ホームページをチェックしよう！常時SSL対応をしない7つのリスクとは？

常時SSL対応とは？

まずはじめにSSLとは何か、から説明します。SSLとは「Secure Socket Layer」の略で、インターネット上で送受信される情報の「覗き見」と「改ざん」を防止する仕組みのことです。

例えば今ご覧いただいているferretのURLの左側に「保護された通信」とでていますよね？これはSSL対応をしていると表示され、さらにURLの頭も「http://」ではなく、「https://」と表記されます。

ネットショップの購入画面などでは、個人情報やクレジットカード情報などの秘匿性が高い情報のやりとりがされます。その情報の覗き見や改ざんを防ぐための方策がSSL対応になります。

SSLの仕組み

例えばネットショップで商品を購入するときに個人情報などを入力する際を想定します。

このとき入力した個人情報はインターネットを通してネットショップ運営側のサーバーに送信されます。しかし、データを送信する際に他者からデータを覗き見される危険が発生します。

インターネット上で情報を送信する際に送信者の情報を暗号化することで他者がデータを覗き見できなくする仕組みがSSL（通信）です。

これまでSSL通信の対応は個人情報を送信するフォームがあるページなどを部分的に行うという認識が一般的でした。しかしインターネット上では、またインターネットを利用するブラウザ上では、フォームを通さずともホームページ運営者とユーザー間で情報を送受信することが多く発生します。

そのため現在では部分的なSSL対応ではなく、常時SSL対応が求められています。*常時SSL対応は簡単にいうと、「ホームページ全体をSSL対応とする」ことです。*ユーザーがホームページに来訪してくれたときに、どのページでも秘匿性を持った情報のやりとりができることを明示できるようにしましょうという動きです。

常時SSL対応への流れ

Yahoo! JAPANは2016年4月から2017年3月の期間において、全てのサービスで常時SSL対応をさせることを宣言し、随時対応を完了させました。

参照：
Yahoo! JAPANサービスは常時SSL（AOSSL）に対応します。

また2017年8月にはGoogleのサーチコンソールで「Chrome のセキュリティ警告を表示します」という件名のメッセージが送信されました。これは端的にいうと「ホームページ内でユーザーの個人情報を取得する場合、常時SSL対応を必須とする」という旨の内容でした。

参照：
Googleから警告?Search Consoleからメッセージ発信

Yahoo! JAPAN、Googleなどの大手プラットフォームが常時SSL対応を推進するということは、プラットフォームを経由して来訪するユーザーを集めるホームページ運営者からしても、その対応が必須となります。

では、具体的に常時SSL対応をしないことによってどんなリスクが発生するのか？以下から具体的に紹介します。

常時SSL対応をしない7つのリスクとは？

⒈主要ブラウザの警告で信頼性ダウン

まずはじめに常時SSL対応をしていないと、ユーザーに対して情報通信上の信頼性を損なってしまうリスクが発生します。

Googleは2018年7月から全てのHTTPサイトで「Not secure」、日本版だと「保護されていません」と表示させることも最近発表されました。これまでブラウザでURL表示がされている部分に「Not secure」という表示が発生するようになります。

またログイン情報や決済情報を入力するようなフォーム上でも警告が表記されます。

上記はFirefoxでWordPressのログインを行うページです。フォームに「この接続は安全ではありません。」という警告が表示されます。このような表記はSSL対応をしていない、個人情報を送受信するようなページで表記されます。

ブラウザを通して、「このページはセキュアじゃありません」と表示されるため、インターネット上の情報の送受信に敏感なユーザーからはホームページへの信頼性を損なうリスクが発生します。

参照：
A secure web is here to stay、ログインフォームにも出現！「Firefox」と「Google Chrome」の新たな警告表示

⒉アクセス解析の精度が落ちる

Googleアナリティクスなどのアクセス解析ツールを使って、「ホームページ来訪者はどこから来ているのか？」を分析したことがある方は多いとおもいます。

流入元として「direct/none」という表記があります。これは簡単にいうと、「どこから来訪したかが不明」という意味です。

そして不明の原因の一つが「常時SSL対応をしていないこと」なんです。もし常時SSL対応をしていない、つまり運営するホームページのURLが「http://」ではじまる場合、HTTPSサイトから来訪したユーザーのアクセスデータが正しく計測されないようになっているのです。

一時期と比べ「direct/none」の割合が増えていると感じている方は常時SSL対応をしているかどうかをすぐにチェックしてみましょう。

大手プラットフォームが常時SSL対応を進めていくと、流入元のHTTPSサイトの数が増えます。常時SSL対応をしていないと正しいアクセス解析ができなくなるリスクが発生します。

⒊常時SSL対応をしないとコンバージョンの機会損失が発生する

常時SSLを導入しないことはセキュリティ上のリスクだけではなく、売上やコンバージョン獲得の機会損失につながるリスクが発生する恐れを生みます。

ファーストサーバ株式会社が2017年3月に実施した調査によると、ホームページを閲覧する際にURLの「https」部分（セキュリティ保護がされているかどうか）を確認しているユーザーの割合は80%近いというデータがあります。

参照：
アンケート結果からみる「常時SSL」の現状

またデジサート・ジャパン合同会社によると、セキュリティのためだけではなく、ホームページ上の成果を向上させるためにもSSL対応が有効だとされています。
実際に同社によるとネットショップの購入完了率が10%、資料請求のコンバージョン率が81%向上するなどの事例もあったようです。

これは先述したように、ユーザーのほとんどはURLの「https://」を確認しており、「セキュリティが不安」とされるホームページよりも、セキュリティが万全であるホームページのほうが情報を入力しやすいことが要因と考えられます。

ホームページの成果を向上させる機会を損失する可能性につながることからも、常時SSL対応は必要だと言えます。

⒋Firefoxでホームページが非表示になる恐れ

webrageによる調査で国内ブラウザシェアランキング4位であるFirefoxでは、常時SSL対応をしていないホームページが「表示すらされない」恐れがあります。

参照：
WebブラウザシェアランキングTOP10(日本国内・世界)

2015年にFirefoxの開発元であるMozilla Foundationが、「安全ではないHTTPを使ったホームページのサポートを段階的に縮小する」方向性を打ち出しました。

参照：
ブラウザ新機能はHTTPSサイトのみサポートへ、Mozillaが表明

具体的にいつからサポートが縮小されるのかは不明ですが、方向性の一つとして「セキュアでないホームページ、特にユーザーのセキュリティやプライバシーを危険にさらしかねない機能を持つホームページについては、ブラウザ機能を段階的に利用できなくする」ことも検討されているようです。

つまり常時SSL対応をしていないホームページはFirefoxでは正常に表示されないということもあり得ます。常時SSL対応をしていないと国内4位のブラウザで自社のホームページが表示されないリスクが発生します。

⒌公衆無線LANなどで盗聴リスクから閲覧者を守れない

ユーザーが公衆無線LANなどのネットワークでホームページを閲覧、利用する際にホームページ運営者側が常時SSL対応をとらないことで、企業の信頼性を損なうことがあります。

公衆の無線LANでは第三者がその情報を傍受したり、覗き見したりすることができます。その時に常時SSL対応をとることで、情報に秘匿性を保つことができます。

独自SSL（独自ドメインに対して設定するSSLサーバー証明書）には「ドメイン認証型（DV）」、「企業認証型（OV）」、「EV認証（EV）」の3つの種類があります。DVでは通信の暗号化はできますが、組織の実在性証明やフィッシング対策までをカバーするのであれば、OVもしくはEVの認証が必要となります。ユーザーが誤ってURLやデザインが酷似したホームページを利用した詐欺・フィッシングサイトを使わないように、常時SSL対応、さらにはより強い認証を取得することは、企業にとっての姿勢が試される部分でもあります。

⒍SEOのランキングシグナルで優遇されない

ホームページを運営している方ならば関心の高いであろうSEO（検索エンジン最適化）でも常時SSL対応が求められています。

Googleは2014年から検索順位変動要因（ランキングシグナル）としてHTTPSを使用しています。

参照：
HTTPS をランキングシグナルに使用します

SEOを行うときに「何をすべきか？」という問いに対して適切な答えはありません。しかし、Googleがウェブマスター（ホームページ運営者）に求める要求で、対応できることは基本的に対応をしておいたほうが検索順位が下落するリスクを低減することができます。

検索順位を向上させるための施策ではありませんが、常時SSL対応をしないと検索順位が下落する原因を残してしまうことになります。

⒎HTTP/2の恩恵を受けられない

ホームページの表示速度を気にしたことがありますか？2017年末にTwitterなどで俳優の阿部寛さんのホームページ（http://abehiroshi.la.coocan.jp/）
が「表示速度が非常に速い」と話題になったことが記憶に新しいですが、ページの表示速度はユーザーにストレスを感じさせないためにとても重要な指標の一つです。

ページの表示速度が遅いと、ユーザーは表示を待たずに直帰をしてしまう恐れがあるからです。ページの表示速度を高める施策は様々ありますが、その一つとしてHTTP/2というプロトコルを利用する、が挙げられます。

HTTP/2はページの表示速度に関係するレスポンス速度向上の取り組みとして開発されたWeb高速化プロトコルです。しかし、HTTP/2は多くのブラウザベンダーでは「HTTPS（暗号化通信）だけを対応する」と表明されており、常時SSL対応をしていないとその恩恵を受けることができません。

つまり常時SSL対応をしていないと、ページの表示速度を高めるための施策の一つが受けられないというリスクが発生します。

参照：
実はHTTPSは速い!次世代プロトコル”HTTP/2″でサイト表示が高速化

常時SSLに無料で対応するなら「Zenlogic」

常時SSLの基本からその仕組み、そして常時SSL対応をしていないことによる7つのリスクをお伝えしてきました。

常時SSL対応は大手のパブリッシャーやその開発元が年々推進を強めてきているため、年度末を迎えるこの季節に導入を検討されてみてはいかがでしょうか。

常時SSL対応の進め方は以下の記事でもお伝えしています。

Yahoo! JAPANも常時SSL化。改めて押さえておきたい常時SSL対応の基本と手順

Yahoo!JAPANは、2016年4月から2017年3月にかけて、Yahoo!が運営するサービスサイト全てで常時SSLに対応すると発表しました。Googleも、2014年に「常時SSL対応しているWebサイトを検索結果で優遇する」と発表しています。SSLとは、インターネット上でやり取りされる情報を暗号化し、第三者が情報を覗き見する行為を防止するための仕組みです。

また本記事を監修いただいたファーストサーバ株式会社が運営するレンタルサーバー「Zenlogic」なら「無料で常時SSL対応」を行うことができます。