社内会議で「自社サイトをSSL化したほうがいい」と指摘されたけれど、SSLが何なのかイマイチわからない…という人はいないでしょうか。ここでは企業のWeb担当者に向けて、SSLに対応することのメリットや対応コストなど実践レベルの知識を丁寧にお伝えしていきます。
■ SSL(常時SSL)って何のこと?
SSLとは、インターネット上の通信を暗号化する仕組みのことです。
暗号化されていない(SSL非対応)Webサイトの場合、問い合わせフォームに個人情報や問い合わせ内容が悪意ある第三者に盗み見られてしまう可能性があります。しかし、Webサイトの問い合わせフォームがSSL対応してある場合、利用者が書き込んだ内容は暗号化して送信されるため、万が一通信を不正に覗き見られても内容を解読するのが困難になります。
SSL通信は、かつては決済画面や問い合わせフォームといった一部のページだけで利用されていましたが、最近はWebサイトを丸ごとSSL化する「常時SSL」が定着してきました。「WebサイトのSSL化」といえば、今ではこの常時SSLを指すことがほとんどです。
SSL通信に対応しているWebページは、URLが「http://〇〇」ではなく「https://〇〇」と「S」がつきます。また、多くのWebブラウザではSSL対応を示す鍵マークがURL欄に表示されます。
■ 常時SSLのメリットとは?
Webサイトが常時SSLに対応するメリットはいくつかあります。ここでは主なポイントを5点ご紹介しましょう。
1. 暗号化により通信内容を保護できる
常時SSL化により、訪問者がWebサイト上で入力した内容を暗号化します。例えばWi-Fiネットワークがハッキングされていたり、ハッカーの仕掛けた悪意のある公衆Wi-Fiスポットに間違って接続してしまうと、入力した内容が簡単に覗き見られてしまいます。そんなときでも、Webサイトが常時SSL化されていれば、通信内容が暗号化され、内容を解読することが難しくなります。
クレジットカード情報の入力があるECサイトや、パスワードの入力を行う会員制サイトなどでは、常時SSLが必須です。しかしそれ以外でも、ほとんどのWebサイトにはなんらかのフォームがあると思います。訪問者の安全を守るために、今やSSLは欠かせない技術だと言えます。
2. なりすまし対策になる
SSL化を行うと、公的な認証機関で発行された「SSLサーバ証明書」を提示することができます。訪問者はこのSSLサーバ証明書を確認することで、アクセスしているWebサイトが正しい運営者によって提供されているものかどうかを判断できます。
ハッカーが元のWebサイトとまったく同じ見た目の「なりすましサイト」をつくって個人情報を入力をさせようとしても、SSLサーバ証明書を見ることで本物と偽物とを見分けられるというわけです。
3. 検索順位が上がる
2014年、Googleは、SSLの有無が検索順位に影響を与えると公式にアナウンスしています。Googleとしては、常時SSL化の促進によってインターネットの安全性が高まるという考えがあるのでしょう。
検索アルゴリズムの全貌は公開されていないため、SSL化による影響の度合いがどの程度なのかはわかりません。それでもWebサイト運営者にとって、少しでも検索順位が下がる要因は取り除きたいと思うはずです。
4. 信用性が損なわれるのを防ぐ
これまで多くのWebブラウザは、鍵マークを表示することによってSSL対応の有無を示してきました。しかし、最近はさらに一歩進んで、SSL対応が行われていないWebサイトには警告を表示するようになってきました。
Webサイトを訪問したときに「保護されていない通信」や「安全ではありません」といった文字列が表示されたことはないでしょうか。今のGoogle ChromeやSafariなどでは、SSL対応が行われていないWebサイトでこれらの文字列を表示するようになっています。
このような文字列が表示されると、訪問者は不安や恐怖を感じてページを閉じてしまうかもしれません。SSLに対応していないことでWebサイトの信用性が低下し、企業のブランディングにも悪影響を与えます。
5. 正しいアクセス解析結果が手に入る
SSL化は、アクセス解析においても重要です。Googleが提供するアクセス解析ツールの「Google Analytics」では、本来なら「参照元(どのWebサイトからアクセスしてきたか)」情報を計測できます。しかし、自分の管理しているWebサイトがSSLに対応していない場合、SSL対応しているWebサイトからのアクセスが正しく計測されないのです。
計測されない場合、「参照元なし」=「ノーリファラー」として扱われます。今やGoogle検索をはじめ多くのWebサイト/WebサービスがSSL対応していますので、参照元のほとんどがノーリファラーになってしまいます。これでは正しい解析が行えません。
これらのメリットを考えると、もはや常時SSLはあらゆるWebサイトで必須のものだといえるでしょう。
■ SSLの種類
続いて、常時SSL化を具体的に検討する際に、知っておいたほうがいいことを挙げていきます。まずは、SSLの種類についてです。一口にSSLといっても、さまざまな種類が存在するのです。
SSLは「共有SSL」と「独自SSL」に大きく分かれます。共有SSLというのは、レンタルサーバが取得したSSLサーバ証明書を、複数のWebサイトで共有して利用するというものです。レンタルサーバによっては無料で提供されていたり、有料だとしてもコストが低く、金額的なハードルが低いメリットがあります。
しかし、複数のWebサイトで共有する仕様上、Webサイト所有者の身元を正しく証明できないなどのデメリットがあります。せっかくSSL化を行っても、信頼性や安心感は限定的になってしまうというわけです。
一方の独自SSLは、1つのドメインに対して1つのSSLサーバ証明書を発行してもらう仕組みです。Webサイトの所有者を正しく証明でき、共有SSLよりも高い安全性と信頼性を得ることができます。
独自SSLには、認証レベルによって3つの種類があります。認証レベルが低い順に並べると、「DV認証(ドメイン認証型)」、「OV認証(企業認証型)」、「EV認証(実在証明拡張型)」となります。レベルが高いほど信用度は増しますが、登録申請時に企業の実在性を証明する書類が必要だったり、確認に時間がかかるといったハードルがあります。
また、高レベルの認証ほど費用が高くなります。SSLサーバ証明書の費用は年額でかかってきますので、ランニングコストとして発生する点に注意しましょう。費用はレンタルサーバなどによって異なりますが、例えば「さくらインターネット」の場合、有料のDV認証は990円/年、OV認証が4万2350円/年、EV認証が5万4450円/年となっています(2021年7月現在)。
■ 無料の独自SSLが存在する
独自SSLは、元々は有料なのが当たり前でした。しかし数年前から、無料の独自SSL「Let's Encrypt」が登場し(正式スタートは2016年)、注目を集めています。
Let's Encryptは、非営利団体のISRGが提供している独自SSLの仕組みで、認証レベルはDV認証にあたります。無料ですが、暗号化の強度は他の一般的なSSLと変わりません。
企業の実在性は証明できませんが、これは他のDV認証SSLも同様です。「高レベルの信頼性は必要ないけれど、まずはWebサイトは常時SSL化したい」という企業にとっては、検討に値する選択肢だと言えるでしょう。
ただし、このLet's Encryptが利用できるかどうかは、利用するレンタルサーバによって変わってきます。Let's EncryptのSSLサーバ証明書の有効期間は本来は90日間ですが、多くのレンタルサーバは自動延長の仕組みを備えており、更新のわずらわしさを感じずに利用ができるのはありがたいところです。
一方、Let's Encryptが利用できないレンタルサーバの場合は、有料のSSLを利用することになります。先ほど述べたとおりSSL証明書の費用はレンタルサーバによって変わってきますが、あまりにもSSLの費用が割高だと感じた場合はレンタルサーバの移管を検討してみるのも手です。
■ SSL対応するのはどれくらい大変?
なお、ここまで解説した費用は、あくまでも「SSLサーバ証明書」の費用です。実際にWebサイトに組み込むには、Web制作会社の作業コストが別途かかってきます。
そのコストは、Webサイトを新規構築するのか、既存のWebサイトを常時SSL化するのかによって変わってきます。新規構築の場合、各種設定などは発生するものの、作業量としては比較的軽微です。最初から常時SSL対応の費用が織り込み済みか、別の見積もり項目になっていたとしてもそれほど大きな金額ではないと思います。
一方、既存サイトを常時SSL化する場合、状況によってコストが大きく変わります。シンプルなWebサイトであれば数万円で済むかもしれません。しかし、規模が大きいWebサイトや古いシステムを引きずっているWebサイトの場合は、意外にコストがかさむ可能性があります。対応コストが膨らむ主な要因としては、次のようなものが挙げられます。
・ページ数が多い(確認工程が増えるため)
・サブドメインを運用しているなど、構造が複雑
・CMSのバージョンが古い
・フルオーダーで開発したなど、特殊なCMSを利用している
・特殊なプログラムが仕込まれている(複雑なフォームや業務用Webアプリなど)
・サーバ事情が特殊(社内サーバでWebサイトを構築しているなど)
制作会社から提示された見積額が想像以上で、びっくりしてしまうケースもあると思います。Webサイトによっては、数十万円レベルのコストが発生する可能性もあります。しかし、費用がかさむのは、やはり何らかの理由があるはずです。制作会社の説明に耳を傾け、コストを抑えたい場合は現実的な対応策がないかどうかをじっくり話し合いましょう。
いずれにしても、Webサイトの常時SSL対応は、今やほぼ必須の要件です。対策を先延ばしにしてもいいことはありませんので、早めに手を打っておくのが得策です。
