急激に進む常時SSL/TLS 化

個人情報を扱うフォーム画面などでは必須となっているSSL/TLS（Secure Socket Layer/Transport Layer Security）。これは通信を暗号化することでセキュリティを強化し、第三者によるデータの盗聴や改ざんを防ぐ機能だが、ここ数年はサイト全体の「常時SSL/TLS化」が大きなトレンドとなっている。

「近年は公共無線LANなどセキュリティの低い環境から接続するユーザーが増えており、盗聴被害が非常に増えてきています。そこで、従来のようにパスワードやカード番号といった個人情報を入力するページだけではなく、サイト全体をSSL/TLS 化して常に情報が安全に保たれている状態を作ろうというのが主流の考え方になっています」そう語るのは日本ジオトラストの佐藤範絵氏。

とはいえ、大事だとわかってはいてもセキュリティに関する投資はどうしても後回しになってしまうのが実際のところ。だが、常時SSL/TLS 化を行うメリットは他にもある。

Google は去年の8 月にhttps 接続のサイトを有利にランキングに計上するとコメントを発表したことからページランクへの影響があることもわかっているほか、今年8月にはYahoo! 検索もSSL 化を発表するなど、Web全体がhttps化へ進むのは間違いない。

さらに、常時SSL/TLS 化を行うと「httpsからhttpへの通信はリファラー（参照元）情報が送出されない」というアクセス解析上の大問題を解消できるのも大きなメリット。すでにSSL 対応しているFacebook、Twitter といった大手SNS からのリファラー情報を漏らすことなく取得できるようになれば、詳細な参照元がわかるためWebマーケターや、クライアントにWebサイトの構築・改善を提案するWebディレクターには見逃せない大きなメリットだろう。

ベンダーは信頼度で選ぶ

SSL サーバ証明書には通信暗号化のほかにもサーバを認証する要素があり、これによってなりすましを防ぐこともできる。こうした認証に使用されるSSL サーバ証明書は認証方法の違いにより3つに分類される。

「ドメイン認証型（DV）は最短2分で取得でき、スピーディーさと手頃な価格が魅力です。ただ、ドメイン使用権を保有してさえいれば発行できるため、不特定多数が訪問する一般公開サイトには不向きです。企業認証型（OV）は、ドメイン使用権の保有に加え、登記事項証明書などによって組織の法的実在性を確認した上でなければ発行されません。これによってドメイ ンを所有する実在の組織がサイト運営者であることがわかるため、サイトのなりすましを抑止できるメリットがあります。そして企業認証型よりも厳格な審査が行われるのがEV認証型（EV）。これはブラウザのアドレスバーが緑色になり企業名が表示されるため、ユーザーにより安心感を与えることができます」（佐藤氏）

このようにSSL サーバ証明書はタイプによって違いがあるため、Webサイトの用途や目的にあわせて適切な証明書を選ぼう。

SSL サーバ証明書を提供するベンダーは多数存在するが、選ぶ際はどのような点に気を付けるべきなのだろうか？

「ベンダーを選ぶ際に重要なのは、インフラ周りの機密性・堅牢性に十分な投資を行っているかどうかです。過去にはベンダーが不正侵入され、発行した証明書がすべて利用できなくなったトラブルも起きていますから、コス トだけで選ぶのではなく、信用できる企業、ブランドで選ぶべきだと思います」（佐藤氏）

今後、常時SSL/TLS 化が必須になっていくことは間違いないと言えるだろう。制作段階、提案段階から信頼性の高いベンダーを選び、導入することで、よりスムーズなサイト運営が可能になるはずだ。

シマンテックグループからのお知らせ

最適なSSLサーバ証明書、提案・選択に役立つ
クライアント／社内向けSSLサーバ証明書 提案資料ダウンロードキャンペーン実施中！


期間限定＆Web Designing読者限定で、シマンテック特製［SSL提案資料］を配布中。さらに期間中にダウンロードされた方に、抽選でプレゼントのチャンスも！
Webディレクターの方はクライアントへの提案の際に、Webマーケターの方は社内導入提案の際に、ぜひご活用ください。

応募期間 ： 2015年10月16日（金）まで
応募条件 ： 期間中、指定のフォームより資料のダウンロードをされた方
プレゼント内容 ： シマンテック オリジナル扇子 抽選で毎月15名様
プレゼント送付時期 ： 2015 年9月下旬、10月下旬予定
※ プレゼントの結果は賞品の発送をもって代えさせて頂きます。

（Web Designing2015年10月号より転載）

[PR]企画協力：日本ジオトラスト株式会社