SSL/TLSとは

常時SSLとは?メリットと注意点

ウェブサイトのすべてのページをSSL/TLS化することで、セキュリティ強化以外にもユーザとウェブサイト運営者の双方にさまざまなメリットがあります。

PDF資料配布中
  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?
  5. 常時SSLとは?メリットと注意点

常時SSLの基礎知識とメリット

常時SSL(Always On SSL)は、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化することです。常時SSL化はセキュリティ強化だけでなく、ユーザとウェブサイト運営者の双方にさまざまなメリットがあります。

すべてのページをSSL/TLS化するのが常時SSL

ユーザがより安全にウェブサイトを閲覧し、安心して重要なデータの送受信を行うようにするためには、業種や規模は問わずウェブサイトのHTTPS(常時SSL)化は必須事項になりつつあります。

常時SSLでセキュリティリスクに対抗

認証局発行のSSLサーバ証明書で常時SSLを実現し、インターネット上のセキュティリスクに対抗。

検索順位への影響

利用者の多いGoogleの検索順位の決定要因に、ウェブサイトがHTTPS(常時SSL)か否かが加わる。

ウェブサイト分析への有効活用

HTTPS(常時SSL)であれば、流入時のリファラ情報が取得でき、アクセス解析に活用できる。

SSL/TLS化で高速表示

HTTP/2プロトコルを利用したウェブサイト高速表示は、SSL/TLS化しているウェブサイトであれば実現可能。

常時SSLでセキュリティリスクに対抗

SSL/TLSとは、インターネット上でのデータの通信を暗号化し、盗聴や改ざんを防ぐ仕組み(プロトコル)のことです。SSL/TLS化されたウェブサイトは、URLの頭が「HTTPS」となり、通信の暗号化が保証されます。
SSL/TLS暗号化と電子証明書を組み合わせた「SSLサーバ証明書」は、通信の暗号化とウェブサイトの運営者・組織が実在することが保証されます。

一部のフォームページだけ暗号化するのではなく、全てのページを暗号化することで、インターネット環境における以下の3つのセキュリティリスクに対抗し、ユーザにとって安全なウェブサイトを構築します。

ウェブサイトのなりすまし

有名なウェブサービスやネットバンクなどのサイトを本物そっくりに作ったページにアクセスを誘導し、IDやパスワード、個人情報や決済情報などを不正に入手しようとする、いわゆる「フィッシング詐欺」と呼ばれている不正行為です。

ウェブサイトのなりすまし

暗号化されていないWi-Fi

暗号化されていない公共のWi-Fiネットワークや、Wi-Fiルーターを悪用してアクセスポイントを偽装し、それを知らないまま利用するユーザから、ログイン情報などの情報を受信しようとする中間者攻撃(MITM:Man In the Middle Attack)という脅威も存在します。

暗号化されていないWi-Fiは中間者攻撃の恐れ

Cookieの盗聴

同じWi-Fiスポットに接続している他人のCookieに入りこみ、そのユーザに成りすまして有名SNSなどで投稿や情報の変更などを行うFirefoxのアドオンの存在があります。 全てのページをSSL暗号化する常時SSLを導入すると、悪意ある第三者による盗聴の心配をする必要がなく、ユーザは安心してウェブサイトから個人情報やクレジットカード番号などの決済情報を提供することができます。

Cookieを盗聴されることも

常時SSL化は、これらのセキュリティリスクに対抗できます。ただし、特定箇所のみにSSLサーバ証明書を導入しても同じウェブサイト内に非SSL(HTTP)ページが残っていると安全ではないサイトと認識されてしまいます。
このことから、ログインページやフォームなどの特定のページだけをHTTPSにするのではなく、すべてのページを暗号化して常時SSL化をすることが求められています。

検索順位への影響

せっかくSSL/TLSを導入してしも、一部のページのみ導入であれば、検索エンジンにおいては安全でないウェブサイトと認識されます。これによりユーザの利用が遠のき、結果として検索順位へ影響します。

検索順位の決定要因に

検索エンジンの最大手であるGoogleは、2014年8月に、ウェブサイトがHTTPS(常時SSL)かどうかを検索順位の決定要因にすることを発表し、すべてのウェブサイトに対してHTTPからHTTPSへの切り替えを推奨しております。 また2015年12月には、常時SSL化されたウェブサイトでHTTPページとHTTPSページが同じコンテンツであれば、HTTPSページを優先的にインデックスするというアナウンスを行いました。

「HTTPサイトは安全でない」と主要ブラウザが警告強化

Google Chrome

Googleで提供しているウェブブラウザ「GoogleChrome」にて、2017年1月リリースのバージョン56より、パスワードやクレジットカード情報を送信するHTTP接続(非SSL/TLS)ページに対し、アドレスバーの左に「保護されていない通信」と表示する仕組みを導入しました。
2017年10月リリースのバージョン62では、検索窓や問い合わせフォームなど、ユーザが入力する機能を有するすべてのページにまで拡大。
さらに、2018年7月リリースのバージョン68ですべてのHTTP接続ページで警告を表示すると発表がありました。

Google Chrome「保護されていない通信」

Mozilla Firefox

Mozillaで提供しているウェブブラウザ「Firefox」のバージョン52より、HTTP(非SSL)接続ページのログインフォームをクリックしてIDやパスワードを入力しようとすると、赤い斜線が入った鍵のマークと警告メッセージが表示されるようになりました。

Firefox 赤い斜線が入った鍵のマークと警告メッセージ

主要検索エンジンやブラウザベンダーによるこれらの取り組みにより、今後常時SSL化したサイトは検索エンジンから「ユーザが安心して利用ができる優良なコンテンツである」と評価され、検索順位にも良い影響がもたらされる可能性があります。

ウェブサイト分析への有効活用

自社ウェブサイトの検索順位や訪問者数、サイト内でのユーザの遷移などの分析は、自社ビジネスにとっては重要な指標となっています。

Google検索結果からの遷移は、HTTPSであればリファラ情報が送信される

Google検索自体が常時SSL化されたことにより、ユーザがGoogleで検索した検索結果をクリックしてウェブサイトに遷移する際は、ウェブサイトがHTTPSであれば「Google検索から来たユーザ」としてアクセスログに残り、自社ウェブサイトの分析データとして蓄積されていきます。

リファラ情報が送信される

逆に、HTTP(非SSL/TLS)サイトではリファラ情報が送信されなくなり、どこから遷移してウェブサイトを訪問してきたのかが不鮮明になってしまいます。

リファラ情報が送信されない

ウェブサイト内の遷移は、HTTPSに集約して行動分析

常時SSL化した検索エンジンからの流入を想定して、例えばトップページだけHTTPS化しても、遷移する他のコンテンツがHTTP(非SSL/TLS)ページとHTTPS(SSL/TLS)ページのままではCookieが保存されず、別々のユーザとして記録され、サイト内での行動が不鮮明になってしまいます。

Cookieが保存されない

ユーザが自社ウェブサイトでどのような行動を取ったかを正しく分析するためには、同じサイト内にHTTPページとHTTPSページを混在させず、すべてHTTPSに集約させることが必要です。

Cookieが保存される

全てのウェブコンテンツがSSL/TLS化しているのであれば、自社ウェブサイトの分析もシンプルになり、自社ビジネス発展のためデータの有効活用が可能になります。

ウェブサイトのすべてをSSL/TLS化で高速表示

モバイルデバイスの普及により、ウェブサイト表示の高速化にはHTTP/2は欠かすことのできないプロトコルです。 ウェブページの表示が速くなるといったユーザにとってのメリットもさることながら、大規模なウェブサービスを提供している企業にとっては、リソースの有効活用を図ることができるといったメリットがあります。

HTTP/2とは

HTTP/2は、HTTPを高速化するとともにセキュリティの強化を行い、またモバイル機器でのウェブ表示を高速化するという目的で開発されたプロトコルです。 HTTP/2には、クライアントからサーバに送信するヘッダ情報を圧縮することができるため、送信されるデータ量が2割から3割も削減できるという特徴があります。特に、スマートフォンなどのモバイルデバイスを使用してウェブサービスへとアクセスする場合、このデータ圧縮によるメリットは大きなものがあります。
HTTP/2、ATS(App Transport Security)登場! セキュア通信への理解と実践が求められる時代へ

HTTP1.1とHTTP/2の比較

HTTP/2の利用には、SSL/TLSが必須

Google ChromeやMozilla Firefoxといったブラウザでは、SSL/TLSで暗号化されていないウェブサイトにおいてはHTTP/2は利用できないことを決定しています。
さらに、Internet Explorerの後継ブラウザ「Microsoft Edge」では、既にSSL/TLS暗号化が必須となっております。 また、iOS9に実装された「ATS(App Transport Security)」を有効にしている場合、HTTPでの通信はできなくなり、そのウェブサイトは接続失敗の状態が繰り返され、ユーザからのアクセスが激減することも危惧されます。

「HTTPS導入で通信速度の低下」は昔の話

以前は「HTTPSを導入すると高負荷がかかり、通信速度が低下する」ということがありましたが、それはもはや昔の話。今ではHTTPSを導入しても、現代のネットワークインフラやサーバ、PCのスペックではほとんど実感できないほどの差でしかありません。
やむを得ず古いブラウザに対応する必要が無い限り、ウェブサイトのすべてをSSL/TLS化してHTTP/2のメリットを享受するほうが、将来的にも有益です。

有名ウェブサイトの常時SSL化とともに、HTTPSリクエストも増加の一途

既に国内外の大手有名ウェブサービスはすでに常時SSL化が完了し、Googleでは配信広告の大部分をSSL/TLSにしています。 さらに、米国の政府系サイト・ウェブサービスは、2016年末までにすべて常時SSL化を実施しました。 このような動きもあり、HTTPSでのリクエストはすでに56%(2017年11月時点※)に達しており、今後もその割合は増えていく見通しです。
※「HTTP Archive

HTTP Archive HTTPSでのリクエスト

ユーザにとって、ネットショッピングやネットバンクなどのサービスを利用することは、日常生活の一部として定着しており、ウェブサイトの運営組織が個人情報や決済情報などをきちんと保護し、かつウェブサイト閲覧中の盗聴被害などを防止する対策を講じていることは当たり前という認識です。

常時SSLのメリットと注意点、SSL/TLSの種類と特性を理解し、自社のウェブサイトにはどのSSLが合っているかを慎重にご検討の上、ウェブサイトの信頼性アップと自社ビジネスの発展に繋げましょう。

無料PDF資料配布中!

PDF資料 常時SSLのススメ

常時SSLのススメ メリットと注意したいポイント

SSLサーバ証明書の新規導入、または現在部分的なページにのみSSLサーバ証明書を導入しているお客様向けに、常時SSLの基礎知識から証明書の選び方、導入方法・注意点をまとめたPDF資料を作成いたしました。

資料ダウンロードはこちらから

ページのトップへ戻る