ブラウザのセキュリティ強化で全ページSSL導入の必要が?

公開日: : 最終更新日:2018/04/11 ホームページ運用

皆さんはインターネットを使われる際に、ブラウザの変化に気づかれたことはありますか?
日本で主に使われているブラウザはGoogleの「Chrome」、マイクロソフトの「Internet Explorer」、Mozillaの「Firefox」などがありますが、見た目のデザインの変更だったり、機能追加があったり、ユーザーの利便性をより高めるために様々なアップデートが繰り返されています。
しかし、見た目の良さや便利な機能だけでなく、ブラウザからみたセキュリティ面もアップデートによって強化されてきています。

昨年2017年秋にリリースされたGoogleの「Chrome 62」では、暗号化通信SSL(Secure Sockets Layer)に対応していないページの、ログインフォームやお問い合わせフォームなどに情報を入力する際、URLバーへ下画像のようなコメントが表示されるようになりました。

SSLとはインターネット上で、サーバーとパソコン間で送受信する情報を暗号化し、外部から情報が分からないようにする仕組みです。
SSLについて、より詳しい説明はこちらのブログ記事をご覧ください。
http://www.web-balloon.com/blog/post-1647/

ブラウザがChromeの場合、SSLを導入していれば、下の図のようにURLバーヘ錠アイコンと「保護された通信」と表示されます。

■GoogleChromeでのSSL導入ページの表示
Image

また、Chromeだけでなく、Internet ExplorerやFirefoxでもSSLが導入されたページでは、保護されている印として錠アイコンが表示されます。

■Internet Explorer
Image2

■Firefox
Image3

逆に、SSLを導入していなければ、確実に情報が流出するというわけではないのですが、GoogleChromeでは下の図のように警告文が表示されるようになり、お問い合わせフォームなどを利用する側が自衛のために確認するべき目安の一つとして扱われるようになりました。

■GoogleChromeでのSSL未導入ページの表示
Image4このように、各種ブラウザでは使用するユーザーに「利便性の高さ+安全性」を提供できるように日々アップデートを行っています。
その中でも、おそらく2018年で最も注目されるのではないかと思われるGoogleChromeの最新アップデートについてご紹介します。

全ページSSLが必要になる?

先日Googleから、2018年の7月に最新のブラウザー「Chrome 68」 をリリースする予定と発表がありました。

Google ウェブマスター向けブログ
https://webmaster-ja.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

「Chrome 68」では、上記項目でご紹介したSSLに対する意識がより強くなっており、お問い合わせなどのフォームがあるページだけではなく、サイト内全てのページに対して、SSLを導入していなければ、URLバーへ「保護されていません」と表示されるようになるとのことです。
ちなみに、全ページSSL化のことを「常時SSL」と呼びます。

しかし、現状で全ページにSSLを導入しているサイトは少なく、ログインページでしたり、お問い合わせフォームや通販ページのみSSLを導入というサイトが多い印象です。
市役所や銀行などでも、お問い合わせページや、ログインページのみにSSLを導入し、トップページなどはSSL無しの通常ページで運営しているサイトがほとんどです。ですので本当に今すぐに全ページSSL導入は必要なの?と思われるかもしれません。

Googleなどの企業が、サイト管理者へ全ページSSL導入を促しているのは、フィッシングサイトの存在が一つの理由と考えられます。
皆さんの元にも届いたことがあるかもしれませんが、近年、大手通販会社や銀行などになりすましたフィッシングメールが急増しています。
メールに記載されたURLをクリックさせ、なりすました企業のサイトとそっくりのフィッシングサイトを作り、ログイン情報やクレジットカード情報などの個人情報を入力させて情報をだまし取る、というのが一般的な手口です。
企業側もユーザーに対し大々的に注意勧告をしていますが、サイトのデザインだけでなく、URLもその企業のURLとそっくりの表記にしたりと、非常に巧妙な手口が増えてきていて、ユーザー自身がフィッシングサイトに対して自衛するしか回避ができない状態とも言えます。
そこで、インターネットを閲覧するためのChromeなどのブラウザ自体に、アクセスしたサイトが本当に正規企業のサイトであるかどうかを証明する機能が搭載されたのです。

SSLは企業の証明書

SSLには3種類の「認証レベル」があります。

①ドメイン認証(DV)
「ドメイン登録者情報」を元に発行される認証です。
企業・組織情報などの登録は不要で、最も簡単に申請できるので、個人運営サイトへのSSL導入はこの認証が使用されています。

②企業認証(OV)
「ドメイン登録者情報」+「サイト運営組織の実在性」を証明した認証です。
公的資料と申請情報の照らし合わせや、電話確認による確認など、ドメイン認証よりも厳しい審査によって発行されます。

③EV(Extended Validation)認証
「ドメイン登録者情報」+「サイト運営組織の実在性」よりも更に厳格にサイト運営組織の実在性が審査された認証です。
申請した住所に企業が実在しているか、法的に実在する企業か、SSL申請者が企業に在席しているかどうかなどが確認された上で発行されるため、3種類の認証の中で最も申請が厳しいのですが、それと同時に最も信頼性が高い認証です。

Image10

個人運営サイトでは①のドメイン認証しか取得できませんが、企業や組織サイトでは①②③の認証が取得できます。
また、②③では「企業の実在性の審査」があり、アクセスしたユーザーに正規のサイトであるとアピールができるため、見た目が全く一緒のフィッシングサイトがあったとしても、ブラウザーのURLバーの表示で正規のサイトか、非正規のサイトかを判断することができます。
特に③EV認証のSSLが導入されたサイトでは、URLバーヘ企業名が表示されるため、一目で判断ができるのです。

Image5

EV認証は主に銀行、通販、各種契約など、重要な個人情報を取り扱うサイトで使われています。サイトの見た目がそのまま一緒のフィッシングサイトがあったとしても、URLバーで正規サイトかどうかを目視で確認できるのです。

では実際の証明書を確認してみましょう。
例えばChromeから、ゆうちょ銀行のログイン画面を見てみるとURLバーに企業名、URLへ「https」の表示があるので、SSLが導入されていることが分かります。
赤枠内をクリックすると、ポップアップが表示され、ここから証明情報の詳細確認ができます。

Image6

Image7

「証明書」の「有効」のリンクをクリックすると、サイトの所有者の証明が表示されます。
この中に、
・運営組織名(O)
・運営組織の所在地
 町名・番地(STREET)
 市区町村(L)
 都道府県(S)
 国(C)
などの情報が記載されており、正規企業サイトとして証明されているのです。

また、Chrome以外の他のブラウザでも同様に、SSLが導入されたサイトではブラウザで認証の印が表示されます。

▼Internet Explorer … EV認証サイトの場合、URLバーが緑色に変色し、錠アイコンをクリックするとサイト所有者の詳細が表示されます。
Image8

▼Firefox … Chrome同様、URLバーヘ企業名が表示され、クリックするとサイト所有者の詳細が表示されます。
Image9

SSLを導入しなかったらどうなるの?

7月にリリースされるChromeでは、「全ページSSLが必要になる!?」でご紹介しました通り、いままで表示されなかった「保護されていません」という表示がURLバーに表示されるようになります。
SSLについての知識がある方ですと、SSLを導入していないんだな…と思われるだけかもしれませんが、通常のユーザーがURLバーの「保護されていません」の表示だけ目に入れてしまうと、保護されていないってなんだろう…アクセスしない方がいいのかな…。などと思われてしまい、サイトへの信頼度が下がってしまう可能性があります。
企業紹介だけのサイトや、ユーザーとの個人情報のやり取りが無いサイトですと、SSL導入を億劫に思われるかもしれませんが、将来的にはChromeだけでなく、Internet Explorer、Firefox、他様々なブラウザでSSLを導入していないサイトに対して、何らかの勧告が出されるかもしれません。

SSL導入のメリット

今まで説明させて頂いた、SSLでできることですが「情報の暗号化によるセキュリティ強化」「企業・組織の実在性証明」以外にもメリットがあります。
Google検索では、全ページSSL導入済サイト = 信頼できるサイト = 「ユーザーにとって有益なサイト」と認識され、SEO的に有利になると言われています。
Google ウェブマスター向けブログ
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

TOPページなど、既にGoogle検索エンジンが「良質である」と判断しているページで順位を変動させるのは難しいかもしれませんが、全ページSSLを導入することによって、今まで評価されていなかったページなどが検索エンジンによって評価されるようになる可能性があります。

まとめ

幅広く、多くの人が当たり前に使うようになったインターネットですが、信頼性・信用性・安全性がより重視されるようになっています。
7月のChromeのアップデートまでに、SSLの導入をご検討されてみてはいかがでしょうか。
SSL導入のご相談は是非ユーシステムへ!

関連記事

ネットショップ事前準備

自社商品をネットで販売~事前準備~

ネットショップ初期の頃は「楽をして儲かる」や「簡単に稼げる」等のキャッチフレーズを、目にしたことがあ

記事を読む

b7de25cce3b88336538f2c6208b07aa5_s

Webで売る!決済方法について知ろう

ネットショップをスタートさせて、直接的に利益をうむホームページを作ってみると、今まで取引のなかったお

記事を読む

1610_blog3

ショッピングサイトで購買数をアップする7つの方法[後編]

先月の記事で「前編 」をアップしましたが、今回は「後編」として引き続き「ショッピングサイトで購買数を

記事を読む

150313

ホームページは「生き物」です!維持・管理の方法

「ホームページは”生き物”」と言われても、ピンとこないなーと思う方もいらっしゃいますよね。でもホーム

記事を読む

1802

お問い合わせメールの前と後に、私たち企業ができること

私は普段、お客様からのご依頼を受けてホームページを作成したり、更新したり、いわば「お問い合わせをされ

記事を読む

shopping_cart_woman

ショッピングカートからの離脱を減らす方法とは?

ショッピングサイトの命はやはりショッピングカート機能だといっても過言ではありません。お客様が「買いた

記事を読む

2009151463323477801

ホームページに動画を取り入れよう!

最近、動画をよく目にすることが多くなりました。Web広告でも動画を使ったものが増えましたよね。不動産

記事を読む

021

ホームページの更新費用を安くする方法とは?

ホームページは完成してからがスタート!手をかけて育てていく必要があります!とお伝えしてきましたが、現

記事を読む

aaaUAL

アクセス解析からユーザーが求めている情報を探ろう

このブログでは何度も言っている通りホームページは作って終わりではありません。常に改善を繰り返していく

記事を読む

1702

リスティング広告だけじゃない!オンライン広告を使ってみよう

オンライン広告、と聞くと、どのようなものを思い浮かべるでしょう? 日頃一番多く目にするのは「リステ

記事を読む

1806
コンテンツを強化しよう!作りっぱなしのホームページにお別れを

今どき「ホームページがない」「今まで一度もホームページを作ったことがな

1804
広告を使って集客してみよう!リマーケティング広告編

自社のホームページがどうやって集客しているのか、みなさんはどれくらいご

Image11
ブラウザのセキュリティ強化で全ページSSL導入の必要が?

皆さんはインターネットを使われる際に、ブラウザの変化に気づかれたことは

1803
わかりやすいホームページって何だろう…情報の精査と選別

ホームページのリニューアルなど、新たに作成するも含め、お客様からよく言

1802
お問い合わせメールの前と後に、私たち企業ができること

私は普段、お客様からのご依頼を受けてホームページを作成したり、更新した

→もっと見る

PAGE TOP ↑