怖い話⑬「SSL(Secure Sockets Layer)非対応」
センター長、中村です。
「SSL」をご存じでしょうか?
インターネット上でやり取りするデータを暗号化して、情報を盗み取られないようにする仕組みです。
ということは、暗号化されていないデータはその通信の際に容易に読み取ることが可能ということです。
葉書と封筒を例に想像してもらうとわかりやすいと思います。
葉書は丸見え。封筒は暗号化こそされていませんが、開封しなければ中身はわかりません。
「https://~」で接続されるWebサイトは暗号化されています。
「http://~」のWebサイトは暗号化されていないため、葉書状態でデータがやり取りされるわけです。
「s」の有無が、SSL(暗号化)されているかそうでないかを見分けることができます。
ChromeやEdgeなどのブラウザでは、暗号化されていないサイトに接続すると、
Chromeの場合は「保護されていない通信」、Edgeの場合は「セキュリティ保護なし」とURLのバーに表示されます。
「s」なしのホームページは珍しくありません。
自社や自組織の情報だけを表示し、閲覧者からのデータを受け取ることを想定していないホームページであれば、暗号化を必要としないのかもしれませんが、
今の世の中でいかがなものでしょうか?
調べてみると、SSLに対応していないホームページで「名前・メールアドレス・住所」など、個人の特定が可能な入力内容を求める問合せページを用意している医療福祉機関が、10分ほどで5件ほど探し出すことができてしまいました。
この問合せフォームを利用すると、丸裸で「要配慮個人情報」が通信される可能性が無きにしも非ずで、この状態でホームページに「個人情報保護方針」を掲げても・・・。
怖いですねー「SSL非対応」
「s」の有無で、情報セキュリティに対し関心がなく、対策が行われていない企業団体として判断されても仕方がないと感じます。
ICT利活用が経営活動にとって必須の今の時代に、情報セキュリティに興味を持ち、積極的に対策を取ることが大事です。
今一度、情報セキュリティ対策を再点検してはいかがでしょうか?