全2229文字
PR

 サーバー証明書の期限切れや、脆弱性の放置といった担当者のうっかりミスによるWebサイトのセキュリティー事故が相次いでいる。

 特に2020年夏は行政機関をはじめ、多くの企業や組織のWebサイトでサーバー証明書の期限切れが発生し、閲覧障害を引き起こした。

国内で相次ぐWebサイトのセキュリティー事故
国内で相次ぐWebサイトのセキュリティー事故
[画像のクリックで拡大表示]

 サーバー証明書の期限切れや脆弱性の放置が事故につながる仕組みと対策を解説する。まずはサーバー証明書の期限切れから見ていこう。

 ほとんどのWebサイトはTLSという技術を利用して安全なWebアクセスを実現している。TLSを利用するWebサイトのURLは「https://」で始まる。TLSではサーバーの認証や通信の暗号化、改ざんの検知を行う。

 TLSを利用するにはサーバー証明書が必要だ。この証明書には有効期間があり、失効すると図2の「事故1」で示したようにWebブラウザーは警告を表示し、Webサイトを表示しない。このセキュリティー事故が2020年夏に頻発した。

証明書の有効期間が短縮

 2018年7月以降主要なWebブラウザーは、TLSに対応していないWebサイトにアクセスすると警告を表示するようになった。このため、2018年に多くのWebサイトがTLSに対応した。

 サーバー証明書の有効期間は当時、最長2年間だった。このため、2020年夏に失効が原因のセキュリティー事故が増えたとみられる。

 有効期間は2020年8月以降、2年間から1年間(最長397日間)に短縮された。更新頻度が頻繁になるため、今後はさらにセキュリティー事故が増える可能性がある。

サーバー証明書の更新スケジュール
サーバー証明書の更新スケジュール
[画像のクリックで拡大表示]