セミナーイベント「Web担当者Forumミーティング 2011 Autumn」(2011年11月8日開催)の講演をレポートする。他のセッションのレポートはこちらから。
B会場最後のセッションには、SSLサーバ証明書やクライアント証明書の発行・運用管理、ワンタイムパスワードやオンライン詐欺検出サービスなどを提供する総合セキュリティサービスプロバイダである、日本ベリサインの中川就介氏が登壇。Webマスターとしての業務経験のある中川氏が、Web担当者向けにサイトのセキュリティ周りのトレンドや常時SSL化のポイントを、事例を交えながら紹介した。
スマホの普及にともなう無線LAN利用拡大で、サイトの常時SSL化が進む
SSL製品本部
アシスタントマネージャー
中川 就介氏
「私自身が少し前までWebマスターでしたので、本日はWebマスターの方が知っておくといい情報をお話ししたい
」。日本ベリサイン株式会社の中川就介氏は、冒頭でこのように挨拶をした後、「Webサイトのセキュリティ」について、興味深い事例を交えながら講演してくれた。
中川氏がセッション全体で提起したのは、「Webサイトは常時SSL化すべきかどうか」という問題だ。通信暗号化技術のSSLは、従来からフォームやログイン入口ページにSSLが用いられている。しかし最近では、Webサイトを常時SSL化することがトレンドになりつつあると言う。
「たとえば、Google+は常時SSL化済みで、グーグル検索もログイン後は常時SSL化される予定です(Google.comを利用する場合)。TwitterやFacebookも、ユーザー向けに常時SSLのオプションを提供しています。Facebookでは2011年10月以降、SSL対応していないマイアプリ(iframe)が、常時SSLユーザーには表示されなくなりました
」
Webサイトの常時SSL化が進む背景には、Cookie(セッションID)の保護や、サイト全体の信頼性向上が挙げられる。このほか常時SSL化を促す大きな理由となっているのが、Wi-Fi(無線LAN)利用シーンの広がりだ。最近ではスマートフォンやタブレット端末の爆発的な普及にともない、無線LANインフラの利用も増加している。しかし、フリーのホットスポットなどの公衆無線LANを使い、データが暗号化されていない状態で通信を行うと、アカウントの乗っ取りや、なりすましの危険が生じてしまう。こうしたことから、SSL通信やSSLサーバ証明書の必要性が高まっていると、中川氏は説明する。
エンドユーザー側としても、無線LAN環境では通信に必ずhttps(SSL)を用いるようにしたり、httpsとhttpが混在するページの警告が表示された場合に、非暗号化のコンテンツを表示しないように注意するといったセキュリティ対策が推奨されている。
常時SSL化の誤解と移行のポイント
ではWebサイトの常時SSL化には、どんなポイントがあるのだろうか。中川氏はいくつかのポイントを紹介した。まず「SSL化すると通信速度が遅くなる」と言われることがあるが、昔に比べてCPUパワーが格段に向上している現在では、影響格段に小さくなっているという。またサーバー設定の調整、SSLアクセレーター(暗号処理専用のハードウェア)などの製品やサービスを用いることで、SSLの処理を効率化できる。
「常時SSL化すると計算コストが跳ね上がる」というのも10年前の話で、Gmailの常時SSL化による影響はCPU負荷の1%以下だったという記事や、ウェブサーバーの簡単な変更でレスポンスタイムを14秒から2秒に短縮できたという記事が紹介された。
またSSLサーバ証明書の選び方としては、セキュリティの高いものから順に、「EV SSL証明書」「企業実在性認証型SSL証明書」「ドメイン認証型SSL証明書」の3つがあることを説明。「アドレスバーにサイト運用者名を表示し、対応ブラウザではアドレスバーが緑色に変化するEV SSL証明書をサイト全体に採用することで、セキュリティ効果が高まる
」と中川氏は説明した。
| 自己証明書型 | ドメイン認証型 | 企業実在性認証型 | EV SSL | |
|---|---|---|---|---|
| 正当なドメイン保持者 (警告なしの暗号化) |
× | ○ | ○ | ○ |
| 実在する企業 (企業の公式サイト) |
× | × | ○ | ○ |
| 実在する事業所の所在 (最高の信頼性) |
× | × | × | ○ |
Webマスターにとっては、常時SSL化とSEOの関連性も気になるトピックだ。中川氏の説明によれば、httpとhttpsをハイブリッドで運用すると、被リンク効果が分散され、SEO上不利になってしまう可能性があるという。常時SSL化へと移行する場合には、httpからhttpsのページへと301リダイレクト(恒久的な移転)させることで、SEOの効果を引き継ぎながら運用できる。
また、ベリサインのEV SSL証明書などには、検索結果に安全なサイトであることを示す「シールインサーチ」機能がある。この機能を利用することで、一部のユーザーはGoogleやYahoo!などで安全なサイトかそうでないかを見分けやすくなる。これによって特にロングテールのキーワードにおいて、クリック数向上が期待できるそうだ。シールインサーチの実際の導入例として、Googleからのサイト訪問者が1.6%増えたケースも紹介された。
最後に中川氏は、「2012年4月から赤いチェックマークのベリサインシールは、黄色いチェックマークのノートンセキュアドシールに生まれ変わります。切り替えは自動的に行われ、すでにご利用中のお客様はそのままご利用いただけます
」と、話題を提供した。2010年に日本ベリサインがセキュリティ対策ソフト大手のシマンテック社グループ企業になったことで、ネットユーザーにはお馴染みのベリサインのシールが切り替わることを告知し、セッションを終えた。
- 記事種別:イベント/セミナー
- コーナー:【レポート】Web担当者Forum ミーティング2011 Autumn
- 内容カテゴリ:その他
※このコンテンツはWebサイト「Web担当者Forum - 企業ホームページとネットマーケティングの実践情報サイト - SEO/SEM アクセス解析 CMS ユーザビリティなど」で公開されている記事のフィードに含まれているものです。
オリジナル記事:「知らない」では済まされない、Web担当者のためのセキュリティ対策最前線 | 日本ベリサイン [【レポート】Web担当者Forum ミーティング2011 Autumn] | Web担当者Forum
Copyright (C) IMPRESS BUSINESS MEDIA CORPORATION, an Impress Group company. All rights reserved.