こんにちは、エンジニアの市原です。
お客様のインフラ提案から導入までのテクニカルディレクションを担当する中で、
最近企業サイトの「常時SSL」についてのご質問を多くいただくようになりましたので今回ご紹介します。
この「常時SSL」という言葉、Googleから「HTTPS(SSL)で接続できるサイトをSEO的に優遇する」という発表があって以来、にわかに注目されるようになってきました。
近年ではマクドナルド、スターバックスをはじめとするファストフード店やカフェにWi-Fi環境があることも珍しくなくなってきましたよね。
駅のホームや図書館などの公共機関にもWi-Fiが設置され、気軽にインターネットが楽しめる環境が整ってきました。
しかし、そういった場所でのWi-Fi電波は、なりすまし被害の懸念など新たなセキュリティリスクを生み出す原因にもつながっていることをご存知でしょうか?
そんな中「常時SSL」といったキーワードが登場してきました。
特に今年は各種IT系メディアで記事になるなど、その動きが活発化しています。
ITmedia エンタープライズでは以下のように早急な対応を呼びかけています。
結論を先に述べる。「大半のWebサイトがHTTPであるが、この常識は1、2年後に大きく崩れる。企業サイトがこの変化に対応するには、いまから計画的に準備する必要があり、速やかに、謙虚に、その対応を計画すべきである」と。
引用元: 「HTTP」前提が崩れる――早く「常時SSL」にすべき理由 (1/3)
http://www.itmedia.co.jp/enterprise/articles/1505/22/news086.html
そこでWebサイト側の対応として「常時SSL」の必要性が高まってきました。
ちなみに「常時SSL」の意味について、本記事においては以下の定義とします。※1
「常時SSLとは、サイトのどのページにおいてもSSLで接続されている状態」
御社のWebサイトも、お問い合わせフォームなど個人情報を取得するページはSSL化されているものの、それ以外のページはSSL化されていないことが多いと思います。
では、実際どのような場合に危険が潜んでいるのでしょうか?
あなたがカフェの無料Wi-Fiに接続してSNSサイトに接続しているとしましょう。
その際、以下の2つの条件が同時に当てはまるときに、アカウントを乗っ取られるなど「なりすまし被害」にあう可能性があるのです。
Twitter、Facebook、Google+など主要なSNSサービスは、常時SSL化を実施済みのため問題ないのですが、企業が運営するECサイトなど対応が望まれるサイトは実は数多くあります。
このように、外出先など安全ではない状況下でインターネットに接続する場面では、企業側での安全対策が重要になってくるのです。
「とはいえ、ウチはTwitterやFacebookじゃないし・・そこまで常時SSL化が必要なの?」という声が聞こえてきそうです。実際私もそう思っていました。
しかし、そんな私の問いに答えてくれたのが以下の一文でした。
現実の世界で新聞を読むときは、何をどんなふうにして読んでいるかを他の人にすべて知られたいとは絶対に思わない。ウェブサイトだって同じことではないだろうか?
引用元:GoogleがSSL (HTTPS) をランキング要因に組み込む日は来るのか?
https://www.suzukikenichi.com/blog/will-google-uses-ssl-as-a-ranking-factor/
もう少し身近なシーンに置き換えると
「電車でスマホを操作しているとき、隣の人に画面を盗み見られて気持ち良いか?」
ということになると思います。そう、決して気持ち良いものではないですよね。
常時SSL化することで、こういった閲覧者のプライバシーを守ることができるのです。
さて、ここまで常時SSLとその必要性について書いてきましたが、やはり導入までには時間がかかりますし、サイトごとに優先順位を付けなければならない場合もあるかと思います。
それでは常時SSLを必要とする緊急度が高いサイトとはどんな種類のものでしょうか?
一言でいうなら、ユーザーが常にログイン状態でページ遷移をするサイトです。
最近はログインを前提とするサービスサイトも多いため、SNSサイトやECサイトでなくても注意が必要というわけです。
最後に常時SSLの簡単なチェック方法をご紹介します。
下記はGoogleのサイトを例にしていますので、一度自社サイトでも試してみてくださいね。
また、Webサイト制作・リニューアルを成功させるためのチェックリスト10をこちらの記事にまとめていますので、合わせてご覧ください。
「Webサイト制作を成功させるためのチェックリスト10」