1. 大手ウェブサービスの常時SSL化進む!担当者が知っておきたいSSLの選び方

大手ウェブサービスの常時SSL化進む!担当者が知っておきたいSSLの選び方

  • このエントリーをはてなブックマークに追加

ECサイトを運営するのであればSSLによるセキュリティ対策は必須です。SSLにはセキュリティレベルに応じていくつかの種類があり、効果的に利用するためにはそれぞれのSSLの特性をよく理解しておく必要があります。以下ではそのためにSSLの必要性が高まっている背景や各種SSLの特性、選び方について解説します。

今「常時SSL」が求められているワケ

「常時SSL」とは?

米Googleが2012年3月に検索サイトを常時SSL化し、その後FacebookやTwitter、Netflixなど大手ウェブサービスでも常時SSL化が進んでいます。2016年4月にはYahoo!JAPANが2017年3月までに全サービスの常時SSL化することを発表しました。「常時SSL」とはウェブサイトの全ページに対してSSLを適用することを言います。

ログインページやクレジットカード情報等の入力画面など部分的にSSLを適用するよりも、安全な通信を実現できるのが常時SSLの最大のメリットです。大手ウェブサービスなどが常時SSL化を導入するのには、次の2つの理由があります。

  • 1.空港やカフェなどの公共の場所で利用される安全性の低いWi-Fiネットワークが普及したことで、より安全性の高い通信が必要。
  • 2.ウェブページ表示を高速化する「HTTP/2プロトコル」を利用するためには、SSL接続が必要。

SSLが持つ2つの役割

全サイトにSSLを適用するとなると大きなコストが必要ですが、ログインページなどの個人情報に関わるサイトにのみ適用するだけならコストも大幅に抑えられます。的確にSSLを利用するためにも、まずはSSLが持つ2つの役割を知っておきましょう。

  • 1.暗号化
  • 2.身元保証

第一にSSLは通信を暗号化して第三者に情報を盗まれたり、改ざんされたりするリスクを軽減してくれます。暗号化の強度を左右するのはサービスの提供者(認証局)とユーザ環境です。第二にSSLはウェブサイトの運営者の身元保証をすることで、サイトの信頼性を高めてくれます。

身元保証の種類は大きく2種類に分かれます。1つは「ドメイン認証」、もう1つは「実在認証」です。さらに実在認証には「企業認証」と「EV認証」の2種類があります。身元保証のレベルはこのうちどれを採用するかで変わります。

暗号化のみを行う「ドメイン認証」

ドメイン認証とは?

ドメイン認証はアクセス先のドメインを保証するSSLです。個人でも利用が可能で、手間がかからず、低コスト短期間での導入が可能という点が大きなメリットです。しかしドメイン認証は認証局によるドメイン名登録名義の確認のみで行われるため、SSLの2つの役割のうち暗号化の役割しか果たしてくれません。したがって実在認証と比べると信頼性が低く、パスワードやクレジットカード情報等を盗もうとするフィッシング詐欺対策としては不十分だと言えます。

用途としては比較的高度なセキュリティが不要なイントラネットやグループウェア、特定のユーザのみがアクセスするような会員サイトなど、暗号化のみされていればよいとされるウェブサイトのセキュリティとして使われることが多いSSLです。

「共用ドメイン」「独自ドメイン」の違い

「ドメイン」とはインターネット上における住所のようなものです。このドメインには「共用ドメイン」と「独自ドメイン」の2種類があり、それぞれに特徴があります。前者の共用ドメインは1つのドメインを複数の利用者で使用するタイプのドメインです。例えば「xxx.jp」という共用ドメインがあったとすると、利用者全員のウェブサイトのアドレスの先頭に「http://xxx.jp」がつきます。より低コストで導入可能というメリットがある一方で、サイトとしての信頼性は4つのSSLのうちで最も低くなってしまいます。

これに対して独自ドメインとは各利用者が独自のドメインを使用するタイプのドメインです。共用ドメインよりはコストが高くなりますが、その分、他のサーバーへの引っ越しも同じドメインを使ってできるうえ、サイトの信頼性アップも期待できます。

ドメイン認証
低コストながら通信の暗号化を実現。ただし実在認証よりも信頼性で劣る。
共用ドメインSSL 独自ドメインSSL
1つのドメインを複数の利用者で使用する。最も低コストだが、信頼性も最も低い。 各利用者が専用のSSLを持つ。共用ドメインSSLよりも信頼性は高い。

ECサイトに必須の身元保証「実在認証」

実在認証とは?

ドメイン認証よりも信頼性を高められる身元保証が「実在認証」です。ドメイン名登録名義の確認だけではなく、登記事項証明書や第三者データベースの確認などを追加で行って、アクセスしているウェブサイトの運営組織がドメインの所有者であり、かつ法的に実在している組織であることを証明するためのシステムです。企業の問い合わせページや企業ウェブサイトのトップページ、クレジットカード情報等を入力するECサイトなどの外部向けウェブサイトのセキュリティとして利用されます。

「企業認証」と「EV認証」の違い

実在認証には「企業認証」と「EV認証」という2種類があります。企業認証は次の3つのステップで認証が行われます。

  • 1.ドメイン名登録名義の確認
  • 2.法的な実在性の確認
  • 3.本人確認

ステップ2では帝国データバンクなどの第三者データベースに対して、組織情報の照会を行います。ステップ3では第三者データベースに登録されている代表電話番号に電話をかけ、その実在を確認します。インターネットを経由しない手続きによって、より信頼性を高めているのです。ウェブサイトの運営組織が架空の組織でないということをユーザにアピールするためのSSLとして利用することができます。

これに対してEV(Extended Validation)認証は、世界標準の認証ガイドラインに基づいた最もセキュリティレベルの高いSSLです。企業認証の3つのステップに加え、登記事項証明書による確認が行われます。クレジットカード情報等の入力ページなど特に高度なセキュリティが必要なページで利用されることが多く、EV認証が適用されているページではアドレスバーが緑色に表示されます。金融機関やECサイトの信頼性を高めるために活用されるSSLです。

どうして実在認証が必要なのか?

企業認証では電話での確認、EV認証ではそれに加えて登記事項証明書の提出など、実在認証を利用するには導入コストがかかります。また「そもそも自分の会社が実在することは自分たちでわかっているのだから、第三者による証明は必要ない」と考えることもできます。

しかし前述のようにWi-Fi環境の整備によって安全性の高い通信が求められているうえ、フィッシング詐欺や個人情報の漏えいなどの増加によってアクセスユーザ側にとって、サイトの実在証明はそのサイトを利用するかどうかの判断基準として重要になっています。したがってアクセス数を増やすためには実在認証の導入が必要不可欠なのです。

しかしだからといってコスト面のデメリットを無視するわけにはいきません。SSLの導入を実現するには、ドメイン認証・企業認証・EV認証それぞれの特性を理解し、ウェブサイトのページによって使い分ける必要があります。特に重要な外部向けページにはEV認証、それ以外の外部向けページには企業認証、内部向けのページにはドメイン認証といったように必要に応じてSSLの利用を切り替えることも必要です。

確かに大手ウェブサービスが採用している常時SSLよりは安全性の面で劣ってしまいますが、より現実的にSSLの導入を検討することができるでしょう。

企業認証 EV認証
ドメイン認証に加え、第三者データベースによる確認と電話確認を行う。企業向け。 企業認証に加え、登記事項証明書による確認を行う。最もセキュリティレベルの高いSSL。企業サイトの中でも特に重要なページに適用される。

まとめ

安全性がアクセス数を大きく左右するECサイトにとってSSLの導入は必要不可欠です。更に常時SSL化することで、ウェブサイトのなりすましを防ぐことも可能となります。それぞれのSSLの特性を理解し、使い分けによってコストパフォーマンスをアップさせられるかどうかが鍵となります。自社のサイトのどのページにどのSSLが合っているかを慎重に検討し、サイトの信頼性アップにつなげましょう。

  • このエントリーをはてなブックマークに追加

この記事を書きました

グローバルサインブログ編集部

グローバルサインブログ編集部
所属:GMOグローバルサイン マーケティング部
当ブログの運営・管理を担当。マーケティング部=なんでも屋。
>>グローバルサインブログ編集部の記事一覧