ガジェット通信 GetNews

見たことのないものを見に行こう

ヤフー・クックパッド・ピクシブの現場エンジニアが語った、HTTPS化の裏側と対応のコツとは?

DATE:
  • ガジェット通信 GetNewsを≫

3名の登壇者と川田氏によるパネルディスカッション

2014年にGoogleがHTTPS化対応サイトを検索結果で優遇するロジックを実装したが、日本ではなかなかHTTPS化が進んでこなかった。

セキュリティリスクの低減、開発・運用の効率化、安全性や信頼性のアピールなどHTTPS化には多くのメリットがある。しかし、日本の中にはまだまだ対応できていないWebサイトもたくさん残っている。

そんな中、HTTPS化にいち早く取り組んだヤフー、クックパッド、ピクシブという大規模なWebサービスを展開している企業ではどんな苦労、悩みがあったのか。

実際にHTTPS化を推進した3人の現場担当者が登壇し、HTTPS導入に関するコツが披露するという勉強会がピクシブで開催された。モデレータはピクシブの川田寛さんが務めた。

現場担当者3名のプロフィール

ヤフー株式会社 宮武大地さん
CTO室にて部門横断の技術案件の推進・サポートなどを行っている。2015年10月に全社横断プロジェクトを立ち上げ、2016年4月に外部にHTTPS対応完了をリリースした。

クックパッド株式会社 星北斗さん
インフラ部のマネージャーを務めつつ、主にセキュリティやAWS関連でのサービスインフラ改善を行っている。2017年1月5日にクックパッドをフルHTTPS化した。詳細は同社開発ブログでも紹介されている。

ピクシブ株式会社 金子達哉さん
開発部で開発基盤チーム・広告チームを兼任。pixivの技術的な改善を主に担当。同社のHTTPS化については、開発ブログ「pixivを常時HTTPS化するまでの道のり(前編後編)」で紹介している。

HTTPS化をはじめるまで

川田:HTTPS化を始める前までに懸念していた点や、力を入れて検討していたところなどについて教えてください。

ピクシブ株式会社 川田寛さん

宮武:HTTPS化のプロジェクトが立ち上がったときは別の人が全体PMを務めていました。その人が辞めることになり、いきなりその人の後を引き継ぐことになったため、事前の検討は関わってはいなかったので大変でした。

:HTTPS化するときに一番気にしたポイントは、既存の機能を壊さないようにすることでしたね。

金子:HTTPSで機能が壊れないかも心配でしたが、pixivの収益を下げないか、も気になりました。

川田:ステークホルダーを説得するというフェーズがありますが、こんなひと言が効いたというポイントについて教えてほしいです。

宮武:ユーザーに安心なサービスを届けるという言葉は、意外とビジネスサイドには響かないんです。そこで、Googleの「HTTPS everywhere」提唱、AppleのATSなどの外部要因を理由に挙げました。対応しないとまずいことがシンプルに伝わったと思います。

:2010年にアルバイトでクックパッドに入ってからずっと、セキュリティ周りを見てきました。社員数が少ないときからユーザーから信頼されるサービスを提供することを第一に考える文化が根付いていたので、HTTPS化へ全社の意識を揃えることは難しいことではありませんでした。

食事は人間の生活に密接につながっています。私たちのサービスの検索機能は、食材の名前だけでなく、ダイエットであったり病名、例えば糖尿病などを検索キーワードとされる方もいらっしゃいます。そうした話からも、サービス全体をHTTPS化するということは自然な流れでした。

金子:周りの説得などについては、全く苦労はしていませんね。マーケティング部のマネジャーもどんどん進めましょうと言ってくれたので。

HTTPS化やってみて思ったこと

川田:事前に思ったことと、実際にやったことにおけるギャップがあったのではないでしょうか。

宮武:弊社はやっと切り替えが終わったというのが正直なところで、効果測定は今まさにやっているところです。やって良かったなというのはこれから出てくると思っています。それはいつか共有できればと。

:サービス設計の段階で、HTTPとHTTPSを意識する必要がなくなったこと。ここはこんな情報を扱うのでHTTPSにしましょうという話が不要になったのは非常に大きいと思います。

金子:HTTPとHTTPSの混在環境がなくなり、スッキリしたことですね。

川田:今後、チャレンジしていきたいことについて聞かせてください。

宮武:特定のクライアントに提供しているところにHTTPが残っているので、100%にしていきたいです。

金子:ユーザーに快適な体験をしてもらうためにHTTPSでしか使えない技術にもチャレンジしたいと思っています。例えばHTTP/2を使って高速にサービスを提供したいですね。

:HTTP/2にも対応できたので、その機能を利用したもう少し進んだことにトライしてみたいと思っています。もう一つはHTTPS化によって使えるようになったServiceWorkerやWebとアプリの間のクレデンシャルの共有など、ユーザーメリットのある機能の活用が広めていきたいと考えています。

HTTPS化、これからやる人へ

川田:最初に手をつけるのは何がお勧めか、コツなどを教えてください。

宮武:全体をどうやって進めていくか、手を動かす前に、その対策が必要です。自分たちのサービスがHTTPSに変わったときにどういう影響が出るのかの調査も必要ですね。

その影響が出る部分をしっかり把握して、影響の出る部署と調整をしてから進めるとプロジェクトは早く終わると思っています。

:HTTPS化を進めていることを覚えてくれる人を一人でも多く作ることをお勧めします。修正も僕一人ではなく、サービス開発をしているエンジニアたちが気付いて直してくれることが多々あった。それはHTTPS化やっていることを覚えてくれていたからです。

そういう人を増やすことで、質問もくるようになります。技術的な話では、画像配信やJSのエンドポイントなど見えないところから手をつけること。一番の本丸のHTMLの切り替えは、どうしてもmixed contentsの話が出てきてしまいます。

先にそれ以外のリソースを対応して潰し切ってしまう。HTTPS化したエンドポイントが1つでも増えるとモチベーションの維持になるのでお勧めです。

金子:最初の一歩は、広告周りなどもろに影響を受けるメンバーに「HTTPS化します」というのを共有すること。社内共有が一番重要だと思います。

川田:一番、コミュニケーションを取らなければならない人とは?

宮武:広告主にもきちんと伝えるため、広告担当とは時間をかけてコミュニケーションして、理解してもらうことが大事だと思います。

:広告はもちろんですが、外とのやり取りをしている人たちともコミュニケーションを取ること。APIの提供先や画像配信事業者、ユーザーサーポートなど、外と関わりを持っている人たちが、正しく相手に説明できるように共有することが必要になります。HTTPS化によってどんな影響があるかを明確に伝えることが大事ですね。

金子:自分たちがコントロールできない外部サービスの埋め込みをしている箇所の担当者に、きちんと伝えることだと思います。

川田:最後に、これからHTTPS化に取り組む人たちにメッセージを!

金子:もうやっていくしかない。自分たちがコントロールできるところはやるだけ、コントロールできない部分は外していくか対応してもらうしかないというかんじで、進めましょう。

:やれるところまでやってしまうと、とにかく気持ちがいいです。ぜひ、早めに取り組みましょう!

宮武:インターネットが便利になっていく中で、当たり前の基準も上がってきています。守りの気持ちでやるよりも、早めに対応しておくことで、挑戦できることが増えていくんだと思っています。もっとみんなでいいものが作れると思うので、頑張ってください。

HTTPS化はもはや待ったなしの状態。HTTPS化は技術的なところよりも、いかに社内を巻き込んでいくかが重要なこともわかった。

今回の記事を参考に、ぜひ、HTTPS化に取り組んでほしい。

カテゴリー : デジタル・IT タグ :
CodeIQ MAGAZINEの記事一覧をみる ▶
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。