ビックリマークに要注意!
以前、ホームページを持つことについての利点を述べた記事を書きました。今回は、ホームページを持った後の注意点について述べてみたいと思います。
「わが社は、ホームページを使って情報発信ができている」と、自信を持っていらっしゃる企業様は多いかと思います。でも、ちょっと待ってください。貴社のホームページは、SSLに対応していますか? 気になる方は、自社のホームページにアクセスしてみてください。アドレスバーの横に、ビックリマークとともに「保護されていない通信」や、「セキュリティ保護なし」のような文言が表示されていないでしょうか?
最近みかける、ほとんどすべてのホームページは、「https://」から始まるアドレスで、アクセスすると南京錠マークが表示され、これがSSLに対応していることの証になります。一方、ビックリマークが表示される場合、SSLに対応していないか、対応しているつもりでも、うまく設定がなされていない可能性があります。「http://」から始まるような、古いサイトに多いと思います。
多くのケースでは、たとえSSLに対応していなくても、即座に大きな問題が起こることは少ないかと思いますが、標記のような文言が表示されていると、閲覧者はギョッとしますし、SSLに対応していることは、なりすましサイト等ではなく、正真正銘の公式サイトであることの証明となりますので、信頼性につながります。
10年以上前にホームページを開設して依頼、ほとんどほったらかし…というサイトでは、非対応である可能性が高いので、ぜひとも、対応をご検討いただけたら幸いです。
SSLって何?
私たちがインターネット上のホームページを閲覧できる仕組みについて、簡単におさらいしてみましょう。ホームページとは、私たちが持っている、PCやスマホといった端末から、ブラウザというアプリケーションを使って、インターネット上のサーバーに接続し、文章やコンテンツをダウンロード、加工し、モニタに表示される仕組みによって、閲覧可能となっています。
実際には、インターネット上には、無数のサーバーがあり、私たちは、そのいずれかのサーバーに接続します。例えば、あるサーバーからコンテンツをダウンロードするケースを考えてみましょう。接続元であるクライアントと、接続相手となるサーバーの関係は、必ずしも1対1になるとは限らず、1度のアクセス単位で複数台のサーバーに接続することもありますし、あるサーバーのアクセスから、複数台のサーバーを中継してコンテンツをダウンロードすることもあります。
この、コンテンツがダウンロードされる過程で、コンテンツを暗号化する仕組みがSSLです。つまり、ユーザーからアクセスがあったときに、コンテンツを所有するサーバー上で一度コンテンツを暗号化してから、ユーザー側に送信し、ユーザー側では、ダウンロードした暗号化コンテンツを復号化して、閲覧するというプロセスを踏んでいます。
先述した通り、コンテンツのダウンロードの過程では、複数台のサーバーを利用することになり、中には悪意を持って、コンテンツの内容をのぞき見をしたり、改ざんするような人がいるかもしれません。通常、該当サーバーの管理者権限を持った人でなければ、そのようなことはできませんが、逆に言うと、管理者権限を持っていれば比較的に容易にできてしまいます。(もちろん、多くのサーバー管理者は倫理観を持っているので、そのようなことをしないと思いますが。)SSLは、万が一そのようなことがあっても大丈夫であるようにできた技術というわけです。
参考URL
SSL化の3つの効用
この仕組みは、もともとは、ユーザーが個人情報や、クレジットカードなどの重要情報をアップロードする必要があるようなサイト(ネットショッピングサイトなど)では多く使われていましたが、一般的なウェブサイト(第三者に流出しても問題ない情報を発信するのみ)では、あまり使われていませんでした。
しかし最近では、なりすましサイトなどが横行し、「ダウンロードしたコンテンツの内容は、本当に情報発信者なのか」を確かめる仕組みが必要になりました。現在では、一般的なウェブサイトであっても、SSL化することが強く求められています。すでに述べたところもありますが、SSL化の効用についておさらいしてみましょう。
①暗号化により盗聴を防ぐ
先述した通りですが、コンテンツが暗号されていると、コンテンツの中継中に第三者が内容をのぞき見することができなくなり、安心です。
②暗号化により改ざんを防ぐ
これも、先述した通りですが、もし暗号化すると、たとえコンテンツの中継中に第三者が中身をほんの一部改ざんしたとしても、正しく復号化することができない(一文字たりとも戻すことができません)ため、誰かが改ざんしたということは、ばれてしまいます。これにより、改ざんコンテンツに騙されることがなくなり、安心です。
③SSLサーバー証明書によりなりすましを防ぐ
③は、厳密にはSSLの技術というよりは、運用面での機能ですが、ユーザーがサーバーに安心してアクセスするには、①・②では不十分で、やはり③もあわせもって初めて意味があります。
これは、会社を設立する際に、法人として第三者に対抗するために、各地の法務局に登記を行うことに似ているかもしれません。具体的には、信頼された第三者機関である「認証局」という機関から、証明書を発行してもらい、「このドメイン(サーバー)の持ち主は、〇〇社ですよ」と証明してもらうことです。もちろん証明書といっても、紙の証明書ではなく、デジタルデータでできた証明書です。ユーザーは、ウェブサーバーからコンテンツをダウンロードするのに先立ち、この証明書を手に入れることで、当該ウェブサーバーが、なりすましでないことが確認できます。ここでも、先述したような、暗号化・復号化の仕組みが使われているので、ユーザーが意識せずとも、コンピューター同士のやり取りの中で、「盗聴」「改ざん」「なりすまし」を自動的に防いでいるのです。
どうやって対応する?
では、SSL対応はどうやってできるのでしょうか? 基本的な対応方法は、以下の通りになります。
- ①認証局からのSSLサーバー証明書を発行してもらう。
- ②SSLサーバー証明書を、ウェブサーバーに適用する。
もし、貴社のウェブサイトがレンタルサーバー業者からレンタルを受けたサイトで構築されている場合は、大抵、業者が作業を代行してくれるはずです。一般に、有名で権威のある認証局が発行する証明書ほど、費用が高額となる傾向がありますが、貴社が、よほど信頼性が重要になる大きな機関(例えば銀行のような)でない限りは、あまり金額にこだわる必要はないと思います。典型的な業者がおすすめしているプランは、無料から月100円程度のものが多いと思いますが、そのようなものでも、ないよりはずいぶんと良いと思います。一方、もしあなたが代行でなく、自力でやろうと考えた場合は、若干面倒な手続きと、サーバー管理の技術が必要となりますので、よほど時間と関心と基礎知識がない限りはお勧めできません。
さらに一歩進めて…
最近は、一部のブラウザでは、上記のような対応だけでは、南京錠マークにならないことがあります。一般にホームページのコンテンツは、文章や画像、動画や別のコンテンツへのハイパーリンクなどが含まれますが、該当ページに一つでも「http://」から始まるタイプのリンクが含まれている場合に、南京錠にならないという厳しいチェックがなされていることが原因です。考えてみればもっともなことで、直接アクセスしたページが安心であっても、そのリンク先が安心でなければ意味がありません。この場合は、さらにリンク先も調べる必要があります。大抵は、単に該当ページのアドレス記述が誤って「http://」となっていることが多く、これを「https://」に置き換えるだけで済むことが多いです。
参考URL
ぜひとも、これを機会に、貴社のホームページのアドレスバーに、南京錠マークが出るように工夫してみてください。