【レポート】Web担当者Forumミーティング 2011 Autumn

「知らない」では済まされない、Web担当者のためのセキュリティ対策最前線 | 日本ベリサイン

Web担当者向けにサイトのセキュリティ周りのトレンドや常時SSL化のポイントを、事例を交えながら紹介した。
Web担当者Forum ミーティング2011 Autumn

セミナーイベント「Web担当者Forumミーティング 2011 Autumn」(2011年11月8日開催)の講演をレポートする。他のセッションのレポートはこちらから。

B会場最後のセッションには、SSLサーバ証明書やクライアント証明書の発行・運用管理、ワンタイムパスワードやオンライン詐欺検出サービスなどを提供する総合セキュリティサービスプロバイダである、日本ベリサインの中川就介氏が登壇。Webマスターとしての業務経験のある中川氏が、Web担当者向けにサイトのセキュリティ周りのトレンドや常時SSL化のポイントを、事例を交えながら紹介した。

スマホの普及にともなう無線LAN利用拡大で、サイトの常時SSL化が進む

日本ベリサイン株式会社
SSL製品本部
アシスタントマネージャー
中川 就介氏

私自身が少し前までWebマスターでしたので、本日はWebマスターの方が知っておくといい情報をお話ししたい」。日本ベリサイン株式会社の中川就介氏は、冒頭でこのように挨拶をした後、「Webサイトのセキュリティ」について、興味深い事例を交えながら講演してくれた。

中川氏がセッション全体で提起したのは、「Webサイトは常時SSL化すべきかどうか」という問題だ。通信暗号化技術のSSLは、従来からフォームやログイン入口ページにSSLが用いられている。しかし最近では、Webサイトを常時SSL化することがトレンドになりつつあると言う。

たとえば、Google+は常時SSL化済みで、グーグル検索もログイン後は常時SSL化される予定です(Google.comを利用する場合)。TwitterやFacebookも、ユーザー向けに常時SSLのオプションを提供しています。Facebookでは2011年10月以降、SSL対応していないマイアプリ(iframe)が、常時SSLユーザーには表示されなくなりました

Webサイトの常時SSL化が進む背景には、Cookie(セッションID)の保護や、サイト全体の信頼性向上が挙げられる。このほか常時SSL化を促す大きな理由となっているのが、Wi-Fi(無線LAN)利用シーンの広がりだ。最近ではスマートフォンやタブレット端末の爆発的な普及にともない、無線LANインフラの利用も増加している。しかし、フリーのホットスポットなどの公衆無線LANを使い、データが暗号化されていない状態で通信を行うと、アカウントの乗っ取りや、なりすましの危険が生じてしまう。こうしたことから、SSL通信やSSLサーバ証明書の必要性が高まっていると、中川氏は説明する。

エンドユーザー側としても、無線LAN環境では通信に必ずhttps(SSL)を用いるようにしたり、httpsとhttpが混在するページの警告が表示された場合に、非暗号化のコンテンツを表示しないように注意するといったセキュリティ対策が推奨されている。

常時SSL化の誤解と移行のポイント

ではWebサイトの常時SSL化には、どんなポイントがあるのだろうか。中川氏はいくつかのポイントを紹介した。まず「SSL化すると通信速度が遅くなる」と言われることがあるが、昔に比べてCPUパワーが格段に向上している現在では、影響格段に小さくなっているという。またサーバー設定の調整、SSLアクセレーター(暗号処理専用のハードウェア)などの製品やサービスを用いることで、SSLの処理を効率化できる。

「常時SSL化すると計算コストが跳ね上がる」というのも10年前の話で、Gmailの常時SSL化による影響はCPU負荷の1%以下だったという記事や、ウェブサーバーの簡単な変更でレスポンスタイムを14秒から2秒に短縮できたという記事が紹介された。

またSSLサーバ証明書の選び方としては、セキュリティの高いものから順に、「EV SSL証明書」「企業実在性認証型SSL証明書」「ドメイン認証型SSL証明書」の3つがあることを説明。「アドレスバーにサイト運用者名を表示し、対応ブラウザではアドレスバーが緑色に変化するEV SSL証明書をサイト全体に採用することで、セキュリティ効果が高まる」と中川氏は説明した。

SSLサーバ証明書の種類
自己証明書型ドメイン認証型企業実在性認証型EV SSL
正当なドメイン保持者
(警告なしの暗号化)
×
実在する企業
(企業の公式サイト)
××
実在する事業所の所在
(最高の信頼性)
×××

Webマスターにとっては、常時SSL化とSEOの関連性も気になるトピックだ。中川氏の説明によれば、httpとhttpsをハイブリッドで運用すると、被リンク効果が分散され、SEO上不利になってしまう可能性があるという。常時SSL化へと移行する場合には、httpからhttpsのページへと301リダイレクト(恒久的な移転)させることで、SEOの効果を引き継ぎながら運用できる。

また、ベリサインのEV SSL証明書などには、検索結果に安全なサイトであることを示す「シールインサーチ」機能がある。この機能を利用することで、一部のユーザーはGoogleやYahoo!などで安全なサイトかそうでないかを見分けやすくなる。これによって特にロングテールのキーワードにおいて、クリック数向上が期待できるそうだ。シールインサーチの実際の導入例として、Googleからのサイト訪問者が1.6%増えたケースも紹介された。

goo検索でのシールインサーチ表示例。Google、Yahoo!、Bingで表示するにはノートンインターネットセキュリティ、ノートン360、ソースネクスト社のウイルスセキュリティZEROなどのインストールが必要。

最後に中川氏は、「2012年4月から赤いチェックマークのベリサインシールは、黄色いチェックマークのノートンセキュアドシールに生まれ変わります。切り替えは自動的に行われ、すでにご利用中のお客様はそのままご利用いただけます」と、話題を提供した。2010年に日本ベリサインがセキュリティ対策ソフト大手のシマンテック社グループ企業になったことで、ネットユーザーにはお馴染みのベリサインのシールが切り替わることを告知し、セッションを終えた。

関連情報

\Web担主催リアルイベントが“オンデマンド配信”決定!/
満席で申し込みできなかった講演も聞ける【12/13(金)18:00まで視聴可能】

Web担主催イベント

TEMU、赤ちゃん本舗、サッポロビール、セガ、デジタルハリウッド大学など

「これから求められるBtoBマーケティング」「GA4でワンランク上の解析術」「明日から使えるAI活用術」など(一部、配信がない講演もあります)
用語集
Facebook / SEO / なりすまし / スマートフォン / セッション / 常時SSL / 被リンク / 訪問者
この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

カオスマップ
企業やサービスや製品などについて、カテゴリーや関係性でまとめて図にしたもの。具体 ...→用語集へ

連載/特集コーナーから探す

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]