こんにちわ。デザイナーのなーこです。
近年、サイバー攻撃や個人情報の流出が度々報じられるようになり、一般ユーザーのセキュリティに対する意識は以前よりも高まってきています。
インターネット上では、セキュリティ対策をおこなっていないと、Webサイトを利用しているユーザーの個人情報が悪意のある第三者から狙われ、悪用されるなどのリスクがあります。
今回ご紹介する「常時SSL化」は、Webサイト上のセキュリティ対策のことで、現在は広く一般的になってきています。
ですが、なかなかピンとこないという方もいるかと思いますので今回はこの常時SSL化について、その必要性や対応することで得られるメリット、注意点なども含めてご紹介していきます。Webサイトを運営される方はぜひ参考にしてみてください。
そもそも http って? https との違いは?
インターネット上でよく目にするのが、ブラウザのアドレスバーの先頭に表示されている http や https ですね。
そもそもこの http(エイチティーティーピー)ですが、Hypertext Transfer Protocolの略称で、Webサーバーとユーザー(PCやスマホなど)の間でWeb情報をやりとりするための通信規則(プロトコル)のことを指します。
そしてこのhttpの後ろについている「s」がついている状態のhttps 。
httpsの「s」は、安全(secure)を意味しています。
つまり、「https://~ で表示されているWebサイトは、httpよりも安全!」ということを表しています。
なぜhttpsは安全なのか?
httpsが安全な理由は、通信の仕組みにあります。
httpsで始まるWebサイトには、暗号化された安全なSSLという通信が設定されているからです。
詳しく見ていきましょう。
■SSL通信って?
SSLは、Secure Sockets Layerの略称で、インターネット上のユーザー(PCやスマホなど)とWebサーバー間のやり取りを「すべて暗号化して通信する仕組み」のことです。
図で表すとこんなイメージになります↓
×SSL化していない状態(非https)
SSL化していない(非http)状態は、個人情報などがそのまま送られてしまっていますね…
〇SSL化している状態(https化)
SSL化している(https化)状態では、個人情報などが暗号化されて送られています!
http から https化の際、このSSL通信が設定され、インターネット上のやり取りがすべて暗号化されます。
http(非暗号化) の状態では送受信される情報がそのまま表示されていましたが、SSL化(通信の暗号化)されることで情報が暗号化され悪意のある第三者からの盗聴や悪用のリスクを防ぐことができるようになります。
実際に、http から SSL化(https化)されたWebサイトは、下の図のようにアドレスバーに「鍵マーク」が表示され、
ユーザーにも「このWebサイトは安全な通信で守られています」ということを証明できているかたちになります。
逆を返せば、「http は暗号化されていない、十分に安全な通信とは言えない」ということでもありますね。
■常時SSL化とは
https化がSSL通信で暗号化された安全が証明された通信ということがお分かりいただけたかと思いますが、
それではこのSSLに「常時」という言葉がついた、今回のテーマでもある「常時SSL化」とは一体どんなものでしょうか。
常時SSL化をとても端的に言うと、「Webサイト内のすべてのページを暗号化されたSSL通信(https化)に設定して、Webサイト全体のセキュリティを高めるための対策」のことを言います。
下の図をご覧ください↓
× 常時SSL化されていない状態(一部のみhttps化されている状態)
〇 常時SSL化されている状態(Webサイトすべてのコンテンツがhttps化されている状態)
以前は、個人情報を扱う問い合わせページや会員情報ページだけをhttps化するサイトが数多くありました。
しかしこの状態では、http(非暗号化)ページが存在することで、暗号化されていないhttpページを閲覧中に情報を盗み取られたり、そもそものセキュリティ上での脆弱さがありました。
Webサイトの一部だけを https化 するのではなく、Webサイト全体、すべてのページを https化することを「常時SSL化」と言い、セキュリティを強化する対策として重要視されているのです。常時SSLの「常時」とは24時間という意味合いではなく、Webサイト内どのページを利用しても、常にSSL化されていて安心という意味で使われています。
■常時SSL化が必要な理由
常時SSL化(https化)されているWebサイトは、すべてのページが暗号化された通信で行われている状態のため、インターネット上で狙われやすい個人情報などを盗もうと悪意のある第三者がいた場合でも、情報を解読することが困難で個人情報の悪用を最小限に防ぐことができます。
さらに、ビジネスシーンでWebサイトを活用している場合、運営者側にとっても、万が一個人情報などが流出してしまえば、企業の信頼を落としてしまうことに繋がります。
すべてのページで通信が暗号化されている「常時SSL化」対策がとられていることではじめて、ユーザーはWebサイトを安全に利用でき、運営者側も情報流出を最小限に防ぎWebサイトを運営できるようになるということです。
そしてもうひとつ。
Webサイトを閲覧しようとしたとき「このサイトへの接続は保護されていません」と表示され、不安になった経験はないでしょうか?
これは、Googleが2018年の7月から常時SSL化(https化)されていないサイトに対し、「この接続は保護されていません」という警告表示と共に閲覧するユーザーに注意を促す仕様になったためです。
このため、一般ユーザーはサイトが保護されている通信か、そうでないかを見分けられるようになりました。
前の項でもお話しましたが、以前まで個人情報を取り扱うページ(お問い合わせフォームや会員登録ページなど)だけをSSL化(https化)設定することが一般的でしたが、個人情報を扱うページだけをhttps化したとしても、その他の http(非暗号化) ページを閲覧中に、個人情報を盗まれてしまうなどのケースがあり、GoogleはWebサイトのすべてのページのhttps化「常時SSL化」を推奨し、常時SSL化に対応していないサイトに対しこのような警告表示がされる仕様になりました。
常時SSL化(https化)に対応していないと、個人情報を悪意のある第三者から狙われ、悪用されるリスクと共に、ブラウザ側からの警告表示で、自社のWebサイトが一般ユーザーに安全なサイトではないと認識されてしまうということになります。
インターネット上の個人情報の流出や盗難などの報道は近年益々増えていて、一般ユーザーがせっかく興味を持って訪れても、この表示を見た場合、警戒してページを閉じてしまうのは自然な流れではないでしょうか。
そうなると、Webサイトを利用した集客や施策など、どんなにコンテンツを作り込み完璧に準備していたとしても、そもそも見てもらえないという事態になってしまいます。
安心してWebサイトを利用できるのかという点で、ユーザーからの信頼度やサイトの利用者数が大きく変わってくることが予想されます。
情報流出を防ぐセキュリティの観点や、企業・Webサイトの信頼性、Webサイトを活用したビジネス成長の面でも、この 常時SSL化は必要不可欠ではないでしょうか。
■常時SSL化(https化)に対応することで得られるメリット
常時SSL化(https化)に対応することで得られるメリットについてまとめました。
メリット1/セキュリティリスクへの強化① Webサイトのなりすましを防ぐ
悪意のある第三者によってWebサービスやネットバンクなど本物そっくりに作られたWebページへ誘導し、IDやパスワード、氏名や電話番号などの個人情報や決済情報などを不正に入手しようとする「フィッシング詐欺」と呼ばれる不正行為があります。
第三者によってこれらのWebサイトを完全にコピーして、URLも同じように設定し公開することが技術的には可能です。
しかし、SSL化(通信の暗号化)の設定時には必ず「SSLサーバー証明書」の認証を受ける必要があり、サイト運営者・組織が実在しドメインの使用権を持つことを証明しなくてはなりません。
言わば登記簿謄本のような役割を持ちこれはコピーすることができません。SSLサーバー証明書がない状態ではSSL通信は実現できないため、ドメインの正当性は保証されず、ブラウザ側で警告が出たり、そもそもページが表示されないことでなりすましの被害を防止することができます。
メリット2/セキュリティリスクへの強化② Cookieの盗聴を防ぐ
直接入力して送受信するような個人情報以外にも盗聴されたり悪用される危険性のある情報の中にCookie(クッキー)と呼ばれるものがあります。Cookieは、PCやスマホ端末に保存されている「Webサイトに関する情報」のことで、主にログインIDやパスワードです。
たとえば、みなさんがFacebookやTwitter、Amazonなどのサービスを利用するとき、このCookieが各サービスのログイン情報を保存しているため、2回目以降にアクセスすると、すでにログイン状態になっていることが多いと思います。
ユーザーがhttp(非暗号化)のページを閲覧している最中にもCookie情報を覗かれ盗聴される危険性があるため、一部のページだけでなく、Webサイト全体をSSL化させることでCookie情報の盗聴リスクを最小限に防ぐことができます。
※現在は飲食店やショッピングモール、空港などでフリーWi-Fiが普及していて、このフリーWi-Fiの中にはセキュリティが弱かったり、攻撃者によって罠が仕掛けられているWi-Fiが複数存在しています。フリーWi-Fiの普及にともなって、以前とくらべてCookieなどの情報を傍受されるリスクも急激に高まっています。
メリット3/SEOに有利
検索エンジン最大手のGoogleが2014年8月に検索順位を決める決定要素に「Webサイトが常時SSL化されているかどうかを含める」と発表しました。2015年12月には、同じコンテンツでもhttpとhttps2つのページがある場合、https通信のページを優先的にインデックスさせるという発表もしています。
ユーザーが安全にWebサイトを利用できるという観点でGoogleは常時SSL化を推奨しています。対策している、いないとでは検索結果にも影響が出てくるということです。
メリット4/Webサイト分析への有効活用
圧倒的な利用者がいるこのGoogle検索サービスですが、このGoogle検索自体が常時SSL化されています。
このため、ユーザーがGoogle経由で検索→クリックしてWebサイトに遷移した場合、常時SSL化(https)されたサイトであれば「Google検索から流入してきたユーザー」としてアクセスログに残り、自社サイトの分析データとして蓄積されていきます。
逆に、http(非SSL)サイトの場合、リファラ情報(ユーザーがサイトに流入する時に利用したリンク元のページ情報)が送信されなくなり、どこから遷移してWebサイトを訪問してきたのかが不明確になってしまいます。
またトップページだけをhttps化(SSL化)したとしても、同じWebサイト内でhttp(非SSL)ページに遷移した場合、ユーザーのCookie情報が保存されなかったりと、別のユーザーとして記録されてしまうことになります。
すべてのコンテンツがSSL化(https化)されていれば、自社サイトへの流入経路やユーザー数を正しく把握することができるので、ビジネス成長のための正しいデータ活用が可能になります。
■常時SSL化(https化)に対応していないと起こるリスクは?
常時SSL化に対応していないとセキュリティの脆弱性から個人情報流出のリスクなどがありますね。
ここではその他にも起こるリスクをご紹介します。
Googleが2019年10月に発表した中に、常時SSL化に対応していないWebサイトは「混合コンテンツ(Mixed Content)とみなし段階的にブロックしていく」というものがあります。
これはつまり、https://~で始まるWebサイトの中に、http://~で始まる画像や音声、動画やスクリプトなどがあると混合コンテンツとみなされて、Googleが提供しているChromeブラウザでは、そのコンテンツ自体が表示されなくなる可能性があるということです。
多くのユーザーが利用するChromeブラウザでそもそもページやブロックが非表示になってしまったり、非表示によるレイアウト崩れなどが起こることは運営者側にとって大きなリスクですね。
すでに実施(2020年2月)されているため、まだ常時SSL化に対応していないWebサイトはできるだけ早めに対策をとり、自社サイトのコンテンツを正しく表示していくことが必要です。
■常時SSL化(https化)の流れ
それではいざ常時SSL化(https化)に対応するためにはどうしたらよいでしょうか?
契約しているドメイン会社やサーバー、Webサイトを構築しているツールでも手順が違ってくるため、
ここでは大まかな流れを把握する程度としてご紹介します。
1.サーバ―の確認
現在所有しているドメイン、ページを公開しているサーバーの契約状況などを確認します。
httpからhttpsへの移行は、主にWebサーバーの設定で行います。そもそもサーバーがhttps通信に対応していない場合もあるのでまずは対応状況など確認しましょう。
2.「SSLサーバー証明書」の申込み
SSLサーバー証明書は、Webサイトの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データが含まれている電子証明書のことです。認証局に企業などの発行元情報を送付し、証明書発行を依頼することで取得できます。
最近では無料のSSLサーバー証明書(ドメイン認証型)を提供するレンタルサーバー会社も増えており、たくさんの企業が利用しています。
SSLサーバ証明書には、サイト運営者(組織)の認証内容によってレベル分けされた3種類が存在します。
3つの認証レベルをご紹介します。
【SSLサーバー証明書の種類】
ドメイン認証型(DV) Webサイトのドメイン使用権を所有していることを認証します。組織の実在性は確認しないため、登記簿謄本などの提出は不要で、個人事業主の方でも証明書の申請が可能です。 | 実在証明型(OV) ドメイン認証に加えてWebサイトの運営組織が法的に実在するかを証明します。運営組織の有無が確認できるためドメイン認証型よりもさらに信頼性は高くなります。 | 実在証明拡張型(EV) 実在証明拡張型証明書では、他2つの証明書よりも厳密な審査を受けてから発行されます。 |
3.審査・認証
認証レベルによって変わりますが、ドメイン名の登録情報や電話情報など審査・認証が行われます。
4.サーバー証明書の導入
認証が完了し、SSLサーバー証明書が発行されたらサーバーへインストールして完了です。
※常時SSL化後に必要な作業については次の項でご紹介します。
■常時SSL化(https化)後に必要な作業
常時SSL化(https化)を行った後は、必ず忘れずに行ってほしい作業があります。
URLの変更
Webサイトのページがすべてhttpsになっても、ページ内の画像、CSS、JavaScriptやその他のファイルのパスを「http://」→「https://」に変更をしておかないと、対応していない場合のリスクでもご紹介したように、混合コンテンツとみなされて、SEOにも影響が出てしまいます。
相対パスやルートパスで記述されているものは変更の必要はありませんが、絶対パスで記述されているものに関しては「https://」に変更しましょう。
301リダイレクト設定
2つめに行う作業は301リダイレクト設定です。リダイレクトにはいくつかありますが、この場合はユーザーがアクセスしたURLとは別のページに誘導する設定を行いたいので「http通信のページにアクセスされた場合、強制的にhttps通信のページに飛ばす」という301リダイレクト(URLを変更した際に用いる)設定を忘れずに行いましょう。
■常時SSL化(https化)する場合の注意点
ここでは常時SSL化(https化)を行う上での注意点もご紹介します。
SNS(facebook、Twitterなど)ボタンの「いいね」や「シェア」などカウントがリセットされてしまう
常時SSL化をするとURLがhttp→httpsへ変わる影響で、全く別のサイトとして扱われるようになります。
そのためfacebookやTwitterなどSNSのシェアボタンの「いいね数」や「シェア回数」といったカウントが、常時SSL化のタイミングですべてリセットされてしまうという注意点があります。
SNSシェアボタンは、過去のカウントを引き継ぐことができないため対策することが難しく、一番の最善策としては、できるだけ早い段階で常時SSL化に対応する、ということです。
■まとめ
現代社会では、ほぼすべての人がスマートフォンやタブレット、ノートパソコンなど、いつどこででもネット環境に繋がることが可能です。
このような現代社会では個人情報の保護やサイトの信頼性はとても重要になっています。
今回、常時SSL化がユーザーの情報保護の観点だけでなく、Webサイトの運営者側にもさまざまなメリットがある対策ということもお分かりいただけたかなと思います。
対策することで少なからず手間がかかったり、注意点を見極めた上での導入が必要になりますが、特にビジネスシーンでWebサイトを活用される場合、常時SSL化(https化)はユーザー・運営者側双方にメリットであることが多く、ユーザーを守るためにも、運営者側の信頼を守るためにも必要不可欠な対策ではないでしょうか。ぜひ導入をご検討ください。
