CEOブログ

横浜で活躍するホームページ作成・開発会社アットライズの代表取締役社長(CEO)が綴る、日々の奮闘記!!

業界・技術情報

SSL証明書って本当に必要?

投稿日:2016年6月3日 更新日:

SSLは データを暗号化し盗み見などを防ぐ技術

Webサイトの申込みフォーム等で広く普及している「SSL」。
URLが通常の「http://」ではなく「https://」になり、ブラウザのURL欄に鍵マークが表示されるので 多くの方はご存じでしょう。
SSLは簡単に言うと、インターネット上の通信を暗号化し通信経路上で第三者に盗み見され個人情報やカード情報などが漏洩するのを防ぐ技術です。
※SSLの解説については SSLのまとめ にわかりやすく解説があります。

今回、弊社のお客様で導入しているSSL証明書の有効期限更新にあたり、「SSLとはどんなものか?」簡単にご説明したので、それをまとめてブログに掲載しておきます。
技術的に難しいところもありますが、参考にしてみてください。

※尚、初心者にもわかりやすく説明するため簡略化しています。細かい部分で厳密にはニュアンスの異なる部分もあるかも知れませんがご了承ください。

実は証明書なんかなくても暗号化はできる

SSL化するには、通常 認証局が発行するSSL証明書により「このサイトは確かにSSL化されてますよ」と証明してもらうことが一般的ですが、実は証明書がなくても「暗号化」はできます。
ただし有効なSSL証明書がないので、ブラウザが「証明書がないけど大丈夫?」と アラート(警告)を上げてきます。なので、一般的なサイトでは 基本的にはきちんと有効なSSL証明書を設定しています。(保守メンテナンスのためにサイト管理者のみが使うページなどでは、ID、パスワードを送信したりしますが証明書なしでSSL化していることもあります。)

SSL証明書には認証レベルにより いくつかの種類がある

SSL証明書には、どこまでを証明するか、によって いくつかの種類(*1)があります。
(*1) 「ドメイン認証型SSLサーバ証明書」「企業認証型SSLサーバ証明書」「EV SSL証明書」の3種類。
  詳しくは シマンテックのサイト「SSLサーバ証明書の種類と比較」をご覧ください。

今回弊社のクライアント様から、「どの種類の証明書にすれば良いか?」との質問がありましたが、答えとしては「何のためにSSLを導入するのか」という根本目的によります。

多くの場合は、個人情報などの盗み見を防止することが主目的となりますので、最も安価でもある「ドメイン認証型」で十分でしょう。

SSL化する・しない は、ハガキで送るか封書にするか の違い

SSL(ドメイン認証)をかけるとネットの通信経路上を暗号化して流れていきます。

わかりやすい例えで言うと、何も暗号化していない状態は「ハガキ」を送っているようなもの。SSLの暗号化は「封書」で送るようなもの。
配達途中で誰かが見た場合に、ハガキのように中身が読めてしまうのか、封書のように読めないのか、の違いだと思っていただいて良いでしょう。

「ハガキ」状態で送るとキケンか?

カード情報やID/パスワードなどを含む場合(そのデータ単独で悪意を持って利用できてしまう場合)は、当然暗号化すべきですが、そうでない場合、例えば名前、住所、電話番号などの個人情報をフォームから入力する場合について考えます。
※以下、あくまでも個人的見解で、かなり極論です。SSLの導入可否は個別の状況を踏まえて判断してください。

カード情報でも入力しない限り、見も知らぬ人の個人情報(名前や電話番号など)がわかったところで、情報的になんの価値も利用用途もありません。(情報漏洩して価値のあるものは、ある程度まとまった人数の個人情報や、特定の属性(例えば「○○を購入した人」とか)の名簿があって初めて情報としての価値が出ます。

なので、SSLで暗号化してもしなくても別にどちらでも構わない、というのがネットに精通した私の見解です。(あくまでも個人的意見です。。(^^;)
なので、私はフォームで入力するときにSSL対応でなくても何ら気にしません。

ほとんどのサイトはメール受信時には暗号化してない!

もっと言ってしまえば、ほとんどの場合、サイトからフォームで送信する際(ユーザーのPC → メールサーバーまで)はSSL暗号化してても、担当者がメールボックスからメールを受信する際(メールサーバー → 担当者のPC)は、暗号化せず(ハガキの状態で)に受信しているケースがほとんどだと思います。
(私はメールの送受信もSSL暗号化するようにPCを設定していますが、おそらく99%以上の人は、そんな設定にしていないと思います。)
また、メールがサーバー上のメールボックスに届いている状態も、基本的には平文(暗号化されていない状態)で格納されています。(なので、ハッキングとかされると読まれる可能性あり)
auto0086-s

何のためにSSL認証するのか?

では、何のためにSSL認証するか、というと、「SSL対応していないサイトはキケンだ、けしからん!」という(中途半端な知識を持った)ユーザーがいるからです。(クレジットカード情報等を扱う場合を除く)

技術的なセキュリティというよりも、サイトを利用するユーザーの心理的不安をなくすことが目的、と言った方が良いでしょうか。
実際「けしからん」というユーザーも、メールを受信するときに暗号化してるかどうかまでは たぶん考えもしていないでしょう。

なので、どのようなレベルでSSL認証するのか、サイトへの訪問者(ユーザー)の動向なども合わせて検討していただければと思います。
 
 

ホームページ制作のこと、ホームページの運営でわからないことや困っていることがありましたら、「株式会社アットライズ」までお気軽にご相談ください。

アットライズロゴ

株式会社アットライズのホームページはこちら

-業界・技術情報

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

サーバーや技術的な社内勉強会を開催しました。

意外と奥が深いサーバー関連の技術的なノウハウ 今週の月曜日、社内でサーバーや技術的な勉強会を開催しました。 「Webサイトを公開」するには、デザインやコーディングの技術の他に、インターネットの仕組みや …

Internet Explorerの脆弱性

かなり大きなニュースになっているのでご存じの方も多いと思うが、 Microsoft社のブラウザ「Internet Explorer(IE)」のVer6~11に、かなり深刻な脆弱性が発見された。 詳しく …

Yahoo検索順位が変わる!?

「Yahoo!検索 スタッフブログ」より http://searchblog.yahoo.co.jp/2008/08/yahoo_index_update_2.html 以下、記事抜粋。 Yahoo! …

テレワーク、本格導入にあたって考慮したこと

これをきっかけにテレワーク化が一気に進むか 新型コロナウィルス感染対策として、当社でもテレワークを本格導入した。 どちらかと言うと自分は、今まで リモート会議システムなどを使った取引先との打合せにも消 …

モバイル重視の流れは避けられない!Googleがモバイル対応サイトをSEOで有利にする日がくる!

ついにGoogleもモバイル重視を鮮明に! 先日のブログ(*1)で、弊社の関連するサイトについて、訪問者のモバイル比率をグラフで示した記事をアップした。 (*1)サイトのモバイル比率調べたら意外な大差 …

PREV
[備忘録]wwwあり・wwwなしを統一する方法
NEXT
[備忘録]PowerPoint2007:ページ番号の設定方法
アットライズロゴ

株式会社アットライズのホームページはこちら

NEW ENTRY

2024/04/10

[備忘録]Windows10:PCで画面上に表示されたQRコードを読み取る方法(カメラなし)

2024/04/05

社内イベント:大岡川 花見クルーズ🌸

2024/03/25

[備忘録]Googleカレンダー:一発で日付を移動する方法

2024/03/14

[備忘録]マウスカーソルがブブブル振動して困った(対処)

2024/03/12

[備忘録]PowerPoint:ブック全体のフォントを一括置換する方法

カテゴリー

タグ

Amazon CMS Facebook Firefox Google PC SNS twitter Windows10 お取引先 アクセス インターネット オフィス移転 クライアント スパム セキュリティ デジハリ バックアップ ビジネス ブログ マラソン メール 三方よし 仕事 会社 倫理法人会 健康 備忘録 制作実績 季節 年末年始 感謝 抱負 掃除 携帯電話 松下幸之助 横浜 献血 研修 社員 稲盛和夫 脆弱性 講師 高校生

拙著 好評発売中

4881668854

Webサイト制作・運営に役立つ! ホームページ担当者が最初に覚える基本100+α (ソーテック社)