サイトの『SSL化』は済んでいますか?
…突然失礼しました。
昨今、Web周りのセキュリティ・プライバシー保護の観点から『SSL』(https化)の重要性が非常に高くなっており、これからのWebサイトにおいては絶対に外せないポイントとなっています。
SSLとは?
SSLとはSecure Sockets Layerの略で、インターネット上で送受信するデータを暗号化する技術のことです。
※現在は後継技術であるTLS(Transport Layer Security)が一般的に使われていますが、ここではまとめて『SSL』として解説していきます。
この技術に対応し、サイト上でやりとりする通信データを暗号化することを『SSL化』と呼びます。
SSL化されたWebサイトはURLの先頭が『http://』から『https://』に変わるため、https化とも呼ばれています。
※やりとりするデータとは、予約フォームなどに入力するデータだけでなく『アクセスした事実』『どんな端末か(PCか、スマホか、ブラウザは?)』などの通信情報全てを指します。
SSL化のメリット
SSL化を行うことで、『Webサイトのなりすまし・改ざん』『データ通信の傍受・改ざん』を防ぐことができます。
具体的に言うと
- 利用者が送信した個人情報を抜き取られる
- 存在しない注文情報が大量に送信される
- サイトが破壊される
- 詐欺サイトやアダルトサイトに転送される
- サイトが改ざんされ、利用者に個人情報やカード情報の入力を求める内容になる
といった被害を食い止めることができます。
重要なのはSSL化をしていないと、サイト運営者に悪意がなくても利用者に被害を与えてしまう可能性があるという点です。
SSLに対する社会的意識の変遷
元々は銀行口座やクレジットカード情報にだけ暗号化すれば良いという考えが一般的で、お金のやりとりの無いWebサイトにSSLを導入することはほとんどありませんでした。
しかし、インターネットを通した犯罪の増加、個人情報保護意識の高まりと共に
お金に関する情報だけSSL化
▼
名前や住所、メールアドレスを入力するものはSSL化
▼
入力フォームがあるものはSSL化
▼
全てのWebサイトはSSL化
というように、SSLに対する考え方が変わってきています。
SSL化されていないサイトは見れなくなる!?
こういったSSLへの意識の変化からブラウザ側も対応を進めていて、SSL化されていないサイトに対する制限を強めています。
例えば最も利用率の高いGoogleChromeを例にすると…
混合コンテンツに対する警告
▼
混合コンテンツのブロック(非表示)
▼
SSL化されていないサイトへの警告
というように、非SSLへの制限が段階的に強まってきています。
この流れにはFirefox、Safariなどの主要ブラウザも追従していて、将来的にはSSL化されていないサイトは閲覧不可能になると考えられます。
※混合コンテンツ=SSL化されているサイトに、SSL化されていない画像などが混在している状態のこと。
サイトがSSL化されているかのチェックポイント
- URLがhttps://から始まるか
- アドレスバーに鍵マークが表示されているか
- 鍵マークをクリックすると保護されている旨のメッセージが出るか
これらの3点がOKならば、そのサイトは正しくSSL化されていると判断して大丈夫です。
SSL化されているサイトの表示例
SSL化されていないサイトの表示例
結論、SSL化されていないと何が起きるのか
- サイトを改ざんされる恐れがある
- 閲覧者の情報が読み取られ、悪用される可能性がある
- 将来的にはサイトの閲覧自体ができなくなる可能性がある
1,2点目は『悪意ある攻撃者』がいることによって起きるものですが、3点目については
施設の運営者が利用者が怪我をしないよう配慮する義務があるように、サイト運営者にとってもSSLはマナーになってきていると言えます。
もしこれからサイトを制作する場合、または今サイトをお持ちの場合、SSLは絶対必須のポイントとして押さえておきましょう。
(本音)個人サイトならまだしも、企業サイトでSSL対応していないのはかなり致命的です。申し訳ないですが時代遅れと言わざるを得ないです。
日本は官公庁や自治体でも意識が低く、対応していないところが散見されます。デジタル庁とかサイバーセキュリティ庁とか言うのも大事なのかもしれませんが、この辺りも然るべきところが音頭を取るべきかなと…。
