時代の波に乗り遅れるな!
日本語の「安全」という言葉は英語で言うところのsafetyとsecurityの2種類の意味を持ちます。これら2つが感覚的に違うことがわかっていたとしても言葉で説明するのは難しく、その説明も人によってまちまちであったりするのですが、私の解釈ではsafetyは漠然とした「安全な状態」を指し、securityは「安全の確保」のことであるという感じでしょうか。
一方、私が仕事として携わっている自動車制御の分野では技術としてこれらは明確に区別されており、safetyは乗員の生命や身体に危害が加わらないこと、securityは情報技術的な攻撃(=クラッキング)を防ぐこと、ということができます。過去何年かはISO 26262という「機能安全規格」が2011年に発行されたことでセーフティへの対応が大きな関心事となっていましたが、2015年にJeep Cherokeeのクラックの発表からリコールに至ったことから急速にセキュリティが脚光を浴びるような状況となっています。
このセキュリティという分野は言うまでもなくインターネットの技術が先行しているので、それを参考に対応が進められているわけですが、そのインターネットではどういう状況なのかといえば、認証・暗号化・改竄の検出のためのTLSの普及が進んでいます。Googleが「HTTPS をランキング シグナルに使用します」と発表したことでその動きは一気に加速することになったのではないかと思われます。Googleでの検索表示順というのはウェブサイトへのアクセス数に直結しますので、特に企業のサイトでは対応が急務となったのではないでしょうか。
私のこのブログのようなところではもともと大したアクセスがあるわけでもありませんが、時代遅れではいけない、というよりも新しい技術はいち早く取り入れていきたいと思っています。しかし、TLSに必要な証明書の発行がこれまで大きな障害となっていました。この証明書はセキュアな通信の肝となるものなので、誰でもおいそれと発行できるものではないわけですが、以前は1年間有効のもので3万円程度というようなコストがかかってしまっていたのです。しかし、Internet Security Research Groupが提供するLet’s Encryptというサービスで証明書が無償で発行されるようになり、その状況を変えてくれました。
そして今週、私が利用しているロリポップ!がこのLet’s Encryptを利用する設定を無料で提供するという発表があり、即日申込み・利用が可能となりました。私も早速設定してみましたが、設定は本当に簡単で「独自SSL (無料) を設定する」のボタンを押すだけなのであっという間に終わり、その後数分で利用できるようになってしまいました。ただ、その後でウェブページ側で設定を変えなければいけないところがいくつかあります。
- 自分のサイトアドレスをhttpsに変更
- .htaccessにhttpからhttpsへのリダイレクトを追加
- Google Analyticsのプロパティ設定をhttpsに変更
- Google Search Consoleでhttpsの登録を追加
- ページ内に埋め込んでいるGoogle AdsenseやAmazon Associateのスクリプトをhttps対応のものに更新
加えて、HSTS (HTTP Strict Transport Security)というものも設定するとセキュリティをより強固なものにすることができるようになりますが、個人のブログのレベルではそこまでする必要はないかもしれません。
ということで長々と書いてきましたが、お伝えしたいことはこのブログもついにHTTPSで提供することになりました、ということです。ブックマークしていただいている場合などHTTPでアクセスしてもHTTPSにリダイレクトされるので特にURLの変更は必要ありませんが、ブラウザのURL表示が”https://wolverion.com/〜”となっていて、例えばChromeではそれが緑の文字で、その左に”Secure”と表示されるようになっているはずです。まだ完全にHTTPのスクリプトを無くせていないので警告が表示されていたりすると思いますが、少なくともこれまでより悪く(弱く)はなっていないはずなのでしばらくは目を瞑っていただけると幸いです。
なお、嬉しいおまけとしてTLS対応に伴いHTTP/2という高速化技術も適用されるようになったので、いくらかページの表示が早くなっているのではないかと思いますがいかがでしょうか。