SSLによるHTTPS化、そのメリットとデメリット
- 投稿日:2015年08月19日
- 作成者:weblab
- カテゴリ:その他
平成27年10月から、マイナンバー制度がスタートします。この新しい制度に対して、多くの批判や疑問の声が上がっており、企業/個人レベルでの対策が急がれています。
現代は歴史上、最もプライバシーについて敏感な時代です。「情報漏洩」の文字が新聞を賑わすことも珍しくありません。普段、ホームページを制作している私達も、お客様の大切な情報を預かる立場ですから、日々最新の注意を払って業務に取り組んでいます。
Googleは先日、ホームページのセキュリティを強化する「HTTPS化=SSLによる暗号化通信」を順位決定要因にすると発表しました。適切にユーザーのセキュリティを保護しているホームページの順位を優遇するといった内容です。事実、Googleの全てのページは「https://~」から始まり、彼ら自身もセキュリティに対して配慮していることが伺えます。Wikipedia、Twitter、Facebookといった大手サイトも全て同様です。
「https://~」から始まるURLにホームページを移すには、「SSL証明書」を取得する必要があります。今回はSSLの仕組みとメリット・デメリット、そして今SSL証明書を取得すべきかどうかについて考えてみましょう。
HTTPS化=個人情報を安全に送受信するための暗号化
SSL(=Secure Socket Layer)は、インターネット上で情報をやりとりする際、他者からの不正なアクセスを防止するための暗号化通信を指します。「共通鍵」「公開鍵」という2つの暗号方式を用いて、クレジットカードをはじめとした機密性の高い情報を暗号化します。これにより、情報の漏洩や、悪意のある他者によるなりすましを防ぎ、万が一漏洩した場合でも暗号化により買い得できないようになっています。
ECサイトなど、ユーザーから多くの個人情報を預かるホームページでは必須のオプションです。シマンテック社のベリサイン、GMO社グローバルサインなどを見たことがある方も多いでしょう。SSLを利用するには、認証局(メーカー)に申請を行い、SSL証明書を取得する必要があります。
HTTPS化のメリット
前述のとおり、セキュリティ面で大きな向上が見込まれます。盗聴、改竄、なりすましといった個人情報を利用した悪質な行為を防ぐことができます。
そしてSEO上での優遇を受けることもできます。あるかないかで大幅に順位が変わってしまうことは現状なさそうですが、今後もしもGoogleがHTTPS化の優先順位を上げた場合、その効果は大きなものとなります。
また、証明書を取得していることを正しくユーザーに伝えることで、ユーザーの満足度(安心感)を高めることができます。大手ECサイトでは必ずと言ってよいほど、ホームページが暗号化している旨を掲載しています。ブラウザ上でもSSLによる保護を意味する鍵マークが現れるため、プライバシーに敏感な現代だからこそユーザーに与える効果は絶大です。
HTTPS化のデメリット
もちろん、デメリットもあります。
まずは金銭的なコストです。SSLは当然ながら有料オプションとなるため、取得/申請にお金が発生します。年間数万円程度かかることが多いですが、最近では安価なSSL証明書も増えてきており、年間数千円のコストで運用することも出来るようになってきました。
作業面でも大きなコストになります。http://~から始まるURLとhttps://~から始まるURLは、全く別物です。そのため、外部ソフトやGoogle Search Consoleなどの設定を一からやり直し、http://~から始まるURLについてリダイレクト(転送処理)をかけるなど、細かなケアが必要になります。
HTTPS化は案外大変
「ホームページをhttps://から始まるようにする作業」
というと、sが一個増えただけ、なんだか簡単な作業のように思われがちですが、これが案外大変です。htmlのパス、メタタグは必ず修正しなければいけませんし、リダイレクト(転送処理)は主に.htaccessと呼ばれるサーバ側の設定ファイルを操作する必要があるため、慣れていない担当者が作業すると大きなミスにつながります。導入の際は必ず専門の会社に相談するようにしましょう。
今すぐHTTPS化が必要か
以上、SSLによってホームページをHTTPS化する方法について見てきました。
では、全てのWeb担当者は急いでSSL証明書を取得し、ホームページをHTTPS化する必要があるのでしょうか。
答えはノーです。
Googleが目指しているのはあくまでユーザー体験の向上です。彼らは確かにHTTPS化を順位決定要因としていますが、かといってHTTPS化が不要なホームページ(例えば、一切個人情報を扱わないホームページなど)では、対策は不要です。
逆に頻繁にお問い合わせがあり、フォームから機密性の高い重大な個人情報を入力して貰う必要がある場合は、HTTPS化を検討すべきでしょう。ホームページの目的に合わせ、正しい選択を心掛けましょう。