地域や企業にデジタルトランスフォーメーションを実現するための情報をお届けします

なぜ今、常時SSL化なのか

コラム・連載

はじめまして、シックス・アパート株式会社のコンサルタント 青木と申します。
このIT業界の一端に長く携わっておりますが、この世界の技術の進化変化のスピードは大変なものです。「新しい何か」が出てきたな、と思っていたら、それはあっという間に「当然のもの」になってしまい、「今更聞けない…」といった状況になった方や、取り入れようとしたら既に更にその技術が進歩してしまっていて「何から手をつけたら…」といった経験のある方って結構いらっしゃるのではないでしょうか?
このブログでは、そんなネットビジネス界隈の最新キーワード、にまつわるものを分かりやすく解説するお手伝いが出来たらな、と思っております。
どうぞよろしくお願いします。

常時SSLとは?

常時SSLとは、簡単にいえばウェブサイト全体をHTTPS化してしまいましょう、ということです。
ショッピングカートやメールフォームにアクセスすると、アドレスがHTTPからHTTPSに変わったというのはよく体験することですよね。
HTTP + Secure でHTTPS。つまHTTPSはページがSSL化されているということを表しています。
ではそもそもSSL(Secure Sockets Layer)とはなんでしょう? …とこれを全てを解説するととんでもない膨大さになってしまいますが、簡単にまとめると、SSLはインターネット上で通信を暗号化する技術のことです。
私が今ここで、SSL化されていない状態(HTTPページから)のフォームからクレジットカードの情報を送ると、「5210-XXXX-XXXX-XXXX」というカード番号も、盗聴(正確には盗視でしょうか)される危険性があります。
でもSSL化(HTTPSページ)されているフォームからならば、この情報は、「09she^ns*go+J28sjJRNP&;skbei9’J#yem¥eye32a[ten」といった一見には何のことか分からない暗号化された状態で送られるので、安心ということです。
(因みにこの暗号は適当な文字をいれたものですよ!)

どうして常時SSLが求められるのか?

そもそも個人情報とは、何も誕生日やクレジットカード情報だけではありません。
ウェブサイトとユーザーの間でやりとりされる情報(Cookieや検索ワード閲覧履歴も)全てが個人情報と言っていいでしょう。
そして今、インターネットへのアクセスはLANケーブルを通してパソコンからだけ、の時代ではありません。スマートフォンやタブレットで、Wi-Fiを通してなどアクセス方法が多様化しています。
残念ながら、暗号化されていない公衆無線LANなどのWi-Fi接続から「盗聴」「なりすまし」などが簡単に行えるツールが出回っており、知らずのうちに誰もがその危険性と隣り合わせなのが今の時代なのです。
個人情報の保護だけが常時SSLが求められている理由ではありません。
「盗聴」された情報を使って、ウェブサイト上のデータが書き換えられてしまうかもしれません。ウェブサイトとユーザーのやりとりが途中で「改ざん」されたら、これはユーザーにとっても、ウェブサイト双方にとっても大きな打撃です。
そんなデータが書き換えられたり、間違った情報が送られるウェブサイトは信用されませんし、ウェブサイトを運営する企業側にとってはこのようなことは、絶対に避けなければならないことでしょう。
こういった背景から、常時SSLが強く求められているのです。

ハードウェアやインフラの整備

昔はHTTPSのサイトに行くと、突然重くなった…という経験をした方もいらっしゃるでしょう。これは当然で、やりとりする情報を暗号化している訳ですから、ユーザーにもサーバーにも負担がかかります。
それも昔で、現在はハードウェアや通信環境が進歩して整っていますし、HTTPSサイトだからといって突然重くなることもないでしょう。

グーグルのランキングシグナル発言

これが何より「常時SSL」というキーワードを躍進させる切っ掛けとなったのですが、検索エンジン最大手「Google」が「HTTPSをランキングの要素に取り入れる」と宣言したのです。
[HTTPSをランキングシグナルに使用します
http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html](http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html)
これはサイトがHTTPS化されていれば、「ユーザーがより安全なサイトを提供していますね」と評価して、(多少ながら)ランキングを優位にしてくれますよ、ということです。

ブラウザとHTTP/2対応

同じくGoogleより、ブラウザでHTTPのサイトは「安全でない」、HTTPSのサイトは「安全」と表示する提案がなされています。
[Google、ブラウザは HTTP 接続に対して 「安全でない」 と表示するべきと提案
https://hyper-text.org/archives/2014/12/marking_http_non_secure.shtml](https://hyper-text.org/archives/2014/12/marking_http_non_secure.shtml)
現段階では、Googleが開発しているブラウザ「Chrome」がこの表示の導入を検討しているということです。
ユーザーが会社のサイトを訪れた際に、HTTPであったために「安全でない」と表示されてしまってはブランドイメージにも関わりますし、HTTPS化は企業サイトは必須となるでしょう。
また、「HTTP」の新しいバージョンとして「HTTP/2」が登場して今後普及していくかどうか注目されています。「HTTP/2」は安全性と高速化をテーマとして開発されたものですので、必須とはしてはいませんが、実質的には常時SSL接続を求めるものになっています。
(HTTP/2はGoogleやTwitterで既に導入されていますので、今後広く普及していくことが考えられます)

まとめ

常時SSLは、Googleのランキングシグナル発言からSEOに優位だ、という捉えられ方が広まってしまいましたが、あくまでも主旨は「より安全で有用なコンテンツが発信されるべき」ということです。
ウェブサイトとユーザーがより安全に情報のやりとりを行うために必須のものになる「常時SSL」とは、**守られるのはユーザーだけでなく、ウェブサイト運営側の企業のビジネスも守る**、ということに繋がります。
数年後には、常時SSL化されているサイトが主流となり、名刺のURLにもHTTPSで始まるURLばかりが並ぶ時代もそう遠くないでしょう。
※因みに弊社シックス・アパートのサイトは既に常時SSL対応となっております。
[シックス・アパート株式会社](https://www.sixapart.jp)

SNSでフォローする