目次
ecサイトの運営を考えている場合に、とても重要になるのがsslです。顧客の個人情報を守る責任があるecサイトの運営者としては、sslについて正しい知識を身につけておかなければなりません。ここでは、これからecサイトの運営を始める人や、すでにecサイトを運営しているがssl対応をしていないといった人に向けて、sslの概要やsslに対応することの必要性・重要性と、ssl対応の具体的な方法などを解説します。
対応しているかはすぐ見分けられる!ssl対応とは?
まず、sslとはどのようなものなのかを理解しておきましょう。
sslとは「Secure Sockets Layer」の略です。サーバーとブラウザ間でやりとりされるデータを暗号化してインターネット上で送受信をする仕組みのことをいいます。なぜこのような仕組みが必要になるかというと、送信されるデータが第三者に読み取られないようにしなければならないからです。ecサイトでは、顧客の個人情報などの重要なデータを扱うので、慎重な取り扱いが求められます。もし、詐欺などの目的を持った第三者に個人情報が読み取られてしまうようなことがあれば、顧客に重大に被害を及ぼしかねません。
ですから、sslという暗号化システムを導入して、顧客情報を第三者から守る必要があるのです。 暗号化システムとしてはもう1つ、tls(Transport Layer Security)というものもあります。これは、sslの次世代版で、sslがバージョンアップしたものですが、sslのほうが広く知られているため、tlsもsslと呼ぶことが多くなっています。両者は同じものと考えて構いません。ssl/tlsと併記されることもあります。サイトがsslに対応しているかどうかは、すぐに見分けられます。対応しているかをチェックするには、サイトURLの部分を見てみましょう。アドレスバーに鍵マークが付いていて、アドレスの最初が「https」になっていれば、ssl対応済みのサイトということになります。
sslのメリットとは?対応なしは極めて危険
ホームページをssl対応にするメリットは、データのやり取りに関わるセキュリティを強化できる点です。
まず、データ送受信時の第三者による盗聴・盗み見を防止できます。ecサイトでは、顧客が注文・決済する際に、住所やメールアドレス、クレジットカード情報など多くの個人情報がやりとりされます。ウェブサイトをssl対応にすれば、こうした重要な個人情報が盗まれるリスクを減らすことが可能です。 また、ssl対応にするとデータの改ざん防止にも役立ちます。ユーザーにとっては注文する際に入力した内容が改ざんされるリスクを減らすことができ、ecサイトの運営者にとっては発注内容が第三者に改ざんされていないことを保証します。
さらに、なりすましも防げます。インターネット上には、ecサイトや銀行などのサイトを装った詐欺サイトも残念ながら多数存在しています。ssl対応にすることで、こうした悪意のあるサイトに個人情報を入力させるリスクを減らすことが可能です。 このように、sslはインターネット上で個人情報などのデータを安全に送受信するために必要です。Googleもこのsslの重要性を考慮し、2014年からウェブサイトにssl/tlsが実装されているかどうかを検索順位を決定する際の1つの基準にしています。ユーザーのほうも、ssl対応のサイトかどうかをサービス利用の1つの目安にすることが少なくありません。
こうした点を見ても、ecサイトを運用するのであれば、費用をかけてもssl対応にすることが望ましいといえるでしょう。レンタルサーバーによっては、無料で導入できるオリジナルのsslを用意しているところもあります。
ssl対応によってセキュリティ効果が上がる理由
なぜ、ssl対応によってセキュリティ効果が上がるのでしょうか。
ssl/tlsは暗号化のために「共通鍵暗号方式」と「公開鍵暗号方式」の両方の技術を利用しています。sslのサービス自体はいろいろな企業が提供していますが、基本的な仕組みはすべて同じです。この2つの方式を利用して通信を暗号化することで、第三者からの盗聴を防げます。
「共通鍵暗号方式」というのは、暗号化する鍵と復号(暗号化する前のデータに戻すこと)する鍵に同じ鍵を用いるものです。
「公開鍵暗号方式」というのは、暗号化する鍵と復号する鍵に違う鍵を用います。暗号化の際には公開鍵を、復号の際には秘密鍵を使用する仕組みです。 ssl/tls通信をホームページに導入するためには、「sslサーバー証明書」が必要になります。
「sslサーバー証明書」は、Webサイトの所有者情報や証明書発行者の署名データ、暗号化に必要な鍵などの情報を含む証明書で、サイトの運営元を確認することが可能になります。
サイトの用途によって変わる!sslの種類は3つ
sslには、認証レベルに応じて、「ドメイン認証」「企業実在認証ssl」「ev認証ssl」の3つの種類があります。
認証レベルとは、簡単にいうと、何を確認できるのかという違いです。認証できるものが多ければ多いほど、セキュリティレベルが強化されていることを意味します。順番に特徴を見ていきましょう。
1つ目は「ドメイン認証」です。このsslはドメイン名使用権(所有権)の確認だけができるもので、必要最低限のsslといえるでしょう。そのぶん価格が安くて済み、発行スピードが早いのが特徴です。
2つ目は「企業実在認証ssl」です。このsslでは、ドメイン名使用権(所有権)に加えて、組織が法的に実在していることの確認ができます。「企業実在認証ssl」は広く使われていて認知度の高いsslです。
3つ目は「ev認証ssl」で、非常に多くのことが確認できるのが特徴です。ドメイン名使用権(所有権)、組織の法的実在性のほかにも、組織の運営や承認者・署名者の確認までできる高機能のsslです。もっともセキュリティ性が高くて信頼できるsslですが、そのぶん価格も高いのが難点といえるでしょう。 どのsslを利用するかは、目的によって異なります。データの暗号化のみが必要なら「ドメイン認証」、実在性の証明が必要になるウェブサイトなら「企業実在認証ssl」や「ev認証ssl」を選択するのが一般的です。
ssl対応の方法とは?ネット上で手続きを
最後に、ホームページをssl対応にする方法について解説します。
まず、「csr」を作成しましょう。「csr」とは「Certificate Signing Request(証明書署名リクエスト)」の略です。sslサーバー証明書を発行してもらうために認証局に提出する申請書になります。csrを生成して申し込みをすると、「sslサーバー証明書」が発行されます。これはssl暗号で通信を始める際に利用する証明書です。「sslサーバー証明書」が発行されたら、これをサーバーへインストールします。詳細な手順は、申込時の登録メールアドレスに記載されて返送されてくるので、その通りに設定しましょう。
ssl対応にしたあとは、アクセス解析のために導入している「Googleアナリティクス」の設定変更も忘れずに行いましょう。まず、「プロパティ設定」でデフォルトのURLの設定を「http」から「https」にします。次に、「ビュー設定」でもURLの設定を「http」から「https」に変更します。これで完了です。変更しないままでもこれまで通りアクセス解析はできますが、正確な解析を行うためには設定変更をしておくことをおすすめします。
まとめ
sslとは「Secure Sockets Layer」の略で、サーバーとブラウザ間でやりとりされるデータを暗号化する技術です。やりとりされるデータが保護され、顧客情報を第三者から守ることが出来ます。自社のホームページをssl対応する方法としては、csrを作成することから始まります。ssl対応されていない場合は導入することをおすすめします。
