常時SSLとは

ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを、常時SSL(Always On SSL)といいます。

ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化することで、 ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。 SSL/TLS化されたウェブサイトは、URLの頭が「HTTPS」となり、通信の暗号化が保証されます。これにより、ユーザは安心してウェブサイトから個人情報や決済情報を提供することができ、第三者による盗聴を心配する必要がなくなります。

さらに、企業実在認証付きの証明書やEV証明書がウェブサイトに入っている場合には、アクセスしているウェブサイトに証明書が入っていることが確認できるため、擬似サイトやなりすましサイトへの誘導を防ぐことができるといったメリットがあります。

 

j-ssl_01 j-ssl_02

 

なぜ今、常時SSL?  SSL/TLSが持つ2つの役割

便利なウェブサービスが増え、スマートフォンやタブレットといった手軽にインターネット接続ができるモバイルデバイスの普及が進んでいる反面、空港やカフェなどの公共の場所でのWi-Fiネットワークは暗号化されていないことが多く、悪意ある第三者に通信を盗み見られる危険があります。

常時SSLは、すべてのページを暗号化することで、従来のログイン情報やクレジットカード情報等の入力画面など部分的なページにSSLを適用するよりも安全な暗号化通信を実現できるのが最大のメリットです。 すべてのページを暗号化する前に、まずはあらためてSSL/TLSの役割を確認します。

 

①通信の暗号化

j-ssl_03   インターネット上でやりとりされているデータ(個人名・住所・電話番号などの個人情報、クレジットカード番号などの決済情報、企業の機密情報など)やCookieを暗号化し、第三者からデータを覗かれないようにします。

 

②サイト所有者の身元保証

j-ssl_04 ウェブサイトの運営者・運営組織が実在することを、グローバルサインなどの認証局が確認し保証します。

 

 

常時SSL化でセキュリティリスクに対抗

 

■ウェブサイトのなりすましに注意!

インターネット環境におけるセキュリティリスクとして、まず一番にウェブサイトのなりすましが挙げられます。

ネットバンクやショッピングなどのウェブサイトを本物そっくりに作ったページにアクセスを誘導し、IDやパスワード、個人情報や決済情報などを不正に入手しようとします。これは「フィッシング詐欺」と呼ばれている不正行為ですので、注意する必要があります。 j-ssl_05

■Wi-Fiでのアクセスによるセキュリティリスク

近年ではWi-Fiネットワークを使ってインターネットにアクセスすることが一般的となっています。 そして、街中の飲食店やコンビニエンスストア、公共スペースには、フリーで接続できるWi-Fiスポットが用意され増えています。 しかし無料Wi-Fiスポットのネットワークは暗号化されていないことが多く、悪意のある第三者に通信内容を盗み見られてしまいます。 常時SSL化は、このようなセキュリティリスクに対抗できます。

ただし、特定箇所のみにSSLサーバ証明書を導入しても、同じウェブサイト内に非SSL(HTTP)ページが残っていると安全ではないサイトと認識されてしまいます。 このことから、ログインページやフォームなどの特定のページだけをHTTPSにするのではなく、すべてのページを暗号化して常時SSL化をすることが求められています。

また、Wi-Fiルーターを悪用して正規のWi-Fiスポットに仕立て上げ、アクセスポイント名を公共のものに偽装し、それを知らないままアクセスポイントとして利用するユーザから、ログイン情報などの情報を受信しようとする中間者攻撃(MITM:Man Inthe Middle Attack)という脅威も存在します。

j-ssl_06

さらに、同じWi-Fiスポットに接続している他人のCookieに入り込み、そのユーザになりすますFirefoxのアドオンの存在もあります。

このアドオンは、Google、Twitter、Facebookといったウェブサービス上で、他のユーザになりすまして記事の投稿や削除を行えるだけでなく、ユーザ情報の変更や削除をしたりすることもできてしまいます。 常時SSL化は、このようなセキュリティリスクに対抗できます。 ただし、特定箇所のみにSSLサーバ証明書を導入しても、同じウェブサイト内に非SSL(HTTP)ページが残っていると安全ではないサイトと認識されてしまいます。

このことから、ログインページやフォームなどの特定のページだけをHTTPSにするのではなく、すべてのページを暗号化して常時SSL化をすることが求められています。

 

 

常時SSLと検索順位への影響

 

■検索順位の決定要因に、HTTPS(常時SSL)かどうかが加わる

常時SSL化するメリットには、検索エンジンから「ユーザが安心して利用ができる優良なコンテンツである」と評価される点が挙げられます。

モバイルデバイスの普及により、「いつでもどこでも」ウェブサイトを閲覧したり、ウェブサービスや検索エンジンを利用する頻度が増えている昨今、自社のウェブサイトやサービスを利用するユーザが、フィッシング詐欺や盗聴などの被害に遭わないようにするために、ウェブサイト自体の安全性向上がより一層求められています。

j-ssl_08

検索エンジンの最大手であるGoogleは、ウェブサイトがHTTPS(常時SSL)かどうかを検索順位の決定要因にすることを発表し、すべてのウェブサイトオーナーに対してHTTPからHTTPSへの切り替えを推奨しております。

またGoogleからは、2015年12月18日に、常時SSL化されたウェブサイトでHTTPページとHTTPSページが同じコンテンツであれば、HTTPSページを優先的にインデックスするというアナウンスがありました。

 

■「HTTPサイトは安全でない」と表示するシステムの導入へ

さらにGoogleは、2016年9月に、2017年1月にリリース予定の「Google Chrome 56」から、パスワードやクレジットカードを送信する HTTPサイト(非SSL/TLSサイト)において、アドレスバーの左に「No Secure」と表示する仕組みを導入すると発表しました。 以後順次、すべてのHTTPサイトにこの「No Secure」を表示させる予定とのことです。 j-ssl_09+10 Googleが公式に「HTTPサイト(非SSL/TLSサイト)は安全でない」という姿勢を示し、利用率の高いウェブブラウザ「Chrome」でこの仕組みが導入されることにより、今後ユーザはHTTPS(常時SSL)化されていないウェブサイトの利用をますます避ける傾向になり、結果として検索順位への影響は確実と予想されます。