日本のHTTPS導入、普及しつつもまだ不十分

普段からネット上で英語やドイツ語の海外のサイトを日常的に利用していると、日本語のサイトを訪れる際によく感じることがある。「HTTPS (Hypertext Transfer Protocol Secure)」を採用する割合が日本のサイトは相対的に少ないということだ。

HTTPSとはSSL/TLSプロトコルを使ってHTTP通信を暗号化させるセキュリティ技術だ。ウェブサイトを暗号化するにはいわゆる認証局が発行したSSL/TLS認証が必要となる。そして過去5年ぐらいからSSL認証をウェブサイトの標準設定にするべきとの認識が急速に広がっている。以前はサイトにログインするページや、決済情報を入力するページといったウェブサイトの一部のみがそれらの暗号化技術によって保護されていたが、今日はウェブサイト全部分においてHTTP通信を暗号化(常時SSL化)するべきというのが一般の認識である。

しかし日本ではそれが顕著に遅れているのが現状だ。


統計データを分析

日本のHTTPSの普及率はMozilla Firefoxのテレメトリーデータに基づくと65.2%で、いまだ世界平均の69.9%を下回る格好となっている(2018年5月17日時点)。一方で米国は79.2%、ドイツは76.1%と高い数字を見せている。

Source: https://letsencrypt.org/stats/

Google Chromeのテレメトリーデータで比較すると日本と諸外国との差は更に開いて見える。それによると日本のHTTPS普及率は62%で、米国の82%とドイツの79%と対比しおよそ20%の差がある(2018年5月12日時点)。

Source: https://transparencyreport.google.com/https/overview

無論、双方のデータで同時に見受けらえるのは、日本のHTTPS普及率の増加傾向は諸外国を上回っており、差は着実に縮まっていることは言及しておかないといけないだろう。


HTTPSが広がった理由とは

さて、2013年末時点で30%前後だった世界のHTTPS普及率がわずか3年半で約70%まで拡大したのには2つの要因があるように思う。

ひとつは当時、米国Booz Allen Hamiltonの社員として米国諜報機関National Security Agency (NSA)の請負仕事を担っていたエドワード・スノーデンが、2013年6月にNSAやCIAGCHQの盗聴・監視活動を暴露したことだ。ネット上でのデジタル通信、特に暗号化されていない通信がいかに無防備であるのかが明らかになった。それを受け世界中でSSL導入を推進する動きが大きく加速した。

【補足:念の為に付け加えておくと、スノーデンの内部告発でわかったことはSSL/TLSで暗号化を行ってもNSAなどの情報機関は通信傍受できるということである。】

もうひとつは、2015年に米国のNPO法人Internet Security Research Group (ISRG)が着手したプロジェクト「Let's Encrypt」だ。これはSSL認証を無料で配布するサービスである。

わずか3年前に立ち上がったLet's Encryptが2018年4月にSSL認証発行数で全体の50%以上を占めるに至ったのには目を見張るものがある。

Source: https://nettrack.info/ssl_certificate_issuers.html

2年前までは占める割合が5%以下だったことを考えると、その業績は多大なものだ。

Let’s Encryptは当初、米国のNPO団体Electronic Frontier Foundation (EFF)が中心となって立ち上げたプロジェクトである。そのEFFはデジタル権利やプライバシー保護などを推進する団体で、ネットに関わるあらゆる問題でユーザー・市民側の利害を弁護・代弁する団体として知られる。ブラウザ拡張機能「HTTPS Everywhere」などプライバシー保護を目的としたツールの開発も行っている。

2014年8月にGoogleはSSL認証の有無をサイトの検索ランキング・アルゴリズムにも反映させることなども明らかにし、「セキュアなウェブ」を実現しようとするネット全体の強い意志を表している:

For these reasons, over the past few months we’ve been running tests taking into account whether sites use secure, encrypted connections as a signal in our search ranking algorithms. We've seen positive results, so we're starting to use HTTPS as a ranking signal. For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

偏ったデジタル大国、日本

他方、ドイツでは相対的にインターネット回線速度が遅いということから、日本が世界で最も光ファイバーが普及しているデジタル先進国として取り上げられることもしばしばある。

日本では想像つかないだろうが、ドイツでは高速インターネット回線を普及させることが国の政策課題として扱われるほどの大きなテーマとなっている。実際、昨年の国政選挙ではそれがひとつの大きな論点となった。

ドイツのインターネット回線の平均速度は15.3mbpsで、日本の20.1mbpsと米国の18.7mbpsを下回っている(ソース:Akamaiの2017年第1四半期コネクティビティ報告書)。ちなみに韓国は28.6mbpsでダントツ世界一位だ。

またドイツの光ファイバーの普及率は1.6%とOECD平均と比べても著しく引けを取っている(2017年6月時点)。日本と韓国は74%前後で他国を大きく引き離し、二国でトップの座を競い合っている状態だ。

Source: https://www.oecd.org/sti/broadband/broadband-statistics/

興味深いのは日本で光ファイバーというデジタルインフラが一方でこれだけ普及したにも関わらず、他方でSSL認証の導入でこれだけ遅れを取ってきたことである。(もちろんドイツに関してはその逆が言えるわけだが。)

光ファイバーの普及に象徴されるデジタルインフラで世界をリードする日本だが、セキュリティ分野をこのようにおろそかにしていては真のデジタル大国とは言えないのかもしれない。もちろんセキュリティ問題に関してはSSL/TLS以外にも山ほど題材があるので、それだけで結論付けることは単純な見方にほかならないことは承知しての主張である。

インターネット・セキュリティに対する意識が日本全体として低いことは一般としてデジタル権利などの話題や議論が少ないことからもうかがえる。EFFと同様の役割を果たす市民団体なども乏しく十分な影響力を発揮できていないのが今日の有様だろう。ITやネットの普及に対応する形で、IT教育を学校に定着させていく上でも考慮してほしい点である。



Originally published at phi.web-republic.de on May 20, 2018.