あなたのホームページ(集客ブログ)はセキュリティ対策済ですか?
もし、まだなら至急の対策、変更が必要です。なぜなら、http と https ではあなたのホームページに対して、Googleからの評価も顧客からの信用も全然違うからです。
https は信頼の証。つまりホームページで集客しようとしている人にとって https は欠かせないということです。
ここでは、http と https の違いについて説明します。
目次
http と https の違いは?
http とは、Hypertext Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)のことで、ウェブページとブラウザ間の通信形式をいいます。簡単にいうと、www の世界から見たいウェブページを呼び出すための仕組みのことです。 私たちは http を使って www と情報のやりとりを行うことで、ブラウザを通して次々に見たいページを見ることができます。
https は、「HTTP over SSL/TLS」の略です。https は http にセキィリティ機能を追加したもので、http の通信を暗号化しています。
なぜ、https で通信を暗号化する必要があるのか?
ホームページは会社案内として見せるだけのものから、見込み客とのコミュニケーションツールとしての役割に変わりました。
見込み客はオファーと引き換えに個人情報を入力したり、顧客は会員専用サイトへログインするのにパスワードを入力したり、ショッピングサイトではクレジットカード情報を入力するなど、さまざまな形で重要情報の入力を求められます。
でも個人情報、パスワード、クレジットカード情報など、どれも第三者に見られるのは大きな問題ですよね?
じつは、これらの情報は単なる http の通信では、悪意のある第三者に解読される可能性が極めて高いのです。そして、情報が盗まれたなんてことはまずわかりません。何しろ通信上のことですから。なので「おかしいぞ?」と思うのは、知らないうちに自分のクレジットカードがいろいろと使われて、高額な請求書が届いたときでしょう。。。
だから、情報を「暗号化」して、万が一見られても何を意味しているのかわからなくする必要があるのです。
通信の暗号化だけでは不十分?
さあ、これで暗号化によって、大事な個人情報が解読されづらくなりました。
でも、じつは通信の暗号化だけでは不十分です。
なぜなら、いくら情報を暗号化して送っても送信先(相手のウェブサイト)に到着したら復号されるからです。それはそうですよね。いつまでも暗号のままでは相手に用件が伝わりませんから。
これでもし送信先(情報を受け取った相手)に悪意があった場合はどうなるでしょうか?
たとえば、あなたがインターネットショッピングで何かを注文したとします。でも、購入先が偽サイトだったらクレジットカード情報は盗まれて、商品は届かないということが起こります。
だからといって、それを防ぐために見ているサイトが偽サイトかどうか、あなたには見分けがつきますか?
かりに、本物サイトを知っていたとしても、偽サイトは本物サイトを巧妙に真似て作っているので見分けるのが難しいことが多いです。もし、初めて利用するサイトであれば、そもそも本物サイトを知りませんしね。
ではどうやって相手サイトの信用調査をすればいいのか?
そこで、本物サイトを証明してくれるのが SSL サーバー証明書の「認証」です。
SSL サーバー証明書とは?
SSL サーバー証明書は本物サイトかどうか証明してくれる仕組みのことで、https で始まる URL であれば本物サイトかどうか判断の目安になります。
SSL サーバー証明書を発行できるのは定められた認証局ですが、基本的には国際的な電子商取引認証局監査プログラムによって信頼性が担保されています。
ちなみに、電子証明書は階層構造になっていて、下位の認証局(CA)は上位の認証局に証明書を発行してもらうことで、その信頼性を担保しています。
階層構造の最上位に位置する認証局をルート認証局というのですが、ルート認証局になるにはWebTrust(ウェブトラスト)という、AICPA(米国公認会計士協会)とカナダ勅許会計士協会によって共同開発された国際的な電子商取引認証局監査プログラムの審査に合格する必要があります。
このようにして証明書の信頼性が認証局の階層構造によっても担保されているので、SSL サーバー証明書があるのとないのではサイトの信頼性が全然違うのです。
そしてSSL サーバー証明書は認証レベルにより、3つに分けられます。あなたのウェブサイトの目的に応じて選択していきましょう。
SSL サーバー証明書の3つの認証レベル
SSL サーバー証明書は認証レベルにより「ドメイン認証」「企業認証」「EV 認証」の3つに分けられます。
- ドメイン認証・・・ドメイン名の使用権のみを認証
- 企業認証・・・ドメイン名の使用権の認証に加え、申請した組織の実在性を認証
- EV認証・・・登記簿謄本等や第三者機関のデータベースなどで法的にも物理的にも組織の実在性を認証
ドメイン認証
ドメイン認証 ( DV:Domain Validation ) は、ドメインに登録されている登録者を確認することで発行される証明書です。
これは、証明書に記載されているドメインの使用権を、SSL サーバー証明書の所有者が所有していることを証明してくれます。メールによる証明確認のため証明書のスピード発行が可能なうえ、他の認証レベルの証明書と比較すると価格が安いので、もっとも手軽に認証を受けられる方式です。
企業認証
企業認証 ( OV:Organization Validation ) は、法人サイトなどで一般的に使われている認証方式です。
法的に実在している企業・団体が運営しているサイトであることを証明してくれますが、企業認証を取得するには各種書類の審査および申請者への電話確認が必要になるため、ドメイン認証と比べ、信頼性が高いことを証明することができます。
EV 認証
EV認証 ( EV:Extended Validation ) は、もっとも厳格な認証方式です。
企業認証の審査に加え、各種書類および第三者機関のデータベース等により、申請組織が法的・物理的に実在しているかを確認するのと併せて、申請者の在籍確認と電話確認を行います。審査が厳格であるため、証明書の発行まで時間はかかりますが、緑のアドレスバー表示により、安全性を分かりやすくアピールすることができます。
ますます高まる「認証」の必要性
通信の暗号化と本物サイトである証明は、あなたのサイトの安全性と信頼性に欠かせません。
とくに、
- オンラインショッピングサイトを運営している
- オファーと引き換えに個人情報の入力を求めている
- 会員制サービスのサイトを運営している
- プレゼントキャンペーンへの応募サイトを運営している
- ブログで読者からのコメントを求めている
など、個人情報やクレジットカード情報などの入力を求めるサイトでは、「私たちのサイトはお客様の情報を守ります!」、「私たちはお客様と安全な取引をします!」という姿勢を見せるためにも「https」は絶対に必要です。
実際に、個人情報の不正取得や悪用なんて、私たちのごく身近に起こっている事件です。あなたがビジネスオーナーやホームページの担当者であれば、事件が起こってビジネスや会社の信用を失った後で、「 https 」を知らなかったで済まされる話ではありません。
https は SEO(検索エンジン最適化)にも欠かせない
じつは、https の必要性って通信の安全性と本物サイトである証明だけではありません。
https は検索順位に影響しています。そう、SEO 的にも欠かせないんです。
検索エンジンの世界シェアを95%以上も握っている Google がこんなことをいっています。
HTTPS をランキング シグナルに使用します
セキュリティは Google の最優先事項です。Google は、デフォルトで強力な HTTPS 暗号化を導入するなど、業界でも最先端のセキュリティを Google サービスに導入することに力を注いでいます。
~~中略~~
ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。~~中略~~ このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。
ウェブマスター向け公式ブログ より(2014年8月7日発表)
つまり、https は検索順位に影響するし、今後強化していくということを Google がはっきりと宣言しているのです。
さらに、https に関する次の発表がこちら。
HTTPS ページが優先的にインデックスに登録されるようになります
昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。ウェブのブラウジングはウェブサイトとユーザーとの間の私的な体験となるべきであり、傍受、中間者攻撃、データ改ざんの対象となってはいけません。
~~中略~~
この流れの一環として、Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。具体的には、HTTP ページに対応する HTTPS ページのクロールを開始します。
ウェブマスター向け公式ブログ より(2015年12月18日)
最後に、https に関する最新の発表がこちら。Google Developers Japan ブログに投稿された記事のクロスポストですが、、、
Chrome の HTTP 接続におけるセキュリティ強化に向けて
Google は 1 月に、Chrome で HTTP ページの接続セキュリティが通知される方法の改善に着手しました。
~~中略~~
HTTP サイトを安全でないと明示するという Google の計画は、段階的により幅広い基準に基づいて進められる予定です。Chrome 56 での変更以来、PC からパスワード フォームまたはクレジット カード フォームがある HTTP ページにアクセスする割合は 23% 減少しました。今後は、さらに対策を講じていきます。
~~中略~~
今後のリリースが近づいた際にアップデートを公開しますが、HTTPS への移行はできる限り早く進めてください。
Google は検索ユーザーの利便性を最優先として、インターネットをより安全にすべきと考えています。
なぜなら、インターネットが危険なものであれば、ユーザーはインターネットから離れていくからです。そして、ユーザーがインターネットから離れていけば、Google を利用する人も減ってしまいます。だから、Google としてはユーザーのインターネット離れは何としても避けなければならないところです。
というわけで、https シフトによるセキュリティ強化は Google にとってはごく当たり前のことなのです。
まとめ
http と https の違いをまとめると、
- 通信の暗号化による個人情報保護
- SSLサーバー証明書による認証
そして、この違いがあなたのウェブサイトの安全性と信頼性の証明につながるということ。
セキュリティに関するインターネットユーザーの意識は年々高まってきていて、https でないホームページは敬遠される傾向が強まっています。
反対に、https で作られたホームページはインターネットユーザーの個人情報を大切に扱っているとみなされ信用されやすくなります。
さらに、Google も発表している通り、SEO 的にも https が欠かせないということです。
だから、https 未対応なら至急の対策、変更が絶対必要なんです。
あなたのウェブサイトは安心・安全ですか?
【無料レポート】「インターネット集客の教科書」
そんな怒りにも似た気持ちで、私はこのレポートを書きました。
いつも思うのは、 「インターネットを使えばもっと簡単にできるのに」ということ。
事実、見込み客だけでなく取引先や従業員まで、あなたのビジネスに関係 するすべての人をもっと簡単に集めることができます。それもあまりお金 をかけずに、です。
インターネットを使えば資金力のある大企業とだって戦えます。
というよりも、インターネットを使わないと勝負になりません。 潤沢な資金のある大企業があなたのテリトリーに攻め込んできら、まず 太刀打ちできないでしょう。
