御社のサイトは「安全」ですか?
まずは御社のサイトの「URL」をチェックしてみてください。
①「http://」で始まっていますか?
それとも、
②「https://」と「s」が入っているでしょうか?
もし①だった場合は一大事、すぐに対応する必要があります。また、②だったとしてもサイト全体どのページのURLもそうなってない場合は、危険な状態なんです。
「http」と「https」のちがい
さて、ではなぜ「sなし」のURLが危険なのかを解説していきます。
まず「http」自体は何なのかと言うと「Hyper Text Transfer Protocol」の略。ホームページが格納されている「サーバー」と、サイトを閲覧するユーザーのパソコンやスマホの間を取り持つプロトコル(通信規則)です。
この「http」の通信は、サイトの情報はもちろん、そこに入力された個人情報やクレジットカードの番号などを何も暗号化せず、むき出しで通信回路を行き来します。単純に危ないですね。というかヤバいですね。
しかし「https」で通信すれば、情報を暗号化して送ることができる。悪質なハッカーなど、第三者がそこに介入しようとしても、暗号なので情報を把握できません。絶対こちらが良いですよね。なおこの「s」は「安全=SECURE」を意味します。
「https」の設定がなされいることを「SSL化(Secure Sockets Layer)されている」と言います。ほぼ同じ意味でとして「TLS化(Transport Layer Security)」も使われることがありますが、一般的にはSSLがメジャーですね。
サイトは「常時SSL化」が基本
情報の抜き取りなどインターネット犯罪がますます悪質化・高度化していく昨今、ウェブサイトは「全てのページでSSL化(=https化)」することはもはや義務と言えるでしょう。
Google社も「SSL化されてない(URLがhttpsで始まらない)サイトにはユーザーがアクセスできないようにする」という対応をしています。
そういったサイトはアクセスしようとして「安全でないサイトです」とアラートが出てしまい、閲覧することはできません。
問合せフォームだけではダメ
「情報を暗号化するなら、別に問合せフォームやお申込みフォーム、決済のページだけで良くね?」という意見もあるかもしれませんが、それではセキュリティ的には意味がありません。
近年のハッカーはそのような脇の甘いサイトを標的に、個人情報を盗んだり、ウイルス攻撃を仕掛けたりもしてきます。SECUREのない「http」のページから侵入し、情報を搾取してしまうんですね。
中途半端なSSL化でなく、サイトの全てのページのアドレスをhttpsにしましょう。
全てのページを常にSSL化する状態を「常時SSL化」と言います。
SSL化(https化)にする「4つ」のメリット
では、SSL化が安全だとわかったとことで、そのメリットをまとめます。
思わぬ効用に「そうなの?」となるかもしれません。
①サイトの安全性向上
実はSSL化(https化)するには、サイトの管理者やドメインを「認証局」に提出し認証を得る必要があります。これをすることでサイトの「改ざん・なりすまし」を防げます。サイト情報を暗号化できる認定・権利を得ることができるんですね。
その認証局はシマンテック(旧ベリサイン)やグローバルサインなど、さまざまブランドがあります。
②cookie情報の盗難阻止
私たちがAmazonや楽天、twitterやTikTokのアカウントにログインする際は、毎回パスワードを入れたりしませんよね。それは「cookie」という機能が働いているからです。お察しの通りこの「cookie」もハッカーは狙っています。
単なる「http」ではこのcookieも筒抜けとなってしまうため、サイトをSSL化することでcookieの盗難阻止も防げるわけです。
③SEO対策の基礎固め
SSL化は、もはやウェブサイトの運営において常識なため、それをしたからと言ってSEOで有利になるわけでは決してありません。しかし逆に言えるのは、SSL化しないことはSEOの観点からも論外であるということです。
httpsのサイトにすることで、SEOの対策の基礎固めのひとつができたと考えるといいでしょう。
④サイトの表示高速化
実は、SSL化はウェブサイトの表示速度にも好影響をもたらします。サイトの表示速度は検索順位にも影響し、何よりサイト訪問者の離脱や直帰を防ぐことができる重要事項。
https化することもメリットはこんなところにもあるんですね。
SSL化(https化)の取得方法は?
なんとなく難しそうなイメージを持たれる方もいらっしゃるかもしれませんが、実はサイトSSLの発行証明を取得するのは難しいことではありません。
以下に、一般的な2通りの方法を解説します。
①ウェブ制作会社に依頼
現在、サイトの保守管理を委託しているウェブ制作会社があれば、そこに依頼しましょう。これが一番カンタンですね。
②レンタルサーバー会社に確認
現在契約しているサーバー会社に「SSLサーバー証明書」を発行しているか確認します。無料で発行していることもあるのでチェックしましょう。
③上記①②に該当しない場合
認証局を選んで手続きを開始します。認証局はシマンテック(旧ベリサイン)やグローバルサインなどが有名です。
SSL化(https化)の種類と費用は?
数千円から数万円まで種類によって異なります。
①ドメイン認証型
費用も無料で済むことがあり、スピード発行が基本で最も導入しやすいタイプ。登記簿謄本なども必要でないため法人格がない団体や個人でも活用可能。
②企業認証型
証明書にその企業が実在することを記載される。信頼性を訴求するコーポレートサイトや会員サイト、SNSなどでも用いられます。費用は年間約7万円ほど。
③EV認証型
前項の企業認証型よりもさらに厳格な審査が行われます。アドレスバーに組織名が表示されるなど、一見してEV認証を得ていることがわかる認証。費用は最も高くなり年間約15万円ほど.。
意外な注意点も
①常時SSL化=無敵ではない
ハッカーの技術は日々高度化しているためhttpsにしたから全て解決というわけでもないことはご留意ください。ブラウザのアップデートやスパムメールを開かない、怪しいリンクはクリックしない、出所不明なソフトはダウンロードしない・開かないなど、さまざまな面で気をつけることが必要です。
②常時SSL化=URLが変わる
httpがhttpsになった場合「全くの別アドレス」という扱いになります。例えばhttpのアドレスで公開された記事でFacebookで「1,000いいね」twitterで「500リツート」された記事があるとしましょう。記事にその数値がSNSボタンと共に表示されている記事があるとします。
しかしこの記事を「https」にすると、記事にあるSNSボタンは全て「0いいね」「0リツート」になってしまうんですね。未だに、これが惜しくてhttpsに乗り換えを躊躇しているブログやサイトもありますが、残念ながらそこは割り切るしかありません。なぜなら、SSL化されてない記事やサイトは、検索で見つけてクリックしても「安全ではないサイトです」と、表示さえもさせてもらえないのですから。
健全なサイト運営で資産を守る
よくニュースで、企業が管理する個人情報が漏洩したり、ハッキングされたりといったものを聞きますね。著名な企業や機関で、セキュリティにはきちんと配慮していてもこのような事態頻発しているのが現実です。
さまざまな対策のなかで、もはや基本中の基本が今回の「常時SSL化(https化)」。まずはここを抑えたうえで「reCAPTCHA認証」やワードプレスのプラグインであれば「Wordfence Security」などの導入など、多方面からできる限りの防衛を行いましょう。
一度でもハッキングされたら、事実上そのサイトは「終わり」です。評判という意味でもそうですし、修復という意味でも困難を極めます。その時間的コスト、そして実際にかかるコストを考えた場合に、事前に対策を行っておくのは最も安く済む手立てとなります。
手間を費用を惜しまずに、堅牢なWEBサイトづくりを目指しましょう。
