京都のWebマーケッター松尾が教える「SSL導入のメリット」

SSLは無料と有料で何が違うの!?今さら聞けないSSLの仕組みと導入のメリット

(この記事は2018年8月31日に更新されました)

こんにちは。
京都のWebプランニング会社「ウェブライダー」の松尾です。

某社のレンタルサーバーからCPIのサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。
現在、ウェブライダーでは、CPIの専用サーバー共用サーバーのふたつを借り、さまざまなWebサイトを運営しています。

前回、Webセキュリティに関する記事を書きました。
その流れで、今回はWebセキュリティを強化するための「SSL(Secure Sockets Layer)」に関するお話をします。

最近、特定のサイトにアクセスすると、アドレスバーに以下のような警告メッセージを見たことはありませんか?

警告

これは、SSLを導入していないサイトで、アドレスバーの「i」という丸いマークをクリックすると表示される警告メッセージ。
ブラウザのChromeのバージョン68以降やEdgeなどで表示されるようになりました。

ブラウザでこのような警告メッセージが表示されるようになった背景には、Web全体の通信の安全性がもっと高まりますように、というGoogleの思いが込められています。

そう、SSLを導入することで、Webサイト上の通信の安全性が高まるのです。

SSLとは、インターネット上の通信を暗号化する技術のこと。
たとえば、Webサイト上にある「お問い合わせフォーム」などをSSL化すれば、そこで送信される情報が盗み見られることがありません。

「えっ!?お問い合わせフォームの情報が盗まれることがあるの!?」と驚いた方がいらっしゃるかもしれませんが、実は、お問い合わせフォームの内容にかかわらず、ネットで行われるすべての通信は、盗み見られる可能性があります。

たとえば、電話機をイメージしてください。
電話機の回線に盗聴器を仕掛ければ、電話の内容は盗聴できてしまいますよね。
それと同じで、インターネット回線を介したネット上のやりとりは、攻撃者によって傍受される恐れがあるんです。

ただ、その傍受された内容が「意味の分からない暗号」になっていたらどうでしょう?
日本語などでやりとりされているはずの文字列が、意味のわからない暗号に変化していたら、通信を傍受しても中身を知ることはできません。

SSLとは、まさにその、“ネットを介してやりとりされる情報を暗号化する技術”のことを指します。
WebサイトをSSL化するということは、セキュリティの面で、とっても心強いことなんです。

ただ、このSSL、昔は導入コストが高く、予算の少ない小規模なサイトでは導入を見送るケースがありました。
しかし、最近、低価格なSSL、さらには無料のSSLも登場しており、SSLを積極的に導入するサイトが増えてきています。

というわけで、今回はSSLに関するノウハウを取り上げます。

「SSLって何のことかわからない・・・」という方にとって、SSLを導入するメリットなどをわかりやすく解説しますので、どうぞ最後までお読みください。

それではまいりましょう。


●このページの目次

SSLを導入したほうがよいふたつの理由

早速ですが、SSLには以下のふたつの役割があります。



まずはひとつめの役割、「データの暗号化」からみていきましょう。

たとえば、クレジットカード情報を入力するECサイトがあったとします。
もし、このECサイトがSSL化されていない場合、ユーザーが入力したクレジットカード情報は、「誰でも読める状態」のまま、サーバーに届きます。
そうなれば、攻撃者によってクレジットカード情報を盗み見される恐れがあります。

しかし、このECサイトがSSL化されていれば、ユーザーが入力したデータは暗号化されたのちに、サーバーに届きます。
そうなれば、攻撃者はクレジットカード情報を盗み見ることはできません。

SSL化されていなかったらどうなるか

続いて、ふたつめの役割、Webサイトの「所有者の証明」について説明します。

この所有者の証明とは、「このサイトはSSLを導入していて、信頼できるサイトだよ!」という「SSL証明書」を、「CA(Certification Authority)」と呼ばれる認証局から発行してもらうことを指します。
(※この「CA」とは、SSLサービスを運営している団体が集まって作られたSSL認証のための組織です)

このSSL証明書は「電子証明書」となっており、“SSLを導入したそのサイトが信頼できるかどうか?”という証明書としての役割のほかに、暗号化されたデータを解読するためのカギとしての役割もあります。
このカギとは、インディジョーンズの映画などで出てくる“ふたつに分かれた石板をくっつけたら扉が開く”みたいなイメージを想像してください。
暗号化されたデータを解読するためには、必ずSSL証明書が要るということです。

このSSL証明書の内容は、契約したSSLサービスによって異なります。
SSLサービスの暗号化強度はどのサービス経由で申し込んでも同じなのですが、「認証」のレベルが異なってくるのです。

「認証」とは、このドメインは怪しくないか?(ドメインのオーナーはきちんと実在しているか?)、このサイトを運営している企業や団体は怪しくないか?(架空の会社や団体ではないか?)といったことを確認する作業のことを指します。
この認証を受けることにより、あなたはサイトを訪れた人に対して「うちのサイトは安全ですよ!」と訴求することができるのです。

ちなみに、認証のレベルには、ドメイン認証である「DV(Domain Validation)」、そして企業や団体の認証である「OV(Organization Validation)」、そして、最高レベルの認証である「EV(Extended Validation )」という3つがあります。
なかでも、最高ランクの認証である「EV」は、SSL証明書が発行されていることが一目でわかる強みがあります。

あなたは銀行などのサイトを使った際、ブラウザのアドレスバーに緑色の文字を見たことはありませんか?
この緑色の文字でサイト所有者名が表示されているサイトは、「EV証明書」が発行されたサイト、すなわち、最高レベルの認証を受けている安心できるサイトなのです。

「EV証明書」が取得されたサイトの例

冒頭でもお伝えしましたが、最近では、SSL化されていないサイトにアクセスすると以下のような警告メッセージが表示されるようになりました。

警告

今、Web全体にSSL化の波が押し寄せています。


ちなみに、SEOの世界でもSSL化に関する話題がよく出ます。
それは、サイトをSSL化(HTTPS化)することで、Googleから評価されて検索順位が上がる!という話題です。

参考:HTTPSをランキング シグナルに使用します(Googleウェブマスター向け公式ブログ)

実際のところは、SSL化(HTTPS化)しただけで順位がポンと上がるわけではなく、SSL化はあくまでもサイトを評価する一指標でしかないのですが、なぜ、GoogleはSSL化したサイトを評価し始めたのでしょう?

その理由はカンタンです。
Googleは常にユーザー第一主義であり、ユーザーのために、できるだけ「安全かつ信頼できそうなサイト」を検索結果に表示したいと考えるからです。

サイトをSSL化(HTTPS化)することで、ユーザーがお問い合わせフォームなどで送信した情報は暗号化され、守られます。
また、「所有者の証明」をおこなうことが可能になるため、認証レベルが高ければ高いほど、「このサイトのオーナーは怪しくないよ。オレたちが保証するぜっ!」いうと第三者からの信頼のお墨付きを得ることにもなります。

そのため、サイトのSSL化(HTTPS化)はSEOに効果的な施策といえるのです。

では、このSSLを導入するにはどうすればいいのでしょうか?

実はSSLには、安価で手軽に導入できる「共用SSL」と、自分でSSL証明書の発行手続きをおこなう「独自SSL」の2種類があります。

続けて、この2種類のSSLの違いについてお話ししましょう。

「共用SSL」と「独自SSL」の違いについて

「共用SSL」のメリットとデメリット

「共用SSL」とは、“サーバー会社が所有しているSSL化された空間の一部を借りる”形式のSSLで、他人のオフィスの一部を間借りするようなイメージです。

料金は安く、導入も簡単ですが、SSL化したサイトは自分のドメインではなく、“サーバー会社の保有するSSL化された空間”のドメインに置く形となります。

共用SSLはレンタルサーバー会社の持つSSL証明書のサイトを、間借りしているようなイメージ

そのため、ユーザーによっては「あれっ?お問い合わせフォームで送信したら、さっきのサイトと違うドメインに移動したんだけど・・・」という不信感をもたらす可能性があります。

●メリット

  1. 手続きが簡単
  2. 料金が無料もしくは安価

●デメリット

  1. 自分のサイトのドメインから、共用SSLのページに遷移したときに、ドメインがサーバー会社の所有するものに変わるので、「あれって、お問い合わせフォームで送信したら、さっきのドメインと違う・・・」とユーザーに不信感をもたらす場合がある

とはいえ、SSLは導入しないより導入しておいたほうが絶対にいいです。
ちなみに、CPIサーバーの専用サーバー「マネージドプラン」では、この共用SSLを無料で利用できます。

参考:CPI専用サーバー「マネージドプラン」共用SSL

独自SSLのメリットとデメリット

次に「独自SSL」の説明です。

独自SSLは、サーバー会社のSSL化された空間を借りるのではなく、自分のサイトのドメインをSSL化します。
ドメインをSSL化することで、サイト内にあるすべてのページをSSL化することができ、たとえば、WordPressで作られているサイトの場合、WordPressの管理画面もSSLにできます。
それによって、高いセキュリティを維持することが可能です。

この独自SSL、昔は設定や取得にかかる作業がとても面倒でした。
ただ、最近では、設定や取得を代行してくれるサーバー会社が増えており、導入しやすくなっています。

●独自SSL導入のメリット

  1. サイトのすべてのページをSSL化することで安全性が高まる
    (WordPressで作られているサイトの場合、管理画面もSSLにでき、セキュリティレベルが高くなる)
  2. 共用SSLのように、お問い合わせフォームなどで送信した際に別のドメインへ移動しないため、ユーザーが安心する
  3. メールサーバーとSSL通信ができる

●デメリット

  1. 費用がかかる場合がある
    (初期導入費用だけでなく、SSLには「有効期限」があるため、年単位で更新する必要がある)
  2. SSLを設定する際は、サーバーの設定に関する知識をもった人が必要
    (とはいえ、慣れるとそんなに難しくありません(^ ^))

「独自SSL」のサービスにいろいろな価格帯がある理由

Webセキュリティに強いCPIサーバーは、SSL導入にも配慮されており、共用サーバー「ACE01」専用サーバー「マネージドプラン」および「ハイブリッドプラン」で独自SSLに対応しています。

専用サーバー「マネージドプラン」では独自SSLの設定・取得代行のオプションがあるほか、1ドメイン分の「CPI SSLサーバー証明書」が標準提供されています。

また、専用サーバー「ハイブリッドプラン」では、以下のように、大手のSSL証明書の料金割引率が最大58%となる特別クーポン(!)を販売しています。

CPI専用サーバーのSSL証明書

参考:CPI専用サーバーのSSL証明書(2018年8月時点)

上記の表を見ていただければわかりますが、SSL証明書の料金は提供元やサービス名によって違います。

実は独自SSLごとの暗号化の強度は変わらないんです。
にもかかわらず、なぜ料金がこんなに違ってくるのでしょうか?

その理由は、各サービスの「認証」のレベルの違いにありました。

独自SSLの料金の差は「認証レベル」の違い
すなわち、対外的にどこまで信頼度を高めたいか?

CPI専用サーバーのSSL証明書

独自SSLの「認証レベル」の違いとは、そのSSLを取得しようとするWebサイトの所有者に対する“審査の厳しさ”の違いです。

認証レベルが高ければ高いほど、サイトの所有者に対する審査が厳しくなり、その分、信頼度も高くなります。
先述したとおり、認証レベルが低くても高くても、SSLの「暗号化の強度」はまったく変わりません。
認証レベルとは、あくまでもサイトの所有者の信頼度なのです。

では、誰が審査をして認証するのでしょうか?
それは、「CA(Certification Authority)」と呼ばれる「認証局」という組織です。

認証局は国内にいくつかあり、たとえば、セコムトラストシステムズ株式会社や、GMOグローバルサイン株式会社などが有名です。

また、認証局にもレベルがあり、最上位の認証局は政府レベルでの認可を受けています。
先ほどあげた会社は、まさに、その政府レベルでの認可を受けた認証局で、信頼度が高いのです。

そして、認証局は以下の3つのレベルでサイト所有者の認証をおこないます。
(下にいくほど、信頼度の高い認証レベルです)


  1. ドメイン認証:DV(Domain Validation)
  2. 企業認証:OV(Organization Validation)
  3. EV(Extended Validation)

それでは、上記3つの認証について、もう少し詳しく説明していきます。

1、「ドメイン認証(DV)」は誰でも取得できる、もっとも手軽な証明書

「ドメイン認証」はもっとも手軽な認証です。
「このドメインは信頼できますよ」ということを証明するための認証で、料金が安く、個人や企業など関係なく誰でも登録することができ、手続きもインターネット上だけで完結します。

ただし、そのぶん、サイトの所有者の信頼度としてはもっとも低いので、注意しましょう。
(※それでも、SSLは導入しないより導入しておいたほうがいいです)

ちなみに、認証局は以下の流れで認証作業をおこないます。

認証局が認証する流れ

  1. 送られてくるSSL申請情報を確認する。
  2. 申請されたドメインのWhois情報を確認する。
    (※「Whois情報」とはドメインの登録者情報のこと)
  3. 料金支払い確認をする。
  4. メールで「認証のお知らせ」と「証明書発行情報」を申込者に送る。

申請者は申込時に申請するドメインのSSLの「暗号化鍵」を一緒に送るので、認証局は申請者が「SSLの対応準備をしている」という確認ができます。

2、「企業認証(OV)」は企業・団体のみが取得できる

「企業認証」はその名の通り、企業・団体のみが登録できるもので、個人および個人事業主は登録できません。

手続きには、企業の「登記事項証明書」を送る必要があり、認証にはドメイン認証よりも多くの手順を踏みます。

自分のサイトのお申し込みフォームから、お客様に住所や電話番号といった個人情報を送ってもらう場合、「どんな企業が個人情報を預かるのか?」を明示し、自分たちの信用をアピールするという意味で、この「企業認証」以上のSSLを導入しておくとよいでしょう。

「企業認証」の場合の手続きは以下の通りです。
「ドメイン認証」に比べると、公的資料との照らし合わせや、人による電話確認が入り、かなり厳しく審査されることがわかります。

認証局が認証する流れ(認証局によって多少手順の違いはあります)

  1. 送られてくるSSL申請情報を確認する。
  2. 申請されたドメインのWhois情報を確認する。
  3. 「第三者データベース」や、場合によっては企業の登記事項証明書を確認する。
    (「第三者データベース」とは、「帝国データバンク」や「DUNS番号」などの企業情報が登録された公的な識別資料のこと)
  4. 企業の電話番号を確認する。
    (実際に人が電話をかける)
  5. 申込の申請責任者、直接の担当者の在籍・役職・電話番号を確認する。
    (実際に人が電話をかける)
  6. 料金支払い確認をする。
  7. メールで「認証のお知らせ」と「証明書発行情報」を申込者に送る。

3、「EV(Extended Validation)」は最高レベルのSSL証明書

最高レベルのSSL証明書が「EV(Extended Validation)」です。

「EV認証」では、企業や担当者個人の実在証明がより厳しく審査されます。
(※ここでは「EV認証」という言葉を使っていますが、本来、EVという言葉は「認証」までを指す言葉です。そのため「EV認証」という言葉の使い方はおかしいのですが、分かりやすさを重視するため、あえて「EV認証」と書きます)

また、審査が厳しい分、年間の費用は十数万円~ともっとも高額になりますが、EV認証にはこのあとお話しする“あるメリット”があるため、大手のECサイトや銀行といったサイトにおいては導入は必須といえるでしょう。

「EV認証」の手続きは以下のとおりです。
「EV認証」は「企業認証」よりさらに厳しい審査となり、住所が実在しているか?といったことも確認されます。

認証局が認証する流れ(認証局によって多少手順の違いはあります)

  1. 送られてくるSSL申請情報を確認する。
  2. 申請されたドメインのWhois情報を確認する。
  3. 第三者データベースや、場合によっては企業の登記事項証明書を確認する。
  4. 企業の電話番号を確認する。
    (実際に人が電話をかける)
  5. 署名権限者確認者の在籍確認をする。
    署名権限者確認者とは、その企業を代表してSSL証明書の申請手続きを行う担当者のこと。
    認証局が代表電話番号に電話をかけたのち、その担当者が実際にその企業に在籍しているかなどを確認する。
  6. 署名権限者確認者宛に「EV SSL 証明書 申請責任者確認書」を送付し、登録住所が実在しているかどうかを確認する。
  7. 担当者に「EV SSL 証明書 申請責任者確認書」に署名をしてもらった上で返送してもらう。
  8. 申込の申請責任者、直接の担当者の在籍・役職・電話番号を確認する。
    (実際に人が電話をかける)
  9. 料金支払い確認をする。
  10. メールで「認証のお知らせ」と「証明書発行情報」を申込者に送る。

「EV認証」にもなると、かなり厳格に認証の手順が踏まれているのがわかりますね。
そんな「EV認証」ですが、さきほど“あるメリット”があるとお話ししました。
そのメリットとは、ズバリ、以下のようなメリットなんです。

最近増えてきた無料のSSL「Let's Encrypt」とは?

これまでSSLの重要性をお話してきましたが、SSLはどんどん身近になりつつあります。
というのも、無料で使えるSSLが出てきたからです。

無料のSSLは「Let's Encrypt」といいます。
(Let's Encryptという言葉の意味は「さあ、暗号化しよう!」というものです)

Let's Encryptは、安全な通信であるSSLを全世界に普及させるため、2016年4月にサービス開始しました。
これまで、SSL化には費用が必要でした。
しかし、なぜこのLet's EncryptのSSLが無料で使えるのかというと、「SSLを普及させる」というコンセプトに賛同した世界の大手企業などが、スポンサーとして支援しているからです。
ただ、サービス開始当初は、ほとんどのレンタルサーバーがLet's Encryptに対応していない状況でした。
しかし、最近ではLet's Encryptを使えるレンタルサーバーが増えつつあり、レンタルサーバー会社によっては「無料でSSLが導入できる!」ということをウリにしているケースもあります。

とはいえ、タダほど怖いものはない、というのが消費者の心理。
「無料なのだから安全性が落ちるのでは・・・?」と不安になるかもしれません。
でも、大丈夫。
SSLとしての安全性という意味では、他の有料SSLとまったく同じなんです。

「なーんだ、じゃあ、Let's Encryptでいいじゃん!無料なんだし!」

そう思われたかもしれませんが、ちょっと待ってください。
SSL導入において最も重要なのは、「サイト所有者の証明」をおこなうことだったりするんです。

実は、Let's Encryptは、誰でも手軽に導入できるDV証明書のみに対応しており、団体や企業の実在証明が必要なOV、EV証明書には対応していません。
たとえば、以下のように、アドレスバーに“企業名+[国を表すイニシャル] ”という文字列は表示されないんです。
(以下は「EV認証」を受けたサイトにアクセスした際の画面です)

「EV証明書」が取得されたサイトの例

Let's Encryptはあくまでもスポンサーによって成り立っているSSL。
そのため、発行や更新の手続きに手間のかかるOV、EV認証をおこなうのは難しいのかもしれません。

その点を考えると、「うちのサイトは安全ですよ!」というメッセージを強く発信したいなら、無料ではなく有料のSSLを採用したほうがよいということがわかります。

EV証明書を取得しているサイトは、ブラウザのアドレスバーを見ればひとめで安全だとわかる

先ほどお見せした画像は「EV認証」のものでした。
「EV認証」の場合、訪問者がブラウザのアドバレスバーを見ただけで、“このサイトは「EV認証」を受けている”ということがわかるようになります。

なぜなら、「EV認証」を受けたサイトは、ブラウザのアドレスバーが「緑」になるからです。

「EV証明書」が取得されたサイトの例

上記の画像のように、 “企業名+[国を表すイニシャル] ”という文字列が書かれた緑色の文字がアドレスバーの先頭部分に表示されているサイトは、「EV認証」を受けたサイトです。

今後、あなたがネットサーフィンした際、この緑色の文字を見かけたら、そのサイトは信頼できると考えてよいでしょう。

最近問題になっている「フィッシング詐欺」対策でも緑のアドレスバーが有効

「あと●日以内にログインしないと、口座情報が消えてしまいます!」

あなたは、上記のような件名の迷惑メールを受け取ったことはありませんか?
このような件名の迷惑メールは、大抵、インターネットリテラシーが低いユーザーを狙った「フィッシング詐欺」です。

「フィッシング詐欺」とは、大手銀行などのインターネットバンキングのログイン画面そっくりの偽のサイトを作り、ユーザーに口座情報を入力させたあとに、その情報を盗み取る犯罪です。

このフィッシング詐欺でだまされてしまうと大変です。
あなたが偽のサイトで入力した情報は、犯罪者の手に渡ったのち、あなたの銀行口座への不正ログインに使われるからです。

参考:フィッシング対策協議会:りそな銀行をかたるフィッシング (2016/01/25)

実は「EV認証」は、このようなフィッシング詐欺の対策として役立ちます。

というのも、「EV認証」を受けたサイトであれば、アドレスバーに緑色の帯が表示されるわけですから、銀行側が「ブラウザのアドレスバーが緑色でないサイトは偽物です!気を付けてください!」と注意喚起することで、怪しいサイトを見分けることができるようになるからです。

まとめ

いかがでしたか?

SSL化は企業の信用性を証明するだけでなく、サイトの信用にもつながります。
また文中でお話したように、間接的なSEOの効果もあります。

今後、サイトを新規制作される場合や、サイトをリニューアルされる場合には、ぜひSSL導入を前向きに検討されることをオススメします。
その際は、無料のSSLより、できれば有料のSSLのほうが、アクセスしてくるユーザーの安心感につながるかもしれません。

SSLサーバー証明書の選び方については、以下のコンテンツでも詳しく説明されていますので、ぜひチェックしておいてくださいね。

SSL サーバー証明書の選び方


トップへ