読者です 読者をやめる 読者になる 読者になる

サイトのセキュリティ強化のためにSSL化すべき?メリットとデメリットを解説

IT・Webコラム

f:id:urj:20160818050146j:plain

近年、サイトの「SSL化」が急速に進んでいます。 「難しそう」というイメージから後回しにされている方も多いと思いますが、GoogleもSSL化を推奨しているのでそろそろ重い腰を上げる時期にきています。

サイトをセキュアにする「常時SSL化」について詳しく解説しますので、これを機にサイトの「SSL化」を検討してみてください。

常時SSL化とは?

「SSL(Secure Sockets Layer)」は、通信を暗号化して送受信する仕組みです。 暗号化して通信することにより、第三者によるデータの盗聴や改ざんを防ぎます。

「常時SSL化」は、Webサイト全体を「HTTPS化(SSL/TLS暗号化)」することを指します。 これまではログイン画面や決済画面といった個人情報を入力する部分にのみSSL化する方法が主流でしたが、セキュリティ向上のために「サイト全体をHTTPS化」=「常時SSL化」を導入するサイトが増えています。

常時SSL化するメリット

1. セキュリティ強化

常時SSL化をする最大のメリットは、セキュリティが強化されることです。

第三者に狙われるのはログイン画面や決済画面だけではなく、HTTPS化していないページのCookieが狙われる可能性があります。 したがって、特定のページのみSSL化していてもその他のページから不正アクセスされる可能性があるため、サイト全体をHTTPS化してデータ改ざん、盗聴、なりすましといった脅威からサイトを守る必要があるのです。

近年はWi-Fiの普及によってカフェや空港、公共の場などに設置さているWi-Fiスポットから簡単にネットに接続できるようになりました。 しかし、無料のWi-FIスポットはセキュリティレベルの低い場合が多く、暗号化されていない通信が第三者に傍受される被害も起こっています。 そうした脅威はネットの世界では常に隣り合わせなので、常時SSL化でサイト全体をセキュアにすることは非常に大きなメリットになります。

2. 信頼性の向上

常時SSL化するには「SSLサーバ証明書」の取得が必要です。 「SSLサーバ証明書」は認証局に申し込み、審査をクリアしたサイトにのみ発行されます。 ドメインの所有者や運営企業の実在性が審査されるため、「SSLサーバ証明書」はサイト、および企業の信頼性の証明となります。

3. HTTP/2対応ブラウザで表示速度が向上

「HTTP/2」は通信プロトコル「HTTP」の新しいバージョンで、2015年2月に正式に承認されました。 「HTTP/2」はヘッダー圧縮やストリームの多重化を実現しているため、Webページの表示速度向上が期待できます。

多くのブラウザが「HTTPS」でのみ「HTTP/2」に対応しているため、利用するにはサイトの「HTTPS化」=「常時SSL化」が必要となります。 常時SSL化することにより、「HTTP/2」に対応しているブラウザでの表示速度向上が期待できます。

4. SEOに少し有利になる

2014年8月、GoogleはSSL化したWebサイトのSEO評価を優遇することを正式に発表しました。

ただし、SSL化によるSEO効果はそれほど大きなものではなく、影響は1%未満といわれています。 Googleは多数のアルゴリズムによって検索順位を決定しているため、SSL化による優遇はそのひとつに過ぎません。

そのため、SSL化していないからといって圧倒的に不利になるわけではありませんが、GoogleはSSL化を推奨しているため、SEOの観点からSSL化するメリットは充分あるといえます。 また、セキュリティはGoogleにとって重要な事項であるため、将来、アルゴリズム変更に伴ってSSL化の重要度が増す可能性も考えられます。

詳しくは「Googleウェブマスター向け公式ブログ」に掲載されています。

f:id:urj:20160818045924j:plain URL:HTTPS をランキング シグナルに使用します

常時SSL化するデメリット

1. 導入に費用がかかる

常時SSL化のために必要な「SSLサーバ証明書」の発行には費用がかかります。 費用は認証局によってまちまちで、数千円から10万円を超えるものまでさまざまです。 また、基本的に契約期間は1年間ですので、毎年数千円〜10万円ほどの費用がかかります。

他にも、1サイトにつき1つの「SSLサーバ証明書」が必要となるため、サイトごとに費用が発生します。 複数のサイトを常時SSL化する場合、かなり費用がかさみます。

「SSLサーバ証明書」は、「ドメイン認証(認証レベル1)」「企業認証(認証レベル2)」「EV認証(認証レベル3)」の3つの認証レベルがあります。 認証レベルによってドメイン所有者に対する審査の厳しさが異なり、レベルが高くなるほど信頼性が高くなります。 認証レベルや認証局による暗号化の機能にほとんど差はないので、単純に信頼性の違いということになります。

「ドメイン認証」が最も低いレベルの場合は、費用は数千円とリーズナブルです。 「企業認証」「EV認証」は信頼性が高くなりますが、費用も数万円かかります。

2. SNSボタンのカウントがリセットされる

常時SSL化でURLが「HTTP」から「HTTPS」に変わると、TwitterやFacebookなどのSNSのボタンのカウントがリセットされ、「0」からのスタートとなります。 SNSでのシェアが多いサイトの場合、カウントがリセットされるのはかなり痛いですね。

しかし、WordPressサイトの場合、「SNS Count Cache」というプラグインを使ってカウントを引き継ぐことができます。

f:id:urj:20160818045903j:plain URL:SNS Count Cache

3. HTTPS非対応の広告が掲載できない

HTTPS化したサイトは、サイト内の広告やツールなどすべてSSLに準拠している必要があります。 そのため、HTTPS非対応の広告が掲載できなくなります。 アフィリエイトをしている場合、掲載できる広告数が減ることで収入の減少が懸念されます。

まとめ

Googleがサイトのセキュリティ向上のためにSSL化を推奨したため、ここ数年で常時SSL化が急速に進んでいます。 常時SSL化にはコストがかかるため、メリットと比較して導入する価値があるか検討していただければと思います。

(C)centsysjp's blog All Rights Reserved.
  • システム開発にお困りの方
  • センティリオンシステムの求人はこちらから