何故Googleはhttps化を焦っているのか | Chromeはhttpsがお好き

前回のおさらい

前回は主にhttpsのメリットについてお話しました。
要約するとこんなかんじです。

今回の話の発端は「2018年8月アップデートのChrome68からhttpsでないWebページは全て警告対象になる」という話でした。
また前回触れたように、Googleは「現在でもhttpsかどうかはわずかながらSEOに影響しており、今後期間をかけて強化していく」と言っています。

ここまでしてGoogleがhttpsを推し進めるのは何故なのでしょうか。
今回は様々なソースの情報を総合して、独自の見解を交えながらお話をしていきたいと思います。

SEOへの影響に警告表示…Googleをそこまで焦らせるのは何か

IAB「インターネットの信頼性に関する宣言」

Googleに限らずWebサイトのhttps化についての全世界的な動きのきっかけになったのは2013年に明るみになったアメリカ・イギリスの国家的なインターネット盗聴行為です。
元CIA局員のエドワード・スノーデンによるリークは全世界を震撼させると同時に、インターネットの信用を揺るがしかねない大事件になりました。
国家規模で広範囲のインターネット通信を盗聴することができるのであれば、プライバシーも個人情報保護もあったものではありません。

これに対してインターネットの標準規格を策定する組織であるIETFは技術的な対抗措置を行うことを明言し、IETFの上位組織であるIABは盗聴行為を行えないようにするためにネットワーク運用者やサービス提供者に対して暗号化通信の導入を推進するよう強く求める宣言を発表しました。それが「インターネットの信頼性に関する宣言」です。

Googleのhttps化への流れが、インターネットの安全を守るという正義感だけから来ているわけではないとしても、この宣言に沿った行動であることは間違いありません。
IABの宣言が出された年と前述のhttpsがSEOランキングに影響すると公表した年は同じ2014年（Googleの公表のほうが３ヶ月近く早い）。
そこからChrome56でパスワードやクレジット番号入力のあるページがhttpsでない場合の警告を、Chrome62では入力フォームがある全てのページでhttpsでない場合の警告をそれぞれ開始しています。

検索エンジンとして最大手なだけではなく、様々なサービスをWebで提供しているGoogleにとって、インターネットの信頼性は自身の事業の信頼性に直結します。
Googleが意図しなくてもインターネットそのものが誰かに盗聴される危険性があるのであれば、それを利用したサービスを提供することはユーザーの個人情報を危険に晒すことになります。

http/2普及の促進

https推進のもう一つの側面としてhttp/2の普及が考えられます。
http/sについては前回のお話の中でも触れましたが、WebサーバとWebブラウザ間のデータ授受を並行して行うことで時間当たりのデータ通信量の増加、ひいては表示速度の向上を図ることができます。

実はこのhttp/2の前身はGoogleが独自開発したSPDYというプロトコルです。IETFでhttp/2が標準化される際にベースになったのがこのSPDYでした。Googleは多くの自社コンテンツでSPDYを実装しました。同時にWebブラウザとしてChromeをSPDYを行えるようにしたのです。そのためGoogleサービスの利用にChromeを使うことで高速表示が実現できました。

SPDYはhttpsのみをサポートしていまいたが、IETFが標準化したhttp/2の仕様ではhttpもサポートすることになりました。しかし結局その後のブラウザもhttpsのみをサポートしており、前仕様であるSPDY及びGoogleの対応に追従した形になっています。

http/2の普及はインターネット通信の大容量化・高速化には重要な意味があり、抱き合わせであるhttpsの普及がすなわちhttp/2への布石になると考えられます。

セキュリティにも様々ある

httpsでは解決しない個人情報保護の問題

以前の記事で紹介したGDPRをはじめ、個人情報保護とインターネットセキュリティはもはや社会が求める要求事項として重みを増してきています。

IETFやIABの発表がインターネット側からのセキュリティに対する自己改善だったのに対して、GDPRは外部からのインターネットへのセキュリティの要求・強制と言えるかもしれません。

インターネットセキュリティを積極的に推進しようとする姿勢を見せるGoogleがGDPRを根拠に提訴されるというのは、それだけ聞くと皮肉なようですが、cookieを利用したGoogleの広告表示が個人情報を扱っていないとは言えません。

https化することで外部からの盗聴を防ぐことはできますが、個人情報の取得・活用についてはまた別の話であり、https化したから解決するものではありません。
GDPRは盗聴に対する対策ではなく、「本人の同意無しに個人情報が収集・利用されること」に対する対策であり、第三者が利用できなくしたとしても収集・利用している当事者がこれを順守しなければいけないのです。

Googleの提訴はGDPRの権威と効力を世に知らしめるための広告塔としての意味もあると考えられ、広告表示で訴えられたことを広告に利用されるというのは、なんとも皮肉です。

Googleの社会的責任とは

もちろん収集や管理の安全性を確保することも個人情報保護に繋がるため、https化は無意味ではありません。正しい方法でインターネットを通じて個人情報を収集・利用するためのインフラとしてはむしろ必要なものであり、パスワードやクレジットカード情報の入力のhttps化を推進してきたのもGoogleです。

相反しているようにも見えますが、GoogleのビジネスモデルがWeb広告で成り立っているということがこれらの問題を見る上で重要な要素になります。
安心安全な広告表示、より高度な広告表示のためにはhttps化やhttp/2への移行は必要である反面、cookieにより利用者向けにパーソナライズされた広告表示もまた、Googleにとって重要なファクターなのです。

この事実を持ってGoogleをセキュリティ対策を隠れ蓑に自社の利益を拡大する悪徳企業などと思ってはいけません。Googleも一私企業にすぎず、その目的は利益の追求であることは他の企業と変わりません。そして企業規模により果たすべき社会的責任が大きくなり、先進的な企業であるが故に周囲との摩擦も大きいのです。

GDPRのような法律を後付けで作って先駆者を叩き落とすようなやり方はこれまでにもありました。中小事業者保護のための独占禁止法が最たるものでしょう。GRPRはそれが個人情報保護という看板に付け変わったものと捉えることもできます。

やり方の是非はともかくとして、Googleはインターネット全体に大きな影響を及ぼす巨人として、様々な社会的要求に応える義務を負わされるているのです。

あとがき

後半httpsの話からは脱線気味でしたが、Googleのビジネスモデルを理解しないとhttps化推進の本質には近づかないと思い、あえてこういった話の進め方をしました。
そこに＋αでこの前話したGDPRの話も交えたので話が大きくなりましたが、こうやって一つの話に集約されていくことで関連付けができ、理解が深まるのではないかと思いあえて入れてみました。

技術論と、ビジネスと、社会環境を同時に取り扱えるテーマとして今回Googleのhttps化推進を題材にしましたが、情シスが取り扱うシステムも規模こそ違えど考え方は同じじゃないかと思います。
この技術が自社のビジネスにどう活用できるか、それによって社会はどう反応するのか。マーケティングやブランディングに寄与できる面も情シスは持ち合わせているのです。