知らないと危ない!?SSLの安全性

最近仕事で「SSL」という言葉を耳にします。SSLのふわっとした概要は知っていますが、本当にセキュリティ的に安全なのか調べてみました。

SSLとは?

SSL(Secure Sockets Layer)とはネット上で重要なクレジットカード情報や個人情報などのデータを暗号化し、サーバーを通してサイトのデータを送受信する仕組みです。旅館の予約サイトやネットショッピングでは欠かせないプロトコルになっています。

暗号化の種類として「共通鍵暗号化方式」と「公開鍵暗号化方式」、共通鍵暗号化方式と公開鍵暗号化方式を組み合わせて使用するの3つがあり、更に「公開鍵暗号化方式」は「公開鍵」と「秘密鍵」の2種類を使用する方式です。

そもそもなぜ今SSL化が話題になっているのかというと、改正個人情報保護法が2017年5月30日から実際に適用され始めたからです。改正個人情報保護法の中に企業が運営しているサイトにSSL化の導入が入っていますので、今までサイトのメールフォームのセキュリティに関して何の対策もしてこなかった企業がSSL対応をしようと動いています。

ネットのセキュリティ状態には3つ種類がある

今見ているサイトがSSL通信になっているかわからない!という方も多いと思いますので、私たちが普段利用しているサイトのセキュリティがどんな状態なのか見分け方を書きたいと思います。

SSL無し

SSLされていないサイトは、サイトのURLの始まりが「http://」から始まっています。
またサイトのURLの横の記号が「i」になっているのがSSL化されていないサイトです。

セキュリティが弱い状態なのでフリーで接続できるwi-fiを使用して、ネット上から個人情報のデータが抜き取られてたり、クレジットカードを不正に使われたりする危険性があります。

一部SSL

サイトのTOPページや他のページはSSL化されていないけれどもお問い合わせページなどの個人情報を入力・送信するページのみSSL化されている状態が一部SSLです。

一部SSL化されているのならばセキュリティ的に問題ないかと思われますが、例えばお問い合わせの個人データ入力のページは「http://」のページでデータを送信するページ(確認ページ)は「https://」であると送信時に個人情報が抜き取られてしまったり、個人情報を書き換えられてしまったりという危険性が高いです。できることならばサイト全体にSSLをかけてセキュリティ対策をしたいですね。

常時SSL

サイト全体にSSLをかけている状態が常時SSLです。
サイトのURLが「https://」から始まっており、サイトのURLの横に緑色の鍵マークがついています。

お問い合わせなどのページで個人情報などを入力・送信しても暗号化されるので、個人情報の抜き取りや書き換えができなくなります。
ただし100%安心というわけではなく、正しく導入できればサイトの安全性は高まります。

SSLのメリットデメリット

サイトのセキュリティが向上するだけがSSLのメリットではありません。またデメリットも少なからずあります。

セキュリティの向上

今まで何も考えずにネットショプを利用してきましたが、クレジットカードなど個人情報が勝手に抜き取られているかもしれないと思うと、サイトのセキュリティは重要です。
前述でもありますがサイトをSSL化することでサイトのデータの送受信が暗号化されますので、安心してサイトのサービスを利用することができます。

信頼性の向上

サイトにSSLをかける際、第三者機関のSSL認証局からSSLサーバ証明書というものを発行してくれます。
発行してもらった証明書はブラウザで確認することができるので、ユーザーからは安心して使用できるサイトだと認められ信頼性が上がります。

SEOの向上

影響は非常に低いですがSSL化しているサイトをGoogleの検索順位で優遇するということが2014年8月に公式で発表されています。今後SEOの順位を上げるためにサイトのSSL化をする会社様も多くなっていくのではないでしょうか。

デメリットはコスト

最近NTTさんやGMOさんのSSL証明書発行の料金を見ましたが思った以上に金額が高くて驚きました。
基本的にSSL証明書の有効期限は1年であるため、更新をするたびにSSL証明書発行の料金がかかります。
SSL化をするのにためらう理由として、SSL証明書発行の料金が一番大きいかもしれません。

以前使用したさくらサーバーのSSLは認証レベル(ドメイン認証・企業認証・EV認証)で金額が変わります。
ドメイン認証でしたらお手頃な料金ですので、SSL証明書発行の料金でSSL化をためらっている方は一度見てみてください。

まとめ

サイトのSSL化はセキュリティの向上につながっているため、簡単にできる作業ではありません。
SSLの証明書を発行するのに時間もお金もかかります。
だからこそユーザーが安心・信頼して使用できるサイトが作れるのでSSL化をまだしていない企業はサイトのSSL化を考えてみてはいかがでしょうか。

このエントリーをはてなブックマークに追加

筆者

Y.Urushizaki

1日を100%全力で生きるをモットーに毎日すごしています。幸せだなと思う瞬間は仕事終わりに「今日も頑張った」と思いながら駐車場まで歩く時と、近所の野良猫と遊んでいる時です。最近自覚したことは周囲も驚くほどの雨女だったことで、過去に行ったテーマパーク(ディズニー・ユニバ・富士急・ナガスパ)はほとんど雨の思い出がしかありません。たまにテーマパークで晴れると自分より強い晴れ男・晴れ女が存在する事実に少しテンションがあがります。

筆者が最近執筆した記事