最後に侵入テストを行ったのはいつ？「SSLさえ使っていれば安全」は大きな誤解

本当に危険なのは、データが転送された後でWebサーバやアプリケーションの脆弱性を突かれてしまうことだ。そのための対策は万全だろうか？

[Kevin Beaver，TechTarget]

　Secure Sockets Layer（SSL）をめぐる誤解はあまり指摘されていないが、実はWebセキュリティに対するわれわれの見方をゆがめている。一般的に、Webサイトや電子商取引アプリケーションがどれだけ安全かを考える場合、「SSLが使われていればWebサイトとそのデータはいたって安全」ということになってしまっている。

　Webサイトのプライバシー／セキュリティポリシーの一部として、「このWebサイトは128ビット暗号化で保護されています」といった文を堂々と載せているのも見掛ける。Webセキュリティに真剣に取り組んでいる「証明」として、認証機関へのグラフィカルリンクまで置かれていることもある。

　コンピュータの使い方を紹介するラジオ番組で、ホストがSSLについて話すのも耳にする。Web上でのデータ保護についての一般的なアドバイスは、ブラウザに表示されるSSLの鍵アイコンを確認しながら操作することで、そうすればきちんと安全を確保できるという。

　業界の強力なマーケティングの結果として、またもや消費者とビジネスユーザーは思い込みを持ってしまっているように見えるのはわたしだけだろうか。それは、通信中のデータが暗号化され、接続先のWebサイトの真正性が確認されていれば、オンライン上の安全確保は万全だというものだ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(http://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}