はじめに:ネットでの買い物、本当に安全?
空子/情報セキュリティマネジメント担当ネットショッピングやSNSを使うとき、「自分の個人情報は大丈夫なのかな?」と不安に思ったことはありませんか? 実は、私たちが普段なにげなく使っているWebサイトの裏側では、情報を安全にやり取りするためのさまざまな仕組みが働いています。
今回ご紹介する「Secure属性」は、そんな仕組みのひとつです。名前だけ聞くと難しそうですが、やっていることはとてもシンプル。この記事では、専門知識がなくてもわかるように、できるだけかみ砕いて説明していきます。
まずは「クッキー(Cookie)」を知ろう
空子/情報セキュリティマネジメント担当Secure属性を理解するには、まず「クッキー」について知っておく必要があります。
クッキーとは、Webサイトがあなたのブラウザ(ChromeやSafariなど)に預ける小さなメモ書きのようなものです。たとえば、ショッピングサイトにログインしたとき、「このユーザーはログイン済みですよ」という情報がクッキーとしてブラウザに保存されます。おかげで、ページを移動してもログイン状態が維持されるわけです。
クッキーには他にも、ショッピングカートの中身を覚えておいたり、サイトの言語設定を保存したりと、さまざまな役割があります。つまり、クッキーがなければ、私たちが当たり前のように使っている便利な機能の多くが成り立たないのです。
通信の「鍵」 ― HTTPSとHTTPの違い
空子/情報セキュリティマネジメント担当次に知っておきたいのが、「HTTPS」と「HTTP」の違いです。
Webサイトにアクセスするとき、ブラウザのアドレスバーを見ると、URLの先頭に「https://」や「http://」と書かれているのに気づくと思います。この「s」があるかないかが、実はとても重要です。
「HTTP」は、ブラウザとサーバー(Webサイトのデータが置かれている場所)が情報をやり取りするための通信ルールです。ただし、HTTP通信は中身が丸見えのハガキのようなもの。途中で誰かに覗かれると、内容が読まれてしまう危険があります。
一方の「HTTPS」は、HTTPに暗号化の技術を加えたものです。こちらは封筒に入れて鍵をかけた手紙のイメージ。たとえ途中で誰かに盗み見されそうになっても、暗号化されているため中身を読むことはできません。
ここで登場、「Secure属性」
空子/情報セキュリティマネジメント担当さて、いよいよ本題です。
Secure属性とは、クッキーに付けることができる「この情報はHTTPS通信のときだけ送ってね」という指定のことです。
先ほどの例えで言えば、「この大事なメモは、必ず鍵のかかった封筒(HTTPS)で届けること。ハガキ(HTTP)で送るのは禁止!」というルールをクッキーに貼り付けるようなイメージです。
Secure属性がないとどうなる?
もしSecure属性が付いていないクッキーがあると、そのクッキーはHTTP通信でも送られてしまいます。つまり、暗号化されていない「丸見えのハガキ」で大切な情報が送られてしまう可能性があるのです。
たとえば、カフェの無料Wi-Fiなど、セキュリティが弱いネットワークを使っているとき、悪意のある第三者が通信を盗み見しているかもしれません。そのとき、暗号化されていないHTTP通信でクッキーが送られてしまうと、ログイン情報やセッション情報が盗まれ、あなたになりすまされてしまう恐れがあります。これを「セッションハイジャック」と呼びます。
Secure属性があるとどうなる?
Secure属性が付いたクッキーは、HTTPS通信でしか送信されません。暗号化された通信路でのみ情報がやり取りされるため、たとえ誰かが通信を傍受していても、中身を読み取ることは極めて困難になります。
つまり、Secure属性は「大切な情報を安全でないルートで運ぶことを防ぐ仕組み」なのです。
日常生活に置き換えてみよう
空子/情報セキュリティマネジメント担当もう少しわかりやすくするために、日常生活のシーンに例えてみましょう。
あなたが銀行のキャッシュカードの暗証番号を友人に伝える必要があるとします。このとき、次の2つの方法があったらどちらを選びますか?
- 人混みの中で大声で叫んで伝える(HTTP通信=Secure属性なし)
- 個室に入って、二人きりで小声で伝える(HTTPS通信+Secure属性あり)
当然、2番を選びますよね。Secure属性は、まさにこの「個室でしか伝えない」というルールをクッキーに課すものなのです。
Secure属性だけで万全? ― 他のセキュリティ対策との連携
空子/情報セキュリティマネジメント担当ここで注意しておきたいのは、Secure属性だけですべての脅威を防げるわけではないということです。セキュリティの世界では、複数の対策を組み合わせることが基本です。
クッキーには、Secure属性のほかにもいくつかの重要な属性があります。
HttpOnly属性 は、JavaScriptからクッキーにアクセスできないようにする設定です。悪意のあるスクリプトがクッキーの中身を盗み読むことを防ぎます。
SameSite属性 は、別のサイトからのリクエストにクッキーを付けるかどうかを制御する設定です。「クロスサイトリクエストフォージェリ(CSRF)」という攻撃からサイトを守る効果があります。
これらの属性を組み合わせて使うことで、クッキーに関するセキュリティはぐっと強固になります。Secure属性は、いわばセキュリティチームの一員。一人だけでは完璧ではありませんが、チーム全体で力を発揮するのです。
自分のブラウザで確認してみよう
空子/情報セキュリティマネジメント担当実は、Secure属性が付いているかどうかは、あなた自身のブラウザで簡単に確認できます。
Google Chromeの場合、以下の手順で確認できます。
- 調べたいWebサイトを開く
- キーボードの「F12」キーを押して開発者ツールを開く
- 上部のタブから「Application(アプリケーション)」を選ぶ
- 左側メニューの「Cookies」をクリックする
- 表示される一覧の中に「Secure」という列があり、チェックマークが付いていればSecure属性が有効
普段使っているサイトのクッキーを覗いてみると、セキュリティへの意識が変わるかもしれません。
まとめ
Secure属性とは、クッキー(Webサイトがブラウザに保存する小さな情報)に「暗号化された安全な通信(HTTPS)のときだけ送信してね」と指定するための仕組みです。
この小さな設定ひとつで、カフェのWi-Fiなどセキュリティが弱い環境でも、大切な情報が丸見えの状態で送られてしまうリスクを減らすことができます。
空子/情報セキュリティマネジメント担当私たちがインターネットを安心して使えるのは、こうした地味で目に見えない仕組みが裏側でしっかり働いてくれているからです。次にWebサイトにログインするとき、「Secure属性が自分を守ってくれているんだな」と思い出してもらえたら嬉しいです。
コメント