当サイトで使っているGMOのサービスについて将来的な安全性を考える

セキュリティー

たけほのへなちょこ台帳 のサイトは、ドメイン及びサーバの管理共にGMOが提供する、お名前.comのサービスを使っています。

サーバは仮想サーバを利用しているので、サイトの安全性はサーバ側の設定だけである程度対策する事はできますが、利用しているホスティング先やドメインを管理しているレジストラには常に安全な環境下でユーザへサービスを提供しているのは、当然の事です。

GMOの事業について

GMOが提供するサービスを当ブログで利用するに至った理由は、インターネットのインフラ事業を手掛けている会社として最大手である事と、インフラ事業の一部であるドメインレジストラやサーバホスティングのサービス以外に、SSLサーバ証明書を発行する国内の認証局としてグローバルサインブランドの証明書を取り扱っている会社になります。

証明書について説明すると、国内の認証局ではありますが正確にはベルギーのグローバルサインという会社が扱う証明書をGMOが認証局として審査発行しているので、厳密には国産ではありませんが、既に本題から外れているので割愛します。

このインフラ事業の内容の幅の広さと最大手である安心感によりGMOのサービスを使っていたのですが・・・

一通のメールから生まれた不信感

とある日、お名前.comから一通のメールを受信しました。

メールの内容は取得されているドメインの公開連絡先情報のセキュリティーに関する案内でしたが、メールの閲覧に使用しているGMAIL側の表示で赤色の斜線が引かれた鍵のアイコンに目が向きました。

更にこの赤いアイコンへカーソルをもっていくと・・・

暗号化されない原因について

結論から説明するとSSLサーバ証明書を、gmoes.jpのメールサーバて導入して暗号化していない事が原因になります。

SSLサーバ証明書について

SSLサーバ証明書はウェブサイトやメールでは当たり前のものになってきましたが、一昔前まではウェブサイトのみに利用するものとして認知されていた経緯があります。

SSLサーバ証明書はサイトに訪れたユーザが入力した情報を暗号化して通信する為に必要なデジタル証明書になります。

当然クレジット決済を使うサイトには導入されていて当然のものになります。

万が一、貴方が買い物をしているショッピングサイトでクレジットカード情報入力ページでSSL証明書が導入されていない場合、貴方のカード情報は平分のままインターネット上を行き来する事になります。

SSLサーバ証明書はこの情報を暗号化してからインターネット上を介して通信をする為、平文で通信するより安全だという事になります。

メールサーバへ証明書を導入するとどうなる?

これを本題のメールに置き換えると、お名前.com(GMO)が送信したメールは平分のままインターネット上を行き来しているので、第三者がこのメールを閲覧できる可能性が高いという事になります。

第三者がこのメール見ただけで、送信先のメールアドレスを持っている人はお名前.comでドメインを2つ取得している事が知られてしまいます。
メールに「xxxx様」が入っていたら、それこそ個人情報を漏らしている状態です。

SSLサーバ証明書はメールサーバへ導入する事で、このメールを暗号化してくれるので、安全にメールを送信する為に必要なものになります。

将来的な安全性について考える

最初にも説明しましたが、GMOはSSLサーバ証明書を発行するセキュリティー系の事業も行っております。

にも、かかわらず同GMOが行っている他のインフラサービスについてセキュリティーに関するリテラシーが、セキュリティー系の事業を行っていると思えないレベルだと感じるのは当然の事です。

なので近い将来、メールが暗号化されるのを長期的に期待するか、自らGMOのサービスから他社のサービスへサイトを移管する道を選ばなくてはなりません。

コメント

タイトルとURLをコピーしました