常時SSL/TLSの必要性

常時SSL/TLS(以下:常時SSL)とは、今までフォームが存在するページにのみ設定をしていたSSLを、フォームの有無に関わらずWebサイト全てのページに対してSSL化を施すことを指します。

常時SSL化への変遷

時代と共にSSLの認知度が上がり、必要とされるシーンも変わってきました。
当初は、WebサイトにSSLを設定するということもなく、お問い合わせなど情報の受け渡しにはメールを使用することが多々ありました。2000年代に入ると、送受信する情報を保護するという観点からデータを暗号化して受け渡しをするという流れになり、お申込みのページやお問い合わせのページのような情報を入力するページに対してSSLを設定するようになりました。更に、ここ数年で一部のページのみSSLを設定していればよいという流れから、サイト内の全てのページに対してSSLを設定する常時SSL化が進んできました。

図1:常時SSL化までの流れ

なぜ常時SSLは必要なのか?

信頼できないWi-Fiの利用

今や空港や駅、店舗などあらゆるところでフリーのWi-Fiを利用することができます。しかしフリーで接続が可能なWi-Fiは便利な反面、非常に危険であるということができます。Wi-Fiルーターの偽装やツールを利用して送受信しているデータの盗聴を行うことで、Cookie情報を盗み取ることができてしまいます。Cookieには特定のサイトへのログイン情報が含まれており、悪意を持った第三者によってアカウントの乗っ取りを許すことになってしまいます。これを中間者攻撃(man-in-the-middle attack)と呼びます。Webサイトを常時SSL化することで、中間者攻撃を防ぐことが可能となります。

図2:常時SSL未設定の危険性

そのサイト本当に大丈夫?

ショッピングサイトや銀行、自治体などのサイトはフィッシング詐欺サイトとして狙われやすいサイトになります。Webサイト上に運営組織を識別する手段があれば、アクセスしているサイトが正しいものかどうかがわかります。SSLサーバ証明書を確認することで、運営組織の識別ができるようになります。この確認が全てのページで行うことを可能としているのが常時SSL化です。常時SSLにより、フィッシング詐欺対策につながります。

図3:なりすましサイトへのアクセスの危険性

常時SSLのメリット

SEOとして必要な措置

2014年8月にGoogle社より「HTTPSをランキングシグナルに使用します」という発表がされました。これは、Googleの検索エンジンにおけるランキングのアルゴリズムにおいて、SSL化されたサイトであるかどうかを反映させるというものです。検索エンジンでヒットするページがSSL化していることがランキングに影響するということで、SEOを意識する際の1つの要件として、Webサイトを常時SSL化するということが組み込まれていっています。


※SEOとは、「Search Engine Optimization」の頭文字を取った略語。検索エンジン最適化と呼び、検索サイトでキーワードの検索をした際に、該当のWebサイトがより上位に表示されるための取り組みを指します。SEO対策をすることにより、検索順位で上位に表示されることで、サイトやサービス、ブランド認知度が上がる効果が得られます。

流入元情報解析のための常時SSL化

2012年3月にGoogle社が検索サイトをHTTPS化にしました。これにより、検索サイトを経由して流入してくるユーザ情報の取得が、自社サイトの条件によっては取得ができないケースが発生しています。
HTTPSのサイトからHTTPのサイトに遷移をしてくると、リンク元のサイトの情報(リファラ情報)を取得することができません。HTTPSのサイトからHTTPSのサイトへの遷移であれば、情報の取得をすることはできます。先に述べたように、検索サイトがHTTPS化したことで自社のWebサイトもHTTPS化しないとリファラ情報の取得ができないため、常時SSL化するサイトが増加しています。更に、常時SSL化するサイトが増加すれば、そのサイトからのリファラ情報も取得できなくなるため、早めの常時SSL対応が必要です。

リンク元
リンク先
リファラ情報の取得
HTTP

HTTP


HTTPS


HTTP

×
HTTP


HTTPS


HTTPS


HTTPS


お問い合わせ

ページの先頭へ戻る