「ホームページが危険に晒されていますよ」
「セキュリティが甘い」
「情報漏洩の恐れがあります」
…そんなセールスの電話を受けたご経験は、ありませんか?
いきなり「セキュリティが」と言われても、 専門家でもないし、よくわからないですよね。でも「危険」と言われると、さすがに気になります。では実際、どうすればいいのでしょうか?
この記事では、営業電話でよく言われる 「ホームページのセキュリティ」について、 危険度や対策方法などの要点を簡潔にまとめています。過剰に怖がる必要はありません。 正しく恐れて、御社のホームページ運営に活かしてください。
営業電話で「セキュリティ」と言われるものの正体は、何?
いろんな会社から何本も掛かってくる、ホームページのセキュリティの営業電話。一体、何を根拠に架電してくるのでしょうか? そのほとんどが、御社のホームページを開いたときに、アドレス表示部分の先頭に表示される「保護されていません」という表示を見て、営業電話を掛けています。
これは何をあらわす表示なのかというと、「インターネットのデータ通信が暗号化されていません」という警告です。 なお、南京錠のようなカギのマークが表示される場合は「通信が保護されている」というサインですので、おそらくこの手の営業電話は掛かってこないと思います。
この違いをインターネット業界では「SSL対応をしている/していない」で区別しています。
SSLって、いったい何者?
SSLは「Secure Sockets Layer」の略で、インターネット上でデータを暗号化して送受信する「仕組み」のことです。
ここで少し、ホームページがどうやって皆さんのモニターに映し出されるのか、しくみを紹介しましょう。
実はホームページのデータはサーバにあります。ページを閲覧したいとき、パソコンやスマホなどの閲覧端末とサーバとの間で、インターネットを通してデータを送受信します。この送受信を暗号化しながらやり取りすることを「SSL通信」と言います。
SSL対応されたホームページ閲覧の裏ではどんなやり取りがされているかというと、「通信データの暗号化」のほか、「サイト所有者の身元保証の確認」、そして「改ざんの検出」といったことが高速で行われています。 つまり、SSL対応されたホームページであれば、より安心度の高い通信が可能になります。
SSLを導入していないホームページの5つのリスク
1. データの盗聴
見積り依頼などで送信するお問合せフォームには、メールアドレスや電話番号、住所などの個人情報を送信するかと思います。SSL対応していない場合は、この情報を容易に盗聴できてしまいます。最悪の場合、取引先である施主や元請けの情報が流出し、迷惑を掛ける可能性も。
2. データの改ざん
行き交っているデータに浸入し、内容を書き換えられてしまう可能性があります。たとえば発注数を大幅に増やされたり、納品先の現場住所を変更されたり…。誤発注になり互い損をしますし信頼も失い、工期の遅れで全体に迷惑をかけてしまう可能性もあります。
3. なりすまし
SSL対応されていない場合、本物そっくりのホームページを「同じURLで」ニセのサーバに設置して乗っ取ることも可能です。資材の受発注のやり取りをさんざんしていたのに電話してみると話が通じなかったり、掲載している振込先の口座番号が違っていたり…やりたい放題です。
実は先の「携帯口座預金の不正引き出し事件」も、ニセのメール等で偽装サイト(カギマークのないホームページ)に誘導され、口座番号や暗証番号を入力してしまったのが原因とも言われています。
つまり消費者の自己防衛の第一歩は、カギマークの有無を確認すること。これが当たり前の習慣になれば、いくら公式の企業ページであっても、非対応なら閲覧自体倦厭される恐れも出てきます。
4. お問合せする気持ちを削ぐ
SSL対応は世界的な流れであり、ChromeやSafariといったアプリ側の警告表示も厳しくなって来ています。
たとえばスマートフォンのChromeを使って閲覧した場合、SSL対応していないサイトのお問合せページを開くと、先頭のアイコンが「⚠」に変わって注意を促してきます。これではお問合せをするハードルも、一気に高くなります。
5. 検索順位が下落するリスク
検索サイトによる順位は、上位に表示されるほど閲覧されやすく、集客のうえで大変重要です。
この順位に関して、Googleは過去数年にわたって、SSL対応(暗号化)していないサイトに警告を発してきました。その歴史は意外と古く、2014年8月には「SSLを検索順位の決定要因にする」と発表。2015年12月には「SSL化されたページを優先的にインデックス登録する」とアナウンスをしています。
また検索順位の評価項目は数百あると言われていますが、その中の1つ「表示速度」でもSSLはアドバンテージがあります。たとえばHTTPS/2というWeb高速化規格は、SSL対応していないと使えません。つまり、検索サイトで上位表示を目指すうえでも、SSL対応は大前提といえます。
ホームページをSSL対応させるには?
では実際、今お持ちのホームページをSSL対応させるためにはどんな手順が必要となるのでしょうか? 実際の作業を以下にまとめてみました。
1. サーバ証明書の取得(購入費用…3万~20万円)
証明書署名要求(CSR) を作成します。CSRとはサーバ上で作成する証明書発行用の申請書のようなものです。
2. サーバへのインストール
ダウンロードした証明書をサーバへ保存してインストールを行ないます。
3. ホームページ(CMS)側の設定変更
URL変更に伴い、サイト側の各種設定を変更します。
4. HTMLコードの書き換え
画像のリンクなどをすべてhttpsに変更します。
5. 各種設定変更と再登録
Googleアナリティクスや広告のタグなど、各種外部で 連携しているサービスの設定を変更します。
6. リダイレクトの設定
過去のURLで来た人を新しいURLに自動誘導します。
さいごに
ホームページをSSL対応させるには専門的な内容になるので、実際はSSL対応業者に委託するのが現実的かと思います。
しかしホームページのシステム(CMS)は、時とともに劇的に進化しています。古いホームページをSSL対応させるよりも、表記内容はそのままに、ガワだけ新しくしたり、あるいは思い切って今の時代に合わせたデザインで、新しく作り直すことをおすすめします。
