「保護されていません」――あなたの会社のサイトは大丈夫？ いま「常時SSL」が必要な理由

[PR／ITmedia]

PR

　「保護されていません」「保護された通信」――こんな言葉をWebサイトのURLバーで見たことはないだろうか。

　URLをよく調べてみると「保護されていません」の場合は「http://」、「保護された通信」だと「https://」で始まっているはずだ。httpに「s」が付いている場合は、Webサイトから送られるデータが暗号化されている証。第三者が情報を読み取ることができないようになっている。

　現在、こうした表示は個人情報を入力するページだけで表示される。だが、今後はますます警告が厳しくなるようだ。例えば、Googleは数年以内に全ての「http://」のページに警告を出すようにすると宣言している。もし、あなたの会社のWebサイトが「http://」のままで「保護されていません」という表示が出てしまったら……。不安に思ったユーザーが利用をためらうかもしれない。

写真はイメージです

　そうした中、「常時SSL」が注目を集めている。一部のページにとどまらず、Webサイト全体を「https://」で始めるURLにする（HTTPS化する）というものだ。

いま「常時SSL」が必要な理由

　常時SSLにはどんなメリットがあるのだろうか。ファーストサーバ 開発部 企画・品質グループの黒田克之さんは「ユーザーの立場からすれば当然、常時SSL化したサイトはそうでないサイトよりも安心して利用できる」と話す。

　入力フォームや決済ページだけをSSL化しても、ユーザーは最初から直接そのページにアクセスするわけではない。「『この先は安心できますよ』と言われても、うそをつかれていたら終わり。全てのページがSSL化されていれば、サイト運営側の信頼性がいつでも証明され、このサイトは安全だというユーザーの認識につながる」（黒田さん）。

一部のページにとどまらず、Webサイト全体を「https://」に

　常時SSLが必要な理由はそれだけではない。ユーザーが公衆Wi-Fiを使う機会が非常に増えたことだ。無料の公衆Wi-Fiは便利な反面、通信を暗号化しておらず、安全性が低いことがある。「HTTPS化されていない通信でWebサイトを見ると、なりすましや盗聴の被害に遭う可能性がある」（黒田さん）。

　こうした被害は、Webサイト側が常時SSLに対応していれば防ぐことができる。2020年にビッグイベントを控え、訪日観光客が増えるとなると、それに対応するために無料のWi-Fiスポットはさらに増えるはずだ。ユーザーが安心してWebサービスを使えるようにするには、企業側が率先して常時SSL化を進めるべきだろう。

　そうした常時SSL化の波を、国や大手企業が後押しする動きもある。例えば、米政府は「.gov」のドメインを使う政府関連サイトに対し、2016年度末までに常時SSL対応することを義務付けている。

　冒頭でも紹介したように、Googleは、同社のWebブラウザ「Chrome」の最新バージョンで、パスワードなどを入力するページでHTTPが使われている場合、「保護されていません」と表示。検索結果を表示する際は、SSL化されたWebサイトを優遇する措置も行っている。

常時SSL化に必要な「SSLサーバ証明書」を無料で

　一方、中小企業の場合は「新規でWebサイトを構築する機会に、常時SSL化を検討するケースが増えている」と黒田さんは話す。だが、常時SSL化するには「SSLサーバ証明書」が必要だ。SSLサーバ証明書とは、Webサイトの運営元を「認証局」と呼ばれる第三者機関が調査し、ユーザーが安心して訪問できるよう保証するものだ。証明書の発行には当然コストがかかる上、具体的にどのような作業をすればよいかをイメージできないユーザーもいるだろう。

　そこでお勧めしたいのが、ファーストサーバのクラウド型レンタルサーバ「Zenlogic」（ゼンロジック）だ。独自のSSL証明書を無料で利用できる。「従来、SSL証明書は1枚当たり数万円と高く、多くの企業が常時SSL化を進めるには無理があった」（黒田さん）。

　ファーストサーバは、大手SSL証明書ベンダーのシマンテックとパートナーシップを締結。シマンテックが2018年までに全てのWebサイトの暗号化を目指し、全世界で展開している「Encryption Everywhereプログラム」のパートナーに日本で唯一選ばれている（2017年1月現在）。

　このパートナーシップによって、Zenlogicでは無料の「標準独自SSL」を提供している。Zenlogicのレンタルサーバを利用すれば、何枚でも無料で発行できる。最短5分で即日発行も可能だ。また、米国のNPO・電子フロンティア財団（EFF）が取り組む「Let's Encrypt」（レッツ・エンクリプト）とも協力。このプロジェクトを利用した無料のSSL証明書も提供している。

無料の「標準独自SSL」を提供

　これらのSSL証明書は、いずれも「DV型」と呼ばれるタイプのものだ。SSL証明書には、（1）ドメイン使用権を証明して手軽に通信の暗号化ができる「DV型」（ドメイン認証型）、（2）謄本などを確認して企業の実在を証明する「OV型」（企業認証型）、（3）Webブラウザのアドレスバーに緑色の文字で企業名を表示する「EV型」（強化認証型）の3種類がある。ファーストサーバは、DV型よりも信頼性の高いOV型、EV型も用意。無料ではないが、リーズナブルな価格で提供している。

　同社は、セキュリティベンダーのサイバートラストともパートナーシップを締結。OV型のSSL証明書「Cybertrust SureServer」（通常価格は年額7万4000円、以下税別）と同等の内容の「BIZCERT」を年額5万4000円で提供している。このほか、シマンテックの廉価版ブランド「ジオトラスト トゥルービジネスID」（年額4万9800円）、GMOグローバルサインのクイック認証SSL（年額2万7900円）などのプランを用意している。

OV型、EV型もリーズナブルな価格で提供している

　一般的にこうしたSSL証明書は1年ごとに手動で更新が必要になるが、Zenlogicの場合は自動更新される上に更新手数料もかからない。コスト面のハードルを大きく下げることができそうだ。

　Zenlogicの強みはセキュリティ面だけではない。Yahoo! JAPANのIaaS型クラウド基盤を採用していることも特長だ。「日本国内で最も安定したWebサイトを運営している企業のデータセンターを基盤に活用している」（黒田さん）。安定性を確保しつつ、ユーザーの利用状況に合わせて容量やCPU、メモリを増減できる。

　例えば、実際にZenlogicを利用している「横浜開港祭」「世界コスプレサミット」などのイベントのWebサイトは、アクセスが集中する開催日の前後だけサーバを増強するという使い方をしているという。

　このほか、24時間365日対応の無料電話サポートや、無料の対面サポート（現在は大阪のみ）など、サポート面も充実している。

「誰でも安心してインターネットを使える世の中に」

ファーストサーバ 開発部 企画・品質グループの黒田克之さん

　「盗聴やフィッシング詐欺のニュースが流れるような世の中では、安心してインターネットを使えない。もっと気軽に、誰でも安心してインターネットを使える世の中にするには、常時SSLを標準化することが必要。現時点でのZenlogicは『Always on SSL』だが、いずれはSSL認証以外のセキュリティも標準搭載する『Always on Secure』にしていきたい」（黒田さん）

　ファーストサーバは、常時SSLのノウハウを共有するWebサイト「常時SSL Lab.」を公開したり、シマンテックと共同でセミナーを定期的に開催したりなど、常時SSL化の普及に努めている。

　あなたの会社のWebサイトをより安心できるサイトにするためにも、低コストで常時SSL化を実現できるZenlogicの導入を検討してみてはいかがだろうか。

「.co.jp」「.jp」など最大5600円が無料に！

ファーストサーバは、3月31日まで「ドメイン取得実質0円キャンペーン」を実施中。新規で「Zenlogicホスティング」と「ドメイン名」を申し込むと、ドメイン名取得費用を全額キャッシュバック。新しいビジネスのスタートに役立ててみてはいかがだろうか。