サイト制作・WEBコンサルティング

SSLとは?目的や重要性をセキュリティ対策の観点も踏まえてわかりやすく解説

SSLとは?目的や重要性をセキュリティ対策の観点も踏まえてわかりやすく解説

Webサイトのセキュリティ対策のひとつに「SSL」があります。自社や店舗のホームページやWebサイトをすでに持っている方の中で、SSLという言葉を見聞きしたことはあるものの、「SSLの必要性が分からず導入していない」という方も多いかもしれません。SSLを導入していないWebサイトやホームページはセキュリティ上のリスクが高く、非常に危険です。

今回の記事では、SSLの種類や目的、重要性、SSLを導入していないと起きるリスクについて解説します。

SSLとは?

SSLとは?

SSLとは”Secure Sockets Layer(セキュア・ソケット・レイヤー)”の略で、インターネット上の安全を守るための技術(プロトコル)のひとつです。SSLのくわしい仕組みや種類、TLSとの違いについて解説します。

SSLの仕組み

インターネット上でやり取りされる情報を暗号化し、送受信するのがSSLの仕組みです。WebサーバーとWebサイトを通じてやり取りされるデータや情報を暗号化することで、外部から情報を盗み取られるのを防ぐために用いられています。

たとえばECサイトで商品を購入したときには、住所や氏名、電話番号などの個人情報やクレジットカード番号の入力が求められます。SSLを導入しているECサイトの場合は、入力された個人情報やクレジットカード番号はSSLによって暗号化された上でECサイトのWebサーバーへ送られます。

SSLを導入しているWebサイトのアドレスは、https://~ではじまるのが特徴です。情報やデータのやり取りが行われ、SSLに接続されている場合は、アドレスの横に錠のマークが表示されたり、アドレスバーの文字が緑色に変わったりします。

SSLはECサイトやネットバンキングなど重要な情報のやり取りをするWebサイトで情報の盗み取りを防ぐだけでなく、電子証明書によって通信相手の本人性を証明し、なりすましを防止する役割も果たしています。

SSLの種類

SSLを導入すると、「SSLサーバー証明書」が発行されます。SSLサーバー証明書の種類によって、SSLは「独自SSL」と「共有SSL」の2種類に分けられます。

独自SSLとは、独自ドメインに対して設定するSSLサーバー証明書です。対象となる独自ドメインごとにSSLサーバー証明書が発行されます。共有SSLとは、サーバー取得会社が取得したSSLサーバー証明書を複数のユーザーで共有し、利用するSSLです。独自SSLよりも安価でSSLが導入できる一方、独自ドメインでは使用できません。

さらに独自SSLは、SSLサーバー証明書で認証した範囲や内容に応じて以下の3種類に分けられます。

  • ドメイン認証SSL(DV)
  • 企業認証SSL(OV)
  • EV SSL

ドメイン認証SSL

ドメイン認証SSLは、「独自ドメインの持ち主である」ことが認証されたSSLです。3種類のSSLの中でももっとも安価で導入でき、法人だけでなく個人でも利用できます。取得すると、アドレスバーに錠マークが表示されるようになります。

企業認証SSL

企業認証SSLは、「独自ドメインの持ち主である」ことと「サイトの運営団体が実在している」ことが認証されたSSLです。帝国データバンクに企業情報がある法人、または取得時登記簿謄本を提示した法人のみが利用できます。ドメイン認証SSLと同じく、取得するとアドレスバーに錠マークが表示されるようになります。

EV SSL

EV SSLとは「独自ドメインの持ち主である」ことと、企業認証SSLよりも厳格に「サイトの運営団体が実在している」ことを認証したSSLです。そのため、帝国データバンクに企業情報があることに加えて、企業や団体の活動実績などが審査されたうえで発行されます。取得するとアドレスバーに錠マークが表示されるだけでなく、アドレスバーの文字が緑色になるのが特徴です。官公庁や教育機関などの重要性の高いWebサイトや、知名度の高い企業やブランドのサイトなどに利用されています。

TLSとの違い

SSLと似た言葉に「TLS」があります。TLSは”Transport Layer Security(トランスポート・レイヤー・セキュリティ)”の略で、SSLと同じくインターネット上でデータを暗号化して送受信する仕組みです。TLSはNetscape社のNetscape NavigatorとMicrosoft社のInternet ExplorerがWebブラウザのシェア争いをしている過程で生まれた、SSLの次世代規格を指します。

SSLはもともとNetscape社が開発した技術でした。複数のWebブラウザが混在する中でSSLの安全性を担保するために、SSLをNetscape社からセキュリティ専門家を交えた第三者機関であるIETFへ移管し、開発されることとなります。

IETFでリリースされた最初のSSLが「TLS1.0」です。さらにSSLでセキュリティ上の脆弱性が見つかったことも受けて、実質的にSSLはTLSに移行されました。

現在「SSL」と呼ばれ使用されているセキュリティ技術は、厳密に言えば「TLS(1.2以降のバージョン)」に当たります。ただし、SSLという名称が一般化されていることから、「SSL/TLS」と表記されることも多いです。

SSLの目的

SSLの目的

SSLはインターネット上でやり取りするデータや情報を暗号化することで、セキュリティリスクを防ぐ役割を担っています。具体的なSSLの目的を解説します。

通信の暗号化による改竄・なりすましの防止

SSLによってインターネット上でやり取りするデータや情報を暗号化することで、改竄(かいざん)を防げます。暗号化されずにデータや情報をインターネット上で送受信すると、悪意のある第三者からデータや情報の内容を書き換えられてしまう可能性があるのです。たとえば「商品の配送先住所を書き換える」「取引する金額を書き換える」といったことで、莫大な被害や損失が出ることもあるでしょう。

SSLによってデータや情報が暗号化されれば、第三者が盗み見ることもできなくなります。そのため、他人のIDやパスワードを使う「なりすまし」も防げます。SSLによる暗号化は、データや情報の悪用を防止します。

個人情報の漏洩を防ぐ

SSLは、個人情報の漏洩を防ぐ役割も果たします。住所、電話番号、クレジットカード番号などの機密情報は、SSLによって暗号化されているため第三者は内容を読み取れません。万が一情報やデータを盗み見されてしまったとしても、内容を解読できないためデータや情報を悪用されずにすみます。

SSLの重要性

SSLの重要性

SSLはセキュリティ上重要な役割を果たすとともに、導入することでさまざまなメリットも得られます。SSL導入の重要性について解説します。

なぜSSL化が必要なのか

インターネット上でやり取りされる情報やデータは、対策をしなければ第三者が盗み見たり、改竄したりすることが可能です。かつてインターネットは研究機関や教育機関のみでしか使用されず、さらにインターネットを使用する人はすべて善人であるという「性善説」の上で成り立っていました。そのためインターネット上での情報やデータへのセキュリティ対策はされていませんでした。

ホームページのセキュリティ対策についてはこちらの記事で詳しく解説しています。

ホームページのセキュリティ対策の重要性を昨今の情勢を踏まえて解説します

現在は不特定多数の人がインターネットにアクセスできる時代となりました。悪意のある第三者からデータや情報を守るためのセキュリティ対策が求められています。SSLはセキュリティ上でのリスクを防ぐためにも、導入が求められていると言えるでしょう。

ホームページをSSL化をするメリット

WebサイトやホームページにSSLを導入することで、データや情報を守り、盗み見や改竄、なりすましによる被害を防げます。Webサイトやホームページのセキュリティが向上するのはもちろん、SSL化によって以下のようなメリットも得られます。

  • 検索順位が上がる
  • アクセスデータの分析に役立つ
  • サイトの信頼性が上がる
  • 閲覧者に安心感を与える

検索エンジンのGoogleでは、検索順位を決める要素のひとつにSSLを挙げています。SSL化された「https://~」のアドレスを持つWebサイトは、Googleから「閲覧者が安心して閲覧できる優良なサイト」と判断され、検索結果に優先的にインデックスされます。SSL化することで、SEO対策にも有効です。

参考:ランキング シグナルとしての HTTPS

Googleの検索結果からSSL化されたWebサイトへ移行すると、「Googleの検索から来たユーザー」というアクセスログが残ります。アクセスログは、Webサイトやホームページの分析にも役立つでしょう。

SSL化されたWebサイトは、SSLサーバー証明書が発行されます。SSLサーバー証明書の発行は、前述通りドメインの持ち主や運営元の実在性、活動実態などを元にした審査が必要です。SSL化されたWebサイトやホームページは、実態や活動実績のある企業や団体が運営している証明にもなるため、サイトの閲覧者へ信頼感や安心感を与えられるでしょう。

SSL化をしないことによるリスク

SSL化をしないことによるリスク

「サイバー攻撃を受けるのは大手企業だけだろう」「SSL化する必要性が感じられず、手間もかかるのでしていない」といった企業や店舗も多いかもしれません。実はSSL化をしないことで予想外のリスクを受ける可能性があります。SSL化をしないことで発生する可能性のあるリスクについて解説します。

セキュリティ上のリスクが発生する

SSL化しないことで、個人情報の漏洩やデータの改竄、なりすましといったセキュリティ上のリスクが発生します。不特定多数の人がインターネットを利用できるようになったことを受け、サイバー攻撃や犯罪の手法も多様化しています。ターゲットとなるのも大企業だけではありません。企業や店舗の規模や事業の内容に問わず、個人情報やクレジットカード番号などの機密情報をインターネット上でやり取りする機会を持っているのなら、セキュリティ上でのリスクを防ぐためにSSL化は必須と言えるでしょう。

SEOの面で不利になる可能性がある

SSL化がGoogleの検索順位の評価基準の要素のひとつであることは先ほど説明しました。SSL化するとSEOの面で良い影響がありますが、SSL化をしていないとSEOの面で不利となる可能性があります。

Googleは今後サイトのSSL化を検索順位の評価基準としての重要度を上げると発表しています。WebサイトやホームページをSSL化しないままでいると、検索結果に上位表示されなくなり、Webサイトやページへの集客が望めなくなる可能性も高いです。

ユーザーの信頼感を失い離脱の原因となる

「保護されていない通信」の表示例

WebサイトやホームページをSSL化していないことで、ユーザーが離脱してしまう原因となっていることがあります。Googleが提供しているWebブラウザのGoogle ChromeでSSL化されていないWebサイトへアクセスしようとすると、「このサイトは安全に接続できません」という警告が表示されます。※Microsoft EdgeやSafari、Firefoxといった主要なWebブラウザでも同様に警告が表示されます。

さらに、SSL化されていないWebサイトやページにアクセスすると、アドレスバーに「保護されていない通信」の文字とともに、錠マークの代わりに「!」の警告マークが表示されます。

警告マークをクリックすると「このサイトへの接続は保護されていません」の文章とともに、クレジットカードなどの機密情報を入力しないようユーザーに促す警告文が表示されます。SSL化していないWebサイトへアクセスした多くのユーザーは不安を感じ、Webサイトのウィンドウを閉じたり、ほかのサイトへ移動してしまったりするでしょう。

SSL化しないことでSEOの面で不利になるのはもちろん、Webサイトやホームページにアクセスしたユーザーに不安感を与えてしまいます。自社や店舗のWebサイトやホームページからユーザーの足が遠のいてしまうことで、集客や売上向上といったWebサイトやホームページの役割を果たせません。SSL化しないことで、ユーザーの信頼や利益にも悪影響を与えてしまうリスクもあるのです。

SSLを導入する方法

SSLを導入する方法

SSL化をしないことでセキュリティ上のリスクが発生するのはもちろん、ユーザーからの信頼感を失う、集客や利益が得られなくなる、といったリスクが発生することが分かりました。インターネット上で重要な情報をやり取りする機会がある場合、SSL化は必須であると言えるでしょう。

SSL化をするためにはSSLサーバー証明書の発行にともなう手続きが必要です。これからSSLを導入するためのふたつの方法を解説します。

レンタルサーバーなどのオプションサービスを利用する

Webサイトやホームページ運用にあたってエックスサーバー、ConoHa WING、さくらのレンタルサーバーなどのレンタルサーバーを利用している場合、SSL証明書の導入のオプションサービスが提供されている場合があります。

たとえばさくらのレンタルサーバーでは、独自SSL、共有SSL両方のSSLサーバー証明書導入に対応しています。独自ドメインを使っている場合には独自SSLを、レンタルサーバーのドメインやサブドメインを使っている場合には共有SSLを設定することになります。

レンタルサーバーのオプションサービスでSSLを導入する場合、公開鍵の情報、組織名、所在地等の情報が含まれる「CSR」の作成や、希望するSSL証明書の発行手続き、支払いを行い、SSLサーバー証明書の発行申請を行う、またはレンタルサーバー運営会社側にSSL証明書の発行手続きを代行してもらいます。

信頼できる制作会社の保守サービスを利用

レンタルサーバーのオプションサービスを利用してSSLを導入する場合、CSRの作成や証明書の発行申請などの手続きが必要です。さらに、発行されたSSLサーバー証明書をWebサイトやホームページに設定し、SSL化する作業も求められます。

「SSL化のための専門的な知識がない」「SSL化の手続きや作業が面倒」と感じているときには、制作会社にSSL化を依頼することもできます。信頼できる制作会社にすべて任せることで、専門的な知識や手間は不要でWebサイトやホームページのSSL化が実現します。

まとめ

SSLの目的や重要性、導入方法について解説しました。不特定多数の人が閲覧するWebサイトやホームページへは、セキュリティ対策が必須となります。SSL化をすることで機密情報の流出やデータの悪用などのリスクを防げるだけでなく、SEOにも良い影響がある、ユーザーに安心感を与えられるなどのメリットも得られるでしょう。

SSLの導入にお困りの際には、ぜひ「チームNext!」を運営するオニオン新聞社へご相談ください。チームNext!ではSSL化をはじめとしたホームページの保守サービスをご提供しています。スムーズなSSL化はもちろん、ホームページのセキュリティに関するお困りごと、お悩みすべてお任せください。以下に掲載のあるお問い合わせボタンよりお気軽にご相談ください。

■おすすめの関連記事

お電話でのご相談はこちら(平日9時~18時)