さらば、鍵マーク:Google Chromeは、すべてのウェブサイトをHTTPS化する次のステップとして、パドロックアイコンを廃止する。
何十億もの人々が、安全で信頼性のあるウェブサイトを示すパドロックアイコンと結びついていますが、それが変わりつつあります。Google Chromeは、2023年9月頃からパドロックアイコンを廃止することを発表しました。
Googleがこの広く知られたセキュリティロックシンボルを削除するのは、HTTPSの重要性が低くなったからではなく、実際にはその逆です。Googleは、すべてのウェブサイトがデフォルトでHTTPSを備えていることを期待しています。
なぜGoogleはこのよく知られたセキュリティロックシンボルを削除するのでしょうか?そして、このパドロックアイコンの変更は、貴社、ウェブサイトのセキュリティ、そしてサイバーセキュリティ業界全体にとってどう影響するのでしょうか?詳しく考察しましょう。
何が起こっているのか?Chromeがパドロックアイコンを過去のものにする
Google Chromeは世界で最も人気のあるウェブブラウザで、「セキュリティをデフォルトで提供するウェブ」に向けて進化しています。
これは、HTTPS(ハイパーテキスト転送プロトコルセキュア)がすべてのウェブサイトのデフォルトのセキュリティ基準と見なすべきであることを意味します。伝統的に、パドロックアイコンはウェブブラウザでこのコンセプトを表してきました。しかし、このアイコンは、ユーザーによって安全なウェブサイトを表すものと誤解され続けてきました(いいえ、これらの用語は同義語ではありません。詳細は後で説明します)。
これがGoogle Chromeセキュリティチームが2023年5月のChromiumブログ投稿で伝統的なパドロックアイコンからの移行を発表した理由です。このアイコンは約40年間にわたりウェブサイトのセキュリティを表してきました。この変更はChromeバージョン117で実施され、そのリリースは2023年9月に予定されています。
パドロックアイコンはコンピュータおよびモバイルユーザーの両方に対して段階的に廃止されます。
コンピュータ上では、パドロックの代わりに視覚的に汎用的な「音符」アイコンが表示されます。
Androidデバイスでは、新しい音符アイコンに移行します。
Apple iOSデバイスでは、クリックできないパドロックアイコンが完全に消えます。
HTTPを使用するウェブサイトは引き続きGoogle Chromeによって「安全でない」と表示されます。Googleはすべてのウェブサイトが最低限のセキュリティ基準としてHTTPSを採用すべきであるとの期待を強調しています。
Chrome 117でパドロックアイコンはどうなる?
では、Chrome 117が秋にリリースされた際、パドロックアイコンの代わりにChromeは何を表示するのでしょうか?ご自身で確認してみてください。ブラウザのアドレスバーに表示されるのは次のようなものです。
Hmmm。諺にもあるように、大したものではない。しかし、なぜグーグルは30年以上も前からあるシンボルをわざわざ置き換えるのだろうか?
なぜパドロックアイコンを変更するのか?HTTPSをデフォルトのセキュリティとして進化させるために。
Google Chromeのセキュリティチームは、この変更は、ブラウザのUIセキュリティスタディの結果に基づいて行われたと述べており、この研究では、圧倒的多数のユーザーがロックアイコンの意味を理解していないことが示されています。Googleのオンラインスタディでは、1,880人のユーザーを対象にした調査で、回答者の89%がパドロックの意味を誤解していたという結果が得られました。Chromiumの更新情報によれば。
「ロックアイコンを中立的なインジケーターに置き換えることで、ロックアイコンがページの信頼性と関連付けられているという誤解を防ぎ、セキュリティをChromeのデフォルト状態であるべきだと強調しています。」
これは理解できる立場であり、特に82.6%のウェブサイトがデフォルトプロトコルとしてHTTPSを使用していると考えると、理解できます。これはつまり、5つのウェブサイトのうち4つがSSL/TLS証明書をインストールしていることを意味し、その大部分は最低限の身元確認(ドメイン確認のみ)を使用しています。
新しいアイコンは汎用的で視覚的には物足りないと言えますが、多くのユーザーが安全なウェブサイトと安全なウェブサイトの重要な違いを認識していないという事実を考えると、Googleの立場は理解できます。セキュリティの観点からは、これはHashed Outで頻繁に話題にしている重要な区別です。
ユーザーは違いを知る必要がある安全≠セキュア
「安全」は、データが暗号化された接続を介して安全に送信されることを意味します。ただし、その接続の向こう側にいる人物の検証された身元を知らない限り、それは安全でも信頼性があるわけではありません。なぜなら、もし悪党があなたの暗号化された通信を解読するための秘密鍵を持っている場合、データを簡単に盗むことができるからです。信頼性のためには、さらなるセキュリティの層が必要です:検証済みのデジタルアイデンティティです。
「安全」という言葉は、その接続の向こう側にいるエンティティの検証済みデジタルアイデンティティを知っており、データを適切に扱うことが信頼できることを意味します。このアイデンティティの検証は、ウェブサイトのためにSSL/TLS証明書を発行する証明書機関(CA)によって行われます。
結論:HTTPSはすべてのウェブサイトの「規範」である
昔の世界では、HTTPが一般的でしたが、HTTPSは特別で、そのためにパドロックアイコンが表示されました。しかし、新しい世界では、すべてのウェブサイトがHTTPSを持つことが期待されています。それは今や「基本条件」です。Chromeチームは次のように述べています。
「HTTPSが珍しい時代には、パドロックアイコンはHTTPSが提供する追加の保護に注目を引きました。しかし、今ではこれは当たり前であり、HTTPSは例外ではなくなりました。そして、私たちはそれに合わせてChromeを進化させてきました。HTTPSの採用がこれほどまでに成長し、安全なステップを安心して踏むことができることを喜んでおり、安全性がデフォルトとなるウェブへの移行を続けていきます。
