Webサイトにはさまざまなセキュリティリスクがあるため、対策が大切です。
しっかりとセキュリティ対策を施しておかないとサイバー攻撃を受けて、情報漏えいなどのリスクがあります。
機密情報が流出すれば、会社として大きな損害を受けて、社会的信用も失うでしょう。
情報漏えいなどへの対策として効果的な方法の1つがサイト暗号化です。
サイト暗号化により、さまざまなリスクを未然に防ぐことができます。
本記事ではサイト暗号化をするメリット・デメリットや暗号化の仕組み・流れまで詳しく解説します。
暗号化を検討していて、知識を深めたいと考えている方は参考にしてください。
2014年 大学在学中にソフトウェア開発企業を設立
2016年 新卒でリクルートに入社 SUUMOの開発担当
2017年 開発会社Jiteraを設立
開発AIエージェント「JITERA」を開発
2024年 「Forbes 30 Under 30 Asia 2024」に選出
サイト暗号化とは?
「SSL化」とはWebサイトの暗号化を指します。
インターネット通信を暗号化することで、情報漏えいなどを防ぐ仕組みです。
ただし、SSLには複数の種類があり、仕組みを理解した上で最適なものを選ばなければいけません。
以下では、SSLとは何か、仕組みから種類まで詳しく紹介します。
サイト暗号化:SSL(Secure Sockets Layer)とは
SSL(Secure Sockets Layer)はインターネット通信の暗号化に関するプロトコルを指します。
データ通信が暗号化されることで第三者から傍受・改ざんされる可能性を減らせるのがメリットです。
SSLを取り入れることは、SSL化や常時SSL化、HTTPS化などと呼びます。
SSL化すると、URLが「https://」で始まるようになるのが特徴です。
URSに追加されるSは「secure(安全である)」の頭文字を指します。
また、ブラウザのアドレスバーに鍵マークが表示されることでもSSL化の確認は可能です。
現在は、SSLをさらに発展させて安全性を高めたTLS(Transport Layer Security)という規格が主流になっています。
しかし、日本ではTLSも含めて慣例的にSSLと呼ぶことが多いです。
サイト暗号化(SSL化)の仕組み
サイト暗号化を実現するには、以下の2つの機能を理解することが大切です。
- 暗号化
- 2種類の電子証明書
暗号化に対応するサイトと非対応のサイトではセキュリティ面においてさまざまな違いがあります。
また、電子証明書の役割も重要です。
以下では暗号化の仕組みや電子証明書について詳しく紹介します。
暗号化
SSL化に対応するサイトでは、通信がすべて暗号化され、第三者からの解読を防ぎます。
そのため、SSL化されたサイトは情報漏えいのリスクが低いです。
一方、SSLに非対応のサイトを利用すると、ユーザーとサイトがやり取りするデータは暗号化されません。
データが第三者にデータを盗み見られたり、改ざんされたりするリスクがあります。
SSLに非対応のサイトへ個人情報を送信すると、第三者に解読されて個人情報が漏えいする可能性があり危険です。
個人情報が流出した結果として、詐欺などの被害を受ける可能性があります。
サイト暗号化に非対応では、危険性がとても高いです。
2種類の電子証明書
サイト暗号化は、2種類の電子証明書を用いてなりすましを防止できる仕組みです。
SSL化の証明書は以下の2種類があります。
- SSLサーバー証明書
- クライアント証明書
SSLサーバー証明書はサーバーに設置されていて、Webサイトの所有者の存在を客観的に証明するのが役割です。
ユーザーが証明書を受け取り、サイト所有者の実在を確認できます。
証明書が信用できない場合は、ブラウザ上に警告が表示される仕組みです。
クライアント証明書は、クライアントがサーバーへアクセスする際に利用者が本人であることを証明します。
クライアント証明書を持つ者のみにアクセス権限を与える設定が可能です。
上記2つの証明書によりなりすましを防止できます。
サイト暗号化(SSL化)の種類
サイト暗号化(SSL化)を実現するにはSSLサーバー証明書を用意しなければいけません。
証明書は認証局へ申込みをすれば取得できます。
認証局とは電子認証発行期間のことで、略称はCA(Certificate Authority)です。
証明書は審査の際にチェックする内容に応じて種類が分けられ、それぞれ認証レベルが異なります。
以下にSSLサーバー証明書の3つの種類の特徴をまとめました。
| 種類 | 認証レベル | 認証項目 | 特徴 |
| ドメイン型認証 | ★☆☆ |
|
|
| 企業認証型 | ★★☆ |
|
|
| EV認証型 | ★★★ |
|
|
ドメイン認証型
ドメイン型認証は最も取得しやすい証明書です。
発行のための価格は安価であり、個人でも申請できます。
申請者がドメイン管理者であることを確認した上で発行される証明書です。
ドメイン認証型では一般的にドメイン申請者が誰なのか検証を行いません。
ドメイン認証型は一般的には申請をすると自動で発行される仕組みです。
誰でも簡単に取得できるため信頼度は低く、フィッシング詐欺に利用された事例もあります。
企業が利用する場合は、ドメイン型認証はおすすめしません。
関係者だけが利用する内部ネットワークで暗号化通信をしたい場合に向いています。
企業認証型
企業認証型は申請者がドメイン管理者であり、なおかつ申請組織が法的に実在することを確認します。
ドメイン型認証とは異なり、人が検証を行い、申請者の実在性を認証するのが特徴です。
企業認証型では証明書の中に企業情報が含まれ、信頼度が高くなります。
証明書に含まれる組織名を偽装することは不可能です。
そのため、ユーザーは企業認証型の証明書を確認できれば、サイトの運営者を確認できます。
審査では認証局が第三者データベースへ情報照会を行うことで、申請組織が法的に実在するか確認します。
コーポレートサイトやSNS・会員制サイトなどを運営する場合は、企業認証型がおすすめです。
EV認証型
EV認証型は企業認証型の確認項目に加えて、申請組織の物理的な実在まで確認します。
審査の過程が複雑になり、人手がかかることから、費用が高額です。
審査では組織の活動実績も含めて確認されます。
設立したばかりの会社では取得が難しいでしょう。
EV認証型が適しているのは、オンラインショップやネット銀行・ネット証券などです。
決済情報などで個人情報をやり取りする場合は、EV認証型の取得を推奨します。
会社としてセキュリティ対策に力を入れていることをアピールしたい場合におすすめです。
サイト暗号化(SSL化)のメリット・デメリットは?
サイト暗号化によって、Webサイトのセキュリティ性を高められて、信頼されやすくなります。
ただし、代行業者への支払いや更新などで費用がかかる点はデメリットです。
定期的に更新する必要があり、維持するためのコストが発生します。
メリットばかりではなくデメリットがある点をよく理解しておきましょう。
サイト暗号化(SSL化)のメリット・デメリットについて、以下で詳しく紹介します。
サイト暗号化(SSL化)のメリット
サイト暗号化(SSL化)をするメリットは以下の通りです。
SSL化されたサイトは信頼されやすく、アクセス数の増加を期待できます。
セキュリティが強化されており、トラブルの可能性が少ないからです。
また、SSL化はGoogleのランキング評価にも好影響を与えます。
アクセス解析の精度向上にもSSL化は役立つでしょう。
以下では、サイト暗号化のメリットを詳しく紹介します。
セキュリティ強化でアクセス数の増加が期待
自社サイトを暗号化すれば、セキュリティが強化され、アクセス数の増加を期待できます。
多くのユーザーがセキュリティを重視しているからです。
毎年、情報漏えいやデータの改ざんなどの被害が多数発生しています。
情報漏えいなどの報道は頻繁に行われており、多くの方が不安を抱える社会問題です。
このような時代の中で、情報漏えいへの対策は多くの方が望んでいます。
サイト暗号化をアピールすれば、好意的に評価されるでしょう。
ユーザーは情報漏えいなどのリスクを恐れずにWebサイトへアクセスしてくれます。
アクセス数を改善する施策の1つとして効果的です。
Googleのランキング評価に影響
サイト暗号化はGoogleに評価されて、ランキングを上げることに繋がります。
Googleのランキング評価の1つにサイト暗号化が含まれるからです。
GoogleはSSL化を推奨していて、HTTPSをランキングシグナルとして使っています。
SSLのないサイトは危険性があり、Googleから評価されなくなる可能性が高いです。
SSL化でGoogleの検索順位が大きく上がるわけではありません。
HTTPSはあくまでもユーザーエクスペリエンスを生み出す1つの要素だからです。
ただし、Googleの方針として今後はHTTPSの実現を評価する傾向を強化していくと発表しています。
そのため、早めに対策を進めておくことが重要です。
アクセス解析の精度向上
サイト暗号化するとアクセス解析の精度が向上します。
SSL化によりリファラー情報を受け取れるからです。
リファラー情報からは、訪問したユーザーがどのような経路を辿ってアクセスしてきたかがわかります。
ユーザーが1つ前に訪れていたサイトがわかるため、ユーザーの行動やニーズを把握する上でリファラー情報は重要です。
しかし、SSL化に非対応のサイトはリファラー情報を受け取れません。
通信が暗号化されないサイトにはユーザーに関する情報を与えないからです。
リファラー情報を受け取れれば、マーケティングに役立てられます。
たとえば、流入の多い経路により多くの予算を投じ、逆に流入の少ない経路の予算を減らすなどマーケティング施策を考えるのに役立つでしょう。
サイト暗号化(SSL化)のデメリット
サイト暗号化(SSL化)はメリットばかりではなくデメリットもあります。
代行業者を利用すると、依頼費用が発生し負担がかかります。
更新時に更新費用がかかる点もデメリットです。
また、SSL化したのにGoogle Chromeで認識されないケースがあります。
SSL証明書の期限が切れたことでサイトが表示されなくなるケースにも注意しましょう。
以下ではサイト暗号化のデメリットを詳しくみていきます。
代行業者にSSL化依頼費用や更新費用
SSL化には、証明書の取得費用がかかります。
取得費用はドメイン型が一番安く、EV認証型はかなり高額になるのが特徴です。
また、認証局によっても金額には違いがあります。
証明書の取得にかかる費用の目安を以下にまとめました。
| 認証局 | 金額 |
| KingSSL | 900円~ |
| ジオトラスト | 31,300円~ |
| GlobalSign (GMO) | 59,800円~ |
| シマンテック | 81,000円~ |
ただし、無料でSSL証明書を取得できるサービスとして、AWSやさくらサーバがあります。
費用をできる限り節約したい場合は上記のサービスに注目してみましょう。
また、実際に証明書を導入する際の手続きは代行業者に依頼するケースが多いです。
代行業者に依頼する場合は代行手数料が発生します。
有効期限が切れた場合は、更新手数料を支払わなければいけません。
維持費用としてどの程度のコスト負担が生じるかに注意しましょう。
Google Chromeで「保護されていない通信」と表示される
SSL化したにもかかわらず、Google Chrome上では「保護されていない通信」と表示されるケースがあります。
Google Chromeはトップシェアを誇るブラウザのため、自社サイトにアクセスしたユーザーに警告が表示されるのは大きな問題です。
Webページ内にSSL化されていない要素があると、Google Chromeは警告を表示します。
SSL化を進める際には、Webページ内のすべての要素をSSL化しなければいけません。
Webページはさまざまな要素によって構成されています。
たとえば、一部の画像のURLがSSL化されていなければ、ブラウザに認識されないため注意しましょう。
「保護されていない通信」と表示される原因をすべて取り除く必要があります。
また、TLSのバージョンが最新ではなく、ブラウザからSSL化が認識されないことがあるため気をつけましょう。
SSL証明書の期限切れでサイトが表示されなくなる
SSLサーバー証明書には有効期限が存在しており、期限切れでサイトが表示されなくなる可能性があります。
期限切れの証明書をWebブラウザが認識して、アクセスを制限するからです。
証明書の有効期限は、2024年3月現在で最大397日となっています。
Googleはこれから有効期限を90日に短縮する方針を発表している点にも注意しましょう。
有効期限が短縮される傾向にあるのは、期限が短い証明書ほど信頼性が上がるからです。
証明書の取得でサービスを選ぶ際には、自動更新できるかどうか確認しましょう。
更新漏れが起きると、サイトが正常に表示されなくなり、ビジネスへの影響が大きいです。
既存のサイトのSSL対応はアドレスが変わる
SSL化するとWebサイトのアドレスはhttpからhttpsへ変更されます。
既存サイトをSSL化する場合は、アドレスが変わることにより影響が生じるケースに注意しましょう。
httpからhttpsに変更すれば、Googleからは別のアドレスとして認識されます。
これまで訪れたユーザーや検索エンジンに新しいWebサイトへと誘導するためにリダイレクトの設定が必要です。
自動的に新しいWebサイトへ誘導する仕組みがリダイレクトであり、しっかりと設定しておくことでアドレス変更の影響を抑えられます。
ただし、名刺やパンフレットなどにURLを記載している場合は、すべて新しいアドレスに変更しなければいけません。
リダイレクトの設定に加えて、名刺やパンフレットなど印刷物の内容変更が必要で、手間と費用がかかる点は負担になるでしょう。
アドレス変更への対応でどの程度のコストがかかるか見積もることが大切です。
サイト暗号化(SSL)発行・暗号化の手順
SSLサーバー証明書を取得して実装するまでの手順は以下の通りです。
- 秘密鍵の作成
- CSRの生成
- 認証局への申込み
- 承認メールの受取・SSL証明書の発行
- 秘密鍵とSSL証明書の設定
まずは秘密鍵の作成をします。
そして、秘密鍵をもとにしてCSRの生成をします。
現在は、CSRとしてSHA-1ではなくSHA-2(SHA-256)が主流です。
SHA-2はSHA-1を改良したもので、末尾の数字はハッシュ値のビット長を示します。
SHA-2には4種類あり、最も安全なものはSHA-512ですが、現在ではSHA-256が主流です。
生成したCSRは申請画面に貼り付けし、送信しましょう。
認証局から承認メールが届くため、承認を行うとSSL証明書の発行が可能です。
秘密鍵とSSL証明書を設定しサーバーを再起動すれば、SSL化は完了します。
サイト暗号化(SSL)の証明書発行サイト
サイト暗号化(SSL)のために認証局を利用しましょう。
認証局を運営するサイトの中でも特におすすめするのが以下の3つのサイトです。
- DigiCert
- GlobalSign
- SECOM
DigiCertはアメリカの企業で、GlobalSignとSECOMは日本の企業が運営するサイトです。
それぞれのサイトの特徴について詳しく紹介します。
DigiCert
DigiCertはアメリカの企業で、主に企業認証型とEV型の証明書を扱っています。
2017年にDigiCertはシマンテックを買収したことで、証明書事業において世界最大手になりました。
DigiCertを利用している企業には、Facebookやウィキペディア、任天堂、トヨタ自動車などがあります。
世界的な大企業がDigiCertを利用しており、信頼できるサービスです。
DigiCertでは1年単位で最大3年間のサービスを提供する複数年プランを用意しています。
契約期間内であれば、自由に有効期間を調整でき、何度でも無料で証明書の再発行が可能です。
すべての証明書にはマルウェアスキャンが組み込まれており、セキュリティ性能に優れています。
日本語によるサポートを実施しており、日本から安心して利用できるサービスです。
GlobalSign
GlobalSignは証明書の発行で国内シェアがトップです。
GlobalSignはカスタマーサポートが充実しており、初めてのSSL化でも安心できます。
メールや電話によって、GlobalSignのスタッフがしっかりとサポートしてくれるのが特徴です。
GlobalSignはサービス保証が充実しているのもメリットで、「7日間完全返金保証」「最大3750万円の範囲での賠償責任」のサービス保証を受けられます。
GlobalSignには豊富なプランが用意されており、それぞれの目的に合わせて最適な料金プランを選べるのがメリットです。
これまでにGlobalSignは販売実勢が1,670万枚、導入企業数が5,200社、取引ユーザー数24万社の実績があります。
株式会社資生堂やジップインフォブリッジ株式会社、日鉄ソリューションズ株式会社など有名企業の導入実績は豊富です。
SECOM
SECOMは国内では唯一となるルート認証局です。
国際基準を厳格に守っており、信頼されています。
セコムトラストシステム株式会社により日本国内のみで運用されていて、顧客情報は自社のデータセンターで管理しており、純国産のサービスです。
EV証明書として「セコムパスポート for Web EV2.0」を提供しており、「WebTrust for EV」に準拠しています。
WebTrustは米国公認会計士協会(AICPA)とカナダ勅許会計士協会(CICA)が共同開発した電子商取引認証局監査プログラムです。
SECOMは「WebTrust for EV」を取得しており、国際的な基準を満たした品質のサービスを提供しています。
「セコムWebステッカー」が実在証明をしており、ユーザーに対して大きなアピールになるでしょう。
SECOMは料金プランは複数用意されていて、まとめ割りや月額プランから選べるのが特徴です。
SECOMは専用窓口を用意しており、いつでもプロによるサポートを受けられます。
無償で利用できるテスト証明書の提供も行っているため、事前に動作確認が可能です。
サイト暗号化のまとめ
Webサイトは通信を暗号化することでセキュリティ性を高めることができます。
現在ではWebサイトのSSL化は当たり前のことになっており、SSL化していないとデメリットが大きいです。
SSL化することでGoogleの検索順位が上がり、ユーザーから信頼されてアクセス数の向上に繋がります。
SSL化する際には信頼度の高い企業認証型やEV認証方を選びましょう。
代行業者に依頼することでスムーズにSSL可を進めることができます。
ただし、SSL化にはさまざまな代行業者があり、料金プランの違いも大きいため、どこに依頼するべきか迷う方は多いでしょう。
SSL化に関する疑問点は専門家に相談して解決することをおすすめします。
サイト暗号化(SSL化)に関する質問や案件のご相談などがある場合は、実績豊富な株式会社Jiteraに一度ご相談ください。貴社の要件に対する的確なアドバイスが提供されると期待できます。
メールマガジン登録
