ホームページのSSL化（https）は必要？セキュリティ対策まとめ

ホームページを運営する上で必須のセキュリティ対策ですが、中でも重要かつ基本的な対策としては『SSL(https)化』があげられます。

ホームページを閲覧していてhttpsから始まるURLを見たことがある方も多いかと思いますが、httpsはホームページがセキュリティ対策済みであることを示す重要な指標です。

近年市場規模も拡大し続けているホームページやネットショップですが、市場規模だけでなくサイバー犯罪も増加や巧妙化が進んでいるためホームページを運用する上でSSL化をはじめとしたセキュリティ対策は必須となっています。

そこで今回はSSL(https)化について、その必要性から費用、またSSL化をしなかった場合の損失や実際のセキュリティ被害例まで解説・ご紹介します。

不正アクセスなどの脅威への対策となるだけでなく、信頼性向上やSEO対策にも繋がるSSL化。

特にビジネス用のホームページを運用されている方にとってはホームページやユーザーを守るために必須となるため、ぜひ今回の内容を最後までご覧ください！

冒頭お話したように、SSL化(https)はホームページ運用に必須のセキュリティ対策の中でも特に重要で基本的な対策です。

SSLとは「Secure Sockets Layer」の略で、インターネット上でやり取りされるデータ通信を暗号化する技術のことです。

インターネット上では個人情報やクレジットカードの情報、またそれらの情報を持ったアカウントのIDやパスワードなど重要なデータが頻繁にやり取りされるためハッカーなど悪意ある第三者に常に狙われていますが、ホームページをSSL化することでこれらのリスクを抑えることができます。

以前はこういった重要なデータを入力する可能性のあるログインページやフォーム、決済ページといった特定のページのみSSL(https)化が行われていましたが、近年では全てのページをSSL化する「常時SSL化」が一般的です。

ホームページの常時SSL化が必要な理由としては、以下の2つがあげられます。

これらの理由について、次に詳しく見ていきましょう。

SSL化が必要な最も基本的な理由は、先ほども触れたようにインターネット上でやりとりされる重要なデータ・情報を悪意ある第三者から守りサイバー犯罪のリスクを回避するためです。

サイバー犯罪リスクの具体例としては、以下のようなものがあげられます。

ホームページを常時SSL化させることは、ホームページや運営する企業などの信頼性を高めることにも繋がります。

ホームページをSSL化させると先ほど見たようなリスクを回避できるだけでなく、URLも冒頭が「https」となり、さらにアドレスバーの横にも鍵のマークがつくようになります。

SSL化を行うとこのようにわかりやすくホームページの安全性をアピールできるため、ユーザーにも安心感を与え問い合わせや商品の購入に繋げることが可能です。

またSSLにはデータ暗号化のほかに、「サイト所有者・運営者の信頼性を証明する」という役割もあります。

SSL化するとCA(Certification Authority)と呼ばれる認証局にSSL証明書を発行してもらうことができ、この証明書をもってサイト所有者の信頼性の証明が可能です。

なお詳しくは後ほど「SSLの種類」で解説しますが、SSLにもさまざまな種類があり企業用のSSLを採用していた場合企業の実在性をアピールすることもできます。

つまり、そのホームページを運用する企業が実際に存在する企業であることを証明してさらにユーザーに安心感を抱かせることができるということです。

このようにホームページを常時SSL化することでホームページの信頼性を高めてユーザーに安心感を与えることができるため、結果として問い合わせや商品の購入といったコンバージョンにも繋がります。

ここでhttpsとhttpの違いについて解説しておきます。

先ほど「SSL化することでURLの冒頭がhttpsとなり安全性をアピールできる」とお話しましたが、httpsはhttpと異なり「通信内容が暗号化されている」ことを表します。

httpとはホームページ上のデータ通信を行う際に使われる規格のことで「Hyper Text Transfer Protocol」の略ですが、そこにさらに安全性を表す「Secure」を加えたものがhttpsです。

このようにhttpsは、ユーザーに対しても悪意ある第三者に対してもわかりやすく一目で安全性をアピールできる重要な要素といえます。

安全性や信頼性に直結するホームページのSSL化ですが、種類によって証明できる信頼性や費用、審査方法などが異なります。

ここではSSLの種類とSSL化の手順について解説します。

SSLは認証レベルに応じて以下の3つの種類があります。

これらのほかにも「レッツ・エンクリプト(Let’s Encrypt)」などの自動認証型無料SSLサービスも近年増加しつつあります。

有料・無料で暗号の強度自体に差は無いものの、サポートの手厚さやアピールできる信頼性には大きな差があるため、ホームページの目的や用途にあったSSLを導入するようにしましょう。

SSL化を行うためには以下の手順を踏む必要があります。

これまでホームページをSSL化する必要性についてお話してきましたが、ここからはSSL未対応だった場合のリスクについてお話します。

ホームページをSSL化していなかった場合、具体的には以下のようなリスクに直面する可能性があります。

SSL対応のページではアドレスバーに鍵のマークが表示されるとお話しましたが、逆に未対応のページの場合は警告文や警告マークが表示されます。

日本でも利用者が多いGoogle Chromeでは、アドレスバーに「保護されていない通信」と警告表示されたり、文字入力フォームに文字を入力しようとすると警告表示が赤文字に切り替わったりします。

なお2017年1月にリリースされたChrome 56から始まった警告表示ですが、年々警告表示が厳しくなっています。

2019年12月にリリースされたChrome 79以降はSSL化されていても古いバージョンの場合は警告表示の対象となりました。

現在TLS1.0／1.1といった古いバージョンを利用しているウェブサイトにアクセスした場合、直接サイトにアクセスせずにアクセスしないように促す画面が表示されるようになっています。

このようにホームページのセキュリティ対策は要求されるレベルが高くなってきているため、もはやSSL化は最低限のセキュリティ対策と言っても過言ではないでしょう。

「保護されていない通信」と出るけど大丈夫？

ウェブサイトのSSL化が常識となり普及しつつあることに加えてユーザーのセキュリティリテラシーも向上してきているため、「保護されていない通信」の表示が出た場合ユーザーは閲覧・利用を嫌う傾向があります。

ホームページを運営する立場からすると多くのユーザーや機会を損失することに繋がってしまうため、早急にSSL化し警告文や警告マークが表示されないようにしましょう。

SSL対策を行っていないことはセキュリティ上問題があるだけでなく、検索で上位表示されにくいといったSEOにも影響します。

Google検索順位の表示基準は明らかにはされていませんが、「そのホームページがユーザーの役に立つか」というシンプルな基準によって判断されていると言われています。

役に立っているかどうかはコンテンツの質やホームページ構造の分かりやすさなど多様な要因によって判断されますが、2014年にはSSLが判断基準の1つとなることが発表されました。

また先ほどお話した通り、Googleは年々セキュリティの基準を厳しくしている傾向があります。

SSL対策だけですぐに検索順位が大きく変わるわけではないですが、SEO対策はあらゆる要素の積み重ねが重要です。

SSL対策は、SEOの観点からも最低限行わなければならない対策と言えるでしょう。

今まで見てきたようにSSL対策を行っていなければ警告文や警告マークが表示される上、セキュリティリテラシーの向上も相まってユーザーはそういったウェブサイトの閲覧・利用を嫌がる傾向があります。

ユーザーからすると、安全性が確保されていない信頼できないホームページに個人情報を入力することはリスクが大きいということです。

このため同じコンテンツのホームページを展開していたとしても、SSL化していないだけで問い合わせや購入につながらないということが十分に起こりえます。

このようにビジネスチャンスの損失を招くリスクもあるため、特にビジネス用のホームページを展開している場合はSSL化を行わない理由はありません。

SSL化の必要性や未対応の場合の不利益についてお話してきましたが、「コストも手間もかかるし、インターネット上でやりとりされている情報量は膨大なためうちは大丈夫だろう」とお考えになる方もいらっしゃるかもしれません。

重要なことなのでもう一度言いますが、インターネット上でやりとりされるデータはハッカーなど悪意ある第三者に常に狙われています。

またホームページの常時SSL化はもはやホームページ運用の常識となりつつあるため、もし運営されているホームページがまだSSL化されていないのであれば次に狙われるのはあなたのホームページです。

SSL化をしていなければ、ユーザーには選ばれずハッカーに狙われるホームページとなってしまいます。

セキュリティ被害の対象となるデータや情報は重要度も高く量も多いため、その被害は甚大なものになりがちです。

最後に実際にあったセキュリティ被害を以下3つご紹介します。

2017年、日本郵政が運営する国際郵便マイページサービスが不正アクセスされ、10時間程度の間に3万件近い個人情報が流出した可能性に直面したということがありました。

日本郵政はこれを受けてサービスを緊急停止する必要があったほか、情報が流出した可能性のあるユーザーに対して個別連絡するといった対応に追われました。

氏名や住所、メールアドレスなどは小規模ホームページであっても取り扱う可能性は十分にあります。大切なユーザーの個人情報を保有している意識をしっかりと持ち、SSL化により不正アクセスされない環境作りを行いましょう。

2000年、総務庁(現総務省)や科学技術庁など官公庁のホームページが相次いで改ざんされ、アダルトサイトへのリンクに書き換えられるなどの被害を受けました。

このほかにもアカウント乗っ取りを通じて個人情報も多数流出し、当然セキュリティ意識の甘さや体制について厳しく批判されました。

この際の批判として「ファイアウォールすらまともに設置されていなかった」点があげられていましたが、ファイアウォールがセキュリティ全般の基本だとすればSSL化はホームページにおけるセキュリティの基本です。

実際に被害が発生して「最低限のセキュリティ対策すら行われていなかった」と指摘されないためにも、被害が発生する前にSSL化をはじめとしたセキュリティ対策を行うようにしましょう。

2005年、朝日新聞社が運営するニュースサイト「アサヒ・コム」の広告サイト「キャンパス・アサヒコム」が不正アクセスを受けてトップページが改ざんされ、閲覧したユーザーがウイルスに感染するといった被害を受けました。

また過去に資料請求を行ったユーザーの氏名や住所、電話番号といった個人情報が流出した可能性にも直面し、お詫び連絡対応に追われたほか、ホームページを一時閉鎖する事態に追い込まれました。

このように一度セキュリティ被害に遭ってしまうと発覚時点でホームページを一時閉鎖しなければならない上、最悪の場合そのまま終了しなければならないケースも十分に考えられます。

ホームページはユーザーと対面しない一方で預かる情報が重大なため、信頼の重要性が非常に大きいと言えます。

セキュリティ被害に遭ってしまうと失う信頼も損失も大きくビジネスの存続も難しくなってしまう恐れがあるため、基本のSSL化をはじめしっかりとセキュリティ対策を行うようにしましょう。

ホームページのSSL化は、これからホームページを始める方はもちろん、すでに運用されている方にも必須のセキュリティ対策です。

ただしSSL化の必要性について十分に理解はしていても、導入・設定方法が分からない、またはしっかりとできるか不安があるという方もいらっしゃるかと思います。

そのような場合は、ホームページ作成サービスを利用してホームページ開設・運用を行うということも1つの手です。

Jimdoの場合はSSLの管理や対応を行っているため、難しい手続きをすることなくSSL対応のホームページを開設・運用できます。

ほかのホームページ作成サービスを選ばれる際も、「SSLに標準対応しているかどうか」を1つの基準にすると良いでしょう。

なおこれまでにホームページ作成サービスを比較してご紹介したことがありますが、その際もサービス選びのポイントの1つとして「SSL対応をはじめセキュリティ対策機能がある」点をあげています。

詳細は「（有料vs無料）どれがおすすめ？簡単ホームページ作成サービス比較」をご覧ください。

今回はホームページのSSL化について、その必要性から費用、またSSL化をしなかった場合の損失や実際のセキュリティ被害例まで解説・ご紹介しました。

個人情報などの重要な情報がやり取りされるホームページでは常に盗聴やなりすまし、改ざんといった脅威に晒されているため、SSL化によって不正アクセスを未然に防ぐことが重要です。

またSSL化を行うことによってユーザーと悪意ある第三者の双方に対して安全性をアピールできるため、攻撃対象となることを回避しつつユーザーに安心して閲覧・利用してもらうことができます。

このようにSSL化は、セキュリティ対策の基本であるだけでなくホームページ運用やビジネスのチャンスに直結する重要な要素といえます。

ユーザーの情報を保護することはもちろん、ホームページを通してビジネスを成功させるためにも必ずSSL化は行うようにしましょう！