2019/06/26

Google によるセキュリティ強化の取り組み

2019 年 6 月 26 日 Emil Hozan 著

HTTP(HyperText Transfer Protocol)と HTTPS(HTTP Secure)の違いについては、多くの人に知られるようになりました。ご存知のように、HTTP はインターネットという魔法の世界の内側を通る管であり、人間が読むことのできるコンテンツがそこを行き来します。HTTPS はこのコンテンツの暗号化された形式で、実際にやり取りする人だけが相互に通信できます。HTTPS では、ドメイン名が登録されて SSL 証明書が取得され、この証明書によって、ユーザと指定されたドメイン名の間の通信が暗号化され、セッション乗っ取りなどの Web 攻撃を防止します。

インターネットセキュリティの進化に伴い、HSTS(HTTP Strict Transport Security)という、セキュリティの強化を可能にするメカニズムが誕生しました。HSTS とは、HTTPS 経由でのみアクセスできるドメインのハードコーディングされたリストであり、ほとんどの主要 Web ブラウザがこのリストに対応しています。HTTPS を使用せずにこのリストのサイトにアクセスすることはできません。

Google は、世界中のインターネット利用におけるセキュリティの強化に積極的に取り組んできました。Google が立ち上げた多数の TLD によって、これらの TLD のすべてのサブドメインに対するセキュリティが提供されるため、Web 開発者がセキュリティを考慮する必要がなくなります。Google が提供する TLD でホストされているサイトは、このプリロードされる HSTS リストに自動的に登録されるため、Web 開発者や Web の立ち上げに携わる関係者は、自社の Web サイトへのセキュリティの統合に関する作業が大幅に簡素化されます。もちろん、これ以外のセキュリティ対策も必要ですが、セキュリティ強化の素晴らしい第一歩であることに変わりありません。

Google を始めとする、インターネットで大きな存在である企業のこのような取り組みは、世界全体のセキュリティ対策に大きな影響を与える可能性があります。サイバー戦争は進行中の大戦のようなものであり、一つ一つの戦いに勝利することが最終的な勝利につながります。そして、この場合で言えば、HTTPS と HSTS がその武器ということになるでしょう。