【重要】SSL(https)ってなんですか?

SSLを導入するとURLが「https」に変更されます
回答

ホームページと閲覧している人とで通信されている情報を暗号化することです。
企業ホームページにSSLを導入すると、データ通信が暗号化され、セキュリティ効果が高まるため、訪問者に安心してアクセスしてもらえるようになります。Web業界のトレンドとしても、とても重要になっております。

このページではSSLの意味や仕組み、なぜ企業ホームページへSSLの導入が求められているのか、また、独自SSL(常時SSL)と共有SSLの違いや、SSL導入のメリット・デメリットを解説します。
SSLとは? その意味と仕組み
SSLとは、訪問者のブラウザとサーバ間のデータ通信を暗号化する技術です
SSL(Secure Sockets Layer)とはインターネット上の通信を暗号化する技術です。
インターネット上のデータ通信は、第三者によって傍受・改ざんされる危険性があります。
 
ホームページへSSLを導入すると、訪問者のブラウザとサーバー間のデータ通信が暗号化されます。
 
※ブラウザ・・・Internet ExplorerやGoogle ChromeなどのWebサイトを閲覧するためのソフトのこと
※サーバー・・・ホームページのデータを保管しているコンピュータのこと

 
SSLを導入するとサイトのURLがhttpからhttpsに変更されます。追加される「s」はsecure(セキュア、「安全である」の意)の頭文字です。
secureの名詞形がsecurity(セキュリティ)になります。
SSLで通信を暗号化することで、悪意を持った第三者の盗聴を防止します
SSLの仕組み
データ通信を暗号化すると情報を傍受されても深刻な自体を回避できます
データ通信が暗号化されていれば、もし第三者が途中で情報を傍受したとしても、内容を解読することができないため、個人情報の流出や改ざんなどの深刻な事態を回避できます。
 
SSL対応でホームページのセキュリティを強化することで、訪問者が安心してアクセスできるホームページになります。
 
※現在はSSLをさらに進化させたTLS(Transport Layer Security)という技術が使用されることが多くなっていますが、SSLという言葉の方がなじみが深いため、慣例的にTLSも含めてSSLと呼ばれています。
SSLの暗号化の仕組み
SSLではデータを暗号化したり復号化(暗号化を解除)するために必要な「鍵」を用いて送受信を行います。
 
SSLでは特定のブラウザとサーバーでのみ使用できる「共通鍵」を使って暗号化するため、データの送受信途中で不正アクセス等によりデータが流出した場合も「共通鍵」で守られているため、データの悪用を防ぐことができます。
 
1.ブラウザがサーバーにSSL通信を要求すると、サーバー証明書(公開鍵含む)が送信されます。
2.受け取った公開鍵で共通鍵を作成し、暗号化したものをサーバーに送信します。
3.受け取った公開鍵で共通鍵を作成し、暗号化したものをサーバーに送信します。
4.共通鍵で暗号化したデータをブラウザとサーバー間でやり取りします。

個人情報が漏えいすると、どんな被害が発生するのか?

個人情報が漏れたときの被害 <訪問者側>
個人情報が第三者に流出してしまうと、ホームページの訪問者(お客様)にとってどんな被害が発生するのでしょうか?
スパムメール(迷惑メール)や架空請求が急増する
営業電話やダイレクトメールの数が増えていく
知らない間に自分が詐欺サイトの運営者として登録されてしまう
個人情報が漏れたときの被害 <企業側>
個人情報が第三者に流出してしまうと、ホームページ運営者(企業)にとってどんな被害が発生するのでしょうか?
企業イメージが悪化して、クレーム対応に追われることになる
情報流出の悪評が拡散され、ネット上にいつまでも残ってしまう
企業の信頼性が傷つき、顧客離れや売上げの減少を招くことも
信頼は築きあげるのは大変ですが失うときは一瞬です。

企業ホームページにSSLを導入することで、訪問者(お客様)の個人情報を守り、同時に会社のイメージ失墜のリスクを減少できます。
訪問者はホームページのSSL対応を強く望んでいます
インターネットの利用者は個人情報の流出を不安に感じている
近年、大手企業による顧客情報流出事件やフィッシング詐欺被害のニュースが頻繁に報道されています。
 
そうした背景もあって、インターネットの利用者は個人情報の流出に危機感を抱いており、Webサイトのセキュリティ向上を強く求めています。
個人情報を入力するページでは8割以上が「必ずSSLに対応するべき」と回答
出典:日本ベリサイン「インターネットセキュリティに関する意識調査」
出典:日本ベリサイン「インターネットセキュリティに関する意識調査」
そのことは日本ベリサイン(現 株式会社シマンテック)がインターネットユーザーに対しておこなったアンケートからも明らかになっています。
 
「重要な情報(銀行口座番号、ログインID、パスワード、名前やメールアドレスなど個人情報)を入力するWeb画面では「SSL(暗号化)サーバー証明書」は必要だと思いますか。最もあてはまるものをお選びください。」という質問に対して、『必ず「SSL(暗号化)対応」にするべきだ』という回答が80%を超えています。
 
お問い合わせフォームなどで個人情報を入力する際には、SSLによる暗号化がないと不安だという訪問者が圧倒的に多いのです。
SSL未対応だとお問い合わせ獲得の機会を損失する
お問い合わせや商品の注文などのコンバージョンはホームページの最終目標
Webサイトの申込フォームでは氏名や、住所、電話番号などの個人情報を訪問者に入力してもらう必要があります。
 
しかし、それらの申込フォームがSSL対応していなかったらどうでしょうか?
前述の資料のとおり、8割を超える方が個人情報を入力するページは必ずSSL対応すべきと考えています。
 
個人情報の流出を不安に思っている人は第三者に傍受されるリスクを恐れて、申込みに二の足を踏んでしまう可能性があります。
 
つまり、SSL未対応のホームページはお問い合わせや注文などのコンバージョン獲得のチャンスをみすみす逃してしまうのです。
SSL対応の有無が簡単にチェックできるようになった
ここまでお読みいただいて「でも、ホームページがSSL対応しているかどうかなんて、一般の訪問者には分からないからそこまで気にする必要はないんじゃないの?」と思われた方も多いでしょう。
 
しかし、昨今その状況は変わりつつあります。
 
すでにご説明したような、悪意を持った第三者による個人情報略取が横行している現状を踏まえ、ITサービス提供各社も対策を次々に打ち出しています。
 
特に大きいのがWebブラウザの表示です。
 
主要なWebブラウザではSSLを導入しているホームページとそうでないページを明確に見分けられるようにアドレスバーの表示方法が変更されました。
InternetExplorerではSSL保護されていると鍵マークが表示されます
InternetExplorerではSSL対応していないと鍵マークは表示されません
Google Chromeは特にSSL対応の表示に熱心
特にSSL対応の表示に熱心なブラウザがGoogle Chromeです。
Google Chromeは世界一利用率が高く、国内でもInternet Explorerと同等以上のシェアを獲得し、モバイルでは圧倒的な強さを誇っています。
 
Google ChromeではSSL対応しているページが非常にわかりやすいサインで表示されます。
Google ChromeではSSL対応していると「保護された通信」と表示されます
SSL未対応だと「i」マークが表示され、クリックすると警告が表示されます
氏名や住所などの個人情報を入力する申込フォームで、ブラウザがこのような表示をしていると送信を敬遠してしまう訪問者も当然出てくるでしょう。
ログインページでは「保護されていません」の警告メッセージを常に表示
Google Chromeでは2017年1月のバージョンアップより、ログインパスワードやクレジットカードなどの重要な情報を入力するページがSSL対応していない場合に「保護されていません」との警告マークを常に表示するようになりました。
 
さらに、将来的にはSSL対応していないすべてのページに警告マークを表示することもGoogleは予告しています。
 
SSLで保護されていない企業ホームページは、今後訪問者の信頼性を大きく損なう可能性があります。

従来はメジャーだった、共有SSLとは何か?

共有SSLのイメージ図
それでは、次にSSLの形式についてご説明します。
 
個人情報の流出を防ぐため、注文やお問い合わせなどのメールフォームがあるページのみにSSLをかけて暗号化するという手法が多くの企業ホームページで採用されていました。
 
具体的にいえば、メールフォームのページのみ、SSLを導入しているサーバー会社の領域を間借りしてそこに設置するという手法です。
 
これなら、自社専用のSSLサーバー証明書の発行契約をするわけではないので、比較的安価に訪問者の個人情報を守れます。
 
このような、サーバー会社のSSLで保護された領域を借りる形式の対応方法を、共有SSLもしくは共用SSLと呼びます。
複数の企業がサーバー会社のSSLを間借りして共有することから、この名が付きました。

近年主流になりつつある、独自SSLとは何か?

独自SSLのイメージ図
しかし、昨今はメールフォームのページのみSSL化する共有SSLではなく、そのホームページ専用のSSLを導入し、全ページを暗号化して保護する形式が主流になってきました。
 
この場合、自社のドメイン専用のSSLサーバー証明書を用意するので独自SSLと呼ばれます。
 
お問い合わせフォームだけでなくすべてのページがSSL化されているので、訪問者にとってはどのページにいても常にSSL保護の恩恵があります。
そのため常時SSLとも呼ばれます。
 
それではなぜ独自SSLが現在求められるようになったのでしょうか?
具体的にその理由を説明していきます。

独自SSLならCookie(クッキー)の盗聴を防げる

コンビニやカフェ、ホテルなど、無料Wi-Fiを提供する場所が増えてきた

現在、スマートフォンやiPadなどのタブレット端末の利用者数は著しく増加しています。
 
これらのモバイル端末やノートパソコンの利用者の利便性を図るため、無料のWi-Fiスポットを提供する場所が増えてきました。
 
空港、カフェ、コンビニ、ファーストフード店、ホテルなど現在では無料Wi-Fiを提供している場所は多岐にわたります。
 
東京オリンピックの開催や外国人観光客へのサービス向上を見据えて、無料Wi-Fiのアクセスポイントは今後も増加傾向にあります。

無料Wi-Fiはセキュリティが弱く、罠が仕掛けられている場合がある

しかし、これらの無料Wi-Fiのなかにはセキュリティがしっかりしていないものや、個人情報を盗み取るために攻撃者が罠を仕掛けているものもあります。
 
具体的には以下のような手法です。
・同じWi-Fiに接続している他のユーザーのCookie情報を盗みとるツールを使う
・店舗が提供している無料Wi-Fiに見せかけた「なりすましのアクセスポイント」を仕掛ける中間者攻撃・・・など
 
つまり、無料Wi-Fiの普及にともない、以前とくらべてCookie情報を傍受されるリスクが急激に高まっているのです。

Cookie情報を盗まれると第三者が本人になりすましてログインできてしまう

Cookie(クッキー)とはホームページの情報をWebブラウザの機能を通じて、訪問者のパソコンやスマートフォンに保存する仕組みのことです。
 
みなさんがFacebookやTwitter、Amazonなどのサービスを利用するときを思い出してみてください。
 
毎回IDやパスワードをいちいち入力しているでしょうか?
2回目以降にアクセスすると、すでにログイン状態になっていることも多いはずです。
 
これはCookieが各サービスのログイン情報を保存しているため、ID・パスワード入力の手間を省けているのです。
 
Cookieの情報が盗まれると、悪意を持った第三者がそのユーザーになりすまして各サービスにログインできてしまいます。
一度ログインさえしてしまえば、サービスによってはユーザーの名前や住所、電話番号などがアカウントに登録されているので、個人情報を盗むのは極めて簡単です。
 
ちなみに、他人のCookieを盗聴するツールはネット上で公開されており、無料で誰でもダウンロードできるのが現状なので、盗聴のリスクは相当高いといわざるをえないでしょう。

一部のページのみ保護する共有SSLでは、訪問者のCookieは守れない

確かに、注文フォームやお問い合わせフォームのみを暗号化して保護する共有SSLでも、訪問者が入力・送信した氏名や住所などの個人情報は守れます。
 
しかし、共有SSLではフォームが設置されていないページはSSLで保護されていませんから、訪問者が他のページを閲覧しているときにCookieの情報を盗聴されるリスクがあります。
 
つまり、共有SSLではSSL化していないページがセキュリティの穴となって、訪問者のCookie情報を盗まれてしまう可能性を払拭できません。

独自SSLなら全ページを暗号化するのでCookieの盗聴を防げる

独自SSLなら全ページが保護されるので、セキュリティの穴がなくなります。
 
SSLの保護下なら、Cookieも含めてデータ通信が暗号化されるので第三者に盗聴されても、情報が読み取られません。
 
独自SSLの企業ホームページへの導入で、個人情報流出や各サービスへのなりすましログインのリスクを減らし、より安心して訪問者に企業ホームページへアクセスしてもらえます。

SEO面で有利になり検索順位の優遇効果を得られる

GoogleがSSL対応でURLがhttpsになっているページを優遇すると公式発表

検索エンジン最大手のGoogleは全世界のWebサイトのSSL化を促進し、インターネットの世界をより安全にしようと考えています。
 
その一環として、WebサイトがSSL化されてURLがhttpsになっているかどうかをランキングシグナルとして採用すると発表しました。
 
参考ページ:Google ウェブマスター向け公式ブログ「HTTPS をランキング シグナルに使用します」
 
要は、URLがhttpsになっているホームページを検索順位で優遇するということです。
 
これにより、同じクオリティのページであればSSL化されているページのほうが、順位が上に来るようになりました。
 
よって、SSL化にはセキュリティだけではなくSEO(検索エンジン最適化)の面でもメリットが発生するようになったのです。

ただし、SSLのSEO効果を過大評価するのは禁物

しかし、SSL化すれば必ず検索上位を獲得できるわけではないのでご注意ください。
 
Googleが順位を決定するうえで、最も重視している要素はページのクオリティです。
もっと具体的にいえば、検索ユーザーにとって役に立つ情報が文章でしっかりと書かれているかどうかです。
 
SSL化が順位に与える影響は、ページのクオリティと比較すれば小さいものです。
 
文章が一、二行しか書かれていない情報量がスカスカのページではSSL化しても、検索順位の上昇はあまり期待できません。
 
※SEOと文章量の関係について詳しく知りたい方は以下のページをご覧ください。
 
 

独自SSLのSEO効果はページが増えるほど、影響が大きくなる

前述のように、独自SSLが検索順位に与える影響はページ内のコンテンツのクオリティに比べれば小さいです。
 
しかし、独自SSLのSEO効果の強みは全ページにその影響が及ぶ点です。
ページを増やしてホームページを充実化していくほど独自SSL化のSEO効果は総量で見ると大きくなっていきます。
 
企業ホームページの独自SSL化で下層ページの順位上昇が見込め、広義のランディングページ(入り口ページ)の増強が期待できます。
 
ページを増強し企業ホームページを順調に育てていった場合、長期的に見ればSSL化による検索エンジン経由での集客力の差は雪だるま式に大きくなっていきます。
 
※ホームページで集客するうえで、ページの増加がどれだけ重要なのかは以下のページで詳しく解説していますので、ぜひお読みください。

企業ホームページへのSSL導入のデメリットは何か?

 
SSLの導入にはいくつかのデメリットも存在します。
どれも深刻なデメリットではありませんが、きちんと納得してからSSLを導入するために具体的に確認しておきましょう。

SSLの導入や維持にはコストが発生する

導入時の費用が発生し、独自SSLの場合ランニングコストも上乗せされる

SSLを企業ホームページに導入すると、初期費用や維持コストが発生します。
 
独自SSLの場合、高価なサービスだとSSLサーバー証明書だけで年間10万円ほどかかることもあります(もちろん、サーバー自体の料金やホームページの制作費用は別途かかります)。

個人情報流出リスクの低減などのメリットもあるので、一概に高いともいえない

しかし、SSLのコストについては導入のメリットと天秤にかけて判断する必要があります。
 
前述のとおり、訪問者(お客様)の個人情報流出によるクレームの発生や企業イメージ失墜のダメージは甚大です。
 
独自SSLの導入でこのような個人情報流出のリスクを低減できます。
そのうえ、SSL導入によるSEO効果も見逃せません。さらに、より訪問者が安心してホームページを閲覧できるようになるので、お問い合わせや注文などのアクションを起こしてくれる確率の上昇も期待できるでしょう(コンバージョン率の上昇)。
 
訪問者(お客様)の安全の確保や種々のメリットを優先すべきなのか、それとも費用の節約を優先すべきなのか、比較してSSLを導入すべきかどうかをみなさんで判断してください。
 
ただし、検索エンジン最大手でトップシェアのブラウザも提供しているGoogleが独自SSLの導入を促進している以上、今後はSSLを導入しないデメリットがどんどん大きくなっていくことが予想されます。

Webサイトの表示スピードが遅くなることがある

SSLを導入するとホームページのデータをそのまま訪問者のパソコンやスマートフォンに送信するのではなく、暗号化のステップを挟むことになります。
 
暗号化の手間がかかる分、SSL導入により各ページが表示されるまでの時間が長くなることがあります。
 
しかし、現在はパソコンやスマートフォンのCPUの性能が飛躍的に向上しているため、昔に比べるとSSLによる表示速度の遅延はそこまで大きいものではありません。
 

設置されたSNSボタンのカウントがリセットされる

ホームページ上のFacebookのいいねボタンなどの数がリセットされる

企業ホームページに独自SSLを導入すると、全ページのURLがhttpからhttpsに変更されます。
 
そうすると、別サイト扱いになってしまいますので各ページに設置されたFacebookのいいね数などのSNSボタン(ソーシャルボタン)のカウントがリセットされます。
 
そのため、この点は納得したうえで独自SSLを導入しなければいけません。

ホームページを新規開設やリニューアルするなら独自SSLを導入すべき!

逆にいえば、企業ホームページを新規開設する場合やリニューアルを期にSNSでの情報発信を増やしていきたい場合は、開設やリニューアルと同時に独自SSLを導入することを強くおすすめします。
 
公開して数年経ってから「やっぱり独自SSLを入れたい!」となると、せっかく集めたSNSのカウントがリセットされてしまい、もったいないからです。

SSL導入にはWebサーバーの専門知識が必要

ここまでご説明してきた、コストやその他のデメリットはそこまで大きなものではありません。
 
しかし、SSLの導入には技術面のハードルがあります。
 
特に独自SSLの設定にはWebサーバーの専門知識が必要になるので、会社のホームページをホームページ作成ソフトなどで自作している場合には導入が困難なことが多いでしょう。
 
ホームページの担当者が辞めてしまったケースなどでは、何をすればいいのか全くわからない事態も考えられます。

SSLでは訪問者は守れるが、ホームページ自体は攻撃から守れない

SSLでは訪問者とWebサーバー間の通信を暗号化して、盗聴や傍受を防ぎます。
 
しかし、SSLで守れるのはあくまで訪問者のみであり、企業ホームページ自体が攻撃を受けたときに防御することはできません。
 
特にSQLインジェクションやクロスサイトスクリプティングなど、ホームページの脆弱性を突いた攻撃を受けてしまうと、これまでお問い合わせしてくれた訪問者のお名前や住所・電話番号などが丸ごと盗まれたり、ホームページ自体を改ざんされてフィッシングサイトへリンクされたりといった、甚大な被害が発生します。
 
訪問者だけでなく、企業ホームページ自体も攻撃から守ってセキュリティを強化するならSSLだけでなく、WAF(ウェブ・アプリケーション・ファイアウォール)との併用がお勧めです。

おりこうブログDS、CSで独自SSLを簡単に導入!

以上のように、SSLの導入には専門知識が必要なのですが、弊社の企業向けホームページ作成ソフト・おりこうブログDS、CSでは有償オプションとしてSSLの導入プランをご用意しております。

おりこうブログDSでホームページを開設・リニューアルしていただければ、SSLサーバー証明書発行の手続きやサーバーへの設定を代行します。
※おりこうブログBBを含む、旧バージョンでは対応しておりません。

プランについて

SSL導入について、お客様ごとの契約状況確認が必要になりますので、以下のカスタマーセンターにご連絡いただくか、「相談、申込みフォームより」お問合わせください。お客様の状況確認の上、「お客様№1パートナーになるため」にも最適なプランをご案内させて頂きます。
 

相談、申込みフォームについて

まずは、お気軽にご相談ください!

ディーエスブランド カスタマーセンター
電話でのお問い合わせ
050-3816-0075
(受付時間:平日9時~18時)
お電話の際は、「サポートサイトを見て」とお伝えください。
 
メールでのお問い合わせ
▼以下にご記載の上送信していただきますと、カスタマーセンターよりご連絡させていただきます。
▼3営業日を過ぎても担当より連絡がない場合は、大変お手数ではございますがお電話いただけますようお願い致します。
会社名 ※必須
株式会社ディーエスブランド
ご担当者名
※山田太郎
都道府県
メールアドレス ※必須


ご相談、質問内容 ※必須
※「確認画面へ」ボタンを押して入力内容を確認してください。