IT Evangelism

SSLの時代がやって来る!ヤァ!ヤァ!ヤァ!

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

最近、某国の影響なのかサーバーへのアタックやスパムが増えていますね。
みなさんは安全にインターネットをご利用ですか?

そこで今日は、セキュリティについてお話ししたいと思います。

セキュリティの中でも企業のホームページに関連度が高い、「SSL(エスエスエル)」についてお話します。

SSL(Secure Sockets Layer)とは、簡単に言うと「ホームページを安全に見てもらう」ために必要なものです。

弊社のお客様でも、保険会社やホテル、オンラインショップの方々のご要望で導入しています。

■SSLの役割は2つ

  1. 通信の暗号化
  2. ホームページの身分証明

パソコンやスマホとホームページ間のやりとりを暗号化して、第三者に見られないようにします。

例えば、ホームページから問い合わせする際、入力した個人情報が漏洩しては大変です。パソコン側で錠をかけ(暗号化)ホームページに送ることで、もし途中で第三者に漏洩しても内容を読まれることはありません。
情報を受け取ったホームページ側には、錠を開けられる鍵があるので、内容を読むことができます。

暗号化の図

 

次の機能「ホームページの身分証明」とは、SSL事業者が事前に審査し、このホームページは、実在し安全だと証明してくれる機能です。

信頼あるSSL事業者が事前審査を行い、貴社のホームページの身分を証明してくれているので「このサイトは本物で安全だ!」と主張できます。

身分証の図

 

■SSLは3つの被害を防ぎます。

  1. 盗み見の防止
  2. 改ざんの防止
  3. なりすましの防止

1.盗み見の防止

インターネット上では、貴重な情報や個人情報などを含め様々な情報がやり取りされます。
そんな機密性の高い情報を盗み見しようとしている悪者も沢山います。
SSLは、そんな悪者から情報を守るために必要なモノです。先述の暗号化で、情報をもし盗まれても見られないようにしてくれます。

個人情報を取り扱う企業には必須になっています。

2.改ざんの防止

上記、盗み見の防止と同じく、やり取りされる情報を改ざんされるのも大変大きな痛手を負います。注文個数が1個から100個に書き換えられた・・・・。お客様のメールアドレスが書き換えられたら・・・・。そんな改ざんのリスクを回避してくれるのもSSLです。

3.なりすましの防止

フィッシング詐欺をご存じですか?実在するホームページとそっくりな偽物サイトをつくって、個人情報やクレジットカード情報を盗む行為です。

偽物サイトによる被害が増大している中、貴社のホームページが本物だと証明することがお客様の安心に繋がる時代になってきました。

ホームページの身分証明になるSSLは、安心を担保する為に欠かせないモノとなっています。

■ホームページがSSL化されているか確認する方法

至って簡単にSSL化されているか確認できます。下の写真をご覧下さい。

スクリーンショット 2018-04-04 11.52.57

ブラウザのURLを入力する部分(赤枠内)に錠のマークがある場合、このホームページがSSL化されている証明になります。

また、錠のアイコンをクリックするとSSLの証明書が表示がされます。

スクリーンショット 2018-04-04 11.57.00

錠マークがあることで、ホームページを安心にご覧いただけるようになります。

■SSL導入のメリット

GoogleはSSL化されたホームページを推奨すると公言しています。

2018年7月リリース予定のChrome68(Googleが提供するブラウザ)からは「http://」で始まるすべてのWebサイトで、警告が表示されるようになります。

つまり、2018年7月までにホームページをSSL化しないと警告が表示されてしまうということです。

■どうやってホームページをSSL化するの?

大きなステップで説明すると、

1.ホームページを設置しているサーバーからSSL発行の為のキーを発行
   ↓

2.SSL証明書の発行を依頼
   ↓

3.上記サーバーにSSL証明書をインストール

というステップを踏みます。もうどうして良いか分からないというかたは、弊社までお問合せ下さい。技術的な作業は弊社で執り行います。

■でも、費用が高いのでは?

SSL証明書発行にかかる費用は、年間1,000円〜十数万円と幅広くなっています。それは発行するSSLの種類と発行する会社によって変わりるためです。

SSLの種類は3つ

  1. ドメイン認証 Domain Validation (DV)おおよそ年間1000円〜5万円
  2. 企業認証 Organization Validation(OV)おおよそ年間6万円程度〜
  3. EV認証 Extended Validation (EV) おおよそ年間12万円〜

ドメイン認証は、ドメイン(〇〇〇.comやメールの@〇〇〇.comといった部分)を証明するSSLです。もっともお安く審査もメールだけと簡単です。の費用で済みます。ホームページの運用には適しています。

企業認証はその名の通り、企業の存在を証明する証明書です。ドメイン認証よりコストは高くなり、審査も電話で本人確認など手間がかかりますが、それだけ信頼度が高くなります。

EV認証は、さらに厳しい審査で、世界基準のガイドラインがあり、申請者の本人確認、企業の所在確認から申請者以外の身分も証明するなど条件が厳しくなります。その分、信頼度が最も高いSSLになります。価格も高くなります。

また、大手認証会社 シマンテック(ノートンシリーズで有名)や老舗のグローバルサインといった有名企業のSSLは高額。認知度が比較的低い会社は低価格な傾向があります。

ホームページの運用だけで考えると低価格なドメイン認証をお薦めします。

予算に合わせた組み方ができるので、費用対効果を考えて導入できる点が良いですね。

2020年からはSSLが待ったなしです。SSLがやってくる前にぜひ対策をご検討ください。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る