セキュリティを最優先事項と考えるGoogleのHTTPS要求に関する3つの事実
Web ブラウザ のシェア数No.1として独走している Google のChrome ブラウザ ですが、2017年に入ってから Google でのホーム ページ 閲覧状況で大きな変化が発生しています。
その変化とは、安全でない HTTP 接続があると、指摘・警告されるというものです。
すでに、 Google Chromeで( HTTP S接続ではない) HTTP 接続のホームページに接続すると、赤字で「Not Secure」(保護されていません)と表示されるようになっています。
この問題は、Web マーケティング を行っている担当者にとっては、深刻に捉える必要があるでしょう。自社のホームページをせっかく訪問してもらったのに、警告表示のせいで コンバージョン につながらない、あるいは直帰率自体が上がる可能性もあるからです。
そこで今回は、Web
マーケティング
を失敗しないために、セキュリティを最優先事項と考える
Google
のHTTPS要求について知っておきたい3つの事実をまとめていきます。
Google のHTTPS要求について知っておきたい3つの事実
事実1: HTTP S要求強化によって、全ての HTTP ページ に警告が表示される
画像引用元:pexels.com
2017年10月の Google Chromeのアップデートによって、全ての HTTP ページ に警告が表示されるようになりました。
そもそも、「 HTTP 」と「 HTTP S」の接続の違いはどこにあるのでしょうか。
HTTP Sは、 HTTP にセキュリティ機能を追加したもので、簡単に言えばホームページとの通信を暗号化したものです。 SSL /TLSプロトコルと呼ばれる方法を利用した暗号化のため、 HTTP S通信を「 SSL 暗号化通信」や単純に「 SSL 」と呼ぶこともあります。
一般に閲覧しているホームページであれば HTTP でも大丈夫ですが、個人情報を入力する際には暗号化して送信する HTTP Sが好まれます。昨今、大手企業の個人情報漏えいに関するニュースが絶えませんが、 HTTP Sでの通信であれば フォーム に入力してもらった個人情報を不正アクセスから守ることができます。
その点で言えば、 HTTP は暗号化を一切しないため、情報が丸見えになってしまいます。少し経験を積んだ方なら、こうした情報を傍受したり内容を読解することが可能です。そのため、ログイン画面でのパスワード入力やや問い合わせ フォーム 、商品購入場面におけるクレジットカード情報の入力などがある場合、第三者に情報を読み取られてしまう可能性があります。
こういうわけで、 HTTP にしたままでは ユーザー を危険にさらしてしまうため、 Google が先陣を切って HTTP Sでない ページ に警告を出して対策を講じているというわけです。
この際、まず行動の第1段階として、 Google は2017年1月の「 Google Chrome 56」にあわせて、 HTTP プロトコルを利用した一部のページで安全性の警告表示を始めました。ここで影響を受けたのは、ログイン情報やカード決済などの機密情報を送信する ページ です。
しかし、2017年10月の安定版である「 Google Chrome 62」以降、 HTTP S通信ではないサイトには、シークレットモード(Incognito Mode)であっても、すべての HTTP ページ に警告を発するようになっています。
※今後すべての
HTTP
ページ
に警告が表示されます / 引用元:Google Online Security Blog
ちなみに、 WordPress で作成されているページの多くはHTTPS接続になっていません。WP Site Careによれば、この Google の警告を心配しているカスタマーの71%は心配していないと答えています。一方、29%のユーザーが「懸念している」と答えている状況は、決して無視できるものではないでしょう。
参考:
https|ferret マーケティング用語辞典
【知っておきたい】httpとhttpsの違いと推奨される設定とは|ferret
事実2:多くの競合ホームページがHTTPSを採用している
画像引用元:pexels.com
Google が講じている安全性に対する対策は、少なからず多くのWeb担当者に影響をもたらしているようです。
Googleの発表によれば、Chrome OS やMac上の Google Chromeブラウザーのトラフィックの保護率は、昨年の67%・60%から、11月11日時点で81%と77%にまで上昇しています。また、 Android でも、昨年の42%から66%まで増えていることが確認できます。
各国別に見ると、WindowsのChrome ブラウザ で読み込まれた HTTP S通信の割合が最も高い国はアメリカ合衆国(76%)で、次いでドイツ(72%)、メキシコ(71%)と続きます。
残念ながら、日本は インターネット 先進国の中でも最も HTTP S通信を採用していない国で、11月11日現在で57%がHTTPS通信を採用しています。しかし、裏を返せば2ページに1ページがHTTPS通信を採用しており、2015年11月時点での25%に比べれば2年間で倍近くがHTTPS通信を採用しているという点から、多くの事業者が SSL に切り替えているという事実が浮き彫りになります。
日本でいえば、日本の大型サイトとして楽天やクックパッド、アメブロやYahoo! Japanなども最近
HTTP
S通信を採用しています。
Google
はセキュリティを最優先事項としており、2014年8月の段階でHTTPSの使用をランキングシグナルに用いることを発表しているので、今後ますます多くのWeb担当者がサイトに
HTTP
Sを導入する必要性に迫られるでしょう。
事実3: HTTP S接続のコストは極端に下がっている
画像引用元:pexels.com
日本のHTTPS採用率は、先に見たように、他の諸国に比べて6割程度となっています。ほかの インターネット 先進国に比べて日本のHTTPS通信採用率がこれだけ遅いのには、どのような理由があるのでしょうか。大きくわけて、2つの理由が挙げられます。
1つは、 HTTP Sやセキュリティ自体についての認識が事業者にないということです。 インターネット セキュリティ大手のカスペルスキーラボによれば、2015年実施のネット常識力テストでは、日本の平均点は世界16ヵ国の中で最下位となっており、2014年に行われた総務省による公衆無線LAN利用時の脅威に対する理解度と対策実施率調査でも最下位となるなど、日本人のセキュリティレベルが低いことが明らかになっています。
一方、 HTTP S採用率の高いドイツでは「ITセキュリティ法令」が2015年7月に施行されたり、ドイツ連邦教育研究省の主導でITセキュリティの先進国としての キャンペーン を行うなど、積極的な対策を国レベルで行っていることがわかります。また、 HTTP Sの接続コストが極端に高いと思っている事業者も多くいるようです。
Web担当者Forumによれば、 Google Japanの山口氏が「一番の問題は対応するための金銭コスト」であるとツイッターで指摘しているように、コスト感がボトルネックになっている可能性も十分にあります。
しかし、MozillaやCisco Systemsなどがスポンサーとして支援しているLet’s Encryptのように無料で使える
SSL
通信も増えており、さくらのSSLのように最低1,620円/年で使える
SSL
も増えています。アドレスバーに社名を表示することができるEV認証プランも年額53,460円と、従来に比べ大きく費用が下がっており、導入しやすくなっています。
まとめ
Google のHTTPS要求によって、多くの事業者が対策に追われていると思います。一方で、社内で全くこの話が上がっていない場合には、危険信号かもしれません。
Google は、セキュリティを最優先事項として捉えているため、今後はますますセキュリティに関して厳しくなってくることが予想されます。
まずは、すぐに手を打てる SSL 通信の導入について、検討してみてはいかがでしょうか。