Web セキュリティとストーリー マップについての重要なお知らせ

ストーリー マップ

(注:本記事は米国 Esri 社のブログ記事「An Important Message About Web Security and Story Maps」を ESRIジャパン株式会社にて翻訳したものです)

ストーリー マップの作成者の方は必ずお読みください。

※ この内容はストーリー マップのすべての作成者とユーザーに影響します。ArcGIS Online 組織サイトのセキュリティ設定で [HTTPS を使用した組織サイトへのアクセスのみを許可します] を設定しているかどうかは関係ありません。

みなさんは、自分が作成したストーリー マップを利用者が問題なく開くことができ、作成後もずっと使い続けられると思っていますか?ストーリー マップは Web ブラウザーでアクセスする Web アプリであるため、使い続けられるかどうかはブラウザーのセキュリティ機能の変更に大きく左右されます。ユーザーと情報の安全性を保障するという Web ブラウザーの使命によって、ストーリー マップのアクセス性に影響が出る場合あります。

本ブログ記事では、ブラウザーに新しく実装される、より厳重なセキュリティ機能によってストーリー マップが動作しなくなる状況を回避するために必要な手順をお知らせします。

 

米国 Esri 社の方針と今後の移行作業

現状と将来のセキュリティ標準にしたがったストーリー マップを構築できるように、米国 Esri 社のストーリー マップチームはすべてのアプリを構築、表示する際に HTTPS を求める仕様への変更を進めています。 この変更が適用されると、ストーリー マップとストーリー内のすべてのコンテンツ(画像、ビデオ、マップ レイヤー、Web ページ、アプリ)は HTTPS の URL でアクセスすることが求められます。この移行をできるだけスムーズに行うことを望んではいますが、公開されているストーリー マップがこの変更によって破損する可能性があります。そうならないための移行作業が余裕を持って行えるように、事前に移行のスケジュールをお知らせしています。

米国 Esri 社は今年の末から徐々に移行作業を実施していきます。最初の段階では、ストーリー マップの埋め込みコンテンツに対して HTTPS リンクを要求するように変更します。また、ストーリー マップ内の HTTP リンクを検索できるツールを提供する予定です。

計画では、2018 年の上半期中にすべてのストーリー マップ アプリが HTTPS を要求するようにする予定です。その際にまだコンテンツに HTTP リンクが残っている場合は、自動で HTTPS に切り替えます。ストーリー マップ内のコンテンツが HTTPS に対応していないサーバーからホストされている場合はストーリーが破損してしまいますので、変更が適用される前に、作成したストーリー マップを下記の移行作業の手順にしたがって修正することを強くお勧めします。また、今後提供される HTTP リンクを確認するツールもぜひご利用ください。

ストーリー マップ作成者が行う必要がある移行作業

下記の 2 つの作業を行ってください。

  • ストーリー マップに追加するコンテンツ(画像、ビデオ、レイヤー、埋め込みアプリ、Web ページ)には必ず HTTPS リンクを使用する
  • 既に公開しているストーリー マップ内のコンテンツが HTTP リンクを使用しているか確認し、これらのリンクを HTTPS へ変更する

コンテンツを HTTPS に変更後に既存のストーリー マップが動作しなくなった場合は、下記の作業のいずれかを行ってください。

  • コンテンツをホストするサーバーを HTTPS 対応にアップデートする
  • コンテンツを HTTPS 対応の他のサーバーへ移動し、ストーリー内のリンクを更新する
  • ストーリー内にコンテンツを埋め込まずに、文章中にハイパーリンクとして追加し、ブラウザーの新しいタブでリンクを開くように設定する
  • HTTPS 対応の別のコンテンツを探して、差し替える
  • コンテンツをストーリーから削除する

上記の作業を行うことで、新規または既存のストーリー マップは問題なく動作し続けます。「使用しているサーバーが HTTPS に対応していない」、「セキュア サーバーにコンテンツをホストする方法がわからない」という場合は、所属する組織の IT 管理部門にお問合せください。

HTTP とは? HTTPS とは?

これらは、自分のコンピューターと他のコンピューター間で情報が送信される際に定義されているプロトコルです。HTTPS は暗号化されたセキュアな通信プロトコルで、送受信する情報を対象者だけが読めるように守っています。

新しいストーリー マップを作成するときの注意点

ストーリー マップ ビルダーに画像をアップロードしたり、arcgis.com にアイテムとして格納されている画像を使ったりする場合は何も注意点はありません。新規にストーリー マップを作成する場合、ストーリー マップ ビルダーに画像をアップロードすることが一番簡単で安全な画像の追加方法です。

Web 上のどこかにホストされている画像を使う場合は、HTTPS の URL を必ず使用してください。ストーリー マップのロゴ画像にリンクを追加する際も、ストーリー内に画像を追加する際も HTTPS のリンクである必要があります。

画像以外でも、ストーリー マップ内に追加するコンテンツは HTTPS の URL を使用してください。例として、<iframe> コードで埋め込まれたサードパーティーのダイナミック チャート、オーディオ ファイルの URL、マップやシーン内の GIS サーバー レイヤーのサービス URL などがあります。

既に公開したストーリー マップはどうするの?

既に公開済みのストーリー マップ内で、画像、ビデオ、マップ レイヤー、Web アプリ、Web ページへのリンクが HTTP の URL ではないか確認します。arcgis.com でホストされているコンテンツであれば、HTTP の URL でも問題ないので無視してください。また、ハイパーリンクの URL も HTTP で問題ありません。たとえば、テキストにハイパーリンクを設定して PDF をブラウザーの新しいタブで開くように設定した場合、リンクは HTTP と HTTPS の両方が使えます。気を付けなければいけないのは、ストーリー マップ内に読み込まれた arcgis.com ドメイン以外でホストされたコンテンツです。

arcgis.com ドメイン以外でホストされた HTTP リンクのコンテンツを見つけた場合は、サーバーを有効な証明書で更新して HTTPS 対応にするか、コンテンツを安全にホストする別の方法を探す必要があります。

コンテンツが画像であれば、ストーリー マップ ビルダーにアップロードするか HTTPS 対応のサーバーでホストしてください。コンテンツが GIS サービスであれば、サーバーを HTTPS 対応に更新することをお勧めします。この方法の実現が難しい場合は、データを ArcGIS Online で公開するか、HTTPS 対応のサーバーで公開してください。データを再公開した場合は、そのレイヤーを追加したすべての Web マップで URL を更新する必要があります。

既存のサーバーを HTTPS 対応に更新した場合もポート番号が URL に含まれている場合などはコンテンツの URL が変更されることがあります。このような場合も Web マップとストーリー マップ内の URL を更新する必要があります。

ブラウザーのセキュリティ機能がストーリー マップに影響する例

ストーリー マップに埋め込んだコンテンツを読み込めないなど、問題の発生がわかりやすい場合もありますが、何が問題かわかりにくい場合もあります。

最近では Safari が読み込むコンテンツが 1 ファイルでも HTTP 接続である場合、 geolocation の使用をブロックするようになりました。Web ページ自体が HTTPS で読み込まれていても geolocation はブロックされます。たとえばストーリー マップ ツアー アプリを使用してストーリー マップを作成し、アプリのヘッダーに組織のロゴを設定し、ロゴ画像へのリンクを HTTP で指定したとします。すると、ストーリー マップを iPhone や iPad で利用しようとしたユーザーは現在地ボタンをマップ上でタップできなくなります。

Web ブラウザーはユーザーの安全性を守るために、常にセキュリティ機能を実装し続けています。上記の問題は現状では Safari だけで発生しますが、今後は他のブラウザーでも同様のセキュリティ機能が実装されることが予想されます。作成したストーリー マップがブラウザーのセキュリティ機能が強化されても動作し続けるようにするために、是非コンテンツの HTTPS 対応を行ってください。

■関連リンク
ストーリー マップ(GIS基礎解説)
ArcGIS Online