10月1日より、英国政府サービスの全ウェブサイトは、ダウングレード攻撃(ユーザーをHTTPバージョンのサイトへ誘導しようとする攻撃)対策として、HSTS保護機能を備えたHTTPS暗号化を使用することが義務付けられます。また、これらのサービスにおけるメールのセキュリティ強化のため、メール認証プロトコルであるDMARCへの対応も義務付けられます。
1年前、米国政府は、18ヶ月以内にすべての連邦政府ウェブサイトでHTTPS暗号化の使用を義務付けると発表しました。これは、OPM(米国人事管理局)へのハッキングなどの大規模なデータ侵害を受けて、連邦政府機関のウェブサイトとシステムのセキュリティを強化するための大規模な計画の一環でした。
連邦政府職員のデータだけでなく、連邦政府のウェブサイトにアクセスする人々のデータも保護する必要があるのは当然のことです。HTTPS暗号化は、彼らのデータとプライバシーを保護するだけでなく、中間者攻撃や政府自身のウェブサイトへの接続によるマルウェア感染からも保護することができます。
HTTPSとHSTS
英国政府は2012年に政府サービスにHTTPS暗号化を使用する独自の計画を策定しましたが、これは義務というよりはむしろ奨励策でした。現在、サービス管理者は2016年10月までに公開ウェブサイトでHTTPSを有効化する必要があります。
政府はまた、これらのウェブサイトに対し、HSTS(HTTP Strict Transport Security)の使用を義務付けています。これは、ユーザーがこれらのウェブサイトに初めて接続する際に、ブラウザでHTTPS暗号化を「固定」できるセキュリティ機能です。さらに、常にHTTPS経由で接続されることを確実にするため、英国政府は今年9月にservice.gov.ukドメインをブラウザメーカーのHSTSプリロードリストに登録する予定です。暗号化されていない接続でのみ動作するサービスウェブサイトは、10月の期限を過ぎると最新のブラウザで動作しなくなります。
DMARC
英国政府は、すべてのサービスに対し、メール認証にDMARCプロトコルの使用を義務付けました。DMARCポリシーにより、受信メールが詐欺師やフィッシング詐欺師によって送信されていないことが保証されます。
すべてのサービスはDMARCポリシーを公開し、「p=reject」と呼ばれる最高レベルに設定する必要があります。このポリシーが2016年10月1日までに設定されていない場合、メールは外部メールプロバイダーによって拒否される可能性があります。サービス管理者が期限までにこのポリシーを設定できない場合は、一時的な対策として「p=none」で上書きすることができます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
英国政府は、国民の公共サービスとウェブサイトへの信頼を高めることを目指しています。これらの新たなセキュリティ対策により、例えばオンラインフォームで政府に情報を提供する際、国民は自分の情報が安全であると確信できるようになります(ただし、そのデータの安全な保管は全く別の問題です)。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
