WebサイトにSSLは必要か
Contents
SSLとは
SSL対応について問い合わせをいただくことが多くなっています。すでに多くのWebサイトではSSL対応をしていますが、まだまだ未対応のサイトもたくさん見かける状況です。SSLについて多くの方が疑問に思っていることは、SSL対応って絶対に必要なの?ということでしょう。そもそもSSL対応はなぜ必要なのか、そのメリットとデメリットをわかりやすく解説します。
この記事はウェブ担当者向けに書かれています。かなりざっくりと説明するので、詳しく知りたい人はググって他のサイトを参考にしてください。
SSLとHTTPSは違うの? 同じなの?
SSLとHTTPSは違うものですが、同じものと理解していただいて大丈夫です。新型コロナウィルスでのCOVID-19とSARS-CoV-2の違いといえばわかりやすいでしょうか(わかりにくいです)。SSLは暗号化で、暗号化された通信がHTTPSです。ウェブサイトのアドレスは「http://」ではじまっていますが、SSLに対応するとこのアドレスが「https://」となります。
SSLの役割
SSLで何を暗号化するかというと、ウェブサイト内でやり取りされる情報です。たとえば問い合わせフォームで名前やメールアドレスを入力し、送信ボタンを押すと確認画面が表示されたりします。このとき、入力フォームのページから確認画面のページに情報が送られるのですが、暗号化されていないと、この通信内容を第三者が盗み見ることが可能です。名前やメールアドレスだけならいいのですが、ショッピングサイトではクレジットカード番号も入力するので、それが抜き取られてしまうと大変です。
ただ、これはあくまでそういう技術を持った特殊な人が悪意をもって盗み見ようとした場合の話です。誰にでも簡単に見られてしまうということではありません。また、あくまでサイト内での情報のやり取りの話で、サーバーに不正ログインされて改ざんされてしまうというのはこれとは別問題です。
つまりSSLの役割というのは、ユーザーの個人情報やログイン情報を盗み見られないように暗号化することです。なので、問い合わせフォームやショッピングサイトではSSL対応は絶対に必要です。逆にいえば、そういうサイトでなければ対応は不必要ということになります。実際、従来はショッピングサイトなど重要な個人情報を扱うサイトだけがSSLに対応していました。企業のサイトでも問い合わせのページだけをHTTPSにしていたところが多かったのです。しかし、2018年にこの状況が変わります。GoogleがブラウザのChromeでSSLに対応していないウェブサイトを閲覧した場合、アドレスバーに「通信が安全でないことを通知するラベルを表示するように仕様を変更したのです。
SSLに対応していないサイト
SSLに対応しているサイト
実際のところ、たんに情報発信をしているだけのサイトであれば危険性はまったくありません。そもそも公開したい情報をウェブサイトに掲載しているのですから、盗み見られて困ることはありません。困るのはユーザーの情報を取得するようなサイトだけです。しかしながら、サイトを見たときに「情報が盗まれる」などと書かれていると、ユーザーは不安になってしまうでしょう。
GoogleはSSL対応を推奨
またGoogleはすべてのサイトがSSLに対応することを推奨しており、検索順位にも影響があることを明言しています。対応していないからといって検索順位が大きく下がることはないと思われますが、若干のマイナス要因にはなるようです。
これらのGoogleの方針により、従来は重要な個人情報を扱うサイトだけが対応しなければいけないSSLが、すべてのサイトで対応しなければいけないことになってしまったのです。
SSLに対応するには
SSLはサーバーの話
ウェブサイトのSSL対応なので、ウェブサイトの話だと思われるかもしれませんが、SSLはサーバーの話です。ですのでウェブサイトは制作会社に委託していても、自社でレンタルサーバーを契約している場合には、まずはレンタルサーバーの契約を変更する必要があります。
SSLの種類
SSLをレンタルサーバーで導入するとき、多くのサーバーでは初期費用と年間の利用料がかかります。SSLに対応するにはSSL証明書というものを取得するのですが、それを毎年更新する必要があるのです。この証明書の価格はまさにピンキリで、無料のものから何十万円もするものまであります。それだけ差があるとセキュリティ的に差があるように思われるかもしれませんが、暗号化の強度の差はありません。差があるのは信用度です。
- 【DV】ドメイン認証
- 【OV】実在証明型(企業認証)
- 【EV】実在証明拡張型
ドメイン認証は独自ドメインで運用しているウェブサイトであれば、どんなサイトであっても取得することが可能です。無料のSSLもあるので、誰でも簡単に導入することができます。導入のハードルは低いのですが、その反面、サイトの信用性を担保するものではありません。セキュリティ的には問題ないが、サイトの内容を保証するものではない、ということです。とはいえ、世の中のコーポレートサイトの多くはドメイン認証で対応しています。
企業認証の場合にはブラウザで証明書の中身を見ると企業名が表示されます。ここでサイトを運営している企業を確認することができるので、なりすましサイトなどを防止することができます。EV認証さらに厳格な手続きで発行されるものです。ただ繰り返しになりますが、暗号化の強度に違いはありません。SSLの種類の違いは見ようと思えば見えるレベルのものなので、サイトをパッと見て違いがわかるようなものではありません。
WebサイトにSSLは必要か
結論としては、必要です。ただ、できれば対応したほうがよいというレベルです。使っているレンタルサーバーのSSLがとんでもない高いとか、委託している制作会社に相談したらよくわからないと言われたとかであれば、対応していないからといって乗っ取られるとかそういう心配はいりません。ただ、問い合わせフォームがサイト内にあるのであれば、そのページの対応は必要です。サーバーによっては無料で共有SSLというのがあるので、それを利用すれば、そのページだけSSLにすることができます。もしくは、Googleが無料で提供しているフォームのサービスを利用し、埋め込むというのも手です。サイト自体がSSLに対応していなくても、埋め込んだフォームが対応していれば、セキュリティ的には問題ありません。
ただ、繰り返しになりますが、最近のSSLの対応についてはセキュリティの側面より、信用性の問題になってきています。サイトを見ようとしたときに安全ではないと言われると、ユーザーは不安になります。Webサイトでは信用は重要です。なので、WebサイトはSSLに対応したほうがよいのです。
関連ページ
詳しくは関連ページをご覧ください。
