記事概要

Googleでは、ネット空間のセキュリティ対策のため、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをすすめています。HTTPS化することを、『常時SSL化対策』と呼び、これらの対策がなされてないWEBサイトには警告がでるような仕組みになりました。遅かれ早かれ、すべてのWEBサイトにおいて『常時SSL化対策』が必要になります。早めの対策をおすすめすべく、『常時SSL化対策』のポイントをまとめました。

執筆者:後藤ようこ

この記事の目次

  • 6.常時SSL化するための対応策:コストについて

    • Googleが『HTTPS』のサイトを良質と判断しています

    日々、インターネットの状況は変化し続けています。そのスピードは早く、もはや1年前の情報が古くなってしまうほどです。

    ここ数年、ビジネスにおけるインターネットの話題のトレンドは、Googleの検索ランキングの強化に終始しています。当然のことながら、Googleのアルゴリズムが変化し続けている限り、私たちもそれらの情報収集は必須となり、随時対策に迫られていると言わざるを得ません。

    さて、今年に入り、特に注目されるようになった話題が、ウェブサイトの『常時SSL化』対策の話です。

    そもそも、この話題に火が付き始めたのは、2014年の夏。Googleが下記の表明をしたことがきっかけでした。

    ●HTTPS をランキング シグナルに使用します

    (中略)
    Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。”
    (HTTPS をランキング シグナルに使用します 2014年8月7日木曜日)

    引用:HTTPS をランキング シグナルに使用します

    2014年に発表した『HTTPSをランキングシグナルに使用します』といったGoogleの声明の意味は、つまりは、各々のウェブサイトのセキュリティを強化することが、Googleの検索ランキングに有利に働きますよ、という意味を含んでいます。

    現在、インターネット上で展開されている悪質(詐欺)サイトの存在は、Googleにとっては非常にネガティブな状況です。良質な検索結果をユーザーに提供するための方法として、『HTTPS』を採用しているサイトを『良質なサイト』とする方向に、Googleは数年前から舵をきっている事は容易に頷けますね。

    そもそも『HTTPS』とは何か?

    それではここからは、そもそも『HTTPSとは何か』『常時SSLとは何か』について簡単にまとめていきます。

    これまで、非常にセキュリティに注意を払う必要のあった金融機関やショッピングサイトの決済システムなどは『常時SSL化』という対策を施していました。『常時SSL化』とは、自社のサイトの全てのウェブページを暗号化することです。

    暗号化されたプロトコルを使用したコンテンツは安全を保証されたサイトとして「HTTPS」で表示されます。
    保護されたサイトは、URLの左隣に鍵マークが付き、「https://」で始まります

    SSL化

    特にお金に関わるサービスを生業としている企業は、サイト丸ごと『SSL化』させる『常時SSL化』に積極的に取り組んできた歴史があります。もちろん、金融機関や決済システムを保有するショッピングサイトのみならず、個人情報を入力させる必要のあるお問合せフォームなどにも、このSSLは設定されていました。

    しかしながら、普通の企業のサイトであれば、お問合せフォームのみが「HTTPS:SSL化」で表示されているだけで、ウエブサイト全体がSSL化されているのは少なかったと思いませんか?つまりは、『常時SSL化』ではありませんでした。

    なぜなら、『SSL』の認証取得にはランニングコストがかかるからです。
    年間でいえば、数万円〜数十万円のコストがかかります。
    よって、あまりデリケートな情報を扱わない企業は、『SSL』の導入には消極的だったのです。よって、必要最低限のお問合せフォームのみを『SSL化』させ、サイト丸ごとの『常時SSL化』はしてきませんでした。

    ところが、前述した通り、Googleの“HTTPS をランキング シグナルに使用します 2014年8月7日木曜日”という表明から、にわかに一般の企業における『常時SSL化』に光があたりはじめました。このGoogleの発表は、お問合せフォーム等の一部のページのみならず、サイト全体を『常時SSL化』させる事が重要であることを示唆しているからです。

    そもそも『HTTPS』とは何か?

    特に問題なのが、Google Chrome 68のブラウザ警告表示

    それでは次に、直近で問題になる事柄を中心に解説していきます。それは、Google Chrome 68のブラウザ警告の問題です。

    ここまで述べてきた限りでは、さほどの切迫感は感じられなかったかもしれません。Googleが『常時SSL』を推奨している、少しはランキングに影響するかもしれない、その程度の危機感で収まっています。

    しかし、深刻なのはここからです。実は、2018年7月にリリースされる、Googleが提供するブラウザであるGoogle Chrome 68に『常時SSL化していないウェブサイトには、ブラウザ側から警告が出るようになってしまいます。具体的に言えば、HTTPS暗号化(常時SSL化)を導入していないすべてのウェブサイトに「Not secure(保護されていません)」と表示することを明らかにしたのです。

    SSL化

    もちろん、この警告が出されたからといって危険なサイトであるとは限りません。きちんとご商売をしている企業のウェブサイトは、何も問題が無いのですが、『常時SSL化』されていないという1点だけで、この警告がだされてしまいます。

    ある程度、ネット情報収集に長けている方であれば驚くことは無いでしょうが、あまりネットに詳しくないユーザーにとってみれば、『怖い。クリックしたくない』と思ってしまうかもしれません。

    今の所、Google Chrome68に限っての対応のようですが、今後、他のブラウザも追随しないとは限りませんし、なによりもGoogleの検索結果に「Not secure(保護されていません)」などと出された日にはかないません。やはり、今回のGoogle Chrome 68の警告表示にあわせて対策を必要とすることはいうまでもありません。

    常時SSL化するための対応策:認証レベルを知る

    それでは、次に『常時SSL化』に対応させるための具体策について説明していきます。ここからが最も大切な部分ですので、必ずお読みください。

    まず、貴社のサイトが『常時SSL化』されていない場合には、『常時SSL化』の対策を至急講じる必要があります。『常時SSL化』されているかいないかは、ウェブサイトのアドレスが『https://』になっているかどうかで判断できます。おそらく殆どのウェブサイトが『https://』にはなっていないはずです。これは、時代の流れですので仕方ありません。

    これから速やかに対応すれば良いので、慌てる必要はありません。『常時SSL化』するためには、まずサーバとドメイン環境について調査する必要があります。多くのサーバ会社ではSSL認証のサービスを提供しています。これには、無料のものから有料のものまで、いくつかのサービスが用意されています。これまでは、『SSL認証』にはランニングコストがかかるため、なかなか導入されないできましたが、時代は『常時SSL化』の流れになってきたのに伴い、多くのサーバ会社では『無料SSL』を提供するようになりました。

    それではここからは、無料と有料の違いについて説明します。簡単な説明になりますので、詳しくは個々にお調べいただければと思います。

    簡単に申し上げると、『SSL認証』には3段階のレベルがあります。
    それぞれの認証レベルの違いにより、証明書の呼び方が違うのです。3段階とは、

    DV:Domain Validation
    OC:Organization Validation
    EV:Extended Validation

    の3つです。

    最初の「DV 」は、ドメインの権利のみを認証したもの、次の「OV」はドメインの認証+サーバの運営組織の存在を認証したもの、最後の「EV 」は、「OV」以上により深い組織の存在を認証するものとされています。認証レベルが高ければ高いほど審査が厳しく、コストも高いということになります。ここでいう『認証』とは、一般の企業活動で言えば、会社の存在をきちんと公的に証明するようなものに似ているともいえます。誰でも参入できるインターネットの世界での、絶対的な証明であるという事が言えます。

    SSL認証

    『SSL認証』の3つの認証レベルの違いについては、インターネットでも沢山解説が載っていますので、もっと詳しくお知りになりたい方は調べてみると良いと思います。

    常時SSL化するための対応策:無料SSLについて

    このように、それぞれの認証レベルによってSSLのプランが異なる事はおわかりいただけましたでしょうか?しかし、ここで混同しないでいただきたいのは、認証のレベルは異なりますが暗号強度のレベルとは相関関係などは無いということです。あくまでも、存在の認証を審査し保証するものですので、実際のセキュリティ面の強度は強弱ありません。ご安心ください。

    それでは、具体的に『常時SSL化』するための方法に移ります。先程、サーバが提供する『SSL認証』には無料と有料のものがあると書きました。そして、無料のSSLとは、だいたい「Let’s Encrypt」というSSLを提供してくれます。Let’s Encryptとは、1990年に設立された電子フロンティア財団が発表したSSL/TLSの採用促進計画で提供が始まったものとされています。時代の流れにあうように、簡便にSSLを導入できるようになったことは、本当に喜ばしいことです。

    多くのサーバ会社では、『無料SSL』として、この「Let’s Encrypt」を提供してくれています。これを導入することをオススメしています。この「Let’s Encrypt」は、前に述べた認証のレベルでは、最も低い「DV」です。しかし、金融機関のように、より深い認証を必要とする企業でなく、個人情報などを入れるお問合せフォームなどもついていない一般の企業の場合であれば「DV」で十分であるとも言われています。

    もちろん、よりレベルの高い「OC」「EV」認証を導入したい方は有料のSSLを使用してください。年間数万円のランニングコストで導入可能です。ショッピングカートなどを導入している企業で、個人情報を取り扱うところは、無料のSSLは避けたほうが良いかもしれません。

    常時SSL化するための対応策:無料SSLについて

    常時SSL化するための対応策:コストについて

    それでは最後に、『常時SSL化』するための一連の流れについてまとめて書いておきます。

    『常時SSL化』したい方は、まずはご連絡ください。(一式 20,000円の対策費用で対策いたします。)遅かれ早かれ、ネット全体が『常時SSL化』されることは間違いありません。できるだけ早くに対策することで、優位に働きますので、できるだけ早めにご検討ください。

    特に、常時SSL化する最大のメリットは、Googleの検索結果では優位に働く(自社と同程度のサイトが競合他社で存在した場合、常時SSL化されているサイトの方が上位に表示されます)

    Google Chrome 68では、常時SSL化されているサイトは警告が表示されませんのでユーザーにとって安心です。今後、Googleの検索結果の表示にも、警告が表示される可能性もあります。事前にSSL化しておけば、そういう事態になっても慌てることはありません。世間全体がネットのセキュリティの意識が高まる一方です。いち早く常時SSL化させておくことで、他社との差別化や貴社への信頼感向上に貢献できます。

    記事に関連する提供サービス

    常時SSL化対策

    常時SSL化対策を行います。サーバ環境の検証から対応いたしますので、お気軽にお問い合わせください。(一式 20,000円)

    お問合わせ