本文へ移動

SSLとは? セキュリティ上の意味や仕組み、メリットをわかりやすく解説!

SSLとは? 仕組みやメリットを初心者にもわかりやすく簡単説明
企業ホームページにSSLを導入すると、データ通信が暗号化され、セキュリティ効果が高まるため、訪問者に安心してアクセスしてもらえるようになります。
 
このページではSSLの意味や仕組み、なぜ企業ホームページ(HP) へSSLの導入が求められているのか、また、独自SSL(常時SSL)と共有SSLの違いや、SSL導入のメリット・デメリットをわかりやすく解説いたします。


目次

SSLとは? その意味と仕組み

SSLとは、訪問者のブラウザとサーバー間のデータ通信を暗号化する技術

SSLを導入するとURLがhttpsに変更される
SSLを導入するとURLがhttpsに変更されます
SSL(Secure Sockets Layer)とはインターネット上の通信を暗号化する技術です。
インターネット上のデータ通信は、第三者によって傍受・改ざんされる危険性があります。
 
ホームページへSSLを導入すると、訪問者のブラウザとサーバー間のデータ通信が暗号化されます。
 
※ブラウザ・・・Internet ExplorerやGoogle ChromeなどのWebサイトを閲覧するためのソフトのこと
※サーバー・・・ホームページのデータを保管しているコンピュータのこと


SSLを導入するとサイトのURLがhttpからhttpsに変更されます。追加されるsはsecure(セキュア、「安全である」の意)の頭文字です。
secureの名詞形がsecurity(セキュリティ)になります。

※なお、URLについては以下をご覧ください。

データ通信を暗号化すると情報を傍受されても深刻な事態を回避できる

データ通信を暗号化すると情報を傍受されても深刻な事態を回避できる
データ通信が暗号化されていれば、もし第三者が途中で情報を傍受したとしても、内容を解読することができないため、個人情報の流出や改ざんなどの深刻な事態を回避できます。
 
SSL対応でホームページのセキュリティを強化することで、訪問者が安心してアクセスできるホームページになります。
 
※現在はSSLをさらに進化させたTLS(Transport Layer Security)という技術が使用されることが多くなっていますが、SSLという言葉の方がなじみが深いため、慣例的にTLSも含めてSSLと呼ばれています。

SSLの仕組みのイメージ図

SSLで通信を暗号化することで、悪意を持った第三者の盗聴を防止します

SSL 暗号化の仕組み

SSLの暗号化の仕組み

SSLの暗号化の仕組み
SSLではデータを暗号化したり復号化(暗号化を解除)するために必要な「鍵」を用いて送受信を行います。
 
SSLでは特定のブラウザとサーバーでのみ使用できる「共通鍵」を使って暗号化するため、データの送受信途中で不正アクセス等によりデータが流出した場合も「共通鍵」で守られているため、データの悪用を防ぐことができます。
1.ブラウザがサーバーにSSL通信を要求すると、サーバー証明書(公開鍵含む)が送信されます。
1.ブラウザがサーバーにSSL通信を要求すると、サーバー証明書(公開鍵含む)が送信されます。
2.受け取った公開鍵で共通鍵を作成し、暗号化したものをサーバーに送信します。
2.受け取った公開鍵で共通鍵を作成し、暗号化したものをサーバーに送信します。
3.受け取った公開鍵で共通鍵を作成し、暗号化したものをサーバーに送信します。
3.受け取った公開鍵で共通鍵を作成し、暗号化したものをサーバーに送信します。
4.共通鍵で暗号化したデータをブラウザとサーバー間でやり取りします。
4.共通鍵で暗号化したデータをブラウザとサーバー間でやりとりします

個人情報が漏えいすると、どんな被害が発生するのか?訪問者側と企業側に分けて解説

個人情報が漏れたときの被害 <訪問者側>

個人情報が第三者に流出してしまうと、ホームページの訪問者(お客様)にとってどんな被害が発生するのでしょうか? 
考えられるケースを具体的に見ていきます。

スパムメール(迷惑メール)や架空請求が急増する

スパムメール(迷惑メール)や架空請求が急増する
個人情報が流出してしまうと、スパムメール(迷惑メール)や架空請求が届く確率が増大します。
 
あるとき、身に覚えのない会社から「●●の支払いを至急お願いします! もしこれ以上遅延するようなら、法的措置をとらせていただきます」などの文面のメールや文書が届くのです。
 
訪問者のなかには不安になって、このような架空請求に料金を振りこんでしまう方も出てくるかもしれません。
その場合、数万~数百万におよぶ金銭的な被害が発生してしまいます。

営業電話やダイレクトメールの数が増えていく

営業電話やダイレクトメールの数が増えていく
不正に取得された個人情報は名簿屋や悪徳業者に売却される可能性があります。
 
そうすると、自宅にしつこい営業電話が何度もかかってくる・・・といった事態もあります。
電話だけでなくダイレクトメールの数も増加するでしょう。
 
営業電話への対応やダイレクトメールの処理でプライベートの時間が削がれてしまい、とても迷惑です。

知らない間に自分が詐欺サイトの運営者として登録されてしまう

知らない間に詐欺サイトの運営者として登録されてしまう
近年、クレジットカードの口座番号を取得する目的で開設されたフィッシング詐欺サイトの被害が多数報道されているのはみなさんご存じかと思います。
 
個人情報が流出すると、詐欺サイトの運営者として自分の氏名や住所が勝手に登録されてしまうケースが報告されています。
 
 
あるとき、詐欺サイトの被害者から「振り込みをしたのに商品が届かない! 返金してほしい!」という内容証明郵便が突然届くのです。
 
つまり、個人情報が流出すると被害者になるだけではなく、ある意味、犯罪の加害者になってしまう危険性もあるのです。

個人情報が漏れたときの被害 <企業側>

お客様のイメージが悪化して、クレーム対応に追われることになる

お客様のイメージが悪化して、クレーム対応に追われることになる
ある企業ホームページにアクセスしたために個人情報が漏れてしまった訪問者(お客様)は、当然そのサイトの運営企業に悪い印象を持ちます。
 
すると、クレームが発生して企業の従業員はその対応に追われることになるでしょう。

情報流出の悪評が拡散され、ネット上にいつまでも残ってしまう

情報流出の悪評が拡散され、ネット上にいつまでも残ってしまう
さらに、インターネットが普及した現在は誰もが情報の発信者になれる時代です。
 
「この会社のホームページにお問い合わせしたら、個人情報が流出してしまった!」という悪評はFacebookやTwitterなどのSNSを介して、一瞬でバラまかれてしまいます。
 
さらに、一度インターネットに公開された情報は完全に抹消することが非常に困難です。
自社の会社名で検索したら、上位に個人情報流出について書かれたページがヒットして、いつまでも残りつづける危険性もあります。

企業の信頼性が傷つき、顧客離れや売上げの減少を招くことも

企業の信頼性が傷つき、顧客離れや売上げの現象を招くことも
そうなると、企業の信頼性に大きく傷がついてしまいます。
「あそこで商品を買うのはやめよう」「この会社と取引きをするのは危ないな」と顧客が不安感を抱いてしまい、売上げが激減することも考えられます。
 
よくいわれることですが、信頼は築きあげるのは大変ですが失うときは一瞬です。
 
企業ホームページにSSLを導入することで、訪問者(お客様)の個人情報を守り、同時に会社のイメージ失墜のリスクを減少できます。

訪問者はホームページのSSL対応を強く望んでいる

インターネットの利用者は個人情報の流出を不安に感じている

インターネットの利用者は個人情報の流出を不安に感じている
近年、大手企業による顧客情報流出事件やフィッシング詐欺被害のニュースが頻繁に報道されています。
 
そうした背景もあって、インターネットの利用者は個人情報の流出に危機感を抱いており、Webサイトのセキュリティ向上を強く求めています。

個人情報を入力するページでは8割以上が「必ずSSL対応にすべき」と回答

個人情報を入力するページでは8割以上が「必ずSSL対応にすべき」と回答
出典:日本ベリサイン「インターネットセキュリティに関する意識調査」
そのことは日本ベリサイン(現 株式会社シマンテック)がインターネットユーザーに対しておこなったアンケートからも明らかになっています。
 
「重要な情報(銀行口座番号、ログインID、パスワード、名前やメールアドレスなど個人情報)を入力するWeb画面では「SSL(暗号化)サーバー証明書」は必要だと思いますか。最もあてはまるものをお選びください。」という質問に対して、『必ず「SSL(暗号化)対応」にするべきだ』という回答が80%を超えています。
 
お問い合わせフォームなどで個人情報を入力する際には、SSLによる暗号化がないと不安だという訪問者が圧倒的に多いのです。

SSL未対応だとお問い合わせ獲得の機会を損失する

お問い合わせや商品の注文などのコンバージョンはホームページの最終目標

多くの企業ホームページではお問い合わせや商品の注文、資料請求、イベントへの参加予約などをメールフォームで受け付けていると思います。
 
これらのお問い合わせや注文の獲得はホームページのゴールであり、最終目標です。
 
ホームページが目標としているアクションを訪問者に起こしてもらうことをコンバージョンと呼びます。
 
※コンバージョンについて、もっと詳しく知りたい方は以下のページをご覧ください。
Webサイトの申込フォームでは氏名や、住所、電話番号などの個人情報を訪問者に入力してもらう必要があります。
 
しかし、それらの申込フォームがSSL対応していなかったらどうでしょうか?
前述の資料のとおり、8割を超える方が個人情報を入力するページは必ずSSL対応すべきと考えています。
 
個人情報の流出を不安に思っている人は第三者に傍受されるリスクを恐れて、申込みに二の足を踏んでしまう可能性があります。
 
つまり、SSL未対応のホームページはお問い合わせや注文などのコンバージョン獲得のチャンスをみすみす逃してしまうのです。

SSL対応の有無が簡単にチェックできるようになった

SSL対応の有無が簡単にチェックできるようになった
ここまでお読みいただいて「でも、ホームページがSSL対応しているかどうかなんて、一般の訪問者には分からないからそこまで気にする必要はないんじゃないの?」と思われた方も多いでしょう。
 
しかし、昨今その状況は変わりつつあります。
 
すでにご説明したような、悪意を持った第三者による個人情報略取が横行している現状を踏まえ、ITサービス提供各社も対策を次々に打ち出しています。
 
特に大きいのがWebブラウザの表示です。
 
主要なWebブラウザではSSLを導入しているホームページとそうでないページを明確に見分けられるようにアドレスバーの表示方法が変更されました。

Internet ExplorerではSSL保護されていると鍵マークが表示される

SSL対応しているページには鍵マークが付く

Internet ExplorerではSSL対応してないと鍵マークは表示されない

 Internet ExplorerではSSL対応してないと鍵マークは表示されない

Google Chromeは特にSSL対応の表示に熱心

特にSSL対応の表示に熱心なブラウザがGoogle Chromeです。
Google Chromeは世界一利用率が高く、国内でもInternet Explorerと同等以上のシェアを獲得し、モバイルでは圧倒的な強さを誇っています。
 
Google ChromeではSSL対応しているページが非常にわかりやすいサインで表示されます。

Google ChromeではSSL対応していると「保護された通信」と表示される

Google ChromeではSSL対応しているページでは「保護された通信」と表示される

SSL未対応のホームページでは「保護されていない通信」の警告メッセージを常に表示

SSL未対応のホームページでは「保護されていない通信」の警告メッセージを常に表示
Google Chromeでは2018年7月のアップデートより、SSL未対応のホームページに対しては常に「保護されていない通信」という警告を表示しています。
 
なお2018年10月から、SSL未対応ホームぺージでお問い合わせフォームなどに入力をおこなうと、この「保護されていない通信」警告が赤く表示されるようになっています。
 
SSLで保護されていない企業ホームページは、今後訪問者の信頼性を大きく損なう可能性があります。

従来はメジャーだった、共有SSLとは何か?

共有SSLのイメージ図
共有SSLのイメージ図
それでは、次にSSLの形式についてご説明します。
 
個人情報の流出を防ぐため、注文やお問い合わせなどのメールフォームがあるページのみにSSLをかけて暗号化するという手法が多くの企業ホームページで採用されていました。
 
具体的にいえば、メールフォームのページのみ、SSLを導入しているサーバー会社の領域を間借りしてそこに設置するという手法です。
 
これなら、自社専用のSSLサーバー証明書の発行契約をするわけではないので、比較的安価に訪問者の個人情報を守れます。
 
このような、サーバー会社のSSLで保護された領域を借りる形式の対応方法を、共有SSLもしくは共用SSLと呼びます。
複数の企業がサーバー会社のSSLを間借りして共有することから、この名が付きました。

近年主流になりつつある、独自SSLとは何か?

独自SSL(常時SSL)のイメージ図
独自SSLのイメージ図
しかし、昨今はメールフォームのページのみSSL化する共有SSLではなく、そのホームページ専用のSSLを導入し、全ページを暗号化して保護する形式が主流になってきました。
 
この場合、自社のドメイン専用のSSLサーバー証明書を用意するので独自SSLと呼ばれます。
 
お問い合わせフォームだけでなくすべてのページがSSL化されているので、訪問者にとってはどのページにいても常にSSL保護の恩恵があります。
そのため常時SSLとも呼ばれます。
 
それではなぜ独自SSLが現在求められるようになったのでしょうか?
具体的にその理由を説明していきます。

独自SSLならCookie(クッキー)の盗聴を防げる

コンビニやカフェ、ホテルなど、無料Wi-Fiを提供する場所が増えてきた

コンビニやカフェ、ホテルなど、無料Wi-Fiを提供する場所が増えてきた
現在、スマートフォンやiPadなどのタブレット端末の利用者数は著しく増加しています。
 
これらのモバイル端末やノートパソコンの利用者の利便性を図るため、無料のWi-Fiスポットを提供する場所が増えてきました。
 
空港、カフェ、コンビニ、ファーストフード店、ホテルなど現在では無料Wi-Fiを提供している場所は多岐にわたります。
 
東京オリンピックの開催や外国人観光客へのサービス向上を見据えて、無料Wi-Fiのアクセスポイントは今後も増加傾向にあります。

無料Wi-Fiはセキュリティが弱く、罠が仕掛けられている場合がある

無料Wi-Fiはセキュリティが弱く、罠が仕掛けられている場合がある
しかし、これらの無料Wi-Fiのなかにはセキュリティがしっかりしていないものや、個人情報を盗み取るために攻撃者が罠を仕掛けているものもあります。
 
具体的には以下のような手法です。
  • 同じWi-Fiに接続している他のユーザーのCookie情報を盗みとるツールを使う
  • 店舗が提供している無料Wi-Fiに見せかけた「なりすましのアクセスポイント」を仕掛ける中間者攻撃・・・など
 
つまり、無料Wi-Fiの普及にともない、以前とくらべてCookie情報を傍受されるリスクが急激に高まっているのです。

Cookie情報を盗まれると第三者が本人になりすましてログインできてしまう

Cookie情報を盗まれると第三者が本人になりすましてログインできてしまう
Cookie(クッキー)とはホームページの情報をWebブラウザの機能を通じて、訪問者のパソコンやスマートフォンに保存する仕組みのことです。
 
みなさんがFacebookやTwitter、Amazonなどのサービスを利用するときを思い出してみてください。
 
毎回IDやパスワードをいちいち入力しているでしょうか?
2回目以降にアクセスすると、すでにログイン状態になっていることも多いはずです。
 
これはCookieが各サービスのログイン情報を保存しているため、ID・パスワード入力の手間を省けているのです。
 
Cookieの情報が盗まれると、悪意を持った第三者がそのユーザーになりすまして各サービスにログインできてしまいます。
一度ログインさえしてしまえば、サービスによってはユーザーの名前や住所、電話番号などがアカウントに登録されているので、個人情報を盗むのは極めて簡単です。
 
ちなみに、他人のCookieを盗聴するツールはネット上で公開されており、無料で誰でもダウンロードできるのが現状なので、盗聴のリスクは相当高いといわざるをえないでしょう。

一部のページのみ保護する共有SSLでは、訪問者のCookieは守れない

一部のページのみ保護する共有SSLでは、訪問者のCookieは守れない
確かに、注文フォームやお問い合わせフォームのみを暗号化して保護する共有SSLでも、訪問者が入力・送信した氏名や住所などの個人情報は守れます。
 
しかし、共有SSLではフォームが設置されていないページはSSLで保護されていませんから、訪問者が他のページを閲覧しているときにCookieの情報を盗聴されるリスクがあります。
 
つまり、共有SSLではSSL化していないページがセキュリティの穴となって、訪問者のCookie情報を盗まれてしまう可能性を払拭できません。

独自SSLなら全ページを暗号化するのでCookieの盗聴を防げる

独自SSLなら全ページが保護されるので、セキュリティの穴がなくなります。
 
SSLの保護下なら、Cookieも含めてデータ通信が暗号化されるので第三者に盗聴されても、情報が読み取られません。
 
独自SSLの企業ホームページへの導入で、個人情報流出や各サービスへのなりすましログインのリスクを減らし、より安心して訪問者に企業ホームページへアクセスしてもらえます。

SEO面で有利になり検索順位の優遇効果を得られる

GoogleがSSL対応でURLがhttpsになっているページを優遇すると公式発表

GoogleがSSL対応でURLがhttpsになっているページを検索結果上で優遇すると公式発表
検索エンジン最大手のGoogleは全世界のWebサイトのSSL化を促進し、インターネットの世界をより安全にしようと考えています。
 
その一環として、WebサイトがSSL化されてURLがhttpsになっているかどうかをランキングシグナルとして採用すると発表しました。
 
 
要は、URLがhttpsになっているホームページを検索順位で優遇するということです。
 
これにより、同じクオリティのページであればSSL化されているページのほうが、順位が上に来るようになりました。
 
よって、SSL化にはセキュリティだけではなくSEO(検索エンジン最適化)の面でもメリットが発生するようになったのです。

ただし、SSLのSEO効果を過大評価するのは禁物

しかし、SSL化すれば必ず検索上位を獲得できるわけではないのでご注意ください。
 
Googleが順位を決定するうえで、最も重視している要素はページのクオリティです。
もっと具体的にいえば、検索ユーザーにとって役に立つ情報が文章でしっかりと書かれているかどうかです。
 
SSL化が順位に与える影響は、ページのクオリティと比較すれば小さいものです。
 
文章が一、二行しか書かれていない情報量がスカスカのページではSSL化しても、検索順位の上昇はあまり期待できません。
 
※SEOと文章量の関係について詳しく知りたい方は以下のページをご覧ください。

独自SSLのSEO効果はページが増えるほど、影響が大きくなる

独自SSLのSEO効果はページが増えるほど、影響が大きくなる
前述のように、独自SSLが検索順位に与える影響はページ内のコンテンツのクオリティに比べれば小さいです。
 
しかし、独自SSLのSEO効果の強みは全ページにその影響が及ぶ点です。
ページを増やしてホームページを充実化していくほど独自SSL化のSEO効果は総量で見ると大きくなっていきます。
 
企業ホームページの独自SSL化で下層ページの順位上昇が見込め、広義のランディングページ(入り口ページ)の増強が期待できます。
 
ページを増強し企業ホームページを順調に育てていった場合、長期的に見ればSSL化による検索エンジン経由での集客力の差は雪だるま式に大きくなっていきます。
 
※ホームページで集客するうえで、ページの増加がどれだけ重要なのかは以下のページで詳しく解説していますので、ぜひお読みください。

企業ホームページへのSSL導入のデメリットは何か?

SSLの導入にはいくつかのデメリットも存在します。
どれも深刻なデメリットではありませんが、きちんと納得してからSSLを導入するために具体的に確認しておきましょう。

SSLの導入や維持にはコストが発生する

導入時の費用が発生し、独自SSLの場合ランニングコストも上乗せされる

SSLを企業ホームページに導入すると、初期費用や維持コストが発生します。
 
独自SSLの場合、高価なサービスだとSSLサーバー証明書だけで年間10万円ほどかかることもあります(もちろん、サーバー自体の料金やホームページの制作費用は別途かかります)。

個人情報流出リスクの低減などのメリットもあるので、一概に高いともいえない

個人情報流出リスクの低減などのメリットもあるので、SSLは一概に高いともいえない
しかし、SSLのコストについては導入のメリットと天秤にかけて判断する必要があります。
 
前述のとおり、訪問者(お客様)の個人情報流出によるクレームの発生や企業イメージ失墜のダメージは甚大です。
 
独自SSLの導入でこのような個人情報流出のリスクを低減できます。
そのうえ、SSL導入によるSEO効果も見逃せません。さらに、より訪問者が安心してホームページを閲覧できるようになるので、お問い合わせや注文などのアクションを起こしてくれる確率の上昇も期待できるでしょう(コンバージョン率の上昇)。
 
訪問者(お客様)の安全の確保や種々のメリットを優先すべきなのか、それとも費用の節約を優先すべきなのか、比較してSSLを導入すべきかどうかをみなさんで判断してください。
 
ただし、検索エンジン最大手でトップシェアのブラウザも提供しているGoogleが独自SSLの導入を促進している以上、今後はSSLを導入しないデメリットがどんどん大きくなっていくことが予想されます。

Webサイトの表示スピードが遅くなることがある

SSLを導入するとホームページのデータをそのまま訪問者のパソコンやスマートフォンに送信するのではなく、暗号化のステップを挟むことになります。
 
暗号化の手間がかかる分、SSL導入により各ページが表示されるまでの時間が長くなることがあります。
 
しかし、現在はパソコンやスマートフォンのCPUの性能が飛躍的に向上しているため、昔に比べるとSSLによる表示速度の遅延はそこまで大きいものではありません。

設置されたSNSボタンのカウントがリセットされる

ホームページ上のFacebookのいいねボタンなどの数がリセットされる

ホームページ上のFacebookのいいねボタンなどの数がリセットされる
企業ホームページに独自SSLを導入すると、全ページのURLがhttpからhttpsに変更されます。
 
そうすると、別サイト扱いになってしまいますので各ページに設置されたFacebookのいいね数などのSNSボタン(ソーシャルボタン)のカウントがリセットされます。
 
そのため、この点は納得したうえで独自SSLを導入しなければいけません。

ホームページを新規開設やリニューアルするなら独自SSLを導入すべき!

逆にいえば、企業ホームページを新規開設する場合やリニューアルを期にSNSでの情報発信を増やしていきたい場合は、開設やリニューアルと同時に独自SSLを導入することを強くおすすめします。
 
公開して数年経ってから「やっぱり独自SSLを入れたい!」となると、せっかく集めたSNSのカウントがリセットされてしまい、もったいないからです。

SSL導入にはWebサーバーの専門知識が必要

独自SSLの導入には専門知識が必要で、初心者には難しい
ここまでご説明してきた、コストやその他のデメリットはそこまで大きなものではありません。
 
しかし、SSLの導入には技術面のハードルがあります。
 
特に独自SSLの設定にはWebサーバーの専門知識が必要になるので、会社のホームページをホームページ作成ソフトなどで自作している場合には導入が困難なことが多いでしょう。
 
ホームページの担当者が辞めてしまったケースなどでは、何をすればいいのか全くわからない事態も考えられます。

SSLでは訪問者は守れるが、ホームページ自体は攻撃から守れない

SSLでは訪問者とWebサーバー間の通信を暗号化して、盗聴や傍受を防ぎます。
 
しかし、SSLで守れるのはあくまで訪問者のみであり、企業ホームページ自体が攻撃を受けたときに防御することはできません。
 
特にSQLインジェクションやクロスサイトスクリプティングなど、ホームページの脆弱性を突いた攻撃を受けてしまうと、これまでお問い合わせしてくれた訪問者のお名前や住所・電話番号などが丸ごと盗まれたり、ホームページ自体を改ざんされてフィッシングサイトへリンクされたりといった、甚大な被害が発生します。
 
訪問者だけでなく、企業ホームページ自体も攻撃から守ってセキュリティを強化するならSSLだけでなく、WAF(ウェブ・アプリケーション・ファイアウォール)との併用がお勧めです。

おりこうブログで独自SSLを簡単に導入!

おりこうブログで独自SSLを簡単に導入!
以上のように、SSLの導入には専門知識が必要なのですが、弊社の企業向けホームページ作成ソフト・おりこうブログでは標準でSSLの導入プランをご用意しております。
 
おりこうブログでホームページを開設リニューアルしていただければ、SSLサーバー証明書発行の手続きやサーバーへの設定を代行します。
 
「サーバーとかの難しいことはちょっと・・・」という初心者の方でも簡単にSSL対応の企業ホームページを運営できます。
 
さらに、WAFもセットのプランもご用意していますので、訪問者だけでなくホームページ自体のセキュリティも大幅に強化できます。
 
もちろんスマートフォン閲覧にも対応。既存ページの内容の移行サービスもあるので、すでにホームページをお持ちのお客様も安心してリニューアルしていただけます。
 
ぜひ以下のページから詳細をご覧ください。

あわせて読みたい記事