SSL導入の必要性とは?導入のメリット・デメリット

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_223

会社の大切な情報、お客様の個人情報を守ることがWebサイトには求められています。インターネットの普及により、様々な情報が電子化しました。便利になった一方で、個人情報漏えいのリスクも増えました。

情報を漏洩しないために、Webサイトに求められているのがSSLの導入です。SSLを導入することでセキュリティ対策を強化することができます。

そこで、なぜSSLの導入が必要なのか、その必要性について解説いたします。

なぜSSLにする必要性があるのか?

SSLの導入は年々増加しています。そもそもSLLとは、データ通信を暗号化する技術です。ではなぜこのような技術の導入が必要なのか。その必要性は以下の通りです。

SSLの必要性

主にSSLは、個人情報を入力するWebフォームなどに使われてきました。しかし、最近ではWebサイト全てのページをSSL化している企業が増えています。
SSLの主な役割は、以下の2つです。

  • WebブラウザとWebサーバ間で送受信される情報を、第三者に読み取られないように暗号化
  • Webサイトを運営する企業が実在することを証明

SSLを導入することで、「盗聴」「なりすまし」「Webサイト改ざん」被害などの不正アクセスを防ぐことが可能となります。

不正アクセスの危険性を減らす

不正アクセスとは、本来アクセス権限をもたない人が、サーバや情報システムの内部に侵入し、「盗聴」「なりすまし」「Webサイト改ざん」を行うことです。

盗聴

盗聴とは、お問い合わせフォームに登録したデータやその他送受信されるデータを第三者に盗み見られることです。IDやパスワード、クレジットカード番号、メールの内容を盗み見られ悪用される可能性があります。

勝手に現金が引き出されたり、身に覚えのない請求が来たりと、知らない間に被害者になることになります。

なりすまし

なりすましとは、他人のIDやパスワードを悪用してインターネットを利用したり、その人になりすまし迷惑メールや誹謗中傷などを行うことです。過去に、他人になりすまし掲示板に殺人予告を書き、警察は本来であれば被害者の人を逮捕してしまった事例があります。後日、誤認逮捕だと判明しました。

Webサイト改ざん

Webサイト改ざんとは、Webサイトの文章や画像を変更したりする行為のことです。改ざんが可能であれば、ウイルス配布先のWebサイトへのリンクを張ることも可能で、犯罪の踏み台として利用される可能性があります。

SSLにすることで可能になること

ユーザー・Webサイト間の通信を「暗号化」で保護し、パスワードやクレジットカード情報を保護します。信頼ある認証局によって「実在性が確認」されているWebサイトであることを証明します。最近では、危険を避けるためにお問い合わせフォームだけでなく全てのページを暗号化する、常時 SSL を実装する企業が増えています。

SSLのメリット・デメリット

メリット

不正アクセス防止

ユーザーの個人情報、ID・パスワード等、重要な情報を暗号化して送信するため不正アクセス防止というメリットがあります。そのため、SSLの知識があるユーザーは、離脱する可能性が減り、安心してWebサイトを利用することができます。

SEO効果

Google・Yahooでネット検索する方も多いと思います。検索時のWebサイトの順位を決めているのは、Googleの検索エンジンです。※YahooもGoogleの検索エンジンを使用しています。

Webサイトをネット検索で上位表示するための取り組みを、「SEO」といいます。Googleは、ランキングシグナルの要素として、「HTTPS」を使用すると2014年に発表しました。

»HTTPS をランキング シグナルに使用します-ウェブマスター向け公式ブログ

「HTTPS」=「SSL」の導入です。

つまり、SSLを導入することで上位表示しやすくなる、SEO効果のメリットがあるのです。また、2015年には「HTTPS」ページを優先的にインデックスすると発表しました。

»HTTPS ページが優先的にインデックスに登録されるようになります-ウェブマスター向け公式ブログ

デメリット

サイトが重くなる

SSLは、サーバ、クライアント双方に負荷をかけるため、通信速度が遅くなります。しかし、現在は性能が向上しているので、昔と比べて通信速度への影響は小さくなっています。

アドセンス広告収益の低下

WebサイトにGoogleのアドセンス広告を掲載している方が対象ですが、SSL化することにより、アドセンス収益が低下するとGoogleがアナウンスしています。

以前のバージョンの AdSense 用広告コードは、セキュリティで保護されたコンテンツでは使用できません。HTTP 広告を HTTPS サイトに表示させようとすると、古いブラウザでは、HTTP と HTTPS のコンテンツが混在しているという警告が表示され、最近のブラウザでは、広告がまったく表示されなくなる可能性があります。セキュリティで保護されたページに広告を表示するには、新しい SSL 準拠の広告コードを使用する必要があります。

SSLの種類

SSLは3つの認証があります。種類の違いは、認証方法の違いによるものです。簡単な審査だけで発行されるものから、非常に厳しい審査を通過しないと発行されないものがあります。

ドメイン認証SSL

オンラインでのドメイン実在確認のみで発行可能なSSL証明書です。書類提出は必要なく短時間で発行できます。簡単な審査で、個人ブログなどでも発行可能です。

企業認証SSL

名称の通り、企業や組織など顧客情報、機密情報を利用するWebサイト向けのSSL証明書です。商業登記簿謄本(登記事項証明書)や帝国データバンクの情報を元に認証局が企業や組織の実在を証明する電子証明書がセットになった証明書です。

EV SSL

これまでのSSLサーバ証明書は、各認証局によって資格審査の内容が統一されていなく、偽りの詐欺ページ(いわゆるフィッシングサイト)に流用されてしまうなどの事例がありました。そこで、資格審査の基準を策定し、それに準拠した新しいサーバ証明書が発行されることとなりました。それが、EV SSLです。

EV SSL証明書を導入したWebサイトにアクセスすると、ブラウザのアドレスバーが自動的に緑色になります。

SSLの導入について

一般的なSSL導入の流れ

1. CSRの作成
CSRとはサーバ上で作成するSSLサーバ証明書発行用の申請書のようなもの
2. Webページでお申し込み
お申し込みフォームに必要事項を記入し、申請を完了させる
3. 書類の準備と送付
登記簿謄本、企業実印済みの申請書&その実印の印鑑証明書の送付
4. SSLサーバ証明書の発行
所定のURLから証明書をダウンロード
5. サーバへのインストール
ダウンロードした証明書をサーバへ保存してインストール作業を行う

SSLの選び方

選び方のポイントは、Webサイトの目的とSSLを利用している企業が実際に存在している事をどの程度ユーザーにアピールする必要があるかです。

金融機関やクレジットカード情報を入力するフォームをもつECサイトの場合は、視覚でも安全であることを示せる最も厳格なEV SSLがよいでしょう。

視覚情報は不要で、安全性だけ確保できればよいと考えるのであれば、企業認証でよいかもしれません。

個人や内部向けのWebサイトで、重要な情報を記入するページがない場合は、ドメイン認証を選ぶ。

このように、Webサイトの目的とサービス内容によりユーザーへのアピールをどうするかを考えて選んでみてはいかがでしょうか。

導入の注意点

SSL証明書には、有効期限があります。そのため、有効期限が近づいてきたら忘れずに更新する必要があります。更新用のSSLを新たに申請し、発酵され田SSL証明書をWebサーバに再度インストールします。

企業認証SSLとEV SSLは、組織審査を再度実施することが多いため、期限切れ間近に更新手続きしても間に合わない可能性があります。多くの証明書は、期限切れの90日前から更新可能のものが多いので、早めに更新手続きすることをおすすめします。

まとめ

企業のセキュリティ対策の一環として、今後はWebサイトのSSL導入はさらに増えていくと思われます。Webサイトは企業の顔であるため、不正アクセスの被害に遭えば企業の信用、経営に関わる問題となります。被害に遭ってから慌てて導入といったことにならないようにしましょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >