タービンインタラクティブが発信するターボブログ、Webマーケティングの最新情報をお届けします|タービン・インタラクティブ

企業サイトは「常時SSL」化すべきか?

作成者: タービン・インタラクティブ|2015年07月06日

こんにちは、エンジニアの市原です。

お客様のインフラ提案から導入までのテクニカルディレクションを担当する中で、
最近企業サイトの「常時SSL」についてのご質問を多くいただくようになりましたので今回ご紹介します。

この「常時SSL」という言葉、Googleから「HTTPS(SSL)で接続できるサイトをSEO的に優遇する」という発表があって以来、にわかに注目されるようになってきました。

どこでもインターネットが楽しめる時代の情報セキュリティ

近年ではマクドナルド、スターバックスをはじめとするファストフード店やカフェにWi-Fi環境があることも珍しくなくなってきましたよね。
駅のホームや図書館などの公共機関にもWi-Fiが設置され、気軽にインターネットが楽しめる環境が整ってきました。

しかし、そういった場所でのWi-Fi電波は、なりすまし被害の懸念など新たなセキュリティリスクを生み出す原因にもつながっていることをご存知でしょうか?

そんな中「常時SSL」といったキーワードが登場してきました。
特に今年は各種IT系メディアで記事になるなど、その動きが活発化しています。

ITmedia エンタープライズでは以下のように早急な対応を呼びかけています。

結論を先に述べる。「大半のWebサイトがHTTPであるが、この常識は1、2年後に大きく崩れる。企業サイトがこの変化に対応するには、いまから計画的に準備する必要があり、速やかに、謙虚に、その対応を計画すべきである」と。

引用元: 「HTTP」前提が崩れる――早く「常時SSL」にすべき理由 (1/3)
http://www.itmedia.co.jp/enterprise/articles/1505/22/news086.html 

常時SSLとは?

そこでWebサイト側の対応として「常時SSL」の必要性が高まってきました。
ちなみに「常時SSL」の意味について、本記事においては以下の定義とします。1

「常時SSLとは、サイトのどのページにおいてもSSLで接続されている状態」

御社のWebサイトも、お問い合わせフォームなど個人情報を取得するページはSSL化されているものの、それ以外のページはSSL化されていないことが多いと思います。

どのような場合に危険なのか?

では、実際どのような場合に危険が潜んでいるのでしょうか?
あなたがカフェの無料Wi-Fiに接続してSNSサイトに接続しているとしましょう。


その際、以下の2つの条件が同時に当てはまるときに、アカウントを乗っ取られるなど「なりすまし被害」にあう可能性があるのです。

  • Wi-Fi接続した回線が暗号化されていない
  • 接続したSNSサイトが暗号化されていない(SSL化されていない)

Twitter、Facebook、Google+など主要なSNSサービスは、常時SSL化を実施済みのため問題ないのですが、企業が運営するECサイトなど対応が望まれるサイトは実は数多くあります。

このように、外出先など安全ではない状況下でインターネットに接続する場面では、企業側での安全対策が重要になってくるのです。

なぜいま企業サイトで常時SSL化なのか?

「とはいえ、ウチはTwitterやFacebookじゃないし・・そこまで常時SSL化が必要なの?」という声が聞こえてきそうです。実際私もそう思っていました。

しかし、そんな私の問いに答えてくれたのが以下の一文でした。

現実の世界で新聞を読むときは、何をどんなふうにして読んでいるかを他の人にすべて知られたいとは絶対に思わない。ウェブサイトだって同じことではないだろうか?

引用元:GoogleがSSL (HTTPS) をランキング要因に組み込む日は来るのか?
https://www.suzukikenichi.com/blog/will-google-uses-ssl-as-a-ranking-factor/  

もう少し身近なシーンに置き換えると
「電車でスマホを操作しているとき、隣の人に画面を盗み見られて気持ち良いか?」
ということになると思います。そう、決して気持ち良いものではないですよね。

常時SSL化することで、こういった閲覧者のプライバシーを守ることができるのです。  

どんなサイトが緊急度が高いのか?

さて、ここまで常時SSLとその必要性について書いてきましたが、やはり導入までには時間がかかりますし、サイトごとに優先順位を付けなければならない場合もあるかと思います。

それでは常時SSLを必要とする緊急度が高いサイトとはどんな種類のものでしょうか?
一言でいうなら、ユーザーが常にログイン状態でページ遷移をするサイトです。

最近はログインを前提とするサービスサイトも多いため、SNSサイトやECサイトでなくても注意が必要というわけです。

サイトが常時SSL化されているか調べる方法

最後に常時SSLの簡単なチェック方法をご紹介します。
下記はGoogleのサイトを例にしていますので、一度自社サイトでも試してみてくださいね。

 また、Webサイト制作・リニューアルを成功させるためのチェックリスト10をこちらの記事にまとめていますので、合わせてご覧ください。
Webサイト制作を成功させるためのチェックリスト10