GoogleなどのWebサイトの多くが「常時SSL」に移行しつつある。一般企業のちょっとした「ホームページ」もこのトレンドに追従しなければ大きなリスクがある。問題の概要と対策方法を解説する。
いま多くの企業が「Webサイトの常時SSL化対応」を完了しつつあることをご存じだろうか。ECサイトなどの商用Webサイトだけでなく、会社概要やIR情報の公開サイトなどもSSL化が進んでいる。
Googleは2016年9月に全ての自社サービスをHTTPSで提供する方針を示した。その後、Google検索で結果を表示する際にはHTTPよりもHTTPSで提供するサイトを優遇することも明言。2018年8月からはWebブラウザのChrome(バージョン68以降)で、HTTPSが提供されないサイトでは「保護されていない通信」と表示する措置も講じられている。日本国内でもYahoo! Japanが2017年4月から全てのURLをhttpsに切り替えてており、それ以降はhttp://でアクセスしてもhttps://にするようになった。
それほど情報量が多くない「ホームページ」であっても、わざわざ費用を掛けて改修するのは、今後、企業のWebサイトがインターネット上の「信用」を確立するために必要な措置だからだ。
編集部より 本稿を掲載するキーマンズネットも「当社サイトの常時SSL化に関するご案内」でお知らせしたとおり、予定よりやや遅れましたが近々(ようやく?)常時SSL化する予定です。
(追記:2019年2月12日より、常時SSLに対応しました)
正しいドメインであることを証明し、正しいドメインが来訪者と安全に暗号化された通信を確立していることを証明できなければ、後述するように、アクセスしたユーザーに情報漏えいや成りすましの被害に遭うリスクを強いる危険でマナーの悪いWebサイトということになる。
会社の住所や電話番号、登記簿のように、主要検索エンジンに対しても行儀が良く正しいWebサイトであることを示さなければ、企業サイトの信用が失われ、ひいては企業そのものへの最初の接触が「あやしい」と判定されかねない。
ではどうすれば「常時SSL化」に対応できるだろうか。
「Yahoo! Japan」や「Google」などのWebサイトにPCでアクセスしたときに、Webブラウザのアドレスバーにカギのアイコンが表示されるようになったのはご存じだろうか。URLの先頭部分を見ると「https://」となっていることが確認できるはずだ。
インターネットを黎明期から使ってきたユーザーにとっては、Webサイトへアクセスする際は「http://」と打ち込むのが"常識"だった。それがインネターネットの登場から20年あまりが経ち、URLの文字列には「https://」と「s」が付くようになった。試しになじみのWebサイトにアクセスしてURLを見てほしい。ほとんど全てがhttps://になっているはずだ。
多くの人が利用するWebサイト検索エンジンの1つGoogleでキーワード検索をしてみると、リンク先のURLはほぼ全てがhttps://になっている。
これは「常時SSL」(Always On SSL:AOSSL)と呼ばれるもの。SSLそのものは通信を暗号化する仕組みだ。Webサイトで「常時SSL」といったときは、Webサーバとクライアントとの間の通信全てを常にSSLで暗号化する状態を指す。HTTPに変わってHTTPSを利用することでWebアクセスの安全性を高めようという取り組みといえる。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。