自社のホームページ制作に、全体のページ構成やデザインももちろん大切なのですが、表立っては見えない部分、最も重要なことにホームページ(ウェブサイト)のセキュリティ対策があります。
今回はホームページを作る際に、セキュリティ対策として必ず入れておきたい「SSL」について初心者向けにわかりやすく解説します。
SSLとは?
Secure Sockets Layerの略で、インターネット上でデータを暗号化して送受信する仕組みのことを言います。クレジットカードの情報など大切な個人情報をインターネット上でやりとりする際に、そのデータを暗号化してサーバー(データを置く場所)と端末(PCやスマホ等)の通信を第三者に解読できないようにします。つまりホームページの通信にSSLを使うことで、サイトのセキュリティをぐっと向上させることができます。
SSLを導入する目的
ホームページにSSLを導入する目的は主にこの3つになります。
1.基本のセキュリティ対策
2.社会的な信用の証明に
3.検索結果を少しでも上位に―SEO対策
順に見ていきましょう。
1.基本のセキュリティ対策
インターネット上のセキュリティ?と言われてもピンとこない、という方もいらっしゃるかもしれませんね。SSLがないホームページをわかりやすく現実世界で例えると、しっかりセキュリティを施していない銀行や役所というイメージに近いです。
セキュリティのない銀行や役所に信用してお金を預けたり、個人情報を登録したりしませんよね?金庫に鍵がなかったら…戸籍情報が誰でも見れる状態になっていたら…。自分の大切な資産や情報が盗まれる危険性やリスクがとんでもなく高まります。
これと同じで誰でもアクセスできるホームページだからこそ、勝手に第三者がプログラム内部に入り込んで個人情報を盗んだリ、情報を書き換えたりできないようなセキュリティシステムが必要になります。
こんなふうに書くと、そんなに誰でもコンピューターの内部プログラムに入って、情報を見れるものなの?と思うかもしれません。もちろん万人が簡単にできる技術ではありませんが、高度な専門技術と知識を持ったハッカーと呼ばれる人たち(やその専門業者)には可能です。たまにニュースになるような「△△△会社から●万人の個人情報が流出」といった事件が起こるのも、こういった人たちが関わっていることが多いです。
2.社会的な信用の証明に
またSSLはセキュリティだけではなく、信用の証明にもなります。暗号化してデータ通信を行うことで情報を第三者から守りつつも、その情報が誰にも改ざんされていないという証明にもなるのです。なのでSSLが入っている=そのホームページは公的に信用できる、と判断されます。
3.検索結果を少しでも上位に―SEO対策
検索サイトの最大手Google社でも、ユーザー保護の観点から安全性を考慮し、SSL実装を検索結果表示の基準の一つにしています。つまり、SSLを入れているホームページと入れていないホームページでは、仮に内容が同じものであったとしても検索した時に表示される順位が違います。前者は上位に、後者は下位に。つまりSEO対策としてもSSLは重要なシステムと言えますね。
SSLが導入されているかはココで確認
見ているページがSSLを使っているかどうかは、このアドレスバーをチェック。
ここに鍵マークが入っていれば、そのページにはSSLが入っているという証拠です。さらに鍵マークをクリックすると「SSL証明書」の情報を見ることができます。
SSLを導入するにはこの「SSL証明書」というものを発行してもらわなくてはいけません。発行には電子証明書の発行が認められた「認証局」による、認定(審査)作業を通過する必要があります。
共有SSLと独自SSL
SSLには、共有SSL(Shared SSL)と独自SSL(Dedicated SSL)があります。違いはWEBサイトで使用されるSSL証明書の配信方法になります。
共有SSLとは?
サーバー会社やプロバイダーが代行で取得・所有するSSLサーバー証明書を複数の契約者で共有するサービスです。
多くの場合は無料で手軽に暗号化通信が可能になりますが、共有SSLの組み込まれたフォームになるとURLがプロバイダのものに切り替わってしまうなど、WEBサイトの利用者からは信頼性に欠ける制限があります。
メリット:
- コスト効率が高く、追加の費用がかかりません。
- 導入が比較的容易で、ホスティングプロバイダーによって設定が済んでいる場合があります。
デメリット:
- SSL証明書の所有者はホスティングプロバイダーであり、ウェブサイト所有者ではありません。
- ウェブサイト所有者のドメインではなく、サブドメインが表示されるため、ブランディングに影響する場合があります。
独自SSLとは?
世界的な資格を持った認証局が、対象のドメイン名に対して専用のSSLサーバー証明書を発行して暗号化通信を実現します。
独自SSLが組み込まれたサイトはドメイン名はオリジナルのものが使用でき、フォームへ移動してもURLは変わりません。
そのほかサイトシールの利用ができるなど、サイトの信頼性をより効果的にアピールできます。
ただし年間数千円~数万円、よりセキュリティ信頼度の高い独自SSLの場合は数十万円の費用がかかります。
メリット:
- SSL証明書の所有者はウェブサイト所有者であり、完全な制御が可能です。
- ウェブサイトのドメインが正しく表示され、ブランディングに影響しません。
デメリット:
- 追加の費用がかかります。独自SSL証明書を購入し、更新する必要があります。
- 導入には手間がかかり、設定や更新を管理する責任があります。
独自SSLの主な種類
共有SSLと比べて信頼度の高い独自SSLですが、その中にも大きく別けて3つの種類が存在します。それぞれに特徴がありますので、ホームページの目的や用途で使い分けます。
1.ドメイン認証型
ドメインの本当の持ち主であるかどうかを認証します。安価でスピード発行。
個人でも取得可能なので主に個人のウェブサイトやブログなどで利用されます。
費用(年):0~5万円程度
取得の審査:易しい
信頼度:★☆☆
アピール度:★☆☆
2.企業認証型
ドメインの持ち主であると同時にサイト運営団体の実在性を認証します。
帝国データバンクに企業情報がある法人のみが利用できます。
オンラインショップや企業のウェブサイトなどで利用されます。
費用(年):5万円~10万円程度
取得の審査:難しい
信頼度:★★☆
アピール度:★★☆
3.EV(Extended Validation)
ドメインの持ち主であると同時にサイト運営団体の実在性を最も厳格に認証します。
帝国データバンクに企業情報があることに加え、企業の活動実態なども審査の対象になります。
より高い信頼性とセキュリティを求める場合に使用されます。知名度の高いブランド・官公庁・教育機関などのサイトで利用されます。
費用(年):10万円~数十万円
取得の審査:難しい
信頼度:★★★
アピール度:★★★
主なSSLブランド
SSL証明書にはブランドがあります。ジオトラスト社が提供するクイックSSLプレミアムや、サイバートラスト社が提供するSureServer EV for SAKURAといったSSL証明書を販売しています。この「ジオトラスト」「サイバートラスト」の部分がSSL証明書のブランドと呼ばれる箇所になります。他にもデジサート(旧シマンテック)、グローバルサイン、セコム、JPRSといったブランドのSSL証明書を販売しています。
ブランドにより以下のような違いがあります。
- 認知度と信頼性: ブランドの知名度と信頼性は重要です。
- 証明書の種類と機能: ブランドが提供する証明書の種類や機能は異なります。
- サポートと顧客サービス: サポートと顧客サービスの質はブランドによって異なります。
- 価格: SSLブランドの価格は異なる場合があります。
- ブラウザの互換性: ブランドの証明書は主要なブラウザで互換性がある必要があります。
これらの要素は、ウェブサイトのセキュリティと信頼性に影響を与えます。ウェブサイトの要件と予算に基づいて、適切なSSLブランドを選択することが重要です。
SSL導入の手順
SSL証明書を導入するまでの流れを、4つのステップでご紹介します。
1.CSR(Certificate Signing Request)の作成
CSRは使用するサーバー上で作成する、SSL証明書発行のための申請書のようなもの。テキストデータを作成します。
2.オンラインで申し込み
認証局のオンライン申請サイトにある、申し込みフォームに必要事項を記載して申請します。
3.必要書類の送付
登記簿謄本や企業実印済の証明書など、認証局の審査に必要な書類を準備して送ります。※ドメイン認証型のSSL証明書には不要です。
4.SSL証明書の発行&インストール
認証局の審査が通れば証明書発行メールが届き、所定のURLから証明書をダウンロード。サーバーにインストールすれば導入完了です!
意外とやらなくてはいけないことが多いのですが、サーバー上でCSRを作成?!チンプンカンプン!となる方も多いと思います。こういった申請や設定は、社内である程度の知識のあるサイト管理者に割り振るか、管理者がいない場合は使用しているサーバー会社に相談してみてください。SSL証明書のインストールまでサービスで行っているところも多いです。SSL証明書はホームページ運営に必須といっても過言ではありません。ぜひ導入してくださいね。
