Our service

SSL化対応

SSL(Secure Sockets Layer)はウェブサイトにおけるデータ通信を、複数のセキュリティ技術を用いて暗号化する仕組みです。近年、通信の急速な発展により、多くのユーザーがインターネットを利用することができるようになりました。スマートフォンの普及も手助けし、「誰でも」・「どこでも」・「何でも」できる時代となってきました。便利になった反面、個人情報の流出といった情報漏洩に関するニュースも増えてきております。SSLは悪意ある第三者からの改ざん、ウェブサイトのなりすましといった脅威に対して、情報資産を守るために有効な対策となります。

クーシーは各案件にて、ウェブサイトのSSL化は必要に応じて対応しております。今回はweb制作という視点からSSL化とは何か、webにおけるSSL化の必要性という部分をメインに解説させていただきたきます。

SSL化とは

ウェブサイトのURLにはhttpと「s」がついているhttpsの2種類が存在します。これらは通信プロトコルの名前で、どちらも、インターネット上でデータを送受信する際に使用します。

HTTP(Hypertext Transfer Protocol)はHTMLなどのコンテンツの送受信に使用される通信プロトコルとなります。HTTP通信は暗号化されておらず、悪意のある第三者に情報を覗き見られる危険性があります。

「s」が付くHTTPSはHTTP over SSL/TLSの略でHTTPをSSLにて暗号化し、脅威からデータを守るための通信プロトコルとなります。SSLという暗号化技術は、実は厳密に言うと今はもう存在しておらず、TLS(Transport Layer Security)という新しい暗号化技術に置き換わっています。SSLという言葉が、昔からなじみがあり世の中に浸透している言葉であるため、現在もTLSをSSLと呼んでいます。

具体的な例として、ショッピングサイトにクレジットカードを登録して買い物をし、しばらくたってから自分のクレジットカードが知らない誰かに使用されてしまいました。原因はショッピングサイトにてクレジットカード情報をやり取りする通信を暗号化していないことでした。このようなケースはHTTPSを導入し、セキュリティを向上させることで対策ができる事故の例となります。

企業のセキュリティ対策として、VPN(Virtual Private Network)の導入はよく聞く話ですが、通信する相手の数が変わるだけで、SSLも暗号化の仕組みは変わりません(VPNの種類の中にもSSL-VPNと呼ばれる方式の通信方法もあります)。企業でVPNをセキュリティ対策として重要視することと同じくらい、ウェブサイトのSSL化はセキュリティ対策として重要であるとクーシーは考えます。

SSL化のメリット

データ通信を暗号化し情報資産を守るということは、ユーザー側にも、サービス提供側にもメリットがあります。ほかにセキュリティとしての観点以外にも、SSL化のメリットがあります。

SEOに影響がある

ウェブサイトにおけるSSLの価値として、Googleはセキュリティを最優先事項として掲げており、HTTPSをランキングシグナルに使用することを発表しております。つまり、GoogleはHTTPSをSEOで優遇するということを明言しました。セキュリティ対策がしっかりされているサイトということで、Googleから優良コンテンツであると評価されやすくなります。

信頼性の向上

使用率が高いブラウザGoogle Chromeにて、SSL対応している場合のサイトとSSL対応していない場合のサイト表記が明確になっております。SSL対応していないhttpサイトの場合URL部分に「保護されていない通信」の文字が表記されます。逆にSSL対応しているhttpsサイトの場合、URL部分に「鍵マーク」が表示され、クリックすると「この接続は保護されています」という文字を確認することができます。ユーザーがウェブサイトを使用するとき、そのサイトがSSL化されているかどうか目に見てわかるようになりました。SSL化することで、実際にウェブサイトを使用するエンドユーザーの信頼性を得られることが期待されます。

ウェブサイトの高速化

HTTPSにすることで、次世代のHTTP「HTTP/2」を使用することができます。
HTTP/2はこれまでの転送方法を見直し、より少ない通信量で、効率的な通信を行えるようになりました。この結果として、SSLを導入することでウェブサイトの高速化が期待されます。

ウェブサイトのSSLは、なかなか表面に見えないセキュリティ面以外にも、速度や信頼性といったユーザーに直接影響する部分でもメリットがあります。

SSL証明書の種類

実際にウェブサイトにSSLを導入し利用する場合、SSL証明書と呼ばれるSSL化するための証明書を発行し、ウェブサイトを運用しているサーバーに導入する必要があります。

SSL証明書には大きく「有料」と「無料」の2種類があります。「有料」と「無料」で暗号化の強さについて、実は違いはありません。SSLの技術は同じものを使用しているため、「有料」でも「無料」でもデータそのものは守ることができます。

「有料」のSSL証明書はさらに3種類の証明書があります。「EV認証」「企業認証」「ドメイン認証」の3種類です。認証のレベルは左から順に高く、もっとも高いものが「EV認証」と呼ばれる証明書になります。

「EV認証」「企業認証」はウェブサイトを運用している企業が本当に存在するかどうか、組織の実在性を第三者機関が証明してくれるSSL証明書になります。「EV認証」は組織の認証項目がより強固で、正しい運営がされている組織かどうかまで証明してくれる証明書となります。この2つは証明書を発行しているサービス会社に有料で依頼し、いくつかの手続きをおこなうことで入手可能です。なお、「EV認証」はGoogle Chromeにて鍵マークをクリックすると、証明書の発行元組織名が表示されます。
証明書発行までに時間がかかりますが、フィッシング詐欺の対策、組織としての信頼性を伝えることができます。

残りの「ドメイン認証」は、発行の際にドメインの所有権の確認のみで発行が可能です。そのため、リードタイムが短く低コストでの導入が可能です。ただし、企業の実在性などの確認は行われず、フィッシング詐欺といった悪意あるサイトに使用されることもあります。そのため信頼性は前述の2種類の証明書と比較すると低くなります。
しかし、暗号化強度は変わらないため、情報漏洩などデータを守る観点でウェブサイトのセキュリティ対策としては必要不可欠なものとなります。「有料」の証明書を提供する事業者の例として、シマンテック、ジオトラスト、グローバルサインインなどが挙げられます。

「有料」については3つの認証方式でしたが、「無料」は現状1種類の認証方式になります。
その1種類とは実は「ドメイン認証」なのですが、「有料」の「ドメイン認証」と同じ認証方式を使用しております。

「無料」証明書の例としては、「Let's Encrypt」が挙げられます。すべてのwebサーバーを暗号化することを目的としてできたプロジェクトで、無料で証明書を導入する際には、サーバーにコマンドを打ち込むことで証明書を申請・発行します。(一部の事業者では、「有料」証明書でも「Let's Encrypt」を使用している例もあります。)

では、「有料」と「無料」の大きな違いは何かというと、サポートを受けられるか、有料ならではのサービスを受けられるか、という点にあります。
「有料」の場合、トラブルがあった際にサポートから支援を受けることができます。また、ウイルスからの保護サービスなど、オプションサービスを提供している事業者もあります。
一方で「無料」の場合、導入から運用までを自己責任で行う必要があります。何か問題が発生した場合は自分で解決しなければなりません。

上記のように証明書には「有料」「無料」という違いだけではなく、いくつかの種類があります。それぞれ価格も異なっており、場面やウェブサイトにあった適切な証明書を選定することが重要になってきます。

SSL化作業の注意点

証明書は発行して終わりではありません。「有料」「無料」どちらにも共通している作業としてサーバーへの設定があります。サーバーのことが良くわからず設定すると、様々なリスクが発生します。

ウェブサイトに証明書を配置しSSL化を実施する場合、ホームページに関わるファイルの配置にSSLを考慮した設定をする必要があります。
主な設定として、
・http→httpsのリダイレクト
・ページ内で参照しているリソースがhttpsで通信しているかの確認
上記があげられますが、これらの設定に不備があった場合、様々な問題が発生してしまいます。例えば、Googleアナリティクスといった解析ツールの解析がされなくなる、リダイレクトループを発生させてしまうなど、ウェブサイト運用に関わるリスクが発生する恐れがあります。

また、証明書には有効期限が存在します。期限が切れた場合、再度ウェブサイトにSSL証明書の設定をおこなう必要があります。期限切れの証明書を放置した場合、Google Chromeでは、このサイトは安全ではないと判断されURLに表示されていたSSLの証である鍵マークが「プライバシーが保護されていません」という表示に切り替わってしまいます。
エンドユーザー向けのウェブサービスサイトではユーザーの信頼性が著しく損なわれてしまいます。

そのほかにも、証明書期限の確認などを厳格におこない、サイトの表面上SSL証明書をうまく設定できたように見えても、SSLが適応されず「プライバシーが保護されていません」と表示されてしまうケースがあります。この場合、HTML以外のコンテンツである、画像、動画、スタイルシート、スクリプトといったコンテンツが、暗号化されていないHTTP 接続で読み込まれてしまっている可能性があります。これを混在コンテンツ(mixed content)と呼びます。ページ内で参照しているリソースを漏れがないように確認することが重要です。

SSL化はクーシーにお任せ下さい

SSL化は、ウェブサイトにおいて非常に重要な対策です。しかしながら、種類や設定が複雑で、作業も多いため、これまでSSLをあまり認知していなかった企業にとっては、導入ハードルが高くなることが懸念されます。

クーシーは最新のwebの動向に沿ったセキュリティを担保し、SSL化を実施させていただいております。SSLの導入、運用方法をご要望に沿ったレベルでご提案させていただいております。

SSL化を検討、ウェブサイトのセキュリティ強化をご検討中の場合、ご相談で構いませんので、是非クーシーまでお問い合わせください。

お問い合わせ

Webサイトデザインについての
ご相談はこちら。

お問い合わせする

Webデザインについて、
様々なことにサポートいたします。

  • UI/UXデザイン

    多くのWebサービスを手がけたことにより蓄積されたノウハウで、最適化したUI/UXを提案します。

  • ワイヤーフレームと情報設計

    ユーザーストーリーからSEOまで考慮し、情報の優先順位をサイト構造・ページ構成両面から考えます。

  • Webサイトデザイン

    EC、コーポレート、eラーニング、SNS、基幹システムなどあらゆるジャンルのWebサイトを手がけています。

  • コーポレート
    サイト制作

    各ステークホルダーに合わせて情報設計を行い、企業のブランディングが伝わるデザインを心がけています。

  • BtoBサイトデザイン

    BtoBのWebサイトは業務効率化に直結します。サービス利用時のベネフィットを意識してデザインします。

  • 採用サイト
    制作・デザイン

    新卒と中途では欲しい情報のニーズが異なります。ターゲットに向けて応募率を高めるようにデザインします。

  • スマートフォンアプリ
    デザイン

    指で操作するスマートフォンはPCとは異なります。最高のユーザー体験を創出するデザインを行います。

  • 動画制作

    インターネットで動画を見るユーザーが増加しています。コンテンツ動画など企画から撮影・編集を行います。

  • HTML/CSS
    コーディング

    複雑化したHTML/CSSの構築実績を持つ制作会社は多くありません。マークアップと多様なブラウザ対応を行います。

  • SSL化対応

    SSL証明書の取得から設置・移管まで、ワンストップサービスを提供しています。

  • SPA対応

    主にAngular/Vue/ReactなどのJavaScriptフレームワークを用いたSPAを設計から実装まで行います。

  • PageSpeed
    Insights対応

    PageSpeed Insightsの項目に沿った表示速度改善の設計と、ページ/システムの改修を行います。

  • AMP対応

    モバイル端末でWebページを高速表示するための技法です。コンテンツの設計や、開発・改修を行います。

  • SEO内部対策

    SEOコンサル会社では提案できないキーワード選定からカテゴリ構造化を行います。SEO対策もお任せください。

  • WordPress構築

    利用者ごとの権限の設定や管理画面の構築を使う人がより使いやすいCMS。環境構築、運用までを考慮して設計します。

  • MovableType構築

    WordPressにセキュリティ的な懸念をお持ちのお客様にはMovableTypeをお勧めしてます。多言語化にも対応可能です。