ECサイト初心者必見!知らないと危ない!【SSL】【https】とは?

ECサイト初心者必見!知らないと危ない!【SSL】【https】とは?

SSL・httpsとは?

SSLとは(Secure Sockets Layer)の略称です。

簡単に説明すると大事な情報を守ってくれる、「セキュリティーテクノロジー」のことです。
個人情報(氏名・住所・アドレスなど)や、クレジットカード情報などは、常に悪意ある第三者から狙われています。
SSLを導入することで、重要な情報のデータを暗号化して送受信ができ、盗聴などを防げる安全な仕組みになっています。

httpsとは(HyperText Transfer Protocol Secure)の略称です。

簡単に説明すると、通常の「http通信」がSSLを導入して暗号化ができている証明が「https通信」になります。

設定しないとどうなるの?

設定することのメリット

セキュリティの強化

個人情報は、氏名・住所・アドレス・クレジットカード番号などだけではなく、通常のページを閲覧している時、閲覧履歴やログイン情報等も含まれます。
SSL化することによって盗聴・なりすまし・サイトの改ざん・中間者攻撃・情報漏洩等の対策ができます。

ユーザーへの安全証明

上記のセキュリティ強化による、安全性の確保や、ブラウザによってアドレスバーが緑色になったり、鍵マークが表示がされるので、一目で分かりやすく、ユーザーも安心ができます。

設定しないことのデメリット

会社・店舗のダメージになる

「個人情報やサイバー攻撃に関して対策はとっていません」と、わざわざ宣言している状態です。
安全でないサイトの(セキュリティが弱い)まま放置しているとサイバー攻撃の危険度はかなり高まります。
万が一、個人情報漏洩などの実害が出てしまった場合、お客様の信頼も損ないます。
最悪のケースは訴訟などで経済的な損失がでてしまう可能性もあります。

警告画面が表示される

SSL化されていないサイトへアクセスすると、アドレスバーに「保護されていない通信」などの文字列が表示されます。
ブラウザによっては、SSL化をしていないホームページが表示されると
「このサイトは危険です!」
という警告画面が表示される場合もあります。

設定していないだけで信頼度が下がる

サイトにアクセスした時に、アドレスバーの目立つ場所に
「保護されていない通信」
という警告が出ていると、ユーザーは当然不安になります。
それだけで信頼度の低下につながりかねません。

SEOにも影響する?

Googleは2014年に「SSL化しているサイトは検索順位を優遇します」と公式に発表しました。
現状ではSEOへの影響は非常に小さいものですが、少なくとも、SSL化していないサイトは不利になるわけです。
また、今後重要度が増す可能性もあります。

どうやって設定すればいいの?

サイト制作を依頼した会社に設定をしてもらう

サイト制作を依頼した会社に問い合わせ、SSL化を行ってもらう。
もしくは、SSL化代行サービスに依頼する。

自分で現在使用中のサーバーにて設定する

①ご利用のサーバーにもよりますが、そのレンタルサーバ内でのみ使える無料のSSLなどもあります。ご利用中のサーバーを確認しましょう。

②SSLにもたくさん種類があるのできちんと内容を読み、対応機器なども把握しておきましょう。

④証明証の発行・申請、証明書のインストール、SSL設定の有効化を行います。

③SSL化を行ったら、ブラウザからサイトにアクセスし「https」と正しく表示されているかエラーが出ていないかを確認しましょう。
(SSL化は反映まで少し時間がかかる場合があります。その場合は時間をおいてから確認しましょう。)

※何かあったときの為に、まず作業前に必ずファイル/データベースのバックアップを取っておくことをオススメします。

SSLを導入する料金の差って?設定した後は一生大丈夫なの?

費用がかかる?価格の差は何?

料金の差はSSL証明書の認証レベルに関係があります。
(※SSL証明書とは、データを暗号化するSSLの機能に加え、サイトを運営する会社の身元を確認できる電子証明書のことです。)

認証レベルは、

  • ドメイン認証(認証レベル1)
  • 企業認証(認証レベル2)
  • EV認証(認証レベル3)

の3段階で、EV認証(認証レベル3)になるほど、サイト所有者の信頼性が高いことの証明になります。
当然、EV認証になるほど証明書の値段も高くなっていき、取得の審査も厳しくなります。

SSL証明書の種類ドメイン認証企業認証EV認証
費用(年)※価格は大体の目安です無料~約5万円程約5万円~10万円程約10万円~数十万円程
取得の難易度簡単厳しい最も厳しい 
ユーザーの信頼度低い高い最も高い

では、「価格が安いと暗号化の強度が低いの?」
と思われる方がいらっしゃると思います。
そこは、問題ありません。証明書ごとの暗号化の強度は変わりません。
上記にもありますが、価格の違いは「認証レベル」の違いです。
「認証レベル」は、「サイト所有者の信頼性が高いことの証明」を示すものです。

ユーザーへアピールとして、とても価値があるものです。そこを理解して、サイトの目的に応じて導入するようにしましょう。

ドメイン認証(DV認証:Domain Validation)

3種類の中で一番低価格で取得しやすい証明書になります。
SSL証明書の持ち主が、証明書に記載されたドメインの持ち主であること、ユーザーには「このドメインは信頼できます」ということを証明するものです。
手続きもインターネット上だけで済むので、発行スピードも早いです。
価格が安く、認証レベルが低い分、サイトの所有者の信頼度は一番低くなります。
(※ただしSSLを導入していないサイトよりは信頼度はあるので、まず導入はしておいたほうがいいでしょう。) 個人や法人など、関係なく誰でも登録することができます。

  • 個人や法人など、関係なく誰でも登録することができます。

【使われているサイト例】
お店紹介サイト
問い合わせフォーム
キャンペーン応募フォームなど

企業認証(OV認証:Organization Validation)

法人サイトなどで一般的に使われている認証です。
証明書に記載されたドメインの持ち主であることと同時に、
法的に実在している企業・団体が運営しているサイトであることを証明します。
帝国データバンクに企業情報がある法人のみ申請が可能。
(※帝国データバンクに登録がない場合は登記簿謄本が必要です!)
企業認証の証明書を取得するには各種書類の審査および申請者への電話確認が必要になるため、
ユーザーには「どんな企業が個人情報を預かるのか?」を明示できます。
ドメイン認証と比べ、企業認証の方が信頼性の高さが目に見えます。

  • 法人の企業・団体のみが登録できるもので、個人および個人事業主は登録できません。

【使われているサイト例】
支払・決済に関する情報を取得する必要のあるECサイト
個人情報を取り扱う必要のあるサイトなど

EV認証(EV認証:Extended Validation)

もっとも厳格な認証方式がEV認証です。
証明書に記載されたドメインの持ち主であることと同時に、
サイトを運営している企業・団体の実在性を最も厳格に認証し、信頼性を証明します。
企業認証の審査に加え、各種書類および第三者機関のデータベース等により、
申請組織が法的・物理的に実在しているかを確認すると共に、申請者の在籍確認と電話確認を行います。
※帝国データバンクに企業情報があることに加え、企業の活動実態なども審査の対象になります。
審査がかなり厳しいため、証明書の発行まで時間はかかりますが、
アドレスバーに自社の組織名称を表示が可能なため、信頼性が非常に高くなります。
この組織名称の表示が企業認証との大きな違いです。
ブラウザによってはアドレスバーが緑色に変わるので、
視覚的にも安全性をわかりやすくアピールできます。

  • 法人の企業・団体のみが登録できるもので、個人および個人事業主は登録できません。

【使われているサイト例】
支払・決済に関する情報を取得する必要のあるECサイト
個人情報を取り扱う必要のあるサイト
企業サイト、オンラインバンキングなど

証明書には期限がある

SSLサーバ証明書には有効期限があります。
導入先にもよりますが、更新の方法や期限はしっかり確認しておきましょう。
もし更新を怠った場合、サイトを訪れたユーザーのブラウザに警告画面が表示されてしまいます。
導入後も定期的なチェックと更新を忘れないようにしましょう。

まとめ

  • 安全・信頼できるサイトの証明になる
  • 「ECサイト」はもちろん「個人情報等を扱うサイト」の運営する時は必ずSSLを導入すること
  • SSL化は当たり前となってきている。自分の為にも、ユーザーの為にも上記サイト以外でも積極的にSSL対応を行っていくこと

※重要な情報のデータを暗号化して送受信することによって盗聴・なりすまし・中間者攻撃・情報漏洩等の対策になります。
個人情報や認証情報、機密情報等のやりとりが必要なサイトやページで導入することは必須です。

みやあじよのSNSアカウントをぜひフォローしてください