広告コラム

広告コラム

HPのSSL化とは?なぜ必要?しないリスクとHTTPS化するメリット等を分かりやすく解説

あなたの管理しているWebサイトは、「SSL化」できていますか?「SSL化、聞いたことはあるけど何もしていない」「お金がかかるからやらない」「やらなくても大丈夫では?」と考えている人もいるかもしれません。

しかし、SSL対応はセキュリティ・ユーザー対応・SEOなどあらゆる角度から重要な施策です。ここでは、SSL未対応の場合のリスクと、対応するメリットについて分かりやすく解説します。未対応の方は、この機会にぜひ対応を進めてください。

SSLとは?

SSLとは「Secure Sockets Layer」の略で、インターネット上のやり取りを暗号化して送受信する仕組みのことを指します。SSL化することでお客様が入力した個人情報等を暗号化して送信し、万一その送信過程で悪意ある第三者が情報を窃取・改ざんを試みても情報は暗号化されており窃取も改ざんもできず、お客様の個人情報を安全に送信できるといった効果が期待できます。

以前は、ID・パスワードや氏名、クレジットカード情報などの個人情報を入力して送信するページのみSSL化を行うこともありましたが、今はすべてのページでSSL化をする「常時SSL対応」が求められています。

SSL化で通信を暗号化する仕組み

暗号化とは、通信データを第三者が見ても意味の分からない値に変換することです。SSLは以下の順番で行われます。

1:ブラウザ側からSSL通信をサーバー側にリクエスト
2:サーバー側が公開鍵を作成し、ブラウザ側に送信
3:公開鍵を受け取ったブラウザ側は、その鍵をもとに共通鍵を作成し、サーバーに送信
4:ブラウザ側が生成した共通鍵を使って、個人情報や決済情報などを暗号化してサーバーに送信
5:サーバーは、事前にブラウザ側から送られてきた共通鍵を使用し、データを復号化

このようにSSLでは、通信中はデータを暗号化し、受け取ってから復号化するという方法がとられているため、第三者から通信データに手を加えられるリスクが少ないといえます。

SSL対応されているかの確認方法

自分のWebサイトがSSL対応しているか確かめたいと思った時、簡単にチェックするのは「ウェブサイトのアドレスを見る」方法です。SSL対応されたWebサイトは、鍵マークがついている、またはアドレスが「https://~」という表示になります。Google chromeを使っている場合、ブラウザに鍵マークが表示されます。

ちなみに、SSL対応できていないWebサイトの場合は、以下のように「保護されていない通信」と表示されてしまいます。

SSL対応はなぜ必要?

SSL対応を行うと、①セキュリティ対策になり、ユーザーに安心感を与えられる②SEO対策への効果の2点がメリットとしてあげられます。

セキュリティ向上、ユーザーに安心感を与える

SSL対応ができていると、第三者のなりすましやデータの盗聴、データの改ざんを防げます。インターネット上で個人情報などをやりとする機会も増え、万一不正アクセスでデータが流出してしまった場合の損害は大きくなります。そこで重要なデータを暗号化し、安全に通信を行うことが求められています暗号化されているかどうかはブラウザ側にも表示され、場合によっては警告も表示されます

ちなみに、2018年10月以降、SSL未対応のHPにあるフォームに入力すると、「保護されていない通信」の警告が赤く強調表示されます。

SSL対応していないことでユーザーに不信感を与えてしまい、場合によっては離脱や問い合わせ数の減少などにもつながります。SSL化されていない=危険なWebサイトというイメージを持たれてしまいかねないので、ユーザーに安心感を与えるためにも、SSL対応は必要です。

SEO対策として有効

Googleは、2014年にSSL化対応を検索順位の決定要素にすることを公表しています。つまり、同じようなWebサイトが合った場合、SSL化したWebサイトのほうが検索順位の向上にいい影響があると言えます。

今はSSL化対応しているWebサイトも多く、SEO対策としては良質なコンテンツを作ることのほうが重要です。しかし、不利な要素を作らないためにも、常時SSL化には積極的に取り組みましょう。

SSL化をしない(非SSL)ことによるリスク

通信を暗号化し、セキュリティ強化につながるSSL化ですが、SSL化をしないことのリスクにはどのようなものがあるのでしょうか。 ここでは、SSL化しないことによって起こりうるリスクについてご紹介します。

①個人情報が漏洩してしまう

SSL化をしない場合、通信が暗号化されていないため、個人情報が漏洩してしまうリスクがあります。
暗号化された情報は通常、暗号鍵を持っていない第三者には解読できません。そのため、SSL化をすることは、個人情報漏洩のリスクを大幅に下げることにつながります。

一方で、SSL化せずに個人情報を送受信してしまうと通信は平文で行われるため、途中で盗み見されてしまったり、書き換えられてしまう可能性があります。悪質な第三者に盗み見されてしまった場合、情報漏洩の危険性が考えられるでしょう。

②詐欺や悪質なサイト被害に遭ってしまう

個人情報が流出してしまった場合、ユーザーが詐欺や悪質なサイトの被害にあってしまう可能性があります。会員登録で送信する個人情報としては多くの場合、氏名やメールアドレス、電話番号、ECサイトであればカード情報や住所がやり取りされるでしょう。

個人情報が流出してしまうと、登録されたメールアドレスに対して迷惑メールや、身に覚えのない請求書が送信されたり、詐欺の電話がかかってしまう場合があります。最悪の場合、カードの不正利用のような、犯罪に巻き込まれてしまう恐れも。大切なユーザーを守るためにも、SSL化は急務だといえるでしょう。

③自社の信用情報が危うくなってしまう

ユーザーが詐欺や悪質サイトの被害に遭ってしまった場合、個人情報を流出させてしまったとして、自社の信用が危うくなってしまう危険性があります。

会社が保有していた個人情報が漏洩してしまった場合、被害を被ったクライアントからインターネット上で悪評が拡散されてしまったり、場合によっては損害賠償を請求されたりする危険性も考えられるでしょう。インターネット上の情報を完全に消すことは難しく、悪評が拡散されてしまった場合、信用に大きな傷が残ってしまいます。

SSL化をする際のデメリット・注意点

SSL化をしないと、さまざまなリスクがあることが分かりました。一方で、SSL化をすることにはデメリットもあります。この章では、SSL化をすることのデメリットについて解説します。

①費用と労力の点でコストがかかる

SSLは毎年更新しなくてはならず、年に1度の更新作業が必要です。

また、SSLには無料のものと有料のものが存在しますので状況に合わせて選択が可能です。有料のSSLを導入した際はランニングコストが発生するので、費用や労力の面でコストがかかってしまうことはデメリットだといえるでしょう。また、無料のSSLはお使いのサーバーによっては導入できない場合があるため、その場合は有料のSSLを契約することになります。

有料版か無料版かの選択は、web担当者へご相談頂くのが一番いいと思います。

②更新漏れで訪問者へ悪影響を及ぼす可能性がある

SSL証明書の契約期間が切れてしまい、更新を忘れてしまうと、サイト訪問者に迷惑をかけてしまう可能性があります。SSL証明書の期限が切れていることで発生する影響は以下の通りです。

〇有効期限切れのエラーメッセージが表示される
SSL証明書の契約期間が切れてしまうと、検索やお気に入りからアクセスした際に、注意喚起の画面が表示されます。サイトを訪れてエラーメッセージが表示されたら、怪しいサイトを開いてしまったのではないかと訪問者を不安にさせてしまう可能性があります。

〇暗号化通信ができなくなる
SSL証明書の期限が切れてしまった場合、暗号化ができません。訪問者の個人情報が漏洩されてしまうことにつながり、悪影響を与えてしまいます。更新期間を確認し忘れていたり、更新せずに過ぎてしまったりすると、ユーザーが多大な被害を被る可能性があります。

③通信速度が遅くなる場合がある

SSL化されたウェブサイトと、そうでないウェブサイトを比べた場合、SSL化されたサイトの方が通信スピードが遅くなる場合があります。表示スピードが遅くなることを懸念し、SSL化に踏み切れないサイト運営者も多くいることでしょう。

ただし、きちんと対応すれば早くなる場合もあります。例えば、サーバをHTTP/2やHTTP/3に設定すれば通信方式が変更され、速度をあげられます。

HPへSSLを導入する方法

現在WebサイトがSSL未対応の場合、どうすればSSL化できるのか?について解説します。HPをSSL化するためには、運営者の実在性を確認したという電子証明書「SSLサーバー証明書」をサーバーにインストールする必要があります。これには、通信を暗号化するために必要な「鍵」と、「Webサイトの運営者」などの情報が含まれています。SSLには複数の種類がありますので、まずはそれらの違いから説明します。

ドメイン認証型

ドメイン名を所有していることを確認する、一番お手軽な方法です。ドメインだけで認証するので、組織の実在性などの確認はなく、個人事業主でも申請できます。費用は安く、無料で利用できるサーバーもあります。

企業認証型

ドメインの所有の上、運営組織が実在することも認証します。企業などの公式サイトに使われることが多く、書類審査なども行われます。ドメイン認証よりは信頼性が高いです。その分費用も高く、年間5万円~かかります。

EV認証型

企業認証に加えて、申請した企業が物理的・法的に存在しているかをより厳格に調査されます。最も信頼性が高い証明書です。費用は年間数十万円発生します。この認証を行うと、アドレスバーに組織名が表示されます。

価格を比較すると、ドメイン認証型<企業認証型<EV認証型

信頼性を比較すると、EV認証型<企業認証型<ドメイン認証型

となります。

利用する目的によってSSL証明書の種類を選び、申し込みましょう。ユーザーの個人情報の中でも、クレジットカードなど特にセンシティブなものを取り扱う場合は、信用も大切なので企業認証型やEV認証型を選ぶと安心です。世の流れに合わせてひとまず手軽に設置したいという場合は、ドメイン認証でも問題ないでしょう。

SSL証明書を手に入れたら、それをサーバーにアップロードします。利用しているサーバーによって操作は違うので、手引などを読んで方法を確認しましょう。難しい場合や操作に自信がない場合は、SSL対応を行ってくれる業者に相談するほうが結果的に早く済むかもしれません。

自社にまず取り入れたいSSL化の対策

SSL化をするにあたって、いくつか取り入れたい対策があります。それらを事前に理解しておくことで損失や損害を出さずに済むでしょう。

この章では、SSL化するにあたって必ず取り入れたい対策を3つご紹介します。

常時SSL化

常時SSL化とは、自社が運営しているウェブサイトの全ページを暗号化する方法です。

個人情報や、機密情報を扱うページだけをSSL化する会社もありますが、その場合思わぬところから情報が漏洩してしまう可能性があります。そのような事故を防ぐためには、すべてのページにセキュリティ対策をしておくことが重要です。

また、Googleの検索アルゴリズムでは、安全性の高いサイトを上位表示する傾向があります。サイト全体のセキュリティが強化されるとともに、それに伴ってSEO対策としても役立ちます。安全性の高いサイトであると判断されやすく、検索上位に表示されやすくなるでしょう。自社ウェブサイトのSSL化を検討する際は、常時SSL化がおすすめです。

SSL通信の可視化

SSL通信は可視化できることが重要です。
暗号化されている以上、情報の中身を検査することは簡単ではありません。
それはつまり、もしも悪質な第三者が中に入った場合は、攻撃を隠す働きをしてしまうということです。

SSL通信が検査できないことを逆手にとって、暗号化した情報の中に攻撃を仕掛けてくる場合があります。そのような場合には、SSL通信の中身を可視化することで悪用を防げます。SSL通信の種類によっては、可視化の機能を持っていない場合もあるため、導入前に確認しましょう。

SSL証明書の更新

前述したとおり、SSL証明書には期限が設けられています。

SSL証明書の期限が切れてしまうと、更新をしない限りSSL通信ができません。ウェブサイト訪問者にも会社にも悪影響が起こるため、更新は切らさないようにしましょう。多くの場合、更新時にも新規申し込みと同様の手続きが必要です。

代理店や認証局での申込みを通すため、場合によっては時間がかかってしまう可能性があります。そのため、更新時期について事前に確認し、更新の概要を確認しておきましょう。SSL証明書の更新漏れがないように、計画的な準備が必要です。

SSL化に関するよくある質問

SSL化は、初めて知った方からすれば、少し理解が難しいところがあるのではないでしょうか。この章では、SSL化についてよくある質問について紹介します。

①SSLとTLSの違いは何ですか?

SSLとは、Secure Sockets Layerの略で情報通信を安全に行うためのセキュリティプロトコルです。一方、TSLとは、Transport Layer Securityの略語で、SSLの次世代としてリリースされたセキュリティプロトコルです。つまり、TSLはSSLの次世代規格で全く別のプロトコルをさします。

現在用いられているSSLも、多くの場合TSLですが、古くから馴染みのあるSSLという用語をそのまま使用しているのです。

②SSL化の作業・更新料など費用相場はいくらですか?

SSL化の作業には、数万円〜数十万円ほどが相場だといえます。金額の内訳としては、認証費と作業費が大半を占めています。費用はドメインの認証方法によって変動し、厳格なものになればなるほど高額な費用がかかります。そしてSSL化を自社ではなく外部に依頼する場合は、ドメイン費に加えて作業費もかかるため、自社で対応する場合よりも高くなる傾向に。

また、ドメインを更新する際には、再度契約料金がかかります。こちらの相場も同じく、数万円~数十万円ほどです。

まとめ

セキュリティ向上のためにも、ユーザーへの信頼性という観点からも、SSL対応はWebサイト管理者にとって必須の対応になりつつあります。Webサイトのみで取引が完了することも多いため、データの信頼性を担保するというのは非常に重要です。安心して集客するためにも、SSL対応には積極的に取り組みましょう。

オススメの記事

カテゴリー

Facebook

エムズのみんなの様子が見れちゃう!イベント情報や社内の様子、役に立つ広告の豆知識など様々なことが掲載されていますよ。

X(旧Twitter)

エムズコーポレーション営業部の「今」を配信!街で気になった広告や、撮影や収録の裏側も。お客様のイベント情報も見逃せません。