御社の企業情報ページはhttpsでアクセスできますか?

2010.03.29

IT・WEB

御社の企業情報ページはhttpsでアクセスできますか?

安田 英久
株式会社インプレスビジネスメディア Web担当者Forum編集長

今日は、企業サイトで意識するべき「正しい情報提供」の手法について。企業情報ページの連絡先情報やIRページなど、正しい情報を伝えるべきページは、 httpsでアクセスできるようにしておきましょう。

セキュリティ専門家の高木浩光氏が、ブログで「なぜ一流企業はhttpsでの閲覧をさせないようにするのか」という記事を出しました。銀行など金融機関のサイトで、電話問い合わせ番号を掲載しているページがhttpsではアクセスできない場合があることを警告している記事です。

・なぜ一流企業はhttpsでの閲覧をさせないようにするのか (高木浩光@自宅の日記)
http://takagi-hiromitsu.jp/diary/20100227.html#p01

元は携帯サイトの「かんたんログイン」の仕組みのセキュリティ上の問題点を述べる話題ですが、金融機関の問い合わせ先電話番号を掲載しているページがhttpsでアクセスできないことに言及しています。今回のテーマはそちら。

なぜ問い合わせ先電話番号が掲載されているページなど、顧客に間違いなく情報を伝える必要のあるページはhttpsでアクセスできるべきなのでしょうか? それは、SSLを使っていれば、その内容が正しいサーバーから送られた情報であることを確認できるからです。逆に言うと、SSLを使わない通常のhttp ページでは、偽のサーバーに誘導されていたり、経路上で内容が改ざんされていたりしても、それに気づかないことがあるのです。

「フィッシング対策ガイドライン」内の記述

たとえば、あなたが外出先で財布をなくしたとします。幸い手元にノートパソコンがあったので、野良WiFi(だれかが設置している無線LANアクセスポイント)からインターネットに接続してクレジットカード会社の問い合わせ先ページを見て、カードの停止を依頼したとします。しかし、その無線LANアクセスポイントが悪意をもって設置されたもので、そのネットワークではクレジットカード会社や金融機関の問い合わせ先電話番号ページへのアクセスが偽のページに誘導されていたとすると、あなたは偽ページの情報を見て、悪意をもった罠の番号に電話をかけることになります。あなたは当然、正しいクレジットカード会社の問い合わせ先に電話していると思っているので、クレジットカード番号と名義、さらに「本人確認のために」と言われたら、カードの有効期限やその他の個人情報も伝えてしまうでしょう。

問い合わせ先電話番号ページがhttpsで提供されていれば、あなたは証明書を確認して、それが正しいサーバーから送られてきた情報であり、経路の途中で改ざんされていないことをチェックできますが、httpsでなければそれすら確認できません。

続きは会員限定です。無料の読者会員に登録すると続きをお読みいただけます。

Ads by Google

この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします

安田 英久

安田 英久

株式会社インプレスビジネスメディア Web担当者Forum編集長

企業のウェブサイト活用やウェブマーケティングに関するメディア「Web担当者Forum」(http://web-tan.forum.impressrd.jp/)を運営しています。

フォロー フォローして安田 英久の新着記事を受け取る

一歩先を行く最新ビジネス記事を受け取る

ログイン

この機能をご利用いただくにはログインが必要です。

ご登録いただいたメールアドレス、パスワードを入力してログインしてください。

パスワードをお忘れの方

フェイスブックのアカウントでもログインできます。

INSIGHT NOW!のご利用規約プライバシーポリシーーが適用されます。
INSIGHT NOW!が無断でタイムラインに投稿することはありません。