iOSアプリがHTTPS通信を義務化 それって何? どんな影響があるの?
HTTPSの「S」は、Secure(安全)のS
HTTPSの「S」は、Secure(安全)のSです。HTTPとHTTPSとでは、データ通信のやり取りがどう違うのか、まずは、HTTPを見てみましょう。 (1)端末がデータを持つサーバーに向けて接続を要求 (2)サーバーは要求されたデータを端末に送信 通信はすべて平文で行われます。これに対し、HTTPSはおおむね次の通りです。 (1)アプリがデータを持つサーバーに向けて接続を要求 (2)サーバーは、自分の「身分証明書」をアプリに送信 (3)端末は、「身分証明書」の真偽を判断 (4)本物と判断した場合は、暗号化されたデータを端末側に送信 このように、HTTPSなら、なりすましサイトでないかを判断するほか、データのやり取りを暗号化して行いますので、仮にデータが傍受されても簡単には解読できません。 iOSのアプリがATSに対応するということは、入力したデータが盗み見されないよう、アプリを安全に利用できるということなのです。
どんな影響があるの?
では、HTTPS通信が義務化された場合、iPhoneやiPadなどiOS端末ユーザーにはどのような影響が及ぶのでしょうか? そもそもATSに対応していないアプリは、App Storeに登録できないと見られていますが、古いアプリを使い続けるとセキュリティは甘いままです。 ATSに対応したアプリを使ったとしても、表示が崩れるなどの不具合があるかもしれません。アプリに表示されるデータが、すべて1つの同じサーバーから送信されているとは限らないからです。 たとえば、広告はサーバーA、記事1はサーバーB、記事2はサーバーCと、複数のサーバーからデータをもってきているニュースキュレーションアプリがあると仮定しましょう。その時、サーバーAはHTTPSに対応していても、BやCが非対応だったとしたら、表示されるのは広告のみ、という事態も起こりえるわけです。 面倒なのは、アプリの開発者でしょう。ATSをオフにしている場合、アプリ上でATSをオンにするようアプリを作りなおさなければなりませんし、アプリが通信するサーバーについてもHTTPからHTTPSに変更しなければならないからです。そのためにはサーバーの証明書を発行してもらう手続きが必要ですし、そのための費用もかかります。しかも、あと半年以内にHTTPS対応を全面的に推し進めなければならないという締切付き。 HTTPS義務化時の混乱を避けるには、アプリのサービスを提供する側が、アプリやサービスにかかわるサーバーを含めて全面改定することになりますが、これも安全にサービスを提供するための事業者の責務のようなものと言えるでしょう。もっとも今回はiOSアプリの話ですが、今後はAndroid陣営の動向も注目されます。 (取材・文:具志堅浩二)
