19年9月追記:
下記に紹介するEV(Extended Validation)認証、EVSSLですが、グーグルクロームの仕様変更により、緑色への変化や組織名の表示が無くなっております。(2019年9月公開のChrome 77より)
変更理由として緑色に変え組織名が入っていても普通のカギマークでもユーザー印象や行動に変化がなく、むしろ誤クリックを誘発するという理由らしいですが、それを言うならそもそもSSLは必要かとも思ってしまいます。とはいえ、見た目上のメリットが無くなったので検討している方はご注意下さい。
なお、一部ブラウザ(インターネットエクスプローラー、マイクロソフトエッジ)では現在も緑色に変化して組織名が表示されています。
当ブログでも何度か取り上げたSSL(Secure Sockets Layer)ですが、世間の流れに乗り導入したはいいけれどあまり意味がない対策にならないためにも企業にとってのSSL導入の目的を考えてみます。
世間の流れについては下記記事をご参照下さい。
参考:SSLの導入 2018年7月版
SSLという言葉を初めて聞く人にも下記で解説していきますが、具体的にはアドレスがHTTPSと「S」が付いていたり鍵のマークや緑色になっているものです。
特に費用面で言えばLet’s Encryptやサーバー付属のサービスとして無料でもSSL対応できるようになっておりSSL導入のハードルは下がっていますが、それにはデメリットもあり国内大手レンタルサーバー会社のさくらインターネットもやんわりと有料をすすめています。
ホームページの制作会社の立場から言えばSSL導入費用の多くはSSLの認証局への費用であり、自社の利益になるわけでもないのでSSLを導入しなかったり、無料のサービスを使う方が提案としてはお客さん受けが良いのかもしれませんが、お客さんの立場を考え意味のあるものにするなら有料を提案することが多いです。
SSLとは?キーワードは7つ
詳細は下記で説明していきますがSSLを語る上では2つの目的と2つの種類、3つの認証という7つのキーワードが重要になってきます。
予備知識として下記をポイントにおいてください。
・暗号化通信
・サイト運営元、所有者の信頼性証明
・共有SSL
・独自SSL
・ドメイン認証(DV)
・企業認証(OV)
・EV認証(EV)
見た目の判断としてはhttpsや鍵マーク、組織名の表示。
Googleのchromeでしたら「保護されていない通信」と表示されないものがSSL対応しているウェブサイトです。
SSL対応サイト
SSL非対応サイト
2018年9月末時点 総務省ウェブサイト
SSL導入2つの目的
SSLは大きく分けて2つの目的の為に導入します。
1、暗号化通信
2、サイト運営元、所有者の信頼性証明
その他表示速度の向上やSEO、検索順位をあげる為など付加的な目的もありますが、大きくはこの2つです。
暗号化通信
SSL(Secure Sockets Layer)の直接の意味としてはデータを暗号化して送受信する仕組みを指します。
暗号化通信は郵便ポストに手紙が届く場面をイメージすると分かりやすいかもしれません。
通常の内容の手紙ではポストに届いた手紙を第三者が勝手に開封したり、悪意の郵便局員が開封すると手紙の内容が流出してしまいます。
しかし手紙の内容を暗号化して受取人にしか分からない符丁を予め決めておけば仮に盗み見られても内容が流出することはありません。
ウェブサイトを利用したネットでのやり取り(問い合わせフォームからのメール、パスワード入力、クレジット情報の入力等)も基本的に平文(そのまま)のまま情報がサーバーに届きます。
通常はもちろん運営元しかその情報を確認することはできませんが、悪意ある人がいればその情報を盗み見することができてしまいます。情報を暗号化することにより仮に盗み見られても問題ないようにするのがSSLです。
サイト運営元、所有者の信頼性証明
直接的な意味には含まれていませんが、むしろ暗号化通信よりも重要な隠れた導入目的としてはサイト運営元、所有者の信頼性証明があります。
まずSSL導入の具体的な仕組みと流れは下記になります。
1、SSLの申請
2、審査
3、SSL証明書の発行
4、SSL証明書の導入
5、暗号化された通信の実現
6、証明の更新
SSL導入を申請するとSSL証明書というものがCA(Certification Authority)と呼ばれる認証局から発行されます。
このSSL証明書は暗号化された情報を元に戻す鍵ですが、信頼性の証明としても使われます。
信頼性の証明とはどういうことかというと、例えばそのウェブサイトは実在の企業が運営しているのかどうかということです。
実態のない会社や個人が情報取得の為に適当に作ったウェブサイトかもしれません。もしくはフィッシング目的で実在の企業のサイトに似せて作ったサイトかもしれません。
ウェブサイトの難しいところとして見た目の綺麗さと運営実態はイコールにならないということです。
立派な会社を装って豪華なウェブサイトを作ろうとしたら簡単にできてしまいます。
そんな時に安全なサイトなのかどうなのかの判断として役立つのがSSLです。
ユーザー側としてはウェブサイトのアドレスを見ると簡単に判断することができ、企業側としては審査の過程において登記簿の確認や電話での確認などで運営元の実態を確認するのでSSLが導入できている=安全で信頼できるサイトというアピールになります。
但し、SSLを導入しているから100%信頼できるサイトかというとそうでもなく認証レベルによって違いも出てくるので後ほど説明します。
2つの種類、共有SSLと独自SSL
※共有と共用で厳密には意味が異なるかと思いますが同じものとします。
ウェブサイトの世界では共有や独自(専用)という言葉が良く出てきます。ドメインでは共有ドメイン、独自ドメイン。サーバーでは共有サーバー、専用サーバー等。
SSLにも共有SSLと独自SSLの2種類があります。
共有SSLとは共有サーバーのオプション的なものでサーバー会社が所有しているSSLを共有するイメージです。
特に個別の審査があるわけでもないので手間がかからず、費用も安く、サーバー会社によっては無料で利用ができます。
具体的にはどうなるかというと例えば独自ドメインをもっている企業サイトで問い合わせフォームやショッピングカートで手続きをすすめると急にドメインが切り替わりサーバーのドメインになることがあります。
例、http://●●●.com
→https://secure●●●.sakura.ne.jp
これが共有SSLです。
対して個別で認証局に申請を出し証明書をもらい独自ドメイン下で運用するものが独自SSLです。
例、https://●●.com)
問い合わせフォームなどの一部だけに導入している場合とサイト全体に導入している場合があります。
メリット・デメリット
共有SSLと独自SSLでメリットデメリットは反対になりますが、
共有SSLのメリットは
・手間がかからない
・費用が安い、無料の場合も
デメリットは
・ドメインがサーバー会社のドメインに切り替わることになるのでユーザーからすると別のサイトに飛ばされた感じになり不安感が出てしまう
・サーバー会社が審査を受けてるのであり、企業が審査を受けて取得しているわけではないので信頼性の証明としては弱いものになる。
(サイトシールと呼ばれるSSL導入が視覚的に分かる画像も使えなかったりもします)
独自SSLのメリットは
・共有SSLのデメリットが無くなる
・サイトの管理画面なども含めてSSL化できるので安全性が高くなる
デメリットは
・費用や手間、承認までの時間がかかる
・設定には知識や技術が必要になる。
です。
独自SSLの費用はピンキリですが、その値段の差は次に説明する認証レベルの差になってきます。
3つの認証、ドメイン認証(DV)、企業認証(OV)、EV認証(EV)
独自SSLの費用は正直ピンキリです。
ここで注意したいのが、暗号化通信としての意味としては安いから危険、高いから安全というわけではなく基本的には暗号化の強度としては同じです。
では何で費用が異なるかというと認証レベルの差です。
認証レベルが高いものほど認証局の審査項目や基準が高くなりその分手間や期間がかかるため費用が高くなります。
言い換えると費用が高いということは信頼性へのブランド価値が高いと言えます。
認証レベルには大きく分けると3つの認証があり、それぞれに複数の認証局(セコムトラストシステムズ、GMOグローバルサイン等)が認証を与えています。
安価に導入できる順としてはドメイン認証(DV)→企業認証(OV)→EV認証(EV)となりEV認証が一番高額ではあるけれど信頼性の高い認証と言えます。
ドメイン認証(DV)のメリットデメリット
個人、法人問わず誰でも取得ができるSSLがドメイン認証(DV)です。
認証の導入例:
申請
↓
ドメインの登録者情報の確認
↓
入金の確認
↓
発行
メリットは
・費用が安い、無料の場合も
・手間がかからない
デメリットは
・企業の実在証明などは行わないので企業としての信頼性をとるのであれば弱い。
企業認証(OV)のメリットデメリット
法人しか取得できず個人事業では取得できないSSLが企業認証(OV)です。
認証の導入例:
申請
↓
ドメイン登録者、登記事項証明書の確認
↓
電話確認
↓
申請責任者、担当者の在籍確認
↓
入金の確認
↓
発行
メリットは
・審査段階で登記事項証明書が必要になるため企業としての実在信頼を得ることができる
デメリットは
・ドメイン認証よりも高額
・登記事項の送付や、電話確認等実在証明に手間がある
です。
EV認証(EV) のメリットデメリット
SSLの中では最も高額ですが、その分信頼性が高いのがEV(Extended Validation)認証です。
EVも企業認証の一種ですが、大きく異なる点として見た目に分かりやすい点というのがあります。
世間によく名前が知られている企業やネットショップ、銀行など金銭のやり取りが発生するサイトでは導入はおすすめ、というよりも必須になってくるかと思います。
認証の導入例:
申請
↓
ドメイン登録者、登記事項証明書の確認
↓
電話確認
↓
申請責任者、担当者の在籍確認
↓
認証局から申請責任者確認書を登録住所宛てに送付
↓
確認書の返送
↓
訪問での現地確認等
↓
入金の確認
↓
発行
メリットは
・見た目に分かりやすくアピールできる。
具体的にはアドレスバーの部分が緑色になったり組織名を同時に表示することができる。
※ブラウザの種類やバージョンによって異なります
・審査段階で登記事項証明書や書類のやり取りが必要になるため企業としての実在信頼を得ることができる
デメリットは
・企業認証よりも高額(年間十数万円)
・認証がおりるまでにより長い期間(認証局により違いがあるが3,4週間程度)と手間がかかる
無料で導入できるSSL、Let’s Encrypt
冒頭で「Let’s Encrypt」というキーワードを出しながらここまで触れてきませんでしたが、Let’s Encrypt も最近話題になっています。
Let’s Encryptは何かというと無料で利用できるドメイン認証(DV)のSSLです。
2016年4月からアメリカのISRGという組織が運営しておりSSLの普及に賛同した企業がそのスポンサーになることで無料を実現できています。
年間十数万円かかるEV認証の後にLet’s Encryptの話題を出すと、ではそれでお願いしますという流れになるのですが、安易に導入する前に一つ検討が必要です。
以下にメリットデメリットまとめます。
Let’s Encrypt のメリットデメリット
メリット
・無料で利用でき、暗号化通信される
(EVなどと比べて暗号化強度は同じなので無料だから暗号化に対して危険があるということはありません)
デメリット
・企業認証ではなく無料簡易に導入できるのでスパムサイト等でも導入できてしまい信頼性に劣る。
・レンタルサーバーによってはLet’s Encryptに対応していないので導入できない
・サイトスキャン機能など有料SSLにあるような付加サービスがない
・証明書の有効期限が90日なのでデフォルトでは都度更新が必要
・有料SSLに比べサポートに劣る面がある
・寄付で成り立っている面もあるので今後どうなるか分からない
企業にとってSSL導入の目的は
SSLについての解説が長くなりましたが、本題に戻り企業にとってSSLを導入する目的は何でしょうか。
2つの目的の内の1つ、暗号化だけを考えるのであれば無料でも有料でも機能的には変わらないのでどれを選択しても良いと思います。
また、会社案内的なウェブサイトや情報発信系のサイトの場合、Google対策ということを考えないのであれば特にSSLを導入しないでも支障がないという考えもあります。
(SSL導入だけだとセキュリティ的には不十分で改竄検知の仕組みなども必要)
ただSSLを導入していない場合、グーグルのブラウザ、Googlechromeでは「保護されていない通信」と現在表示されてしまうので同業他社に比較されやすくそちらが導入しているのであれば導入を前向きに検討した方がいいでしょう。
企業としての信頼性を買うことに繋がるからです。
この信頼性の証明が企業としての一番の導入目的になります。
そういった面ではもちろん費用もかかりますが見た目にも分かりやすいEV認証が一番良いと思います。
まとめ
暗号化対策、Google対策としてはLet’s Encryptや共有SSLなど無料でも導入できるSSLではありますが、デメリットもあるので企業としてサイトを運営していくのであればできればEV認証、最低でも独自でのドメイン認証レベルのSSL導入が必要だと思います。
