CEOブログ

横浜で活躍するホームページ作成・開発会社アットライズの代表取締役社長(CEO)が綴る、日々の奮闘記!!

業界・技術情報

SSL証明書って本当に必要?

投稿日:2016年6月3日 更新日:

SSLは データを暗号化し盗み見などを防ぐ技術

Webサイトの申込みフォーム等で広く普及している「SSL」。
URLが通常の「http://」ではなく「https://」になり、ブラウザのURL欄に鍵マークが表示されるので 多くの方はご存じでしょう。
SSLは簡単に言うと、インターネット上の通信を暗号化し通信経路上で第三者に盗み見され個人情報やカード情報などが漏洩するのを防ぐ技術です。
※SSLの解説については SSLのまとめ にわかりやすく解説があります。

今回、弊社のお客様で導入しているSSL証明書の有効期限更新にあたり、「SSLとはどんなものか?」簡単にご説明したので、それをまとめてブログに掲載しておきます。
技術的に難しいところもありますが、参考にしてみてください。

※尚、初心者にもわかりやすく説明するため簡略化しています。細かい部分で厳密にはニュアンスの異なる部分もあるかも知れませんがご了承ください。

実は証明書なんかなくても暗号化はできる

SSL化するには、通常 認証局が発行するSSL証明書により「このサイトは確かにSSL化されてますよ」と証明してもらうことが一般的ですが、実は証明書がなくても「暗号化」はできます。
ただし有効なSSL証明書がないので、ブラウザが「証明書がないけど大丈夫?」と アラート(警告)を上げてきます。なので、一般的なサイトでは 基本的にはきちんと有効なSSL証明書を設定しています。(保守メンテナンスのためにサイト管理者のみが使うページなどでは、ID、パスワードを送信したりしますが証明書なしでSSL化していることもあります。)

SSL証明書には認証レベルにより いくつかの種類がある

SSL証明書には、どこまでを証明するか、によって いくつかの種類(*1)があります。
(*1) 「ドメイン認証型SSLサーバ証明書」「企業認証型SSLサーバ証明書」「EV SSL証明書」の3種類。
  詳しくは シマンテックのサイト「SSLサーバ証明書の種類と比較」をご覧ください。

今回弊社のクライアント様から、「どの種類の証明書にすれば良いか?」との質問がありましたが、答えとしては「何のためにSSLを導入するのか」という根本目的によります。

多くの場合は、個人情報などの盗み見を防止することが主目的となりますので、最も安価でもある「ドメイン認証型」で十分でしょう。

SSL化する・しない は、ハガキで送るか封書にするか の違い

SSL(ドメイン認証)をかけるとネットの通信経路上を暗号化して流れていきます。

わかりやすい例えで言うと、何も暗号化していない状態は「ハガキ」を送っているようなもの。SSLの暗号化は「封書」で送るようなもの。
配達途中で誰かが見た場合に、ハガキのように中身が読めてしまうのか、封書のように読めないのか、の違いだと思っていただいて良いでしょう。

「ハガキ」状態で送るとキケンか?

カード情報やID/パスワードなどを含む場合(そのデータ単独で悪意を持って利用できてしまう場合)は、当然暗号化すべきですが、そうでない場合、例えば名前、住所、電話番号などの個人情報をフォームから入力する場合について考えます。
※以下、あくまでも個人的見解で、かなり極論です。SSLの導入可否は個別の状況を踏まえて判断してください。

カード情報でも入力しない限り、見も知らぬ人の個人情報(名前や電話番号など)がわかったところで、情報的になんの価値も利用用途もありません。(情報漏洩して価値のあるものは、ある程度まとまった人数の個人情報や、特定の属性(例えば「○○を購入した人」とか)の名簿があって初めて情報としての価値が出ます。

なので、SSLで暗号化してもしなくても別にどちらでも構わない、というのがネットに精通した私の見解です。(あくまでも個人的意見です。。(^^;)
なので、私はフォームで入力するときにSSL対応でなくても何ら気にしません。

ほとんどのサイトはメール受信時には暗号化してない!

もっと言ってしまえば、ほとんどの場合、サイトからフォームで送信する際(ユーザーのPC → メールサーバーまで)はSSL暗号化してても、担当者がメールボックスからメールを受信する際(メールサーバー → 担当者のPC)は、暗号化せず(ハガキの状態で)に受信しているケースがほとんどだと思います。
(私はメールの送受信もSSL暗号化するようにPCを設定していますが、おそらく99%以上の人は、そんな設定にしていないと思います。)
また、メールがサーバー上のメールボックスに届いている状態も、基本的には平文(暗号化されていない状態)で格納されています。(なので、ハッキングとかされると読まれる可能性あり)
auto0086-s

何のためにSSL認証するのか?

では、何のためにSSL認証するか、というと、「SSL対応していないサイトはキケンだ、けしからん!」という(中途半端な知識を持った)ユーザーがいるからです。(クレジットカード情報等を扱う場合を除く)

技術的なセキュリティというよりも、サイトを利用するユーザーの心理的不安をなくすことが目的、と言った方が良いでしょうか。
実際「けしからん」というユーザーも、メールを受信するときに暗号化してるかどうかまでは たぶん考えもしていないでしょう。

なので、どのようなレベルでSSL認証するのか、サイトへの訪問者(ユーザー)の動向なども合わせて検討していただければと思います。
 
 

ホームページ制作のこと、ホームページの運営でわからないことや困っていることがありましたら、「株式会社アットライズ」までお気軽にご相談ください。

アットライズロゴ

株式会社アットライズのホームページはこちら

-業界・技術情報

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

「だったら けしからん!」っていうネットの怖さ

ネット上にはいろんな情報があふれている。。 中には飲食物の素材などについて、恐怖感や嫌悪感を煽るような まことしやかに書かれたものなどもあり、それを読んだ人がSNS上で次々にシェア、フォローして広がっ …

ドメインは財産?財テク??

先日のブログで、地域名ドメイン「.yokohama」が登録開始になったことを書いたが、今日はナンともお高~いドメイン名のハナシ。。 高値取引されるドメイン ドメイン名が売買対象になるのは昔からある話で …

ネット広告費、新聞抜く

電通の発表によると、「2009年の広告費」で、ついに「ネット広告費」が「新聞広告」を抜き、「テレビ広告」についで第二位になった、と。 ITmediaの記事は > こちら 他のマスメディアは軒並み二ケタ …

ドメインの乗っ取りにご注意を!

昨日から今日にかけてのIT系のニュースで国内「.com」サイトでドメイン乗っ取り、不正サイトへの誘導被害もというのがあった。 ※本ブログでは一例を示しています。(この例以外のケースもあり得ます。) 意 …

ディスクのバックアップ、ベストな方法とは?(その1)

備えあれば憂いなし、のバックアップ! 以前のブログで、ハードディスクの丸ごとバックアップ方法について記載したが、今回はファイルのバックアップ方法について、いろいろと試行錯誤しながらやっと落ち着いた方法 …

PREV
[備忘録]wwwあり・wwwなしを統一する方法
NEXT
[備忘録]PowerPoint2007:ページ番号の設定方法
アットライズロゴ

株式会社アットライズのホームページはこちら

NEW ENTRY

2024/12/03

[備忘録]レッツノート:BIOSの起動・DVDドライブからの起動

2024/12/02

[備忘録]Excel:セルの値によって文字色・背景色を変える方法

2024/11/12

[備忘録]Googleマップ:祝日にクリスマスとかが表示される

2024/10/30

「言葉のしおり」頂いちゃいました♪

2024/10/07

[備忘録]Firefox:「Google Translator for Firefox」が使えなくなった

カテゴリー

タグ

Amazon CMS Facebook Firefox Google PC SNS twitter Windows10 お取引先 アクセス インターネット オフィス移転 クライアント スパム セキュリティ デジハリ バックアップ ビジネス ブログ マラソン メール 三方よし 仕事 会社 倫理法人会 健康 備忘録 制作実績 季節 年末年始 感謝 抱負 掃除 携帯電話 松下幸之助 横浜 献血 研修 社員 稲盛和夫 脆弱性 講師 高校生

拙著 好評発売中

4881668854

Webサイト制作・運営に役立つ! ホームページ担当者が最初に覚える基本100+α (ソーテック社)