「常時SSL化」時代に向けたセキュリティ対策指南書

いまや、企業にとってインターネットは必要不可欠なインフラであり、情報システムから業務システム、広告宣伝などあらゆるシーンで活用されています。インターネットには、金融システムなどライフラインと呼ばれる重要システムが接続される一方、一般消費者も、スマートフォンやタブレットなどの操作でだれでも使える手軽さと、情報検索やインターネットでの買い物などの利便性から積極的に活用され、まさに社会の基盤となっています。

インターネットには、サイバー攻撃により金銭を不当に得ようとする犯罪者も接続しています。犯罪者は、個人情報やクレジットカード情報などの盗難や、正規のサイトに似せた詐欺サイト（フィッシングサイト）を作るなど、より巧妙な手段でサイバー攻撃を行ってきました。

これらのセキュリティ対策として開発された技術が、サイトの真正性証明と暗号化通信手段を提供する、SSL/TLS（以下SSL）です。SSLにより、正規サイトの判断や通信内容の保護が可能となるなど、Webアクセスの健全化に大きく貢献しています。そして今や、Webアクセスの約80%がSSLで通信されている状況となりました。さらに今後は、HTTP/2^*1の普及により、ほぼすべてのWebサイトの通信は、SSLになると予想されます。（常時SSL化）

しかし、SSLによる暗号化は攻撃者の通信をも同時に秘匿されてしまうため、既存のネットワークセキュリティ対策が有効に機能しない事態を招いています。SSLによる暗号化通信が一般化しつつある現代においては、このネットワークセキュリティ対策が無効化されている現状に対して、何らかの方策が急務です。

この『「常時SSL化」時代に向けたセキュリティ対策指南書』は、常時SSL化が普及したこれまでの流れとそれに関わる脅威環境の変化と新しい脅威への対策方法についてとりまとめました。本書がSSL化による現状のご理解と、セキュリティ対策を行う際の参考になれば幸いです。

• *1 2015年に公開されたHTTPプロトコルの最新バージョン

「常時SSL化」時代に向けたセキュリティ対策指南書　ダウンロード

「常時SSL化」時代に向けたセキュリティ対策指南書(PDF 1,276KB)