先日、御客様から問い合わせがあって「自社のサイトにアクセスすると『安全ではありません』と出てくるけど、どうしたら良いか?」と聞かれました。どうしたら良いかというと「消したいならサーバー証明書を入れる事」という回答か、「気にすんな」という回答の二択になりますね。どちらを回答したのかは秘密です。
で、いろいろ話をしているウチに「安全ではありません」という表示を出しているのはGoogleだ!とか、「安全ではありません」という表示を出しているサイトからは個人情報が漏れる!とか勘違いしている事が判った(たぶん、その他大勢の人達の認識でもあると思います)ので、改めて整理をしたいと思います。
- 表示を出しているのはブラウザです
もちろん類似の表示はGoogleの検索結果にも出る事はありますが、その場合はウイルスとかに感染する可能性があるので「絶対にアクセスしてはいけません」が、ブラウザのアドレスバーに「安全ではありません」と表示されるのは必ずしもサイトの安全性を評価したものではありません。技術的な議論を別にして考えた場合には、サイトの信頼性として「安全なサイトであっても出る事が殆ど」です。 - 個人情報が漏れる事を示してはいません
ニュースになる「個人情報漏洩」とか「クレジットカード情報漏洩」とかは「安全ではありません」の表示の有無にかかわらず発生します。現実問題から言えば「安全ではありません」の表示が出ないサイトの方が、そういう事件を起こしているというのが現実です。「安全ではありません」表示と情報漏洩の有無は必ずしも結びつきません。
類似の問題として、以前から時々話題になる「暗号化された無線LANは安全なのか?」という議論があります。
この問題について北海道新聞社から取材を受けた際には「暗号化された無線LANは安全とは限りません」と回答し、記事にして頂いています。無線LANは単純に「暗号化されているから安全、暗号化されていないから危険」と言えるものではないのですよ。極端に書けば「暗号化されていようがいまいが、等しく危険である」と言えます。
技術的な観点からすると別ではありますが、ブラウザの出す「安全ではありません」も同じ事が言えて「『安全ではありません』が出ようが出まいが、等しく危険である」と私は言い切ります。偽サイトだから「安全ではありません」が出ると勘違いしている人も見かけましたが、「安全ではありません」が出ない偽サイトもありますし、先に述べたように情報漏洩だって「安全ではありません」が出なくても発生します。
さて、ブラウザの出す「安全ではありません」を改めて技術的な観点から見ると、以下のような事が言えます。
- 通信が盗聴されるという意味では正しい
「安全ではありません」表示が出ないサイトは通信の盗聴はされませんので「安全である」とも言えます。ただ、正直なところ通信の盗聴が行われても問題ないサイト(個人情報を扱わないサイト)であれば気にする必要はありませんし、過度に神経過敏になる必要はありません。特に漏洩という観点であれば「安全ではありません」が出ないサイトの脆弱性を突かれて改竄されたサイトの方が非常に危険であると言えます。 - 通信が改竄されるという意味では正しい
「安全ではありません」表示が出ないサイトは通信の改竄はされませんので「安全である」とも言えます。正直なところ通信の改竄が行われても問題ないサイト(個人情報を扱わないサイト)であれば気にする必要はありませんし、過度に神経過敏になる必要はありません。特に改竄という観点であれば「安全ではありません」が出ないサイトの脆弱性を突かれて改竄される方が非常に危険であると言えます。
なので、極端な話を言えば「安全ではありません」表示が出ていたとしても「安全である」場合もあるし、「安全ではありません」表示が出なくても「安全ではない」場合もあると言う事になります。どっちが危険かと言えば後者の方が危険であると言えます。
結論)「安全ではありません」は気にすんな。
コメント
サイトを「https」化したところ、「安全ではありません」の表示が消えるので、御客様には自社サイトの「https」化をお勧めした方が、無事解決するような気がします。
そう単純な話では無いんですよね。
「安全ではありません」が出ないと「安全だ」と考える一般利用者が多いので危険だという問題点があります。
「安全ではありません」が出ない偽サイトが多数ありますからね。
情報処理安全確保支援士として、本来の意味を一般利用者に啓蒙することが大事だと考えています。