【あなたの会社は大丈夫?】SSL未対応のホームページが危険な理由
公開日:2023.09.19
会社DX
現在、多くの企業のホームページでは「問い合わせフォーム」が設置されています。
この問い合わせフォームでは、会社名・担当者名・電話番号やメールアドレス等の個人情報を送信することが多く、セキュリティ対策が施されていないと、悪意ある第三者によって、これらの情報が盗まれる・改ざんされるなどのリスクがあります。
企業の信頼を損なわないためにも、セキュリティ対策を万全にしておかなくてはなりません。
問い合わせフォームをはじめ、ホームページのセキュリティ対策として必須なのが「SSL化」です。
そこで、今回は「SSL」について分かりやすく解説します。
「SSL」とは?
2018年7月リリースのGoogleChromeから、ホームページのアドレスバーに「保護されていません」と表示されることがきっかけで「SSL化」が広がりました。
「SSL」とは、「Secure Sockets Layer」の略で、ひと言でいうと「ホームページとそのサイトを閲覧しているユーザーとのやり取り(通信)を暗号化するための仕組み」を指します。
個人情報やクレジットカード情報などの、個人にとって重要なデータを暗号化することで、ホームページとそのサイトを閲覧しているユーザー間での通信を安全に行なうことができます。
このように、重要な個人情報が暗号化されることで、田中 太郎さんがどこに住んでいるのか、クレジットカードの番号は何か…といった情報は分からないですよね。
これにより、ホームページの管理者は安全性を証明することができるのです。
総じて、SSLは「ホームページの閲覧者=顧客へ安心感や信頼感を醸成するためのセキュリティ対策」と言えます。
「SSL」を確認する方法
ホームページがSSL化されているかを確認する方法としては2つあります。
1つはURLが「https」から始まること、もう1つはブラウザのURL欄の横に「鍵マーク」があることです。
GoogleChromeなどのブラウザでは、この鍵マークをクリックすると「安全な接続」「この接続は保護されています」などと表記されており、SSL証明書の詳細な情報を見ることができます。
証明書には、「ホームページの所有者」「証明書の発行機関」「証明書の有効期間」などが記載されています。
セキュリティが十分であるか確認したい場合は、このSSL証明書を確認し、証明書が有効であるかをチェックすると良いでしょう。
「SSL」と「TLS」の違い
SSLと一緒に「TLS」(Transport Layer Security)という言葉を聞くことがありますが、ひと言で言うと、「TLSはSSLの新しいバージョン」です。
役割としては、SSLと同様、インターネット上でデータ通信をする際、データを暗号化することで、安全な通信を実現するための仕組みです。
SSLは、2014年にその欠陥が発見されたため、翌年には使用が禁止されました。
そこで現在は、より安全な「TLS」という暗号化通信の仕組みが使われています。
しかし、世間ではSSLの名称が広く定着しているため、未だに本記事のように「SSL」という名称で使用しています。
SSLが「SSL/TLS」や「TLS」と呼ばれるのはそのためです。
電気工事業のホームページにおけるSSL対応状況
2021年度に、弊社の電気工事士専門求人サイト『工事士.com』に掲載いただいた企業809社を対象に、ホームページの保有割合とSSL対応状況を調査しました。
その結果、ホームページを持っている企業が約8割と圧倒的でありながら、その半数以上がSSL非対応であるという実態が明らかになりました。
「ホームページあり」の求人が78.6%であるのに対して、「ホームページなし」の求人は21.4%となっています。
『工事士.com』に掲載の企業の82%が「従業員数50人未満」であることを考えると、企業規模に関わらず、ホームページを持つことは当たり前となってきている現状が見て取れます。
その一方で、ホームページを保有している企業様の中でも【56.9%】は、SSL対応がなされていません。
日本国内全てのWebサイトを対象にした調査では90%がSSL化している(注1)ことからも、電気工事業界は他業界に後れを取っており、ホームページをきちんと管理・運用できている企業様は少ない、と言えます。
注1) ウェブ上でのHTTPS暗号化>世界各国におけるChromeでのHTTPSの使用状況
出典先:Google透明性レポート「SSL」対応されていないホームページで考えられるリスク
SSLは「サイトの閲覧者=顧客へ安心感や信頼感を醸成するためのセキュリティ対策」でありながら、電気工事業界は他業界と比較してSSL対応が遅れている企業が多い、という現状が見て取れました。
では、SSL対応されていないホームページでは、どんなリスクが考えられるでしょうか。
ひと言でいうと、SSLされていないホームページは、悪意ある第三者によって通信内容を盗み見られたり、悪用されてしまうリスクがあります。
<悪用される情報>
・閲覧しているホームページのアドレス
・掲示板、コメント欄に書き込んだ内容
・ショッピングサイトで入力したクレジットカード番号やパスワード
などなど…
SSL化されていないホームページを運用することで、大きく3つのリスクが考えられます。
企業の信用力ダウン
「保護されていません」と表示されるホームページは、見る人を不安な気持ちにさせるため、企業そのものの信用力低下につながります。
さらに、フォームに入力した顧客の個人情報等が流出した場合、企業に対する信頼度が著しく低下することは避けられません。
それが企業の故意ではない、悪意ある第三者によるサイバー攻撃の結果だとしても、「顧客から預かった大切な個人情報を管理できない企業だ」と認知されることで、世間からのイメージダウンは免れないでしょう。
SSL化によるセキュリティ対策は、これまで築いてきた企業の信頼を維持し、信用力を維持・向上していくために必須です。
被害に対する多額のコスト発生
サイバー攻撃などを受けて情報漏洩などの被害が出た場合、企業が負うべきコストは多額になることが予想されます。
被害状況の調査や問い合せ対応、謝罪を含めた顧客対応に関わる人件費はもちろん、損害賠償請求やシステム復旧などにも多額の費用がかかります。
このようなコストは大きく、経営に多大な影響を与える可能性もあります。
SSL対応をするためには、年間5〜10万円程度の費用が発生しますが、それを差し引いたとしても、企業側はSSL対応を含むセキュリティ対策を万全に施す必要があることは明白です。
検索順位に悪影響を及ぼす
GoogleはホームページがSSL対応されているかどうかを、検索順位の重要な決定要因にすることを正式に発表しています。
つまり、SSL非対応のホームページは、SEOランキングで不利な位置に置かれる可能性が高いことから、ユーザーに見つけてもらいにくくなります。
SSL対応をしていないことによって、「新規顧客獲得の機会損失」といった集客面や売上面での悪影響にもつながります。
「SSL」を導入するには?
ここまで、SSLの重要性と、SSL対応しないことで起こるリスクについてお話してきました。
企業にとってSSL対策が重要であることはお分かりいただけたのではないでしょうか。
では、SSLを導入するにはどうしたら良いか、その方法を見ていきましょう。
大きくは「自力で導入する方法」と「SSL導入が簡単なサービスを利用する方法」の2つに分けられます。
自力で導入する方法
- CSRの作成
「CSR」とは、後述のサーバー証明書発行の際に必要となる「証明書署名要求」と呼ばれるものです。
CSRは、SSLを導入するサーバーで「ディスティングイッシュネーム」と呼ばれるホームページの情報を入力して生成します。
ディスティングイッシュネームは、「コモンネーム、組織名、部署名、サイト運営者の所在地、国別番号」などを総称して呼びます。
CSRの作成は各サーバーによって異なるため、各サーバーの手順を参照してください。 - サーバー証明書を発行
CSRを作成後は、グローバルサインなどの認証局にサーバー証明書を申込みます。
サーバー証明書とは、ホームページの運営者が実在していることを確認してブラウザとWebサーバー間で通信データの暗号化を行うための「電子証明書」です。
ホームページの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データなども含まれます。 - 認証手続き
サーバー証明書申込み後は、認証手続きを行います。
手続き方法は様々で、認証局から指定された書類の提出が求められる可能性もあります。
また、場合によっては電話や郵送で認証手続きが行われることもあります。 - サーバー証明書のインストール
認証手続きが完了したら、サーバー証明書をサーバーにインストールして設定を行えば完了となります。
SSL導入が簡単なサービスを利用する方法(BT-web)
建設業の企業には「BT-web」がおすすめ!
「BT-web」は、建設業専門のホームページ作成ツール (CMS) です。
サーバー・ドメイン・SSLをすべて一括でご提供するため、お客様側で上記のような特別な手続きは一切必要ありません。
サーバーが立ち上がった時には、自動でSSL対応がされています。
現場が忙しい…Webの専門人材が置けない…といった建設業の企業にぴったりです。
自社でWeb知識のある人材がいるかどうか、運用にさく時間があるかどうか等を精査した上で、導入方法を検討しましょう。
「SSL」対応を行って安全なホームページを運用しましょう!
SSLは、今やホームページを運営する上で、「導入して当たり前のセキュリティ対策」になりつつあります。
「サイト運営者も訪問者も安心してインターネットを使うことができるための仕組み」であるため、企業ホームページでは必ず導入しましょう。