CEOブログ

横浜で活躍するホームページ作成・開発会社アットライズの代表取締役社長(CEO)が綴る、日々の奮闘記!!

業界・技術情報

SSL証明書って本当に必要?

投稿日:2016年6月3日 更新日:

SSLは データを暗号化し盗み見などを防ぐ技術

Webサイトの申込みフォーム等で広く普及している「SSL」。
URLが通常の「http://」ではなく「https://」になり、ブラウザのURL欄に鍵マークが表示されるので 多くの方はご存じでしょう。
SSLは簡単に言うと、インターネット上の通信を暗号化し通信経路上で第三者に盗み見され個人情報やカード情報などが漏洩するのを防ぐ技術です。
※SSLの解説については SSLのまとめ にわかりやすく解説があります。

今回、弊社のお客様で導入しているSSL証明書の有効期限更新にあたり、「SSLとはどんなものか?」簡単にご説明したので、それをまとめてブログに掲載しておきます。
技術的に難しいところもありますが、参考にしてみてください。

※尚、初心者にもわかりやすく説明するため簡略化しています。細かい部分で厳密にはニュアンスの異なる部分もあるかも知れませんがご了承ください。

実は証明書なんかなくても暗号化はできる

SSL化するには、通常 認証局が発行するSSL証明書により「このサイトは確かにSSL化されてますよ」と証明してもらうことが一般的ですが、実は証明書がなくても「暗号化」はできます。
ただし有効なSSL証明書がないので、ブラウザが「証明書がないけど大丈夫?」と アラート(警告)を上げてきます。なので、一般的なサイトでは 基本的にはきちんと有効なSSL証明書を設定しています。(保守メンテナンスのためにサイト管理者のみが使うページなどでは、ID、パスワードを送信したりしますが証明書なしでSSL化していることもあります。)

SSL証明書には認証レベルにより いくつかの種類がある

SSL証明書には、どこまでを証明するか、によって いくつかの種類(*1)があります。
(*1) 「ドメイン認証型SSLサーバ証明書」「企業認証型SSLサーバ証明書」「EV SSL証明書」の3種類。
  詳しくは シマンテックのサイト「SSLサーバ証明書の種類と比較」をご覧ください。

今回弊社のクライアント様から、「どの種類の証明書にすれば良いか?」との質問がありましたが、答えとしては「何のためにSSLを導入するのか」という根本目的によります。

多くの場合は、個人情報などの盗み見を防止することが主目的となりますので、最も安価でもある「ドメイン認証型」で十分でしょう。

SSL化する・しない は、ハガキで送るか封書にするか の違い

SSL(ドメイン認証)をかけるとネットの通信経路上を暗号化して流れていきます。

わかりやすい例えで言うと、何も暗号化していない状態は「ハガキ」を送っているようなもの。SSLの暗号化は「封書」で送るようなもの。
配達途中で誰かが見た場合に、ハガキのように中身が読めてしまうのか、封書のように読めないのか、の違いだと思っていただいて良いでしょう。

「ハガキ」状態で送るとキケンか?

カード情報やID/パスワードなどを含む場合(そのデータ単独で悪意を持って利用できてしまう場合)は、当然暗号化すべきですが、そうでない場合、例えば名前、住所、電話番号などの個人情報をフォームから入力する場合について考えます。
※以下、あくまでも個人的見解で、かなり極論です。SSLの導入可否は個別の状況を踏まえて判断してください。

カード情報でも入力しない限り、見も知らぬ人の個人情報(名前や電話番号など)がわかったところで、情報的になんの価値も利用用途もありません。(情報漏洩して価値のあるものは、ある程度まとまった人数の個人情報や、特定の属性(例えば「○○を購入した人」とか)の名簿があって初めて情報としての価値が出ます。

なので、SSLで暗号化してもしなくても別にどちらでも構わない、というのがネットに精通した私の見解です。(あくまでも個人的意見です。。(^^;)
なので、私はフォームで入力するときにSSL対応でなくても何ら気にしません。

ほとんどのサイトはメール受信時には暗号化してない!

もっと言ってしまえば、ほとんどの場合、サイトからフォームで送信する際(ユーザーのPC → メールサーバーまで)はSSL暗号化してても、担当者がメールボックスからメールを受信する際(メールサーバー → 担当者のPC)は、暗号化せず(ハガキの状態で)に受信しているケースがほとんどだと思います。
(私はメールの送受信もSSL暗号化するようにPCを設定していますが、おそらく99%以上の人は、そんな設定にしていないと思います。)
また、メールがサーバー上のメールボックスに届いている状態も、基本的には平文(暗号化されていない状態)で格納されています。(なので、ハッキングとかされると読まれる可能性あり)
auto0086-s

何のためにSSL認証するのか?

では、何のためにSSL認証するか、というと、「SSL対応していないサイトはキケンだ、けしからん!」という(中途半端な知識を持った)ユーザーがいるからです。(クレジットカード情報等を扱う場合を除く)

技術的なセキュリティというよりも、サイトを利用するユーザーの心理的不安をなくすことが目的、と言った方が良いでしょうか。
実際「けしからん」というユーザーも、メールを受信するときに暗号化してるかどうかまでは たぶん考えもしていないでしょう。

なので、どのようなレベルでSSL認証するのか、サイトへの訪問者(ユーザー)の動向なども合わせて検討していただければと思います。
 
 

ホームページ制作のこと、ホームページの運営でわからないことや困っていることがありましたら、「株式会社アットライズ」までお気軽にご相談ください。

アットライズロゴ

株式会社アットライズのホームページはこちら

-業界・技術情報

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

[備忘録]PCサイトとスマホサイトを選択振り分けする方法

あると便利な振り分け機能 スマホでPC用サイトにアクセスした際、「スマホサイトに移動しますか?」といった表示を出し、 (1)「はい」を選択した場合 → スマホサイトを表示 (2) 「いいえ」を選択した …

no image

Skypeのバージョンを下げる方法

Skypeが起動したときに、「バージョンアップしますか?」というメッセージが出たので何気なく「する」としてしまったら、、アップグレードされたVer4が使いにくいの何のって。。。 以前旧バージョンをイン …

no image

mixiのシステムダウン

一昨日から mixiのシステムダウンが断続的に発生している。 今朝になって復旧しているようだが。。。   こういう話を聞くと、元SEとして 現場技術者たちの奮闘ぶり、、というか、切羽詰まった現場の状況 …

テクニカルショウヨコハマ2025で情報収集

パシフィコ横浜で開催 今日は、パシフィコ横浜で開催中の「テクニカルショウヨコハマ2025」で情報収集を。 お目当てのIT&DX関連は、全体の10%程度の出展といったところか。 もう少し見所があ …

ドメインは財産?財テク??

先日のブログで、地域名ドメイン「.yokohama」が登録開始になったことを書いたが、今日はナンともお高~いドメイン名のハナシ。。 高値取引されるドメイン ドメイン名が売買対象になるのは昔からある話で …

PREV
[備忘録]wwwあり・wwwなしを統一する方法
NEXT
[備忘録]PowerPoint2007:ページ番号の設定方法
アットライズロゴ

株式会社アットライズのホームページはこちら

NEW ENTRY

2025/03/14

[読書感想文]「USJを劇的に変えた、たった1つの考え方 成功を引き寄せるマーケティング入門」(森岡毅著)

2025/03/10

[備忘録]システムからの送信メールが「Undeliverable」エラーになる

2025/03/01

おかげさまで 24周年♪

2025/02/18

[備忘録]回復パーティションを削除する方法

2025/02/10

高校球児の「チームビルディング」研修、2回目に参加

カテゴリー

タグ

Amazon CMS Facebook Firefox Google PC SNS twitter Windows10 お取引先 アクセス インターネット オフィス移転 クライアント スパム セキュリティ デジハリ バックアップ ビジネス ブログ マラソン メール 三方よし 仕事 会社 倫理法人会 健康 備忘録 制作実績 季節 年末年始 感謝 抱負 掃除 携帯電話 松下幸之助 横浜 献血 研修 社員 稲盛和夫 脆弱性 講師 高校生

拙著 好評発売中

4881668854

Webサイト制作・運営に役立つ! ホームページ担当者が最初に覚える基本100+α (ソーテック社)