高まるECサイトへのSSL対応!無料で発行できるSSLサービス「Let’s Encrypt」

[1,061 views]

eyecatch

SSLとは?

SSLとは、インターネット上で行き来する個人情報などを始めとする重要なデータを暗号化し、安全に送受信する仕組みです。

SSLで暗号化されたデータは、そのデータを復元するための鍵を持った受信者だけが閲覧することができるため、インターネット上での第三者による盗聴やなりすまし、データの改ざんなどの危険にさらされることがありません。
逆を言えば、SSLが適用されていないWebサイトに個人情報などの重要なデータを入力し送信するということは、第三者が誰でも閲覧できる危険な無法地帯へ自ら個人情報を放り出している状態ともいえます。

ECサイト運営者は、顧客の個人情報やクレジットカード情報などの重要なデータを扱うため、盗聴、なりすまし、データの改ざんなどの危険から顧客を守る必要があります。

thum01

近年、公共の場所で利用される安全性の低いWi-Fiネットワークの普及が進み、サイバー攻撃の対象となるWebサイトが益々増えています。そのため、個人情報を入力するページだけでなくサイト全体に対して「常時SSL」を導入するECサイトが増えてきています。

「常時SSL」には、これまでご説明したセキュリティ面のメリットだけではなくGoogle検索の表示順位上位への優遇や、通信速度が速まるなどのメリットもあります。
世界的にも、「常時SSL」の導入は標準的なセキュリティ基準となってきており、今後ECサイト構築の際には必須となるセキュリティ条件の一つとなることが予測されます。

SSLを導入する目的

SSL導入には以下の2つの目的があります。
- 情報の安全性の確保
- ユーザへ安心感を提供

実際に、ユーザがどの程度SSLの導入の必要性を感じているのか、2010年12月、日本ベリサイン株式会社が行ったインターネットユーザのインターネットセキュリティに関する意識調査の結果をご紹介します。
(参考:はじめてのSSLサーバ証明書

この調査では、ネット利用者の8割以上が「個人情報を入力する際にはSSLサーバ証明書が必ず必要」と回答しています。
近年、ネット上での情報漏洩やフィッシング詐欺などの被害がマスコミでも頻繁に取り上げられ、一般ユーザにもその危機感は浸透しています。それとともに、ユーザがインターネットを使用する際により安全な環境を求めるようになっていることが調査結果からうかがえます。
今やSSL導入は、ユーザが安心してサービスを利用するための必須条件ともいえるでしょう。

thum02

一般ユーザにはSSLが導入されているサイトであるかそうでないか、判断がつかないと思われているかもしれませんが、実はそうではありません。

Webサイトを閲覧している際に、「このWebサイトのセキュリティ証明書には問題があります」というような警告が表示される場合あります。これはSSLが適用されていないサイトであることを表しており、重要なデータが危険にさらされる可能性があることを警告しています。
ブラウザによってはこの警告が表示されない場合がありますが、URLを見ればそれは一般ユーザでも一目でわかるようになっています。URLが「http://」で始まっているサイトはSSLが導入されておらず、「https://」で始まっているサイトはSSLが導入されていることがわかります。
今後、一般ユーザにもこういった情報は広まり、ユーザがサイトの安全性の判別を自己で行うようになっていくでしょう。

SSLは、3つの認証レベルに分かれており、ECサイトがどのレベルの安全を求めるかによって選択するべき種類は異なります。専門的な知識が必要となるため、詳しくは信頼できるウェブ制作会社のパートナーなどに相談することをおすすめします。

誰でも無料で使えるSSL/TLS証明書発行サービス

SSL導入にあたって懸案となるのが費用面や導入にあたるノウハウですが、昨年この悩みを解決する画期的なサービスが開始されました。2016年4月に正式にスタートした、電子フロンティア財団(EFF)が提供する「Let’s Encrypt」は、SSL/TLS証明書が無料で発行できる新サービスです。

2017-03-03_131323

簡単にLet’s Encryptの機能とメリットについてご紹介しましょう。

・無料で SSLサーバ証明書を取得できる
・簡単なコマンド実行で、即時に証明書の取得・更新ができる
・1年ごとの更新手続きが不要のため管理の手間が省ける

開始から間もないサービスにも関わらず、SSLを無料で、そして簡単に導入できることから、多くの企業が 導入を進めています。

尚、Let’s Encryptが対応しているSSLは、ドメインの保有を証明するDV証明書のみとなります。
単に安全性を確保するだけでなく、ウェブサイトを誰が運営しているのかを明確にし、フィッシング詐欺などを防ぐことを目的とする場合、EV (実在性認証)SSLサーバ証明書も、よく選ばれている比較的新しいSSLのひとつです。

最後に

ご自身のECサイトにどこまでのレベルのSSLが必要かはよくよく検討が必要です。より高い安全性を確保し、ユーザに安全な環境を提供するためにも、どのSSLが自社サイトに適切であるかを慎重に検討してください。自社にIT部門やITエキスパートがいらっしゃらない企業様は一度信頼できるパートナーへのご相談してみてはいかがでしょうか。

残念ながら、SSLを導入することでWebサイト自体の脆弱性がカバーされるわけではありません。
サイトの安全性、脆弱性について懸念されている企業様で、特にEC-CUBEで構築・運営されているサイトの場合には、徳丸浩氏監修・HASHコンサルティングと株式会社ロックオンが協業しご提供する「EC-CUBE セキュリティ診断」をおすすめします。

170209_cube1

ECサイトの脆弱性の洗い出し、対応策をレポート形式でご報告します。詳細はこちらをご覧ください。


このEC記事につけられたタグ