SSL証明書は、企業がWebサイトを安全に運営するために欠かせない技術です。SSL証明書を導入することにより、信頼性を保証する効果が見込めます。さらにSSL証明書の導入は社内用、外部ユーザー用に関わらず、運営するサイトの情報漏えいなどのリスクへの対応にもつながります。本記事では、SSL証明書の概要や必要性、導入によって得られるメリット、主な種類について解説します。
SSL証明書とは
SSLとは「Secure Socket Layer(セキュア・ソケット・レイヤー)」の略で、SSL証明書(SSLサーバー証明書)とは、Webサイトの信頼性を認証局が認証した電子証明書のことです。SSL証明書には、Webサイトの運営者(組織)が実在していること(実在性)を示す証明と、サイトとユーザーとの間の通信データが暗号化されていることの二つの役割があります。信頼のある第三者認証機関が発行しており、導入していれば信頼性が高いと判断されます。
さらに通信データがSSLによって暗号化されることから、個人情報などの重要なデータを外部から盗み見られることなく、安全にやり取りすることが可能です。SSLはもともと1990年代にNetscape社によって開発された古い規格であり、過去に脆弱性が発見されたこともあります。現在ではSSLのより新しいバージョンであり、より安全性の高い「TLS(Transport Layer Security)」が多く使用されています。
・SSL証明書の必要性
近年では、ECサイトなどのEコマースやネットバンキングなどで、個人情報や取引情報がインターネット上でやり取りされる機会が増加しています。SSL証明書が導入されていれば、ユーザーが閲覧しているWebサイトの安全性が保証されます。「なりすまし」の被害防止にも役立ちます。
通信データを暗号化させる働きでは、ECサイトでのショッピング時に送信される個人情報の盗聴を防止できます。SSL証明書がなければ、Webサイトの信頼性を獲得することができません。個人情報の漏えいに不安を感じたユーザーが利用を中断してしまうこともあり、信頼性を得るためにもSSL証明書は必要です。
SSL証明書で常時SSL化するメリット
部分的なSSL化では、ログインページやフォームなど限られたページだけがSSL化された状態であり、一定のページ以外は保護されていません。常時SSL化にすれば、Webサイト全体をSSL化でき、セキュリティの向上に効果的です。
常時SSL化によって、サイトのURLは「https」となり、ユーザーとサーバーとの間の通信は常に暗号化された状態になります。通信内容が保護されるため、データの盗聴を防止して個人情報やクレジットカード番号などの重要なデータの漏えいリスクを低減できます。
2014年8月にGoogleは「ランキング シグナルとしての HTTPS」と題し、常時SSL化済みの安全な接続が確立しているWebサイトを検索ランキング要素として考慮することを発表しています。常時SSL化によってサイトの安全性や信頼性が向上するだけでなく、SEO(検索エンジン最適化)にも効果があり、サイト運営者には大きなメリットがあります。
【参考記事】
ランキング シグナルとしての HTTPS
・ドメイン認証
ドメインとは、Webサイトがどこにあるかを識別するためのインターネット上の住所のことです。「ドメイン認証(DV)」では、認証局が証明書を発行する際にドメインの所有者と申請者とが同じであるかどうかを確認します。認証が行われた場合、ドメインの使用権が証明されます。
ドメイン認証では、暗号化通信だけが可能になり、企業の実在性は証明されません。Webサイトの運営企業が架空ではなく、実在していることは証明できないため、社内向けや個人が運営するサイトなど、実在性が重要視されない場合に用いられます。
ドメイン認証は、3種類の中では最も認証レベルが低く、安価で導入できるSSL証明書です。導入費用は年間3万5,000円ほど、Web上だけで申請手続きを行うことができます。
・企業実在認証
「企業実在認証(OV)」は、企業の実在性が証明されるSSL証明書であり、ドメイン認証よりも認証レベルが高い証明書です。ドメイン認証に加え、証明書を発行する認証局が直接、企業が実際に存在しているのかどうかを確認します。
企業実在認証では、帝国データバンクなどの第三者データベース、法人登記の内容、印鑑証明書などで企業の実在性を確認します。企業実在認証を受ける場合には、会社名、住所、電話番号などの情報も確認されます。
Webサイトを運営する企業の実在性が認められることから、ユーザーが個人情報を入力するページがあるコーポレートサイトやSNSなどで多く用いられます。導入費用は年間6万円ほどかかります。
・EV認証
EV認証(EV)は、ドメイン認証や企業実在認証よりも認証レベルの高いSSL証明書です。EV認証では、ドメイン認証、申請者が実在することを確認する企業実在認証が行われ、さらに認証局などによって統一された世界的な承認基準で確認されたうえで証明書が発行されます。
証明書が発行されるまでには、申請者の事業内容や所在地、組織構造なども確認されるため、高い信頼性を持つWebサイトであることが保証されます。通信内容が暗号化され、サイトの信頼性が認められるため、フィッシング詐欺の対策としても最適です。
EV認証は、企業の公式サイトや、個人情報・クレジットカード情報などのデータをやり取りするECサイト、金融機関のサイトなどで用いられます。安全性が高い反面、年間契約で13万円ほどの費用がかかります。
まとめ
SSL証明書とは、Webサイトの安全性を保証する電子証明書です。サイトの運営者が実在することが証明され、通信データは暗号化されます。導入すると有効期間中には常時SSL化が可能になり、サイトのセキュリティが向上するだけでなく、検索サイトでのランキングにも好影響をもたらします。「ドメイン認証」「企業実在認証」「EV認証」の3種類の証明書は、用途や費用などと考慮して、自社サイトに適したものを選びましょう。
また、
Cloudbric WAF+であれば無料でSSL証明書の発行が可能です。申請時の複雑なドメイン設定や費用をかけることなく、HTTPSを適用するWebサイトを登録するだけで発行が可能です。SSL証明書の発行にご興味がある方は下記のサービスページからご覧ください。
▼SSL証明書を発行できる、Cloudbirc WAF+について詳しく見る
https://www.cloudbric.jp/cloudbric-waf/
...