HPには名刺・看板・パンフレットのような役割があり、会社のサービス・商品情報や企業理念など多くの企業情報を丁寧に伝えることで、取引先や一般の消費者に対し「きちんと運営をしている安全な会社」という安心感と信頼感を高めることができます。実際にビジネスシーンや普段の生活でも取引する前・お店を利用する前にあらかじめ会社や店舗のHPをチェックすることが常識となっています。そのため近年では中小企業を含む多くの企業がHPを開設していますが、中にはアドレスバーに”保護されていない通信”という不安な警告が表示されているHPがあります。この警告はHPが常時SSL化されていないことが原因で表示されているため、Webサイトの全ページをSSL化することで解消することができます。
今回はSSLの実態・種類・メリット・デメリットなどを基にSSL化が必要な理由について詳しく解説します。
まず、SSLの実態やSSL化されているHPとSSL化されていないHPの見え方の違いについてご紹介します。
SSL(Secure Sockets Layerの略称)とはインターネット上の通信(データ)を暗号化して送受信する仕組みのことで、ブラウザとサーバー間との通信を安全に利用するために必要な技術です。たとえばショッピングで買い物する・新規会員登録をする際に氏名・住所・電話番号・メールアドレス・クレジットカード情報などさまざまな個人情報を入力しますが、インターネット通信の仕組みは悪意を持った第三者に盗み見・改ざんされる危険性があります。そのため万が一、第三者に盗み見された場合でも重要なデータを解読させないために導入されているのがSSLです。SSLは特定のブラウザとサーバー間のみ使用できる「共通鍵」を使ってデータの暗号化・復号化を行っているため、共通鍵を持っていない第三者はデータを解読することができません。なお、SSLはこれまでに複数のバージョンアップを重ね、現在は後継規格のTLS(Transport Layer Securityの略称)が使用されていますが、SSLという名称が一般的に認知・使用されていることからTLSを「SSL」や「SSL/TLS」と表記していることも多いです。
SSL化しているHPとSSL化していないHPではURLの表記が異なります。URLとよく見ると「https://」と「http://」の2種類の表記があり、「https://」から始まるURLはSSL化しているHP、「http://」から始まるURLはSSLが非対応のHPという方法で見分けることができます。また、近年ではさらに明確に見分けやすくするために主要なWebブラウザのアドレスバーの表示方法が変更されています。Internet ExplorerやMicrosoft EdgではSSL化されているページには「鍵マーク」が表示されています。Google ChromeではSSL化されているページには「鍵マーク」「保護された通信」と表示されていますが、非対応のページには「保護されていない通信」という警告が表示されます。また、iPhone・iPadの標準ブラウザとして利用されているSafariでも同様にSSL化されているページには「鍵マーク」が、非対応のページには「安全ではありません」という警告が表示されています。
これらの表記はSSLでデータを暗号化しサイトと通信している・通信の保護に対する評価であって、HP自体が危険という評価ではありません。しかし、警告表示されているHPにアクセスしたユーザーに対し不安や悪い印象を与えてしまう可能性や悪意ある第三者から盗み見・改ざんされる危険性があります。
次に、2種類あるSSLそれぞれの特徴・近年主要となっているSSLについてご紹介します。
共有SSLは、レンタルサーバー会社が所有するSSLサーバー証明書を複数のレンタルサーバー利用者と共有して利用しているため、無料または低コストで導入できるメリットがあります。しかし、SSLはサーバー会社が所有するドメインに設定されているため、導入したWebサイトのURLは「独自ドメイン」から「サーバー会社のドメイン」に変更されます。そのため、全く異なるURLを見たユーザーを戸惑わせてしまう可能性があります。また、共有SSLを一緒に利用しているレンタルサーバー利用者が多くなればなるほど共有SSLを対応させたページの動作が遅くなるデメリットがあります。
独自SSLは、SSLサーバー証明書を発行し、ユーザーが所有する独自ドメインに設定することで利用できます。お問い合わせフォームや決済フォームだけでなくWebサイト内の全ページがSSL化されているため「常時SSL化」とも呼ばれており、ユーザーが安心してWebサイトを閲覧できる・サイトの信頼性を向上させることができます。また、コストは発生しますがURLは一部(「http://」から「https://」)変更されるだけなので導入後も独自ドメインを使ってサイト運用することができます。
従来は個人情報やクレジットカード情報などを入力する一部のページを保護する共有SSLが一般的でしたが、悪意ある第三者からSSL化されていないページのCookie情報を盗まれる危険性がありました。特に近年ではさまざまな公共施設で無料Wi-Fiを提供している場所が増えており、中にはセキュリティが不十分なものや個人情報を盗み見するために第三者が罠を仕掛けているケースもあり、以前に増してCookie情報を狙われるリスクが高まっています。CookieはWebブラウザの機能を通じてHPの情報(訪問したサイト、利用環境、ID・パスワード・メールアドレスといった入力情報など)をユーザーのPCやスマホに保存しているため、万が一Cookie情報が盗み見されると第三者に不正ログインされる可能性があり非常に危険です。そのため、近年では一層セキュリティ意識が高まったことで事実上Webサイトの全ページが常時SSL化であることが必須となり、主要なWebブラウザ側でも強制的に警告表示されるような仕組みに変更されています。
次に、独自SSLを導入するために必要なSSLサーバー証明書についてご紹介します。証明書の発行は世界的に信頼されている第三者認証局が対応しており、審査項目の内容によって認証レベル(種類)が異なります。
ドメイン認証書はドメイン名の所有権のみを確認することで発行できるSSLサーバー証明書です。3種類の中で一番低コスト・取得しやすい認証書ですが、審査項目が1つのため信頼性はさほど高くありません。そのため個人用のブログやHPに適した証明書です。
企業認証書はドメイン名の所有権に加え、Webサイト運営会社の実在性を確認することで発行できるSSLサーバー証明書です。費用は年間5万円~発生しますが、審査項目が9つあり、企業の有無が確認されている証明書のためドメイン認証書より信頼性が高いです。そのため企業のHPやログイン画面に適した証明書です。
EV認証書は登記簿謄本や第三者機関のデータベースなどから法的・物理的に組織の実在性を確認することで発行できるSSLサーバー証明書です。費用は年間数十万円発生しますが、審査項目が16個あり、3種類の中で一番信頼性が高いです。そのため銀行や金融サービス、電子商取引サイト、フォーチューン500企業などに適した証明書です。なお、EV証明書が設定されている場合はアドレスバーに表示されている「鍵マーク」をクリックし、証明書を表示することでWebサイトを所有している企業または親会社の証明情報を確認することができます。
次に、WebサイトにSSLを導入するメリット・デメリットについてご紹介します。
SEO対策
SEO(Search Engine Optimizationの略称)とは検索エンジンの最適化という意味で、マーケティング戦略の一つです。Webブラウザ(Googleなど)で自然検索した際に企業のWebサイトが表示されることで、ユーザーがサービス・商品を検討する機会を作り出すことができます。多くのユーザーにアクセスしてもらうために検索エンジンで上位に表示させる必要があり、そのためにはSEO対策が重要です。GoogleではSSLを導入しているHPに対して検索エンジンのランキングを優遇することをアナウンスしています。
セキュリティと信頼の向上
万が一、不正アクセスにより個人情報等が流出した場合の損害は計り知れません。SSL化することで通信が暗号化されるため、盗み見・改ざんやなりすまし防止といったセキュリティ強化につながります。また、導入したSSLの認証レベルが企業証明書やEV証明書の場合、サイトを運営する企業や親会社の実在性と本物のWebサイトであることが証明できるためユーザーは安心してサイトを利用できます。一方、非対応のHPの場合は警告表示によりユーザーに不信感を与え、Webサイトから離脱・問い合わせ件数が減少する可能性があります。
リダイレクト作業
SSLを導入したHPのURLは『http://』から『https://』に変更されます。そのためユーザーが旧URLにアクセスした場合、自動的に新URLに遷移(転送)するようサーバー側の機能を使ってリダイレクト作業を行う必要があります。リダイレクト作業を行わないと「お探しのページが見つかりません」という意味合いの「404ページ」が表示され、Webサイトがなくなったという勘違いから大切なユーザーの機会損失に繋がるだけでなく、旧サイトの評価が引き継がれないため検索ランキングなどがリセットされてしまいます。また、名刺やパンフレットなどに旧URLが記載されている場合はリダイレクト作業と併せて印刷物の修正も行う必要があります。
ソーシャルメディアのカウントがリセット
HPのURLが変更するため、別サイトとして扱われるようになります。そのためHP内に設置してあるFacebookの「いいね」数などSNSボタンのカウントやTwitterのカウントがリセットされます。
イニシャルコスト・ランニングコスト
HPにSSLを導入する場合、導入・維持にコストが発生します。無料SSLを利用している場合は維持費がかかりませんが、有料SSLを利用している場合はSSLの契約費用・年間費用や登記簿謄本の取得などが必要になるケースもあります。
表示速度
SSL化しているHPの場合、アクセス時に通信データの暗号化を行うため表示速度が遅くなりやすい傾向にあります。ただし現在はPCやスマホの*CPUの性能が飛躍的に向上しているため、体感として遅く感じることはほとんどありません。
*CPU
PCのシステムの中心となって処理を行うパーツのこと。PCの「核」「頭脳」ともいえる非常に重要なパーツです。
最後に、ユーザーの個人情報が漏えいした場合に考えられる企業側の損害についてご紹介します。
万が一、企業のHPにアクセスしたことによりユーザーの個人情報が漏えいしてしまった場合、社会的信用や企業イメージが低下します。社会的信頼を失うことで顧客離れ・取引停止・営業機会の損失などさまざまな損害が発生する可能性があります。また、情報漏えいした事実がSNSやメディアなどで投稿・報道されると一気に企業の悪評が拡散されます。一度でもインターネット上に公開された情報は何十年も残り続け、完全に抹消することは非常に困難です。そのため、企業名で検索すると自然検索の上位にいつまでも個人情報流出に関するページが表示される可能性もあります。
< 個人情報に関する関連記事はこちら >
以上、SSLの実態やさまざまな観点からSSLが必要な理由について解説しました。
― そもそもSSL化ってなに?
― 共有SSLと独自SSL
― SSLサーバー証明書のレベル
― SSL導入によるメリット・デメリット
― 個人情報漏えいによる損害
HPにSSLを導入することでブラウザとサーバー間の通信が暗号化され、第三者からの盗み見・改ざんを防ぐことができるため、ユーザーが安心してWebサイトを利用することができます。万が一、常時SSLされておらず個人情報が流出した場合、企業が受ける損害は計り知れません。SSLの導入にはコストが発生しますが、ユーザーの個人情報を守ることができる・企業のイメージ失墜のリスクを減少できる・事実上、常時SSL化が必須となっている点からもSSLの導入を推奨します。ただし、SSLのセキュリティによって守られるのはあくまでユーザー(訪問者)のみのため、HP自体への攻撃(HPの改ざん・情報の搾取など)を防ぐことができません。ユーザーと企業HPを守るためにはSSLだけでなくファイヤウォールなどHPのセキュリティ対策も併せて導入する必要があります。
ソニックスでは「どんなセキュリティ対策をすればいいかわからない」というお客様に向けた社内LAN・Wi-Fi環境の無料診断も行っています。セカンドピニオンも承っておりますので、まずはお気軽にご相談ください。