2015.11.18
特別企画 [PR] Web Designing 2015年12月号
常時SSL時代に求められる視点とスキルセットとは何か
サイト全体をHTTPS接続にする常時SSL時代が来ようとしている。常時SSLにはメリットが多いものの、現状ではWeb制作関係者の理解が重要なポイントとなる。WebディレクターやWebマーケターに求められる視点とスキルセットについて紹介しよう。
常時SSL時代へと向かうインターネット
「SSL/TLS(HTTPS接続、以下SSL)」は、これまでお問い合わせフォームやログインが必要なWebアプリケーションなど、必要な場所でのみ使うのが一般的だった。そのため、企業サイトでもSSLサーバ証明書を設定するケースは少なく、作業に関わる人も限定的だった。
ところが今、常時SSL化が大きなトピックとなりつつある。すでに米国政府や金融機関などでは全面的な導入が一般的になり、常時SSL化の流れが加速しているのだ。次世代の通信プロトコルとして2015年春に承認を受けたHTTP/2ではSSLが標準となるなど、将来的にはすべてのインターネット通信がHTTPS化されていく流れにある。Web制作に関わる人は職種を問わずSSLの知識が必要となるはずだ。
とはいえ、常時SSLといってもWebサイト全体をSSL化すればいいという単純なものではない。というのも、SSLには「暗号化」と「認証」という2つの側面があるからだ。暗号化という側面のみ満たせばいいのであれば、ドメイン名の利用権のみを確認して発行されるDV 証明書を用意すればよい。だが、それでは情報の信頼性という点で疑問が生じてしまう。
一方、CA/Browser Forum*のガイドラインに基づき、より厳格な審査のもと発行される「EV SSL証明書*」では、情報発信元の企業の存在が保証されるため、それが正しいものかどうかの判別がエンドユーザーからも行いやすくなる。Webブラウザのアドレスバー上での企業名表示はEV SSL証明書でないと実現できない。近年は検索エンジンやソーシャル経由で、下位階層のページに直接アクセスすることが多くなっているため、信頼できる会社の情報かどうかをアドレスバーで確認できるのはユーザーにとって心の拠り所となる。このような証明書のある会社のWebサイトはSEOの点でも有利で、積極的に導入するケースが増えていくだろう。
現在はフォーム画面のみSSLに遷移させるのが主流だが、今まさに常時SSL化の時代へ突入しているところだ。将来的にはインターネットを流れる情報のほぼすべてが暗号化されるようになると考えられるので、Webサイト構築に関わる人間としては、今のうちに移行に関するスキルセットをマスターしておきたい
おさえておくべき2つの視点
常時SSLを実現するためには、導入後どういうメリットを享受できるのか把握しておく必要がある。一方で、常時SSL実現にかかる導入・運用コストを把握することで、導入の決済権を持つ相手の説得も行いやすくなる。
そのために必要な視点は大きく分けて2つある。一つは、IT資産の管理者としての視点だ。この立場から気になる点は、導入による技術的側面からのメリットだ。常時SSLになると情報が暗号化されるため、クリティカルな情報をどのページ上でも扱えるなど、セキュリティ面での向上が見込める。さらに、Webアプリケーションを開発したり、既存サイトなどに導入する場合でもシンプルに開発しやすくなる。
「例えば、Webアプリケーションではセッション情報をCookieを通じてやりとりすることが一般的です。現在の一部SSL化状態のサイトでは、HTTPのときはCookieを使わず、HTTPSのときはCookieでページ遷移を切りわけるなどの制御が必要ですが、常時SSL化されていれば頭を悩ます必要がなくなります」(シマンテック 中川就介氏)
また、ユーザーにとってのメリットもある。例えば、Webブラウザの「Firefox」では標準でHTTP/2プロトコルが扱えるため、対応するサーバを用意すれば接続が高速化される。もちろん、現状すべてのブラウザがサポートしているわけではないが、HTTP/2の普及を見据えた対応を今のうちに行っておくのは価値がある。
もう一つの重要な視点は、マーケティング的な視点だ。リファラーの取得は、HTTPとHTTPSにまたがるWebサイトの大きな課題であった。そのようなサイトでは、流入元や検索キーワードが取得できないためマーケティング的に大きな損失となる。この問題もサイト全体をSSL化することで解決の道筋が見える。
それに加えて、Googleは検索エンジン上でSSL対応サイトの優先度を上げるという発表をすでに行っており、SEOとしても意味をなす。
「現状、SSL証明書の種別による順位の差はありませんが、将来的には、EV、OV、DVによる違いも生まれてくると予想しています」(シマンテック 阿部貴氏)
シマンテックでは、EV SSL証明書の各種サービスを扱っている。特にグローバル・サーバ ID EVは、ECC (楕円曲線暗号)*にも対応している。セキュリティ面、パフォーマンス面ともに最高水準の証明書である。なお、同社では2015年12月25日までEV SSL導入の割引キャンペーンを実施している
運営者に必須となるセキュリティスキル
さて、来るべき常時SSL時代、Webサイトを制作・運営していく立場の人はどのようなスキルセットを身につけていけばいいのだろうか。まず、今までHTTPのみで公開していたWebサイトはHTTPSで公開されるため、SSL証明書を扱うケースがはるかに増えることが推測される。特に企業や任意団体、公共機関のサイトなどは、常時SSL化する際にEV SSL証明書を検討することも多くなるだろう。
本番環境で証明書を設置する作業はシステムエンジニアが行うこともあるだろうが、問題はその管理だ。企業が所持しているドメインは多岐に渡ることが多く、それぞれに対応する証明書の有効期限や購入場所、そして暗号化形式や種類などの管理を行うのはWebディレクターや社内のWeb担当者のケースも多い。
「シマンテックでは、導入者向けにSSLに関するセミナーを定期的に行っていきます。また、『CIC』(03)など証明書管理・自動インストールツールの開発にも継続的に注力していきます」(阿部氏)
Webサイト運営者にも技術的な理解がより多く求められるようになった現在、新しい知識を収集や、ツールを導入して現場の効率化を図っていくことが欠かせなくなっている。次のHTTPS接続が標準となる世界に向けて、今からその知識を身につけておきたい。
実際に導入するとなると、複数台のWebサーバを運用するネットワーク構成ではサーバ証明書を導入する手間やコストがネックに感じるかもしれない。CIC(Certificate Intelligence Center)などの証明書管理・自動インストールツールなどを活用することで大規模ネットワークでも管理負荷を抑えられる
【用語解説】
●ECC (楕円曲線暗号)
現在の標準的な暗号方式に比べ、短い暗号鍵長でも、より強固なセキュリティを実現できる暗号技術。対応した証明書発行サービスを利用することで、通信のパフォーマンス向上を見込める。
●CA/Browser Forum
電子証明書を使った通信の安全性や利便性を向上させるためのガイドラインを策定しているブラウザベンダーと認証局を中心に構成する団体。
●EV SSL証明書
CA/Browser Forumが定めた「EV証明書ガイドライン」に則り、その基準を満たした認証局しか発行できない証明書。取得には、申請企業・団体の法的実体やドメインの所有権の確認などが必要。
●SSL導入を成功に導くヒントを掲載!ホワイトペーパー ダウンロード実施中
「Web担当者とサーバー担当者のための『常時SSL化』成功のポイント」
シマンテックでは、Webディレクター・WebマーケターをはじめとしたWeb制作者やサーバー担当者が押さえておきたいポイントをわかりやすく解説した、ホワイトペーパーを配布しています。
導入の前に、ぜひチェックしてみてはいかがでしょうか。
◆ホワイトペーパーダウンロードはこちらから!
[PR]企画協力:シマンテック・ウェブサイトセキュリティ
