21
Webブラウザのセキュリティの基礎を学ぶ

フィッシング、偽の Web サイト、盗まれたデジタル ID など、Web 上のあらゆる場所に危険が潜んでいます。これらはインターネット上に存在し、不注意なユーザーが警戒を緩めて騙されるのを待っています。

現代社会の弊害から私たちを守ることだけを目的とした小規模なセキュリティ対策が次々と生まれていますが、デジタル時代と安全な関係を築くために必要なのは、古き良きブラウザと、ウェブの仕組みに関するちょっとした知識だけです。では、ほとんどのウェブブラウザで使用されている基本的なセキュリティ機能を見ていきましょう。これらの機能の仕組みを理解することで、ウェブを少しだけ安全に利用できるようになります。

ブラウザを使用する際にプライバシーを保護する方法を学びましょう

信頼の問題

ブラウザとサイト間の通常の接続は完全に「平文」で行われ、すべての情報はインターネットを構成する様々なノードを、変更も保護もされずに通過し、宛先の受信者に届きます。当然ながら、これはクレジットカード番号、税務情報、あるいはTwitterアカウントのパスワードなど、個人情報に関わる取引を行う方法ではありません。

これらの目的のために、ウェブサイトは安全な接続に依存しています。安全な接続は、ブラウザと接続先のサーバー間の信頼関係を確立します。ウェブサイトのアドレスに「https」プレフィックスが付いていることで識別される安全な接続は、プライバシーと識別という2つの要素から構成されています。

安全なWebサイトのアドレスは「https://」で始まります。

プライバシーは暗号化によって保証されます。ブラウザとサーバーは、データが他の人には意味不明に見えるような方法でデータを転送する方法を合意します。これにより、データ交換を偶然目撃した人が、あなたが共有したくない情報にアクセスすることは不可能になります。

しかし、プライベートな会話は、誰と話しているのかが分かっていなければ安全ではありません。そこで、識別機能が重要になります。ブラウザは、ウェブサイトのアドレスが正当な所有者によって使用されていることを確認するために、デジタル証明書と呼ばれるツールを利用しています。デジタル証明書は、いわゆる認証局によって発行されます。認証局は通常、企業の法的地位、設立書類、ドメイン所有権など、特定の側面を検証した後に発行されます。

デジタル証明書を所有しているからといって、必ずしもウェブサイトが安全になるわけではないことを理解することが重要です。これは、アクセスしているウェブアドレスが、その所有者によって運営されていることを意味するだけです。

この区別は重要です。なぜなら、ブラウザが安全な環境を提供する能力は単なる技術的なものであり、明白な理由から判断を下すことはできないからです。つまり、安全なサイトが安全であるかどうかを判断するのにブラウザだけに頼ることはできません

ブラウザがどのように役立つか

Safari のロックアイコンをクリックすると、デジタル証明書の所有者に関する情報が表示されます。これは、偽造者の餌食になっていないか確認するのに最適です。

とはいえ、安全な接続を確立するプロセスには、インターネット詐欺の被害に遭わないための便利なツールがいくつか用意されています。まずは、警告に注意することです。ブラウザがセキュリティ上の問題の可能性を警告した場合は、常に注意を払い、何が起こったのかを突き止めることが重要です。

しかし通常、ブラウザが積極的に警告を発するのは、非常に特殊な状況、例えばウェブサイトで使用されているデジタル証明書が無効または期限切れの場合のみです。通常の状況では、安全な接続と安全でない接続を区別する視覚的な手がかりははるかに微妙であるため、ユーザーはそれらを積極的に確認する必要があります。

したがって、詐欺師から身を守るためにできる最も重要なことは、安全な接続が期待できる状況を把握することです。これには、銀行取引を行う場合や、電子商取引ストアの支払いページにいる場合などの明らかなシナリオだけでなく、GMail などのオンライン電子メール システムにアクセスするなど、通常は重要とは見なされないその他のアクティビティも含まれます。

ほとんどのブラウザには、接続が安全であることを示す視覚的な表示機能があります。例えばSafariでは、ウィンドウの右上に鍵アイコンが表示されます。この鍵アイコンをクリックすると、ブラウザがダイアログボックスを開き、デジタル証明書の所有者を表示します。これにより、本当に正しいサイトにアクセスしているかどうかを確認する機会がさらに得られます。

電子メールは他のサービスのパスワードをリセットするためによく使用されるため、GMail などの安全な接続をサポートする Web アプリにアクセスするときは、安全な接続を使用することをお勧めします。

究極の保護

残念ながら、詐欺師は本物とわずかに異なるアドレスを選ぶことで、最も注意深いユーザーでさえ騙すのに非常に長けています。「www.joesfishmart.com」というアドレスの銀行サイトを信じる人は誰もいませんが、「yourb4nk.com」や「your-bank.com」のようなドメインなら、どんなに信頼できる人でも騙されて信頼してしまう可能性があります。また、デジタル証明書に添付されている情報を確認すれば相手が誰なのかは分かりますが、必ずしも現実的ではありません。

この問題を克服するために、一部のウェブサイトでは、厳格な検証基準を満たした場合にのみ発行されるExtended Validation Certificate(EVC)と呼ばれる証明書を使用しています。これらの証明書が検出されると、ほとんどのブラウザは追加の視覚的なヒントを表示します。Safariの場合は、アドレスバー内にサイトの所有者の名前が緑色で表示されます。

Safari では、Extended Validation Certificate を使用する Web サイトの所有者の名前がアドレスバーに緑色で表示されます。

ご覧の通り、Webページのセキュリティは複雑で、時に厄介な問題です。しかし、少しの注意と簡単なコツを活用すれば、特別な(そして多くの場合高価な)ソフトウェアを必要とせずに、より安全なブラウジング体験を実現できます。ただし、そのソフトウェアとは、使い慣れたブラウザのこと。

[ Macworld に頻繁に寄稿している Marco Tabini はトロントに拠点を置いており、Twitter では @mtabini として見つけることができます ]

Ecosystem
Posted by Timsod