TEL受付|平日 10:00~14:00
〒564-0053 大阪府吹田市江の木町1-8 田中ビル302

IT技術動向:SSL化の必要性

WEBサイトのSSL化の必要性について|ホームページ制作会社バーブワイヤー

Googleなどインターネットをリードしている企業や、セキュリティ関連企業、ブラウザを開発元各社などがWebサイトをSSL化することを推進しています。

SSLって何でしょう

これまで、一般的なホームページのアドレスは、
「HTTP://~」
という文字列から始まっていました。
SSL化すると、
「HTTPS://~」
という文字列から始まるようになります。

例えば、
HTTP://barbwire.co.jp

HTTPS://barbwire.co.jp
というような感じです。

しかし、アドレスの先頭が変わるだけなら、やる意味は全くありません。
SSLの本質は、「盗聴や改竄(かいざん)を防ぐ」セキュリティ技術です。

何のために盗聴するのか

「秘密を盗んでお金に換える」ためです。

インターネットを利用していると、さまざまなシーンで「知られたくない情報」を入力しています。

  • ECサイトで買い物するときのカード番号、
  • インターネットバンキングでの口座情報、
  • ログインする際のパスワード、

など多岐にわたります。
そのような、パソコンとサーバーの間でやりとりされている情報を盗み、悪用することで利益を得ようとする輩がいます。

  • カードの不正使用、
  • 銀行口座からの不正な振込み、
  • サイトの改竄によるフィッシング詐欺、
  • 盗んだ情報を元にした恐喝、

などの犯罪行為が発生しています。

どこで盗聴しているのか

当たり前ですが、パソコンの横で耳をすましても、情報を抜き出せるわけではありません。
パソコンと接続している「サーバー」や「通信機器」上を、「知られたくない情報も含んだ全情報」が通過しています。
「悪意」と「技術」があれば(それらの機器がハッキングされれば)盗聴できてしまいます。

下の図では、左側の枠で囲まれたPCやスマートフォンが、ユーザーの使っている端末機器です。
インターネットは、

  • 会社内のLAN、
  • ご家庭などの無線LAN、
  • お店などの公衆LANなど、

小さなネットワークであるLAN同志を繋ぐことで接続しています。※ LAN:Local Area Network

ネットワークに接続するということは、接続経路上にある「あらゆる機器上に潜む盗聴リスクに晒される」ことになります。
下の図では、スマートフォンで利用する4G回線などによるアクセスは割愛していますが、同様のリスクが存在します。

盗聴を防ぐには

盗聴を防ぐための技術がSSLです。
「パソコン・アクセスの対象となるサーバー間」の通信情報を不正に取得しても、解読できないように暗号化処理を施すこと。
経由サーバー、公衆無線LANなどの関連機器、LAN上にある他のパソコンにおいても、その内容を解読することはできません。
不正に取得しても内容が分からないため、結果として情報漏洩を防ぐことができるのです。

下の図は「パソコンなどの端末機器とWebサーバー間」をSSL化した結果、盗聴リスクが低減した状態を表しています。
「端末機器とWebサーバー間」の通信は「情報が暗号化」されているため、盗聴者はデータの中身を知ることができません。

更に、SSLでは「サーバーの正しい所有者であることを証明する機能」も有しています。
不用意に不正サイトにアクセスし、カード番号を入力してしまう、というような事件から身を護ることも出来るのです。

自身のサイトをSSLにする必要があるのか?

サイト運営している方でも、「ハッキングによる盗聴被害」なんて、自分とは関係のない世界、と多くの方が思われているのではないでしょうか。
確かに、発生率は決して高くはありません。だからこそ、「被害に遭ってから考えれば良い」と考えてしまいがちです。

一方で、このような被害は交通事故のようなものであり、毎日のように起こっています。
いつ、どこで被害者になってしまうか、全く予測のつかないものです。
つまり、サイトをSSL化することは、予防のためのシートベルトであり、ヘルメットなんです。

以前から盗聴被害は発生しており、最近になって危険性が増したわけではありません。
近年、情報漏洩やセキュリティ事故が頻発し、より身近な脅威となったことで、改めて「SSLの必要性」が求められています。

  • 少なくとも、今日現在、サイト上に「お問合せフォーム」を設置しているのであればSSL化は必要でしょう。
  • また、ブログなどで管理者画面へのログイン機能を有するのであれば、やはりSSL化が必要です。

現在の潮流では、上記事例のように

  • 「必要な個所に絞ってSSL化する」のではなく
  • 「サイト全体をSSL化する」(トップページのアドレスもHTTPSで始まるURLにする)

のが、一般的な流れ となっています。

Googleも推奨する「サイト全体のSSL化」

その一因として、Googleが「サイト全体のSSL化」を推奨していることが挙げられます。
HTTPSとそうでないHTTPのサイトがある場合、HTTPSを、優先的にインデックスすると発表しています。
参照:https://webmaster-ja.googleblog.com/2015/12/indexing-https-pages-by-default.html

  • 今のところ、「どちらかと言えばHTTPSを優先」というレベルですが、
  • 今後、「HTTPSの優遇は拡大する」ものと思われます。

昨年(2016年)末から徐々に、Chrome、Firefox各ブラウザについても、
カード番号やパスワードを入力するページが「 HTTPでなければ警告を表示する」という対応が施されています。

お客様がECサイトにログインする際、不安を煽る警告 が表示されたらどうでしょうか?
商品を買い物かごに入れたまま、サイトから立ち去ってしまうかもしれません。

SSL化することで、全てのハッキング被害から逃れられるわけではありませんが、大きく低減させることが可能です。

読みもの

求人募集

ページ上部へ戻る