2016年05月30日
アメリカでは常識!今、常時SSLの検討が必須
こんにちは。多賀谷です。
皆様は、いつの間にかGoogleやFacebookが
全ページhttpsで接続されるようになったことにお気付きでしょうか。
GoogleのYouTube、Facebook傘下のInstagramはもちろん
Twitter、Airbnb 、Wikipediaなど、アメリカではインターネットの主要サービスで、
https接続することが当たり前になっています。
このように、常にhttpsで接続することを、
インターネット用語で常時SSLと言います。
常時SSLとは?
常時SSLとはウェブサイトの全てのページを
HTTPS化するセキュリティ手法です。
これまでは個人情報を入力する場面など、
重要な情報をやり取りする場面のみで
通信を暗号化する方法が用いられてきましたが、
これをウェブサイト全体に広げる方法が常時SSLです。
(シマンテック情報センターより引用)
※本記事で記述するSSLはTLSを含みます
今回の記事では、常時SSLについてご説明します。
記事を読んでいただくと、常時SSLについて知り、
今の時代に合ったセキュアなサイトを作ることができるようになり、
さらに通信高速化・SEO対策もできます。
Wi-Fi時代への対応としての常時SSL
会員登録画面や決済画面など、個人情報やクレジットカード情報などを扱う画面は、
今までも、https接続(=SSL化)が必須でした。
なぜ、全ページにおいてhttps接続が求められるようになったのでしょうか。
それは、近年の公衆無線LANサービスの発達が背景にあります。
公衆無線LANというと、少し耳慣れないかもしれませんので、
カフェなど街中で利用できるWi-Fiをイメージしていただければと思います
(Wi-Fiは無線LANのひとつの規格です。)。
日本での公衆無線LAN の利用者は、世界各国と比べて低いと言われているものの、
2,278万人にのぼるという調査結果が出ています(2015年3月末ICT総研調べ)。
携帯キャリアやMVNOを使った通信は、通信量によって月額利用料が変わったり、
月間通信量に制限を設けていたりするため、
公衆無線LANの利用は、今後もますます増えるとみられています。
ただし、公衆無線LANは、
通信が暗号化されていなかったり、暗号化のレベルが低かったりするケースもあり、
通信内容の盗聴などのリスクがあります。
ここで気を付けたいのは、
個人情報の入力や決済などを行わないサイトやページであっても、
Cookie情報やメールアドレス、ユーザの嗜好情報なども
悪意のある攻撃者からの傍受の対象となる、ということです。
つまり、全てのサイトが常時SSL化を考える時期にきているのです。
常時SSL はSEO対策になる
Googleは、ウェブマスターに向けたGoogleのポリシー上で
サイトのhttps化を推奨しています。
ユーザーがもっと安全にサイトを閲覧できるよう、
すべてのサイト所有者の皆様に HTTP から HTTPS への
切り替えをおすすめしたいと考えています。
(Googleウェブマスター向け公式ブログより)
以前の記事でお話させていただいたように、
Googleに好かれるサイトは検索順位で有利になります。
Googleに好かれるサイトを目指せ!まずはこの4点からチェック
つまり、Googleのポリシー上で推奨されている常時SSL化は、
SEO的に有効なのです。
高速化につながる
従来、https接続はhttp接続と比べて通信が遅くなる、というデメリットがありました。
ですが、高速プロトコルHTTP/2の普及により、
https接続の方が通信が早くなる、という逆転現象が起きています。
なぜなら、主要ブラウザはHTTP/2をhttpsでの利用前提としているからです。
つまり、今ではむしろHTTP/2が利用できるhttps接続の方が、
通信が早くなっているのです。
最後に、常時SSL化の費用と手間についても考えてみましょう。
始めてSSLを利用するなら、サーバの設定が必要です。
他には主に、SSL証明書の取得・インストールと、
画像やCSS・Javaスクリプトなど外部から読み込むリソースを
SSLの領域から呼び出す(=httpコンテンツを混在させないようにする)設定が必要です。
ただ、一度常時SSLしてしまえば、httpとhttpsが混在しているときよりも、
シンプルな全体設計となり、管理が楽になる場合がほとんどです。
また、暗号化するページ数が増えると、ページ数分費用が発生するのではないかと
思われる方もいらっしゃるかもしれません。
同一サイト内なら、
httpsページが1ページでも10ページでも、SSL証明書の料金は同じです。
SSL証明書自体も、以前に比べて値段が下がってきており、
年間数千~数万円程度で高品質のサービスが利用できます。
複数のドメインを管理されているようであれば、
マルチドメイン対応のSSL証明書もあるので、チェックしてみてください。
今回は、アメリカでは常識になっている、常時SSLについてお話してきました。
「サイトページ数分のSSL証明書料金がかかってしまうのではないか」
「全ページを暗号化するとサイトが重くなるのではないか」
といったマイナスのイメージは、誤解であるとお分かりいただきました。
さらに、スタート時にかかる手間を上回るメリットを感じていただけたかと思います。
今後も加速するWi-Fi時代に対応するには、
常時SSL化によるサイトのセキュリティ強化で、
盗聴リスクを軽減することが必須です。
常時SSL化を行い、サイトを高速化・検索上位化しながら、
ユーザからの信頼と安心感を高め、より利用されるサイトにしていきましょう。
- by 多賀谷真帆
- at 10:23
comments