Special
2017年02月13日 10時00分 UPDATE

「保護されていません」――あなたの会社のサイトは大丈夫? いま「常時SSL」が必要な理由

[PR/ITmedia]
PR

 「保護されていません」「保護された通信」――こんな言葉をWebサイトのURLバーで見たことはないだろうか。

photo
photo

 URLをよく調べてみると「保護されていません」の場合は「http://」、「保護された通信」だと「https://」で始まっているはずだ。httpに「s」が付いている場合は、Webサイトから送られるデータが暗号化されている証。第三者が情報を読み取ることができないようになっている。

 現在、こうした表示は個人情報を入力するページだけで表示される。だが、今後はますます警告が厳しくなるようだ。例えば、Googleは数年以内に全ての「http://」のページに警告を出すようにすると宣言している。もし、あなたの会社のWebサイトが「http://」のままで「保護されていません」という表示が出てしまったら……。不安に思ったユーザーが利用をためらうかもしれない。

photo 写真はイメージです

 そうした中、「常時SSL」が注目を集めている。一部のページにとどまらず、Webサイト全体を「https://」で始めるURLにする(HTTPS化する)というものだ。

いま「常時SSL」が必要な理由

 常時SSLにはどんなメリットがあるのだろうか。ファーストサーバ 開発部 企画・品質グループの黒田克之さんは「ユーザーの立場からすれば当然、常時SSL化したサイトはそうでないサイトよりも安心して利用できる」と話す。

 入力フォームや決済ページだけをSSL化しても、ユーザーは最初から直接そのページにアクセスするわけではない。「『この先は安心できますよ』と言われても、うそをつかれていたら終わり。全てのページがSSL化されていれば、サイト運営側の信頼性がいつでも証明され、このサイトは安全だというユーザーの認識につながる」(黒田さん)。

photo 一部のページにとどまらず、Webサイト全体を「https://」に

 常時SSLが必要な理由はそれだけではない。ユーザーが公衆Wi-Fiを使う機会が非常に増えたことだ。無料の公衆Wi-Fiは便利な反面、通信を暗号化しておらず、安全性が低いことがある。「HTTPS化されていない通信でWebサイトを見ると、なりすましや盗聴の被害に遭う可能性がある」(黒田さん)。

 こうした被害は、Webサイト側が常時SSLに対応していれば防ぐことができる。2020年にビッグイベントを控え、訪日観光客が増えるとなると、それに対応するために無料のWi-Fiスポットはさらに増えるはずだ。ユーザーが安心してWebサービスを使えるようにするには、企業側が率先して常時SSL化を進めるべきだろう。

 そうした常時SSL化の波を、国や大手企業が後押しする動きもある。例えば、米政府は「.gov」のドメインを使う政府関連サイトに対し、2016年度末までに常時SSL対応することを義務付けている。

 冒頭でも紹介したように、Googleは、同社のWebブラウザ「Chrome」の最新バージョンで、パスワードなどを入力するページでHTTPが使われている場合、「保護されていません」と表示。検索結果を表示する際は、SSL化されたWebサイトを優遇する措置も行っている。

常時SSL化に必要な「SSLサーバ証明書」を無料で

 一方、中小企業の場合は「新規でWebサイトを構築する機会に、常時SSL化を検討するケースが増えている」と黒田さんは話す。だが、常時SSL化するには「SSLサーバ証明書」が必要だ。SSLサーバ証明書とは、Webサイトの運営元を「認証局」と呼ばれる第三者機関が調査し、ユーザーが安心して訪問できるよう保証するものだ。証明書の発行には当然コストがかかる上、具体的にどのような作業をすればよいかをイメージできないユーザーもいるだろう。

 そこでお勧めしたいのが、ファーストサーバのクラウド型レンタルサーバ「Zenlogic」(ゼンロジック)だ。独自のSSL証明書を無料で利用できる。「従来、SSL証明書は1枚当たり数万円と高く、多くの企業が常時SSL化を進めるには無理があった」(黒田さん)。

 ファーストサーバは、大手SSL証明書ベンダーのシマンテックとパートナーシップを締結。シマンテックが2018年までに全てのWebサイトの暗号化を目指し、全世界で展開している「Encryption Everywhereプログラム」のパートナーに日本で唯一選ばれている(2017年1月現在)。

 このパートナーシップによって、Zenlogicでは無料の「標準独自SSL」を提供している。Zenlogicのレンタルサーバを利用すれば、何枚でも無料で発行できる。最短5分で即日発行も可能だ。また、米国のNPO・電子フロンティア財団(EFF)が取り組む「Let's Encrypt」(レッツ・エンクリプト)とも協力。このプロジェクトを利用した無料のSSL証明書も提供している。

photo 無料の「標準独自SSL」を提供

 これらのSSL証明書は、いずれも「DV型」と呼ばれるタイプのものだ。SSL証明書には、(1)ドメイン使用権を証明して手軽に通信の暗号化ができる「DV型」(ドメイン認証型)、(2)謄本などを確認して企業の実在を証明する「OV型」(企業認証型)、(3)Webブラウザのアドレスバーに緑色の文字で企業名を表示する「EV型」(強化認証型)の3種類がある。ファーストサーバは、DV型よりも信頼性の高いOV型、EV型も用意。無料ではないが、リーズナブルな価格で提供している。

 同社は、セキュリティベンダーのサイバートラストともパートナーシップを締結。OV型のSSL証明書「Cybertrust SureServer」(通常価格は年額7万4000円、以下税別)と同等の内容の「BIZCERT」を年額5万4000円で提供している。このほか、シマンテックの廉価版ブランド「ジオトラスト トゥルービジネスID」(年額4万9800円)、GMOグローバルサインのクイック認証SSL(年額2万7900円)などのプランを用意している。

photophoto OV型、EV型もリーズナブルな価格で提供している

 一般的にこうしたSSL証明書は1年ごとに手動で更新が必要になるが、Zenlogicの場合は自動更新される上に更新手数料もかからない。コスト面のハードルを大きく下げることができそうだ。

 Zenlogicの強みはセキュリティ面だけではない。Yahoo! JAPANのIaaS型クラウド基盤を採用していることも特長だ。「日本国内で最も安定したWebサイトを運営している企業のデータセンターを基盤に活用している」(黒田さん)。安定性を確保しつつ、ユーザーの利用状況に合わせて容量やCPU、メモリを増減できる。

 例えば、実際にZenlogicを利用している「横浜開港祭」「世界コスプレサミット」などのイベントのWebサイトは、アクセスが集中する開催日の前後だけサーバを増強するという使い方をしているという。

 このほか、24時間365日対応の無料電話サポートや、無料の対面サポート(現在は大阪のみ)など、サポート面も充実している。

「誰でも安心してインターネットを使える世の中に」

photo ファーストサーバ 開発部 企画・品質グループの黒田克之さん

 「盗聴やフィッシング詐欺のニュースが流れるような世の中では、安心してインターネットを使えない。もっと気軽に、誰でも安心してインターネットを使える世の中にするには、常時SSLを標準化することが必要。現時点でのZenlogicは『Always on SSL』だが、いずれはSSL認証以外のセキュリティも標準搭載する『Always on Secure』にしていきたい」(黒田さん)

 ファーストサーバは、常時SSLのノウハウを共有するWebサイト「常時SSL Lab.」を公開したり、シマンテックと共同でセミナーを定期的に開催したりなど、常時SSL化の普及に努めている。

 あなたの会社のWebサイトをより安心できるサイトにするためにも、低コストで常時SSL化を実現できるZenlogicの導入を検討してみてはいかがだろうか。

「.co.jp」「.jp」など最大5600円が無料に!

photo

ファーストサーバは、3月31日まで「ドメイン取得実質0円キャンペーン」を実施中。新規で「Zenlogicホスティング」と「ドメイン名」を申し込むと、ドメイン名取得費用を全額キャッシュバック。新しいビジネスのスタートに役立ててみてはいかがだろうか。


Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:ファーストサーバ株式会社
アイティメディア営業企画/制作:ITmedia ニュース編集部/掲載内容有効期限:2017年3月12日