「保護されていない通信」？！あなたのサイトは大丈夫？ 〜常時SSL化対応手引き〜

早いもので今年も3月です。

先日、長野を中心にイメージコンサルタントとして活躍する保坂麻衣子さんをお招きしパーソナルカラー診断をしていただきました（イメージコンサルタント保坂麻衣子さんのナガブロはこちら）。

私のパーソナルカラーは「ウィンター」、ベストカラーは「ブルーレッド」と「エメラルドグリーン（ほぼ山雅）」ということですごく嬉しかった円山です。

さて、つい最近、知り合いからこんな質問を受けました。
『あるサイトで保護されていない通信なんて出てるんだけど、どういう意味？』

永らく Firefox ユーザーだった私は一瞬「は？」でしたけど、
それが Google Chrome のことであるとすぐにピーーンときました。

企業のウェブ担のみなさま、ご存知ですか？
Google Chrome の「保護されていない通信」表示。

「保護されていない通信」表示って？

ホームページ制作業者や詳しい方なら当然知っていることなのですが、
Google では以前より「サイト全体のSSL化（常時SSL）」を強く推奨しています。
推奨どころか、常時SSL化サイトは検索結果に影響する、と言っています。
さらに、ブラウザの Google Chrome に於いては、SSL通信されていないページを閲覧する際にはアドレスバーに「保護されていない通信」と表示されるようにまでなりました（2017年1月より）。

Google がここまで強引に世界中のサイトのSSL化を進めようとすることには少し驚きですね。

SSLって本当に必要なの？

さて、Google がサイトのSSL化をぐんぐん勧めてきていることは先程お伝えしたとおりですが、ではなぜSSLはそれ程までに大切なのでしょうか。

SSLとは簡単に言うとデータを暗号化して送受信する方法です。
インターネット上でやりとりされるデータは（わるい人たちは）簡単に見られたり改ざんされたりします。データを暗号化すればこのリスクを減らすことができます。
※完全に防ぐことは現時点ではほぼ不可能です。

これだけでもサイト全体をSSL化するメリットはあるのですが、実はほかにも重要な意味があります。

それは「なりすましサイト（フィッシング詐欺）」を防ぐということです。
SSLを利用する場合には、サイト（企業）が実在するかの認証が必要になります。
なりすましサイトは、あるサイトのそっくりなコピーサイトを作って、アクセスしたユーザーにパスワードやクレジットカード情報を入力させることが目的です。
このときに、あなたのサイトがSSL化してあればコピーサイトも同じに見せるためにSSL化しなければいけません。

後述しますが、認証レベルによってはコピーサイトを作る人には取得不可能なSSLもあります。
最終的にはユーザー次第ではありますが、サイト運営側としてはなりすましサイトが作られないようにするための最低限の策だと言えます。

どんなページで表示されるの？

では、「保護されていない通信」は具体的にどのようなサイトで表示されるのでしょうか。

それは、
“SSL通信されていないページ内に「パスワード」や「カード番号」等の重要な情報入力フォームがある場合” 
です。

ここで注意しなければいけないことは、「サイト全体の常時SSL化」と「Chromeでの警告表示対策はイコールではない」ということです。

Chromeではサイトが常時SSL化しているかしていないかは関係無く、
重要なフォーム入力項目があるページがSSL化されているかいないか、
を見て判断しています。

まぁ、わざわざ特定のページをSSL化するのならサイト全体をSSL化しちゃえばいいのですが…。

Chromeに警告を表示させないようにするには…

ここまで読んできて頭の回転が早い人は勘付いているはず、
どうすればChromeに警告が表示されなくなるのか。

そう、サイト全体をSSL化しちゃえばいいのです！！

今まさにサイトリニューアルを考えているところだよというウェブ担の方は、
制作会社から言われる前にこう言っちゃいましょう。

「やはり常時SSL化したいですね」

既にリニューアル中だけどそんなこと制作会社から言われてないよ、
という方はちょっと考えた方がいいかもしれませんね。

どんなSSLにしたらいい？

制作会社から勧められたのは年間数十万円！
とてもそんな金額を払えません。いやそもそもどのくらいの金額が妥当なのかも分かりません。

という担当者も多いかと思います。
そんな方に少しだけSSL選びのアドバイスをさせていただきます。

【SSL選びのアドバイス】

1. SSLの種類は3種類
SSLの料金は年間で数百円〜数十万円とかなり幅がありますが、金額の違いはそのサイト（運営）に対する「認証レベル」の違いです。

2. ドメイン認証 / 企業認証  / EV認証
認証レベルは低いほうから「ドメイン認証」「企業認証」「EV認証」で、低い認証レベルのほうが金額もとうぜん安くなります。
各認証レベルの違いを簡単に説明すると、
・ドメイン認証 … ドメインさえ存在すれば誰でもすぐに契約できます。
・企業認証 … その企業が実際に存在するか公的な書類の提出が必要になります。
・EV認証 … 企業認証に電話確認等の確認がプラスされます。
です。
要するに、誰でも契約できるか何重にも確認事項が必要かでレベルが分けられているのです。これは、なりすましサイト（フィッシング詐欺）に大いに関わる大切なことです。

3. 強度は同じ
認証レベルが高ければSSLの強度も高いだろうと思いがちですが、実は強度は全く一緒なのです。あくまでも「認証」のレベルなのでしっかり覚えておきましょう。
強度に関しては専門的な説明は省きますが、SSLの専門ならどこの会社も同じだと考えて間違いないでしょう。

以上のアドバイスを参考に、自社に適したSSLプランを選択してください。

まとめ

弊社では昨年末より制作させていただいているサイトは基本的にすべて常時SSL化しています。
おそらく全国各地の制作会社でも同じような流れになっているかと思います。

何年かしてほぼすべてのウェブサイトが常時SSL化されれば、その時にはもはや常時SSL化という言葉も無いのでしょうね。