こんにちは!当コラム担当の高原です!専業アフィリエイター歴8年で、WEBメディア運営会社を経営しています。
Twitter(@Koshiro_Taka)でも役立つ情報をつぶやきますので、よかったらぜひフォローしてくださいね^^
一見安全そうに見えるサイトでも、様々な危険が潜んでいる可能性があります。
しかし、訪問したサイトがSSL対応というだけで、安心感を覚えるという人も多いようです。
もちろん、ミックスホストの公式サイトもSSL対応済みなので、確認すると下の画像のように「この接続は保護されています」と表示されます。
良く見ると「お客様がこのサイトに送信した情報(パスワード、クレジットカード番号など)が第三者に見られることはありません」とも書かれています。
このようなことを書かれていることからも、SSL対応済みサイトがユーザーに与える安心感は大きいのではないかと考えます。
この記事では、
- SSL対応とはどのようなものなのか
- その意味と仕組みについてわかりやすく解説
- 具体的なデメリット
などについて考えてみましょう。
この記事を最後まで読むことで「SSL対応って本当に必要なの?」などの疑問も全て解決するでしょう。
是非最後までご覧ください。
SSL対応って何?その意味と仕組みが知りたい!!
これからインターネットでの情報を送受信する上で、SSLが何なのか、どのような役割なのかを知っておく必要があります。
では早速SSLの役割について見ていきましょう。
SSLの役割は、次の2つ。
- 暗号化通信
- サイト運営元の確認
もう少し詳しく見ていきましょう。
SSL対応とは暗号化して通信を行うこと!
昨今、インターネットを利用する人はどんどん増えてきています。
そして、残念ながら利用する人が増えるということは、不正な通信を行って個人情報を得ようとする人も増えることが予測できます。
ですから、そういった個人情報の流出に対して不安に感じている人も多いことでしょう。
そのためには通信を覗き見できないようにすることが一番です。
実はSSLの一番の目的はインターネットの通信を暗号化し不正なアクセスができないようにすることなのです。
では、どのように暗号化しているのでしょうか。
SSLの通信には次の2つの鍵を利用します。
- 共通鍵
- 公開鍵
では、これらの鍵をどのように使って通信を行うのでしょうか。
通信開始時の手順は次のようになっています。
- ユーザーがサーバーに接続要求する
- 公開鍵とSSLサーバー証明書をブラウザに送る
- ブラウザがSSL証明書の信頼性を検証
- 公開鍵を使って共通鍵を暗号化してサーバーへ送信
- サーバーが秘密鍵で共通鍵を暗号化する
更に、上記のような手順で通信が確立できてからもブラウザとサーバーは共通鍵で暗号化、暗号化された通信データを共通鍵で復元ということを繰り返して通信を行います。
非常に複雑な手順での通信を行っていますが、複雑だからこそ安心してインターネットを楽しめるということです。
・SSLとは暗号化して通信を行うこと
・SSL対応によって安心してインターネットを楽しめる
ところで、上記の手順の中に「SSL証明書の信頼性」という言葉が出てきました。これがSSL対応のもう一つの役割です。
では、もう少し詳しく見て行きましょう。
SSL対応によってサイト運営元の確認ができる!
実は、暗号化通信ができるだけではユーザーは安心してインターネットを利用できません。
なぜなら、そのウェブサイト自体が悪意のあるサイトである可能性もあるからです。
ですから、真の安心を得る為にはそのウェブサイトの運営元が実在し、運営者がどのような人なのかを知っておく必要があります。
そこでSSL証明書が効力を発揮するのです。
そもそもSSL対応するには、サイトのSSL証明書を発行する必要があります。
SSL証明書というのは誰でも発行できるわけではなく、きちんと信頼された第三者機関の認証局のみが発行できる電子証明書。
ですから、その証明書が発行されているということから次のことがわかります。
- ドメイン名の使用権がある
- サイトの運営組織が実在する
更に、SSL証明書には次の2種類があります。
- 共有SSL
- 独自SSL
共有SSLは複数のユーザーで利用できるSSLサーバー証明書のことで、レンタルサーバーを利用している場合にサーバー運営会社が取得した証明書を共有して使うというものです。
共有SSLのデメリットは共有で利用できるものなので、身元保証がされないということです。ですから、信頼性という面では独自SSLより劣ります。
逆に独自SSLの場合は独自ドメインの証明書ですので、身元保証もされて信頼性は高くなります。
独自SSLは、更に次の3つに分類されています。
- ドメイン認証型(通称:DV)
- 企業認証型(通称:OV)
- EV(Extended Validation)認証
信頼性が最も高いのはEV。次いでOVとなります。
特にEVの場合はサイト運営団体の実在性だけではなく、企業の活動状況などを元に厳格に審査されます。
ですから、ECサイトなどを運営する場合には、独自SSLであることが望まれます。
共有SSLでも運営は可能ですが、ユーザーの信頼度という点を考慮すると大きな機会損失となるでしょう。
・SSL対応するにはSSL証明書を発行する
・共有SSLは複数のユーザーで利用できるSSLサーバー証明書
・独自SSLは身元保証もされて信頼性が高くなる
では、なぜSSL対応が必要なのでしょうか?
SSL対応されていないサイトで、もしも個人情報が漏洩したらどのようなことが起こるのでしょう?
SSL未対応のサイトではどんな被害が予想できる?個人情報漏洩は怖い!
ここまでの説明で、SSL対応が大切だということは何となく理解できたのではないでしょうか。
しかし、SSL未対応の場合にどのような被害があるのかというのがイマイチわからないかもしれません。
ですから、その被害について具体的に考えてみたいと思います。
ここでは、訪問者側と企業(サイト運営者)側に分けて考えてみましょう。
SSL未対応で訪問者側が受ける可能性のある被害
SSL対応済みでないサイトを訪問し、更にそのサイトで個人情報の入力を促されたとします。しかし、それだけでは実害を受けることはありません。
問題は、あなたの個人情報が漏洩した場合です。
昨今、個人情報の漏洩や流出というのは大きな問題として報道されていることをご存知でしょう。
解りやすいのは、クレジットカードの情報が流出した場合です。購入した記憶のない物が購入されてから発覚するケースが多いのですが、この場合はカードの差し止めを行えば問題ありません。被害額に関しても保険が適用されるので実害を受けることはないでしょう。
しかし、問題はそれだけではありません。
実は、個人情報が流出するとこのようなことが起こるのです。
- スパムメールや架空請求が急増!
- 迷惑電話が急増!
- あなたが詐欺サイトの運営者に!!
スパムメールや迷惑電話が急増するというのはある程度予想できたのではないでしょうか。
しかし、詐欺サイトの運営者として登録されてしまうというのは驚きです。
気が付けば犯罪に加担しているという状態。
非常に恐ろしいことです。
では、次に企業側のリスクについて考えてみましょう。
SSL未対応で企業側が受ける可能性のある被害
もし、企業側がSSL対応済みでない場合はどのような被害を受けることになるのでしょうか。
これからの時代、SSL対応が常識となるので、SSL未対応というだけでサイト訪問を敬遠する人も増えてくるでしょう。
更に、情報漏洩などが起こってしまった場合は大変なことになります。
その場合に主に考えられるのは次の3点。
- イメージが悪化
- 情報流出の悪評が拡散
- 顧客離れや売り上げの減少
イメージが悪化することによって、クレーム対応の必要が出てきます。
今は一億総クレーマー時代とも言われていて、ほんの些細なことでもクレームとなり得ます。
そんな時代に、個人情報の流出など有り得ない話でしょう。
更に、悪評は拡散することになります。
残念ながら悪い噂というのは非常に拡散速度が速いので、あっという間にイメージダウンとなるでしょう。
更に、そういった悪評はインターネット上にずっと残り続けることになります。
事ある毎に蒸し返され、企業の信頼性が損なわれることに繋がります。
そうなると、顧客離れの可能性も否定できません。
最終的には売り上げの減少、減収減益という図式です。
もはやSSL対応をしないという選択肢は有り得ないでしょう。
・SSL未対応で個人情報の漏洩や流出被害がでる可能性がある
・SSL未対応でサイト訪問を敬遠する人も増えてくる
・サイトや企業の信頼性を損なう可能性がある
しかし、SSL対応はメリットばかりではありません。当然デメリットもあります。
では、どのようなデメリットがあるのでしょうか。
SSL対応のデメリット!一番は費用の問題!
SSL対応をしていないとサイトや企業の信頼性を損なう可能性があります。
それだけで売り上げが減少することも考えられます。それを防ぐにはSSL対応を行うしかありません。
しかし、だからと言ってSSL対応は良い事ばかりではなく、次のようなデメリットもあるということを覚えておいてください。
- SSL対応には費用が必要
- サイトの表示速度に影響がある
- 証明書の期限切れで表示されなくなる
- 既存のサイトのSSL対応はアドレスが変わる
では、もう少し具体的に見て行きましょう。
SSL対応には費用が必要
SSL証明書の申請・発行には費用が掛かる場合があります。
最近はLet’s Encryptというサービスが有効期間が90日間(約3ヶ月)の証明書を無料で発行していることもあり、手軽にSSL対応ができるようになりました。
しかし、長い有効期限であったり、OVやEVなどの信頼性の高い認証方式を選択するなら、有料サービスを利用するしかありません。
有料サービスの場合、SSL証明書の料金についてはSSL取り扱い業者によっても違いますが、年間5~10万円程度の料金が必要となります。
つまり、企業として機会損失に備えるなら、ある程度の費用が必要ということになります。
SSL対応すると通信に時間が掛かる!?
SSL対応をすると、サーバーとブラウザとの通信が複雑になるので、必然的に情報量も増加します。
情報量が増加するということは、通信に時間が掛かるということに繋がり、結果的にサイトの表示速度が遅くなることが考えられます。
サーバーの環境やユーザー側の環境によっても大きく左右されるので、必ずしも影響があるとは言えませんが、そのようなことがSSL対応によるデメリットとして考えられるということを覚えておいてください。
SSL証明書の期限切れでサイトが表示されなくなる
SSL対応をしても、SSL証明書が期限切れが発生することがあります。
期限が切れてしまうと「この接続ではプライバシーが保護されません」という表示が出るので、知らない人がアクセスしてもすぐに接続を切ることになるでしょう。
既存のサイトのSSL対応はアドレスが変わる
SSL対応をすると、サイトのURLが「https」になります。「https」はHyper Text Transfer Protocol Secureの略です。
しかし、SSL対応前はサイトのURLが「http://~」でした。
それがhttpsに変更となるので、以前使用していたサイトのアドレスでアクセスできない可能性があります。
つまり、以前のアドレスで新しいアドレスにアクセスするにはリダイレクトなどの設定を行う必要があります。
これは、実は意外と大変なデメリットです。SSL対応させる最も大きなデメリットかもしれません。
・SSL対応に費用が必要
・SSL対応すると通信に時間が掛かる
・SSL証明書の期限切れでサイトが表示されなくなる
・既存のサイトのSSL対応はアドレスが変わる
まとめ
今回はSSL対応について紹介させて頂きました。
数年前まではSSLという言葉自体がまだ知られていなかったのですが、2017年にGoogleからSSL対応を推奨する発表がありました。
そして2018年からは、SSL対応済みでないサイトを閲覧するとブラウザに「保護されていません」と表示が出るようにChromeがバージョンアップしています。
こうなるとSSL対応するしかありません。
今まで、あなたも本当にSSL対応が必要なのか否か疑問があったのではないでしょうか。
世の中の流れとは言え、必要性を感じなかったかもしれません。
しかし、訪問者側、企業側のデメリットを考えた時、SSL対応をしない選択肢はほとんど無いと考えます。
mixhostでWordPressをインストールした後のSSL化については、下記の記事で解説しています。あわせてご確認ください。
