社内ネットワーク上のWebサーバーでもHTTPS対応が必要な理由

はじめに

社内ネットワーク上のWebサーバーについて、HTTPS対応は完了しているでしょうか？もし、いまだにHTTPでコンテンツを提供している場合、近い将来、困ったことが起きるかもしれません。

これには、Chromiumベースのブラウザ（Google ChromeやMicrosoft Edgeなど）が導入している「HTTPS by default」機能が関係しています。この機能がインターネット上の公開サーバーに限らず、社内ネットワーク上のサーバーにも同様に適用されるため、HTTPS化の必要性が高まっているのです。

WebサーバーをHTTPS化するメリット

Webコンテンツのセキュリティ確保には、HTTPS化が欠かせません。HTTP通信は暗号化されていないため、データの盗聴や改ざんが容易に行われる可能性があります。これに対し、HTTPSは通信を暗号化し、データの保護を強化します。

• データの機密性を高める
  HTTPSにより、データはTLSを通じて暗号化され、第三者による盗聴が不可能になります。これにより、ネットワークを経由するデータの安全性が大幅に向上します。
•  データの完全性を高める
  データが送信される際に改ざんされるリスクが低減されます。HTTPでは、データが途中で変更される可能性がありますが、HTTPSではそのリスクがほぼゼロになります。
• Webサーバーの正当性確認
  SSL/TLS証明書により、ユーザーはサーバーが正当なものであることを確認できます。これにより、フィッシングや中間者攻撃のリスクを低減できます。

インターネットに公開されたWebサーバーでは、すでにSSL化は必須となっています。2018年に始まった「常時SSL化」推進運動の結果、HTTPのみのサイトはほぼ絶滅しました。現在では、Google ChromeやMozilla Firefoxなどの主要ブラウザがHTTPサイトへのアクセス時に「保護されていない通信」と警告を表示するようになっています。

社内ネットワーク上のWebサーバーに関して

社内ネットワークはインターネットと比較して、悪意ある第三者が存在する可能性は低いと一般的に考えられます。しかし、そのリスクがゼロであるとは言えません。実際、情報漏洩の原因が内部犯行であったケースは多く、これがセキュリティ対策を緩める理由にはなりません。社内でもデータの暗号化を行うことで、セキュリティを向上させる意義は大きいのです。

さらに、これに加えて、Chromiumの「HTTPS by default」があります。HTTPでコンテンツを公開していると、ブラウザに度々警告メッセージが表示され、ユーザビリティが低下するリスクがあります。また、これらの警告を回避するために個別の設定を行うと、セキュリティホールを生じさせ、予期せぬセキュリティインシデントにつながる恐れもあります。

Chromiumの「HTTPS by default」とは？

Chromiumは、Googleが主導するオープンソースのWebブラウザプロジェクトで、Google ChromeやMicrosoft Edgeといったブラウザの基盤となっています。このChromiumが推進する「HTTPS by default」は、すべてのHTTPリンクを自動的にHTTPSに変換し、変換に失敗した場合には警告メッセージを表示する機能です。この機能は、Web全体のセキュリティを向上させる目的で導入されました。

HTTP by Default におけるアプローチ

• HTTPからHTTPSへの自動アップグレード
  「HTTPS by default」機能により、HTTPリンクをクリックした際に、ブラウザはまずHTTPS接続を試みます。HTTPSで接続できる場合、HTTPではなくHTTPSで通信を行います。
• HTTP接続時の警告メッセージ表示
  HTTPSへの接続が失敗した場合、ブラウザは警告メッセージを表示し、ユーザーが意図的に進行しない限り、HTTPサイトへのアクセスを制限します。

この機能により、ユーザーは安心してWebコンテンツを参照できます。

HTTPコンテンツのダウンロードに関する警告

「HTTPS by default」と関連して、ChromiumベースのブラウザはHTTPで提供されるコンテンツのダウンロードについても警告を表示します。これは、以下の理由によるものです。

• セキュリティリスクの軽減
  HTTPで提供されるファイルは暗号化されていないため、悪意のある第三者による改ざんや盗聴のリスクが高まります。これを防ぐために、ブラウザはHTTP経由のファイルダウンロードを制限し、ユーザーに警告を発します。
• 混合コンテンツの防止
  HTTPSページからHTTPで提供されるファイルをダウンロードすることは「混合コンテンツ」と呼ばれ、セキュリティリスクが高いとされています。これを防ぐために、HTTPでのダウンロードをブロックし、ユーザーに注意喚起を行うことが一般的です。

業務に与える影響

「HTTPS by default」機能によって、HTTPでのファイルダウンロードが制限されることは、業務に影響を与える可能性があります。

実際、2024年4月には、Microsoft Edge（バージョン124）で「InsecureDownloadWarnings」が誤って有効化された際に、一部の組織で混乱が生じました。この警告により、HTTP経由のファイルダウンロードが制限され、情報システム部門に多くの問い合わせが寄せられました。

Microsoft Edge Stable チャネルのリリース ノート より引用
https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-relnote-stable-channel#version-1240247867-april-26-2024

バージョン 124.0.2478.67: 2024 年 4 月 26 日

さまざまなバグとパフォーマンスの問題を修正しました。
安定したチャネル セキュリティ更新プログラムの一覧はこちらにです。

お知らせ: HTTP 経由の安全でないダウンロード

HTTP サイトに危険な可能性のあるコンテンツをダウンロードしたユーザーには、UI 警告が表示されます (たとえば、"sample.exe は安全にダウンロードできません")。 ユーザーは、ダウンロードしたアイテムの ".." で [保持] を選択して続行することもできます。メニュー。 管理者は 、InsecureContentAllowedForUrls ポリシーを使用して、警告が抑制される HTTP サイトを指定することもできます。 Edge 124 での警告の有効化は誤って行われました。 この安定リリースで警告を元に戻しました。 管理者は、機能フラグを InsecureDownloadWarnings 使用して、この今後の機能の影響をテストできます。 手記： この警告は、今後の Microsoft Edge バージョンで有効にする予定です。 (2024 年 5 月 9 日更新のお知らせ)

回避方法と対応策

現在、ダウンロード制限による業務の混乱を回避方法は2つあります。

1つ目はWebサーバーのHTTPS化することです。HTTPで提供されるすべてのリンクをHTTPSに変更し、セキュアな通信を確保します。
2つ目はブラウザの設定変更することです。 一時的にブラウザの設で"InsecureDownloadWarnings"オプションを無効化し、警告を回避します。しかし、この方法は一時的なもので、根本的な解決策にはなりません。

「HTTPS by default」については、Microsoft Edgeでは、2024年７月に安定チャネルで提供される「Edge 127」で適用される予定です。それまでに対応を完了し、セキュアな環境を整備することが求められます。HTTPS化を早急に進めることで、社内ネットワークのセキュリティを強化し、業務の安定を確保しましょう。

社内ネットワーク上のWebサーバーをHTTPS化する方法

社内ネットワーク上のWebサーバーをHTTPS化するためには、Webサーバー、Webクライアント、認証局（CA）の3つの側面でそれぞれ重要な作業が必要です。特に社内サーバーの場合、プライベートCAを利用するのが一般的です。以下にそれぞれの作業について簡潔に説明します。

WebサーバーでのHTTPS化

既存のWebサーバーをHTTPS化するためには、まず証明書署名要求（CSR）を生成します。CSRには、サーバーの公開鍵と組織情報（組織名、ドメイン名など）が含まれます。このCSRを作成してプライベートCAに提出します。

プライベートCAから発行されたサーバー証明書と中間証明書をWebサーバーにインストールします。加えて、HTTPトラフィックをHTTPSにリダイレクトする設定を行います。これにより、ユーザーがHTTPでアクセスした場合でも、HTTPSに自動的に切り替わります。

Webクライアントでの対応

Webクライアント側では、プライベートCAが発行したルート証明書をインストールします。これにより、社内のWebサーバーに対するHTTPS接続が信頼され、ブラウザが警告を表示しなくなります。

認証局（CA）の準備と設定

社内のWebサーバーに対するHTTPS証明書を発行するためには、プライベートCAを用いるのが一般的です。プライベートCAは、社内専用の認証局であり、インターネットに公開する必要のない社内ネットワークにおいては、パブリックCAよりもコストや管理の面で優れます。

プライベートCAをセットアップし、CA証明書を作成します。CAは（社内ネットワーク上のWebサーバーで生成した）CSRを受け取り、サーバー証明書を発行します。発行されたサーバー証明書をクライアントが信頼できるよう、ルートCA証明書を配布します。

サーバー証明書の発行にも対応する認証ソリューションのご紹介

Soliton OneGate

Soliton OneGate（ソリトン ワンゲート）は、ソリトンシステムズが提供するIDaaSサービスで、Wi-FiやVPN認証においてデジタル証明書を使用します。セキュリティ強化と利便性の両立を目指しており、多要素認証（MFA）、シングルサインオン（SSO）、SAML認証連携などの機能を備えています。AD連携やプライベートCA、生体認証も可能で、クラウド管理型のため導入・運用の負担が少ないのが特徴です。
料金プランにはPKIプラン、Basicプラン、Standardプランがあり、機能はプランによって異なります。

NetAttest EPS

NetAttest EPS（ネットアテスト イーピーエス）は、企業の無線LANやVPNへの接続時の認証を行います。RADIUSサーバー機能、認証局（CA）機能、ネットワーク接続端末にIPアドレスを払い出すDHCPサービスなどをオールインワンで提供しており、要求の厳しいビジネス環境において、高い信頼性と運用性を実現するための十分な性能を備えます。
また、NetAttest EPSは、2002年に物理アプライアンスとしてリリースして以降、時代とIT環境の変化に応じて仮想アプライアンス、クラウドサービスなど、最適な形態で提供することで業種や導入規模を問わず多くのお客様から高い評価を受けてきました。