CLOSE

常時SSL化は必要か?メリット・デメリットと合わせて考える

SSL/TLSとは、データの送受信を暗号化することでWebサイトのセキュリティを強化するプロトコルのことです。また、常時SSL化とは、サイトのすべてのページをこのSSLに対応させることを指します。ここでは、常時SSL化の重要性や方法、メリット・デメリット、注意点について考えていきます。

写真

常時SSL化とは

SSL/TLSとは、オンライン上でのデータの送受信を暗号化し、盗聴や改ざんを防ぐ仕組みのことです。常時SSL化(Always On SSL)は、サイト内のログインや支払い情報入力など個人情報に関わるページだけでなく、すべてのページをSSL/TLS化することです。常時SSL化導入はセキュリティ強化だけでなく、ユーザーとWebサイト運営者の両者に多くのメリットがあります。

サイト利用者がより安全にサイトの閲覧とデータの通信を行えるようにするため、運営者の業種やサイトの規模に関係なく、ウェブサイトのHTTPS(常時SSL)化はここ数年でインターネットの新しい常識になりつつあります。フリーWi-Fiなど、オープンな環境でのインターネット利用が進むにつれ、サイトのセキュリティ強化が求められるようになったためです。

SSL/TLS化されたWebサイトは、URLが「HTTPS」で始まっており、データ送受信の際の暗号化が保証されています。一部のページだけではなく、サイト全体を暗号化することで、インターネット環境におけるさまざまなセキュリティリスクに対抗することができます。具体的には、フィッシング詐欺、暗号化されていないWi-Fiを利用したハッキング、Cookieの盗聴などを防ぐことができ、利用者にとって安全なサイトを提供できます。

常時SSL化のメリット

常時SSL化には複数のメリットがあります。

セキュリティ強化

まず一つ目のメリットは、SSL/TLS暗号化によるサイト利用者の安全確保です。常時SSL化を行うことで、ログインパスワードや決済情報、Cookie情報の傍受、中間者攻撃、フィッシング詐欺などを予防できます。

企業認証型SSLサーバ証明書を獲得して常時SSL化を実現すると、正規に認証されたWebサイトであることを利用者に示すことができ、なりすましのリスクを回避することができます。SSL証明書を利用した場合は、アドレスバーが緑色の社名表示に変わるため、サイト利用者が正しいサイトに接続できていることが一目で確認できます。

SEO効果

二つ目のメリットは、SEO効果への期待です。Googleは、HTTPS化されたサイトを検索結果の順位で優遇する措置を開始しているため、SSL/TLS化はGoogleでのSEO対策に効果的だと想定されています。
また、従来のHTTPとHTTPSが混在したシステムとは異なり、HTTPSで統一されたサイトでは開発者の作業が短縮できるため、開発から運用までの効率化が期待できます。

さらに、常時SSL化はアクセス分析にも活用できます。サイトの利用者がどこから訪問したのかを調べるために使われるデータを、リファラ情報といいます。HTTPSのページからHTTPのページのアクセスではリファラ情報を取得できませんが、常時SSL化すれば、前ページがHTTPとHTTPSのいずれの場合もリファラ情報を取得できるため、アクセス分析に有利になります。

常時SSL化の方法

単純にHTTPSの通信に変えると、外部サイトからのリンクが無効になるなどユーザーにとって不都合が生じてしまうため、SEO面で逆効果になる可能性があります。既存のURLを残したままHTTPSサーバを稼働させた上で、HTTPSサーバを併用し、新しいサイトを完全な常時SSLに対応させるようにしなければなりません。

HTTPのサイトを常時SSLに移行する方法を、ここでは3つご紹介します。

「.htaccess」ファイルでHTTPのアクセスを転送する

まずは、「.htaccess」ファイルを設置してHTTPのアクセスをHTTPSに転送する方法です。利用者が元のHTTPのページにアクセスした際に、自動的に転送する方法で、これは「301転送」と呼ばれています。
SEO面の影響が最も少ないため、Googleが推奨している方法です。

HTTPSオプションの提供

二つ目は利用者がHTTPSを利用するか選べるシステムを用意することです。実際にTwitterで使用された方法で、利用者に選択肢を与えた上で、その後初期設定でHTTPSの通信を有効に変更する方法です。

別ドメインでの運用

三つ目は新しいドメインで常時SSLのサイトを作成する方法です。新しいサイトのアクセス数や認知度が安定するまで両者を同時に運営し、その後常時SSLのサイトを残します。

常時SSL化のデメリット・注意点

さまざまなメリットがある常時SSL化ですが、注意しておきたいポイントがいくつかあります。

例えば、サイトの運用コストが増加することです。上述のとおり、SSL化の際にはSSLサーバ証明書が必要ですが、証明書の発行手数料は、その種類や認証局によって金額に差があり、無料のものから年間10万円のものまでさまざまです。運営者が同じであっても、1サイトごとに証明書が必要になるため、多数のサイトをSSL化したい場合は、費用がかさんでしまいます。
また、SSL認証の信頼性は3段階に分かれており、信頼性が高いほど導入価格も高額になります。安価でセキュリティ強度の低い証明書を使用したHTTPSサイトや、期限切れの証明書を更新していないWebサイトは、コンテンツの安全性を確認できないと判断され、逆効果になってしまう恐れもあります。

次に、広告収入の減少リスクです。HTTPSのサイトにはHTTPサイトの広告の掲載ができないため、広告掲載をしているサイトを運営している場合は、慎重に検討するようにしましょう。例えば、Google AdsenceではSSL非準拠の広告を排除しているので、オークションの競争率が低下して広告収益が減少してしまうリスクがあります。

また、上述のように、リファラを受け取れるようになることはHTTPSのメリットのひとつですが、裏を返せば、HTTPのサイトにリファラを渡せなくなってしまうということです。特にメディアサイトなどでは、他サイトへの誘導が収入源となっていることも多いですが、常時SSL化することでリファラが渡されず誘導を計測することが不可能になります。

常時SSL化はセキュリティ強化や利用の安全性だけでなく、SEO対策やアクセス解析に役立ち、サイト運営を効率化するメリットがありますが、安易な対策は逆効果となることもあります。自分のサイトにとって常時SSL化は有利になるのか、どのように移行すべきか、どの証明書を選べばよいのかなど、不安な場合は専門業者に問い合わせましょう。その際に専門業者を知らない場合は、企業と専門業者とのマッチングサービスを利用してみてはいかがでしょうか。