CEOブログ

横浜で活躍するホームページ作成・開発会社アットライズの代表取締役社長(CEO)が綴る、日々の奮闘記!!

業界・技術情報

SSL証明書って本当に必要?

投稿日:2016年6月3日 更新日:

SSLは データを暗号化し盗み見などを防ぐ技術

Webサイトの申込みフォーム等で広く普及している「SSL」。
URLが通常の「http://」ではなく「https://」になり、ブラウザのURL欄に鍵マークが表示されるので 多くの方はご存じでしょう。
SSLは簡単に言うと、インターネット上の通信を暗号化し通信経路上で第三者に盗み見され個人情報やカード情報などが漏洩するのを防ぐ技術です。
※SSLの解説については SSLのまとめ にわかりやすく解説があります。

今回、弊社のお客様で導入しているSSL証明書の有効期限更新にあたり、「SSLとはどんなものか?」簡単にご説明したので、それをまとめてブログに掲載しておきます。
技術的に難しいところもありますが、参考にしてみてください。

※尚、初心者にもわかりやすく説明するため簡略化しています。細かい部分で厳密にはニュアンスの異なる部分もあるかも知れませんがご了承ください。

実は証明書なんかなくても暗号化はできる

SSL化するには、通常 認証局が発行するSSL証明書により「このサイトは確かにSSL化されてますよ」と証明してもらうことが一般的ですが、実は証明書がなくても「暗号化」はできます。
ただし有効なSSL証明書がないので、ブラウザが「証明書がないけど大丈夫?」と アラート(警告)を上げてきます。なので、一般的なサイトでは 基本的にはきちんと有効なSSL証明書を設定しています。(保守メンテナンスのためにサイト管理者のみが使うページなどでは、ID、パスワードを送信したりしますが証明書なしでSSL化していることもあります。)

SSL証明書には認証レベルにより いくつかの種類がある

SSL証明書には、どこまでを証明するか、によって いくつかの種類(*1)があります。
(*1) 「ドメイン認証型SSLサーバ証明書」「企業認証型SSLサーバ証明書」「EV SSL証明書」の3種類。
  詳しくは シマンテックのサイト「SSLサーバ証明書の種類と比較」をご覧ください。

今回弊社のクライアント様から、「どの種類の証明書にすれば良いか?」との質問がありましたが、答えとしては「何のためにSSLを導入するのか」という根本目的によります。

多くの場合は、個人情報などの盗み見を防止することが主目的となりますので、最も安価でもある「ドメイン認証型」で十分でしょう。

SSL化する・しない は、ハガキで送るか封書にするか の違い

SSL(ドメイン認証)をかけるとネットの通信経路上を暗号化して流れていきます。

わかりやすい例えで言うと、何も暗号化していない状態は「ハガキ」を送っているようなもの。SSLの暗号化は「封書」で送るようなもの。
配達途中で誰かが見た場合に、ハガキのように中身が読めてしまうのか、封書のように読めないのか、の違いだと思っていただいて良いでしょう。

「ハガキ」状態で送るとキケンか?

カード情報やID/パスワードなどを含む場合(そのデータ単独で悪意を持って利用できてしまう場合)は、当然暗号化すべきですが、そうでない場合、例えば名前、住所、電話番号などの個人情報をフォームから入力する場合について考えます。
※以下、あくまでも個人的見解で、かなり極論です。SSLの導入可否は個別の状況を踏まえて判断してください。

カード情報でも入力しない限り、見も知らぬ人の個人情報(名前や電話番号など)がわかったところで、情報的になんの価値も利用用途もありません。(情報漏洩して価値のあるものは、ある程度まとまった人数の個人情報や、特定の属性(例えば「○○を購入した人」とか)の名簿があって初めて情報としての価値が出ます。

なので、SSLで暗号化してもしなくても別にどちらでも構わない、というのがネットに精通した私の見解です。(あくまでも個人的意見です。。(^^;)
なので、私はフォームで入力するときにSSL対応でなくても何ら気にしません。

ほとんどのサイトはメール受信時には暗号化してない!

もっと言ってしまえば、ほとんどの場合、サイトからフォームで送信する際(ユーザーのPC → メールサーバーまで)はSSL暗号化してても、担当者がメールボックスからメールを受信する際(メールサーバー → 担当者のPC)は、暗号化せず(ハガキの状態で)に受信しているケースがほとんどだと思います。
(私はメールの送受信もSSL暗号化するようにPCを設定していますが、おそらく99%以上の人は、そんな設定にしていないと思います。)
また、メールがサーバー上のメールボックスに届いている状態も、基本的には平文(暗号化されていない状態)で格納されています。(なので、ハッキングとかされると読まれる可能性あり)
auto0086-s

何のためにSSL認証するのか?

では、何のためにSSL認証するか、というと、「SSL対応していないサイトはキケンだ、けしからん!」という(中途半端な知識を持った)ユーザーがいるからです。(クレジットカード情報等を扱う場合を除く)

技術的なセキュリティというよりも、サイトを利用するユーザーの心理的不安をなくすことが目的、と言った方が良いでしょうか。
実際「けしからん」というユーザーも、メールを受信するときに暗号化してるかどうかまでは たぶん考えもしていないでしょう。

なので、どのようなレベルでSSL認証するのか、サイトへの訪問者(ユーザー)の動向なども合わせて検討していただければと思います。
 
 

ホームページ制作のこと、ホームページの運営でわからないことや困っていることがありましたら、「株式会社アットライズ」までお気軽にご相談ください。

アットライズロゴ

株式会社アットライズのホームページはこちら

-業界・技術情報

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

海外ではモバイルWiFiが大活躍

海外でのネット事情 2月にハワイ、3月にニューヨークと、普段あまり海外など行かない自分が 2ヶ月連続で海外へ行く機会に恵まれました。 10年くらい前までは、海外に行くときは現地でケータイ電話をレンタル …

SSLv3脆弱性(POODLE)へのブラウザーでの対処方法

今度はSSLに関する脆弱性が発覚! ネット上の通信プロトコル(通信方法)の一種である「SSLv3」に脆弱性がみつかり、業界内(!?)では、かなり大きな騒ぎとなっている。 簡単に説明すると、SSLにより …

[備忘録]WordPressの自動更新を抑止する方法(その2)

WordPressの自動更新、便利だが不具合のリスクも Webサイトの制作で「WordPress」を使うことが多いかと思う。 テーマやプラグインなど 幅広く提供されているので とても便利なツールである …

no image

スパムメールにご用心

スパムメールも沢山くるが、今日のは かなり紛らわしい。。 「Amozonご注文商品の発送」(Amazonではない!!) さすがにリンクはクリックはしなかったが、メールを開くまでは気がつかなかった。。 …

システム開発で陥りがちなワナ。。

止まらない仕様変更、、トラブル。。 日経クロステックに、 「逆転敗訴した野村情シスがIBMに送った悲痛なメール、横暴なユーザーを抑えきれず」 なる記事が投稿され、思わずクリックして読んでしまった。(^ …

PREV
[備忘録]wwwあり・wwwなしを統一する方法
NEXT
[備忘録]PowerPoint2007:ページ番号の設定方法
アットライズロゴ

株式会社アットライズのホームページはこちら

NEW ENTRY

2024/04/10

[備忘録]Windows10:PCで画面上に表示されたQRコードを読み取る方法(カメラなし)

2024/04/05

社内イベント:大岡川 花見クルーズ🌸

2024/03/25

[備忘録]Googleカレンダー:一発で日付を移動する方法

2024/03/14

[備忘録]マウスカーソルがブブブル振動して困った(対処)

2024/03/12

[備忘録]PowerPoint:ブック全体のフォントを一括置換する方法

カテゴリー

タグ

Amazon CMS Facebook Firefox Google PC SNS twitter Windows10 お取引先 アクセス インターネット オフィス移転 クライアント スパム セキュリティ デジハリ バックアップ ビジネス ブログ マラソン メール 三方よし 仕事 会社 倫理法人会 健康 備忘録 制作実績 季節 年末年始 感謝 抱負 掃除 携帯電話 松下幸之助 横浜 献血 研修 社員 稲盛和夫 脆弱性 講師 高校生

拙著 好評発売中

4881668854

Webサイト制作・運営に役立つ! ホームページ担当者が最初に覚える基本100+α (ソーテック社)