中国でのSSL対応(https)を考えてみる
1.導入
インターネットの急速な普及にともない、インターネットを使う機会が増えています。普段の生活の中でインターネットを使わないで生活する人は、もはやかなり少数派でしょう。インターネットを使えば、当然情報の伝達をインターネット上で行うことになります。Eメールへの記載や添付、ウェブサイトへの入力内容や閲覧内容、検索キーワードや検索内容等、伝達情報には色々なものがあります。その情報に対し何の保護もなしに送受信すると、通信の途中で第三者がその内容を盗み見したり、中身を変えたりできてしまいます。自分が送受信するインターネット上の通信内容について、誰でも自由に見て、変更を加えてもいいよという人はいないでしょう。通信内容に個人情報やクレジットカード情報などの大切なデータが入っていたら危険です。悪意のあるハッカーなどのネット犯罪の餌食になる可能性があるのです。インターネット上の通信内容に対する第三者によるなりすまし・攻撃・盗み見や改ざんを防ぐためのセキュリティ技術としてSSLというものがあります。SSLは、安心してインターネット上で通信できるための、日本を含めた世界の標準セキュリティ技術となっています。しかし、このSSLも中国ではセキュリティ技術として標準になっているとは言い難いようです。その理由を探ってみたいと思います。
2.SSL対応(https)とは?
SSL(Secure Sockets Layer)とは、インターネット上の通信を暗号化し、第三者による通信内容の盗み見や改ざんを防ぐ技術です。この技術を使うことで、ウェブサイト上で入力する個人情報やクレジットカード情報などの大切なデータを、インターネット上で安全にやりとりできます。SSLで通信情報を保護するためにはSSLサーバ証明書というものがウェブサイトに導入されている必要があります。情報を暗号化するのがSSLの機能で、ウェブサイトを運営する会社の身元を確認できる機能を持つのがSSLサーバ証明書という電子証明書です。また、SSLを使ってより安全な通信を行う仕組みをhttpsと呼びます。
参考に、ブラウザでの確認方法には2つあります。
①URL欄にて先頭が「http」ではなく「https」で始まっていることを確認します。この「s」はSSLサーバ証明書を使用している(セキュアである)ということを意味しており、URLは、https://~と表示されます。
②SSLサーバ証明書が導入されているウェブサイトは、ブラウザに鍵マークが表示されています。鍵マークをクリックすると証明書情報を確認できます。
3.厳しくなる一方の中国の情報統制
中国でインターネットの閲覧規制が厳しいのはよく知られています。1998年に中国公安省が「金盾工程」というプロジェクトに乗り出し、中国国民の海外サイトの閲覧を制限する「グレート・ファイア・ウオール」(防火長城)を含むネット統制を始めました。中国政府は、特に近年ネット規制を強めており、海外の情報だけでなく、海外からの中国にとって不都合な情報、中国国内でも政府を批判するような情報は制限され、見ることはできません。例えば、先日中国の民主活動家でノーベル平和賞受賞者、劉暁波氏が死去しました。劉氏の活動に関する、民主化、天安門事件、氏の受賞等について記載のあるサイトへのアクセスはできません。厳しい情報統制が行われており、ほとんどの若者は劉氏の名前すら知りません。また、2017年6月1日に施行された「インターネット安全法」は、安全の名のもと、ネット運営者への規制を強め、中国で集めたデータの海外移転を阻むなど、情報の国家管理を一段と強化しようとしています。
4.暗号化ソフトの使用には許可が必要
通信内容を暗号化されると検閲が非常に困難となるため、中国政府は暗号化通信を許可なく行なうことを禁止しています。海外の個人、および組織は、事前申請なく中国国内で暗号化製品を使用した場合には、条例違反となり、罰則の対象となります。当局による取り締まりはますます厳しくなっており、httpsや、海外版の暗号化通信を行なうソフトウェアを許可なく利用した場合には、通信が遮断されることがあるほか、直接ユーザーに対して警告するケースもあるようです。
httpsの仕組みを内蔵しているソフトウェアを中国国内で使用するには、暗号管理局への申請、及び使用許可が必要です(中国暗号化製品規制対応の申請)。これには中国現地での煩雑な申請手続きが必要となりますが、申請を代行する業者も存在します。SSLを使ったものが全て第三者の閲覧を防げるかというとそうではありません。中国国内版のソフトウェアにはあらかじめ検閲機能が内蔵されているものがあり、中国国内で入手できるSSL証明書にも中国政府の検閲ができてしまうものが多くあるので注意が必要です。
海外のサイトを閲覧する手段として、VPN(仮想プライベートネットワーク)というものもあります。VPNを利用することで中国政府が検閲できないサイトが中国国内で閲覧できます。VPNも以前は自由に使えましたが、こちらも使用を許可制にすることで規制を強めています。
5.まとめ
中国政府が、検閲できない暗号化製品の申請を煩雑にし、費用もかけさせ、時間もかけさせることにより、使用をできるだけ敬遠させようとしているように思えます。
政府当局による厳しい情報統制により、海外の情報だけでなく、中国にとって不都合な台湾や香港の情報、さらには中国国内であっても政権運営に不利益となりそうな情報は厳しく制限されています。今後も情報統制はますます厳しくなることが予想されます。
なぜ中国政府が情報統制により、中国国民がこういった情報に触れるのを厳しく制限するのでしょうか?それは、こういった情報を国民が目にすると、反体制派が増える可能性があり、さらに反政府デモの勃発を招き、中国共産党の存続が脅かされる可能性があるからなのです。つまり、情報統制は中国共産党の安定的存続のためなのです。今回取り上げたSSLへの対応からも中国政府のそういった姿勢が垣間見えるのです。
