SSL/TLSとは

常時SSLとは?メリットと注意点

ウェブサイトのすべてのページをSSL/TLS化することで、
ログイン情報や決済情報だけでなく、Cookieの盗聴も防止することができます。

PDF資料配布中
  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?
  5. 常時SSLとは?メリットと注意点

常時SSLとは

ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを常時SSL(Always On SSL)といいます。
常時SSLは、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化することで、ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。
SSL/TLS化されたウェブサイトは、URLの頭が「HTTPS」となり、通信の暗号化が保証されます。これにより、ユーザは安心してウェブサイトから個人情報や決済情報を提供することができ、第三者による盗聴を心配する必要がなくなります。
さらに、企業実在認証付きの証明書やEV証明書がサイトに入っている場合には、アクセスしているウェブサイトに証明書が入っていることが確認できるため、擬似サイトやなりすましサイトへの誘導を防ぐことが出来るといったメリットがあります。

一部SSLと常時SSLの違い

常時SSL化でセキュリティリスクに対抗

ウェブサイトのなりすましに注意!

インターネット環境におけるセキュリティリスクとして、まず一番にウェブサイトのなりすましが挙げられます。ネットバンクやショッピングなどのサイトを本物そっくりに作ったページにアクセスを誘導し、IDやパスワード、個人情報や決済情報などを不正に入手しようとします。これは「フィッシング詐欺」と呼ばれている不正行為ですので、注意する必要があります。

ウェブサイトのなりすましによるフィッシングサイトの例

Wi-Fiでのアクセスによるセキュリティリスク

近年ではWi-Fiネットワークを使ってインターネットにアクセスすることが一般的となっています。そして、街中の飲食店やコンビニエンスストア、公共スペースには、フリーで接続できるWi-Fiスポットが用意され増えています。
しかし無料Wi-Fiスポットのネットワークは暗号化されていないことが多く、悪意のある第三者に通信内容を盗み見られてしまいます。

また、Wi-Fiルーターを悪用して正規のWi-Fiスポットに仕立て上げ、アクセスポイント名を公共のものに偽装し、それを知らないままアクセスポイントとして利用するユーザから、ログイン情報などの情報を受信しようとする中間者攻撃(MITM:Man In the Middle Attack)という脅威も存在します。

Wi-Fiでのアクセスによるセキュリティリスク

Cookieを盗聴されることも

さらに、Eric Butler氏が作成したFirefoxのアドオン「Firesheep」を使えば、同じWi-Fiスポットに接続している他人のCookieに入り込み、そのユーザになりすますことができてしまいます。Google、Twitter、Facebookといったウェブサービス上で、他のユーザになりすまして記事の投稿や削除を行えるだけでなく、ユーザ情報の変更や削除をしたりすることもできてしまうのです。

※Cookie:ウェブサイトがブラウザを通じて、ユーザのコンピュータに一時的に情報を書き込み保存させる仕組みのこと

Cookieを盗聴されることも

常時SSL化は、このようなセキュリティリスクに対抗できます。ただし、特定箇所のみにSSLサーバ証明書を導入しても同じウェブサイト内に非SSL(HTTP)ページが残っていると安全ではないサイトと認識されてしまいます。
このことから、ログインページやフォームなどの特定のページだけをHTTPSにするのではなく、すべてのページを暗号化して常時SSL化をすることが求められています。

常時SSLと検索順位やウェブサイト分析への影響

検索順位の決定要因にHTTPS(常時SSL)かどうかが加わる

常時SSL化するメリットには、検索エンジンから「ユーザが安心して利用ができる優良なコンテンツである」と評価される点が挙げられます。
モバイルデバイスの普及により、「いつでもどこでも」ウェブサイトを閲覧したり、ウェブサービスや検索エンジンを利用する頻度が増えている昨今、自社のウェブサイトやサービスを利用するユーザが、フィッシング詐欺や盗聴等の被害に遭わないようにするために、ウェブサイト自体の安全性の向上がより一層求められています。

検索エンジンの最大手であるGoogleは、ウェブサイトがHTTPS(常時SSL)かどうかを検索順位の決定要因にすることを発表し、すべてのウェブサイトオーナーに対してHTTPからHTTPSへの切り替えを推奨しております。
またGoogleからは、2015年12月18日に、常時SSL化されたウェブサイトでHTTPページとHTTPSページが同じコンテンツであれば、HTTPSページを優先的にインデックスするというアナウンスがありました。

「HTTPサイトは安全でない」と表示するシステムの導入へ

さらにGoogleは、2016年9月に、2017年リリース予定の「Google Chrome 56」から、パスワードやクレジットカード情報を送信するHTTPサイト(非SSL/TLSサイト)において、アドレスバーの右に「No Secure」と表示する仕組みを導入すると発表しました
以後順次、すべてのHTTPサイトにこの「No Secure」を表示させる予定とのことです。

Googleが公式に「HTTPサイト(非SSL/TLSサイト)は安全でない」という姿勢を示し、利用率の高いウェブブラウザ「Chrome」でこの仕組みが導入されることにより、今後ユーザはHTTPS(常時SSL)化されていないウェブサイトの利用をますます避ける傾向になり、結果として検索順位への影響は確実と予想されます。

HTTPS化していないとリファラ情報が送信されない

Google検索自体が常時SSL化されたことにより、ユーザがGoogleで検索した検索結果をクリックしてウェブサイトに遷移する際、ウェブサイトがHTTPSでなければリファラ情報が送信されません。
リファラ情報からアクセスログを辿ることにより、ユーザがどのウェブサイトから訪問したのか、またウェブサイト内でどのような軌跡を経たのかを調べることができます。そのため、リファラ情報が送信されないということは、どこから遷移してウェブサイトを訪問してきたのかが不鮮明になってしまいます。

Googleで検索した検索結果をクリックしてウェブサイトに遷移する際、ウェブサイトがHTTPSでなければリファラ情報が送信されない

今やどの業種においても、検索順位は自社ビジネスへの影響が多大であり、自社ウェブサイトの分析は、自社ビジネスには欠かせない重要な指標となっています。それは結果として、自社ビジネスの発展にも影響を及ぼします。
ユーザがより安全にウェブサイトを閲覧できるよう、ひいては自社ビジネスにて機会損失を回避させるためにも、特に企業サイトにおけるウェブサイトのHTTPS(常時SSL)化は必須事項になりつつあります。

HTTP/2のサポートでウェブサイトの表示が高速になる

2015年2月17日、Googleは正式なプロトコルとしてHTTP/2を承認しました。HTTP/2は、HTTPを高速化するとともにセキュリティの強化を行い、またモバイル機器でのWeb表示を高速化するという目的で開発されたものです。その前身はSPDYと呼ばれていましたが、2016年3月4日にはHTTP/2を正式にサポートし、5月15日には実験的に開発したプロトコルSPDYのサポートは終了する予定と発表しています。

HTTP/2には、クライアントからサーバに送信するヘッダー情報を圧縮することができ、送信されるデータ量が2割から3割も削減できます。とくにスマートフォンなどのモバイルデバイスを使用してウェブサービスへとアクセスする場合、このデータ圧縮によるメリットは大きなものがあります。

しかし、Google ChromeやFirefoxといったブラウザでは、SSL/TLSで暗号化されていないウェブサイトにおいてはHTTP/2は利用できないことを決定しています。さらに、Internet Explorerの後継ブラウザ「Microsoft Edge」では、既にSSL/TLSが必須となっています。
また、iOS9に実装された「ATS(App Transport Security)」を有効にしている場合、HTTPでの通信はできなくなり、そのウェブサイトは接続失敗の状態が繰り返され、ユーザからのアクセスが激減することも危惧されます。

「HTTPSは高負荷」というイメージは、もはや昔の話。HTTPS導入による通信速度の低下は、現代のネットワーク、サーバやPCのスペックでは体感できないほどの差になります。
古いブラウザに対応する必要がなければ、SSL/TLS化してHTTP/2のメリットを享受するほうが、はるかに得策です。

まとめ

いまやGoogleだけでなく、Twitter、Facebook、Wikipedia、YouTube、Netflix、Bing、米Yahoo、PayPalといった大手有名ウェブサービスは常時SSL化を完了。Googleでは配信広告の大部分をSSL/TLSにしています。 さらに、米国の政府系サイト・ウェブサービスは、2016年末までにすべて常時SSL化を行うことを義務づけられました。
その結果、HTTPSでのリクエストはすでに40%(2017年3月時点)に達しており、今後もその割合は増えていく見通しです。

今後、特に企業サイトにおいては、ウェブサイトのHTTPS(常時SSL)化と、企業実在認証付きSSLサーバ証明書の導入が必要不可欠となり、業種業態によっては、企業実在認証に加え、緑のアドレスバーが付属するEV SSLを導入し、ユーザに自社ウェブサイトが一目で安全と認識してもらえるようPRする必要があります。
常時SSLのメリットと注意点を理解し、自社ウェブサイトの信頼性アップと自社ビジネスの発展に繋げるために、常時SSL化をご検討ください。

全ページをSSL化する方法

常時SSL導入事例:シュッピン株式会社様

シュッピン株式会社インターネット上で高級中古品を扱うため、お客様に安心・安全を提供することは必須課題。ユーザへ一目で安全なウェブサイトとわかる訴求が急務と考え、ブラウザのアドレスバーに運営会社名が表示されるEV SSLの導入へ。さらにユーザが安心してショッピングを行なうことができるよう、ウェブサイト全体をSSL/TLS化。負荷でパフォーマンスが低下することもなく、ユーザの利便性も向上し、「ウェブサイトの安全性とユーザの利便性を同時に向上」を実現。

シュッピン株式会社様インタビューはこちら

無料PDF資料配布中!

PDF資料 常時SSLのススメ

常時SSLのススメ メリットと注意したいポイント

SSLサーバ証明書の新規導入、または現在部分的なページにのみSSLサーバ証明書を導入しているお客様向けに、常時SSLの基礎知識から導入方法までをまとめたPDF資料を作成いたしました。

資料ダウンロードはこちらから

PDF資料を配布しております

サービスカタログ

サーバセキュリティカタログ
  • グローバルサイン総合カタログ
  • サーバセキュリティサービスカタログ

関連資料

初めての方でもわかるSSL/TLSのキホン 徹底解説 PDF資料
  • 初めての方でもわかるSSL/TLSのキホン 徹底解説
  • 常時SSLのススメ メリットと注意したいポイント

SSLに関する資料ダウンロードはこちら

電話:03-6370-6500(受付:平日10時〜18時)
ページのトップへ戻る