Webサイトの全ページへの通信を暗号化する「常時SSL/TLS」対応が進んでいる。今やインターネット通信の標準はHTTPからHTTPSへとシフトした。すべてのページを暗号化することで盗聴防止など、セキュリティを向上させられる。

常時SSL/TLS化の流れを加速させたのはグーグルだ。2014年にHTTPS対応していないページの検索順位を下げると発表した。さらに2018年にはGoogle ChromeでHTTPS対応していないサイトにアクセスすると、正規のサイトでも問答無用で警告が表示されるようになった。

Google Chromeの利用状況レポートによれば、国内でのHTTPS通信の割合は2019年3月2日時点で76％になっている。米国では90％になっており、今後もHTTPS通信は増えると見込まれている。

脅威を監視できていない？その一方、常時SSL/TLS化は企業のセキュリティにとって良いことばかりではない。シスコシステムズ セキュリティセールス システムズエンジニアの二宮瑞樹氏は「通信が暗号化されてしまうので中身が見えなくなる。復号しないと脅威がすり抜けてしまう」と指摘する。

企業の対応は遅れている。A10ネットワークスと米国の調査会社Ponemon Instituteは2018年1月、5000人以上の従業員がいる企業を対象とした、グローバルの調査結果を発表した。それによると、47%の企業が「セキュリティ機器は導入済みだが、SSL/TLSトラフィックを復号できない」と回答している。つまり、多くの企業は大半のトラフィックを実質的に監視できていないのである。

常時SSL/TLS化への対応が進まない理由について、IDC Japan ソフトウェア＆セキュリティグループ リサーチマネージャーの登坂恒夫氏は「最大の問題はパフォーマンスだ」と指摘する。SSL/TLS復号処理の負荷は大きく、復号機能をオンにすると、セキュリティ製品のパフォーマンスが極端に低下してしまう。