗号化されるので安全にできる。
つまり、URLに付いてあるHTTPSというアクロニムが大事だといえる。
まず、HTTPSを利用するためにセキュリティ証明書を取得するのは必要である。
証明書は認証局(CA)から発行され、その際に、ウェブアドレスを自分の組織が実際に所有していることを証明する手続きがあり、それによって、ユーザーを中間者攻撃から保護される。
CAは色々あるので信頼できる技術サポートを提供しているところを選ぶべき。
そして、必要な証明書の種類を判断する。例えば、保護するオリジンが 一つの場合(例: www.website.com)は単一の証明書が必要だが、複数オリジンだと(例: www.website.co.uk)マルチドメイン証明書が必要である。
また、HTTPS サイトでは HTTP Strict Transport Security(HSTS)をサポートすることをグーグルから進められる。
HSTS は、ユーザーがブラウザのアドレスバーに HTTPを入力しても自動的に HTTPS ページをリクエストするようブラウザに指示され、グーグルには検索結果に安全な URL を表示される。このようなシステムで、危険なコンテンツをユーザーに提供するリスクが減る。
