今回は、Webサイトの安全性に関する話をしたいと思います。
最近、Webサイトからの個人情報流出やなりすまし、改ざんなどネット関連の事件が後をたちません。
それにも関わらず未だに多くのWebサイトがセキュリティーが脆弱なまま放置されてしまっています。
今日はWebセキュリティーの中でも最も基礎的な『SSL』について解説していきます。
もしも自社のWebサイトのセキュリティー面に不安があるという方は、私の方でチェックいたしますのでお気軽にお問い合わせください。
目次
SSLとは
SSL(Secure Sockets Layer)とは、皆さんが普段お使いのPCやスマホとインターネット上にあるサーバーとの間で通信が行われる際に、やり取りされるデータを暗号化し、送受信させる仕組みのことです。
インターネット上で頻繁に送受信される氏名・住所・メールアドレスなどの個人情報や、ショッピングの決済に必要なクレジットカード情報、ログインに必要なID・パスワードといった情報は、常に悪意ある第三者から狙われています。
SSLは、これらの重要な情報を、悪意ある第三者による盗聴を防いだり、送信される重要な情報の改ざんを防ぐ役割を持っています。
『HTTPS』と鍵マーク
SSL(https)サイトと非SSL(http)サイトの見分け方
『HTTPS』とはHyperText Transfer Protocol Secureの略称で、インターネット上のHTTP通信が、SSLによって暗号化されたことを意味しています。
SSLによって通信データが保護され、第三者が盗み見しようとしてもデータの内容を解読することができなくなります。
アクセスしたWebサイトでSSLが導入されている場合は、そのWebサイトのURLの先頭が『https://』となり、ブラウザに『鍵マーク』が表示されます。
一方、SSLが導入されていないWebサイトは、WebサイトのURLの先頭に警告マークが表示され、アドレスは『http://』となります。
SSL化していないことのリスク
SSL化していない場合、最悪の事態としてどのようなリスクが顕在化しうるのか見ていきます。
近年のWebサイト運営におけるリスクとして代表的なものは、『なりすまし』『盗聴』『改ざん』あたりかと思います。また、『フィッシングサイト』による詐欺被害も良く話題に上がるリスクの一つです。
一つ一つ見ていきましょう。
なりすまし
『なりすまし』とは、サイトの運営者になりすました第三者が、ログイン情報や決済情報などを取得し不正に取引を行うことを指します。
盗聴
『盗聴』とは、通信されているデータを盗み見ることによって個人情報などを収集し悪用することを指します。
インターネット上で送受信される個人情報や決済情報、Cookieなどの機密性の高いデータが第三者に盗み見られる可能性があります。
改ざん
『改ざん』とは、ユーザがユーザ登録や注文画面などで入力した内容等を、悪意ある第三者が途中で書き換える行為のことを指します。
フィッシングサイト
『フィッシングサイト』とは、悪意ある第三者が会員制サイトやECサイトになりすまし、本物を装ったWebサイトへ誘導するメールを送りつけ、パスワードや決済情報といった重要な個人情報を取得することを目的にしたWebサイトを作る行為のことを指します。
繰り返しになりますがSSLは、インターネット上で送受信される個人情報や決済情報などの重要なデータを、悪意ある第三者から守る有効手段です。
SSLサーバ証明書を導入すると、『通信データの暗号化』と『サイト運営者が本物と認証する』ことが実現できますので、上述のリスクが回避が可能になります。
SSLの導入により、ユーザに安心してWebサイトを利用してもらうことで、リスク回避のみならず、機会損失を回避することが可能になります。
SSLに対する一般ユーザーの認識
皆さんの中にもWebサイトを閲覧する際に、アドレスバーの部分に『保護されていない通信』と記載されているのを見た記憶がある方も多いのではないでしょうか。
この様な表示がなされる様になったのは、2018年にGoogleがSSL化されていないサイトはセキュリティ上のリスクがあることから、問答無用でこのような表示すると決めたことが背景にあります。
そこから一気に一般ユーザーに認知され、『SSLは良くわからないけど、このサイトは危険そう』といった判断をされるようになってきました。
これからも、一般ユーザーのインターネット上での個人情報保護に対する意識はますます高まっていく傾向にあるのは間違い無いでしょう。SSL化していないことで知らず知らずの内に機会損失に繋がっていた、といった事態は極力避けたいものです。
SSLの一般ユーザーへの浸透度合い
インターネットショッピングを利用する一般ユーザーへのアンケート調査で、『ネットショッピングをする際、SSLが導入されていることが安心な買い物に影響を与えるか』という調査では以下のような回答割合になっています。
- とても影響を与える 14.9%
- まあまあ影響を与える 29.8%
- あまり影響を与えない 10.7%
- 全く影響を与えない 2.6%
- SSLを知らない 42.0%
この結果からも分かるように、約45%が何らかの影響があると回答しています。
この結果は、もしかするとSSL化しておけば購入まで至ったユーザーがいるかもしれないということを示唆していると考えて問題ないでしょう。
一般ユーザーのSSL導入チェック度合い
一般ユーザーに対して『SSLが導入されていることをどのように確認しているか』というアンケート調査での結果は以下の通りとなっています。
- アドレスバーの鍵マークが表示されていることを確認する 51.4%
- 「SSL通信により暗号化されています」といった表記があるかを確認する 37.7%
- URLがhttpsで始まっているかを確認する 31.9%
- アドレスバーに警告が表示されていないことを確認する 28.3%
- アドレスバーが緑色であることを確認する 18.1%
アドレスバーにある鍵マークの浸透度合いが高いことを示しているデータだと思います。
SSLサーバ証明書の導入方法と種類
ここまででSSL化がビジネスにおいていかに大切なことかが分かったかと思います。
それでは簡単にSSL化するにはどうすればよいかと、SSLの種類について解説します。
SSL(https)を導入するには
WebサイトでSSL(https)を利用する場合、通信の暗号化に必要な鍵とWebサイトの運営者の情報が含まれた『SSLサーバ証明書』を、サーバにインストールする必要があります。
SSLサーバ証明書は、信頼のおける第三者機関にてWebサイトの運営者が正しい運営者であるかどうかの審査を行い発行されます。
SSLサーバ証明書を導入することにより、ユーザはWebサイトの運営者情報や通信の暗号化によって保護されていることを確認することできる様になります。
具体的な導入のプロセスとしては、
自社のWebサイトを置いているレンタルサーバーがSSL化対応かどうかを確認する
↓
(SSL化非対応の場合はサーバーを変更することを検討)
SSL化対応可能であれば、サーバーにSSLの申請方法についての窓口があるはずなので、申請する。
↓
Webサイト自体のURLの変更対応をする
↓
SSL化していなかった時のURL(http://〜)にアクセスがきた時のリダイレクト対応をする
おおよそこの様な対応が必要かと思います。
詳しい工程が分からない方や、社内にWeb専門の部隊がいないときはお尋ねください。
SSLサーバ証明書の種類
少し専門的な話になりますが、SSLサーバ証明書には、Webサイト運営者の認証内容により3つの種類が用意されています。
『ドメイン認証』『企業実在認証』『EV認証』の3種類です。
ドメイン認証
Webサイトのドメインの使用権を所有していることを認証します。
組織の実在性は確認しないため、登記簿謄本などの提出は不要で、個人事業主の方でも証明書の申請が可能です。
企業実在認証
Webサイトのドメインの使用権の所有の他、その運営組織が法的に実在することを認証します。
第三者データベースに照会の上確認し、さらに申し込みの意思を確認の上で証明書が発行されます。
EV認証
世界標準のガイドラインに沿って、ドメインの使用権の他、その運営組織の法的・物理的実在性を第三者データベースに照会の上確認し、さらに申し込みの意思と権限を確認の上で証明書が発行されます。
ご自身の事業形態などを勘案し、適切な証明書の種類を選択しましょう。
Webサイトの安全性を高めるSSL化、まとめ
今回は、Webサイトのセキュリティーの観点からWebサイトのSSLについてお話をしました。
実際に未だ多くの事業者がSSL化対応をしないままWebサイトを運営しているのが現状です。
その様なWebサイトは大体3〜5年、あるいはそれ以前に制作されたものが多いです。当然、最新のWeb集客に強いWebサイトの理想型には程遠い構造のWebサイトも多くあります。
SSL化を機にWebサイト自体をWeb集客に強い構造にリニューアルするのも検討する価値があるかもしれません。
