KUSANAGI高速セキュリティコラム第03回「これからの常識!Webサイト常時SSL化を知ってますか? メリット、デメリットからKUSANAGIまで」

1.    はじめに
みなさん、こんにちは。WordPress使ってますか? KUSANAGI、使ってますか?
WordPressの高速実行環境KUSANAGIを紹介するコラムを書いている、
プライム・ストラテジー株式会社のセールスエンジニア、穂苅 智哉(ほかり ともや)です。
過去2回はKUSANAGIとはそもそも何なのか、WordPressの大規模イベントWordCamp Tokyoについて書いてきました。
第1回: 超高速WordPress仮想マシンKUSANAGI
第2回: WordPressの国内最大級のイベントWordCampとKUSANAGI

今回は、最近頻繁に耳にすることが多くなってきた、
 常時SSL化
について、書きたいと思います。

2.    常時SSL化って、なに?
皆さん、「常時SSL化」という言葉、聞いたことがあるでしょうか。
「IT系のニュースでよく出てくるなあ。」
「Googleで検索をしているとURLのところが緑色の鍵マークがでているサイトが最近あるなあ。」
「SSL?なんだろう?」
「自社のサイトも常時SSL化対応をしていかないといけないと思っているから注目している。」
など、様々ではないでしょうか。
まずは、常時SSL化というものが何なのかについて説明します。

常時SSL化とは、Webサイトの全てのページをSSL化(暗号化)することです。
下の画像は弊社プライム・ストラテジーのソリューションである
「KUSANAGI」のページで、こちらは常時SSL化対応済みのサイトです。
すると、TOPのページから下のようにいかにも安全そうな鍵マークが表示されます。
kusanagi201612hokari
今まではお問い合わせフォームやログイン画面といった、個人情報を入力、送信するページにのみSSLは使われてきました。大事な個人情報を送信する際にデータを覗き見られたり、改ざんされたりすることを防ぐためです。今後はそれが全ページに適応することが常識になってくるでしょう。
では、なぜこんなことになってきたのでしょうか。

3.    常時SSL化が進んでいる背景
常時SSL化が進んでいる背景には、主に3つあるかと思います。
① スマートフォン、タブレット端末の普及と、Free Wi-Fiの拡大
博報堂DYメディアパートナーズのメディア環境研究所が発表した、「メディア定点調査2016」によると、東京地区のスマートフォン、タブレット普及率が、
スマートフォン:70.7%
タブレット:38.8%
となっています。
また、Free Wi-Fiは、2014年の総務省情報流通行政局によると、国内のアクセスポイントは100万か所程度はあり、今後の外国人観光客の増加に伴い、ますますFree Wi-Fiスポットを全国的に増加していこうとしています。
(参考)
http://www.soumu.go.jp/main_content/000322502.pdf
皆さんもスターバックスコーヒーのFree Wi-Fiや街中、海外旅行で利用したことがあるのではないでしょうか。

② 大手Webサービスによる常時SSL化の動き
世界的なWebサービス企業である、google、Facebook、Twitter、YouTube、Wikipedia、Netflixなどは既に常時SSL対応を完了しており、日本でもYahoo! JAPANが2017年3月までに全てのサービスの常時SSL化対応を完了させると発表しています。
(参考)http://docs.yahoo.co.jp/info/aossl/

特にgoogleは、2017年1月より、(Chrome 56)より、パスワードやクレジット カードの情報を転送する HTTP サイト(常時SSL化未対応サイト)には、安全でないことが明示されると発表がされています。
自分たちのWebサイトのURLの横に「Not Secure」と出てくるというのはなかなか辛いものがありますね・・・
(参考)
https://googledevjp.blogspot.jp/2016/09/moving-towards-more-secure-web.html

③ HTTP/2という新しい高速通信方法の確立
新しい通信の仕組みであるHTTP/2が確立されたことも常時SSL化普及の一因です。従来、常時SSL化をすると、
「ページ表示速度が遅くなってしまうのではないか」
という心配がありました。
しかし、このHTTP/2によって、常時SSL化でありながら高速な通信が可能です。大きな技術的違いの一つは、1回の接続で、複数データのやり取りが行えるところです。
こういった最新技術の普及によって、今後も常時SSL化は加速していくでしょう。

では、その常時SSL化をすることによって得られるメリット、デメリットは何なのでしょうか。

4.1. 常時SSL化のメリット
常時SSL化のメリットは以下のようにまとめることが出来ます。

1.盗聴、パケット改ざんの防止
Cookieを含めたすべての情報を暗号化するため、
データの中身を見られる危険性が下がりパケット改ざんもされにくくなります。
2.Webサイトが本物であることを証明できる
証明書により、第3者の証明が必要なため、そのサイトが本物であることの証明になり、なりすましサイトへの誘導にユーザーが気づきやすくなります。

3.サイトの信頼性が上がる
各社ブラウザにより、HTTPSのWebサイトを「安全」、
HTTPのサイトを「危険」と表示するシステムに変化していく予定です。

4.検索エンジンからの評価が上がる
Googleなどの検索エンジンから
「ユーザーが安心して利用できる優良なコンテンツである」と評価されます。

5.多くのリファラ情報の取得が可能
HTTPリファラを使えば、クライアントがどのサイトから訪問してきたかを
分析でき、HTTPからの流入もHTTPSからの流入も取得可能になります。

6.Webアプリ開発の効率化
HTTPSとHTTPのサイトの混在がHTTPSに統一されることで、
開発の効率化にもつながります。

常時SSL化の大きな意味合いには、2つあり、
1つが「暗号化」、
もう1つが「第三者証明」です。

暗号化とは、通信を暗号化することで通信時の盗聴や改ざんをされないようにするものですが、
第三者証明とは、サイト運営者とユーザー以外の第三者により、そのサイトが本物であることを証明してもらうことです。この証明をする証明書を「SSL証明書」といい、SymantecやGMOなどが有名です。
上のメリットの2に当たる部分です。証明書の認証をどこまで詳しく調べるかによって証明書のレベルが分かれており、金額も大きく変わっていくのですが、長くなってしまうのでここの話は次の機会にご説明したいと思います。

また、SEO的な観点、マーケティングの観点、開発の観点からもメリットを上げることが出来ます。

4.2. 常時SSL化のデメリット
一方、常時SSL化のデメリットとしては、以下のようなものがあります。

1.ソーシャルシェアのアカウントがリセットされる
サイトアドレスが変わるため、
TwitterやFacebook、Google+といったソーシャルシェアのカウントが
すべてゼロになります。

2.Webサイト内の取り込みコンテンツにも注意
Webサイト内で外部スクリプトの読み込みやコンテンツの
取り込みを行う場合、それらもすべて安全であることが必要になります。

3.常時SSL化のSEO効果は限定的
GoogleのGary Illyes によると、
「競合サイトがあって、すべてが同レベルなら
HTTPSのほうが評価は上がる」というSEO効果にとどまっています。

4.アクセス解析ツールへの再登録が必要な場合も
HTTPS化によってサイトアドレスが変わるため、
アクセス解析ツールへの再登録が必要な場合があります。

5.各サイトに合ったSSL証明書を見つけるのが難しい
SSL認証の信頼性の段階によって、金額、信頼性は変わってきます。
また、期限切れの証明書をそのままにしていることも逆効果です。

URLが変わってしまうため、今までのFacebook等のアカウントがリセットされてしまうことや、常時SSL化にする際にも外部コンテンツ(youtubeなど)を取り込んでいる場合には注意が必要であることなどがあります。

5.KUSANAGIによる常時SSL化
プライム・ストラテジーのKUSANAGIなら、常時SSL化、HTTP/2対応は標準です。SSL証明書も、無料のLet’s Encryptが標準で採用されておりますので、どなたでも簡単に常時SSL化が可能になっています。(もちろん他の証明書も使用可能です。)
WordPressサイトの常時SSL化を考えておられるのでしたら、KUSANAGIで対応させていくのが良いのではないでしょうか。
(参考)
http://www.atmarkit.co.jp/ait/articles/1610/04/news015.html

6.おわりに
最後までお読みいただいて、ありがとうございました。
常時SSL化は、「やるかやらないか」という2択ではなく、「いつやるか」という選択になってきています。いつかやらないといけないのなら、早いうちにやっておくことが良いのではと思います。
今回挙げきれなかった常時SSL化の側面もたくさんありますので、この記事をお読みいただいて興味を持ってくださった方は、ぜひ調べてみて下さい。
それでは、また次回お楽しみに!

※標準で簡単に常時SSLができるKUSANAGIについて、興味がある方は以下をご覧ください。
https://www.si-jirei.jp/kusanagi/

Related post

更新情報

最新コラム

  1. こんにちは。吉政創成の吉政でございます。今日は「Ruby on Railsを高速化するKUSANAG…
  2. 本連載では、全国の企業の皆様がICTを有効活用して、業務課題の解決や生産性の向上を通じて残業時間の短…
  3. 1.はじめに みなさん、こんにちは! 最近はめっきり寒さが際立つ様になってきました。 プラ…

最新事例

  1. 下記の通り、 Cisco Meraki導入事例「株式会社 陣屋 」を公開しました。ご興味がある方は下…
  2. アンチウイルス「Dr.Web」の導入事例「日本通運の運行管理システムで活用される約1万台のスマートフ…
  3. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…

ログインステータス

You are not logged in.
Return Top