Chromeで警告も?「SSL」と「TLS」の違いや暗号化セキュリティ対策を詳しく紹介
2017年10月18日にGoogleがリリースしたWebブラウザ「Chrome 62」では、アドレスバーに*「保護されていません」*と表示される警告の対象が拡大されました。もともと「Chrome 56」ではユーザー情報の送信フォームを設置しているHTTPページを表示する際に警告が表示されていましたが、現在ではさまざまなHTTPページに警告が表示されます。
このような警告がアドレスバーに表示されると、ユーザーに不信感を与え、最悪の場合離脱率上昇・コンバージョン率低下を招いてしまいます。Webサイトの運営者はSSL/TSLの対応を迫られていますが、果たして「SSL」と「TLS」の違いとは何なのでしょうか。
そこで今回は、Webサイトのセキュリティに関わる「SSL」と「TLS」の違いを詳しく紹介していきます。「SSL」については聞いたことがあっても、「TLS」に関しては初めて知った人もいるかもしれません。ここで、しっかりとおさらいしておきましょう。
Googleがもっとも大切にしている「セキュリティ」
セキュリティはGoogleがもっとも重要視している指標です。実際に、Googleは自社サイト・サービスでHTTPS通信が標準装備されるように資金や労力を注いでおり、透明性レポートによれば2018年2月現在で91%を達成しています。HTTPS通信とは暗号化してデータを送受信する通信のことを指します。
2018年3月時点
サービス別の内訳では、2014年1月に9%と暗号化率がもっとも低かった広告配信でさえ、2018年2月現在では96%まで達しており、外部ベンダーからの情報提供に頼っているGoogleニュースも82%まで到達しています。
2018年3月時点
残念なことに、日本は情報先進国の中でも突出してセキュリティに関する関心が低いことは、周知の事実と化しています。Android端末でGoogleにアクセスした際、HTTPS経由で読み込まれたページの割合は、2018年3月上旬時点で一番高いアメリカが79%なのに対して、日本は47%です。ロシアやインドネシア、トルコ以上にセキュリティに関する関心が低いことは、極めて由々しき事態だと考える人も多いようです。
イメージ画像 / BURST
暗号化を行うことで、オンラインで閲覧するコンテンツがネットワーク上の第三者によって傍受や改変されていないことが保証されます。世界で最もよく使われているブラウザ「Google Chrome」では、暗号化されていないページに*「保護されていません」*という警告が表示されるようになりました。Webサイトの運営者にとって、暗号化の実装は急務となります。
参考:
HTTPS を使用する理由 | Google Developers
「SSL」と「TLS」の違いと「POODLE」とは?
イメージ画像 / stock.io
HTTPSは、*「SSL/TLS」プロトコルによって暗号化された通信のことです。プロトコルとは、ネットワーク上でデータを通信するための手順集のようなもので、送信するデータの形式やエラー発生時の対処法などを詳しく取り決めたものです。HTTPの場合は、「TCP/IP」*という2種類のプロトコルで通信を行います。
一般に*「SSL/TLS」*と2つのプロトコルが併記されていますが、「SSL」と「TLS」は何が違うのでしょうか。また、なぜ併記されるのでしょうか。この疑問を紐解くために、この2つのプロトコルの開発経緯について見ていくことにしましょう。
もともと**SSL(Secure Socket Layer)**は、現在のMozillaの前身となるNetscape社が開発しました。「SSL1.0」は早期段階で脆弱性が発見されたため、製品には実装されず、1994年に改良版「SSL 2.0」が「Netscape Navigator」に実装されました。
さらに翌年にリリースされた「SSL 3.0」は、2014年頃まで広く使われていましたが、POODLEと呼ばれる脆弱性が見つかりました。日本国内では、独立行政法人 情報処理推進機構(IPA)が率先して「SSL 3.0の無効化」を呼びかけました。現在では多くの主要ブラウザが「SSL 3.0」を無効化しています。
イメージ画像 / GAKUSMEMO
SSLと並行して1999年から開発されていたのが**TLS(Transport Layer Security)**というプロトコルです。通信内容の暗号化はもちろん、公開鍵証明書を用いて認証を行い、改ざんを排除することができます。
「SSL 3.0」と「TLS 1.0」は、仕様も仕組みも非常に似ていましたが、POODLE問題を受けて多くのWebサイト運営社がTLSに切り替えました。しかし、一般的に「SSL」の名前の方が浸透しており、HTTPS通信の暗号化プロトコル自体を*「SSL/TLS」*と呼ぶことが増えました。
現在は、2014年に発覚したHeartbleedおよび2015年に発覚したFREAKもあり、「TLS 1.2」が推奨されています。ただし、「TLS 1.2」のリリースは2008年と、リリースから10年近く経過しているので、「TLS 1.3」のドラフト策定が進められています。Googleなどが実験を進めており、まだ不具合も多いですが、古い脆弱な暗号化が大幅に改善される可能性があり、安全性がさらに高まりそうです。
知らないと危ない!4つの「SSL/TLS」関連チェックポイント
1. SSL証明書は持っていますか?
GoogleのSSL証明書
「SSL/TLS」を用いたHTTPS通信を行うと、Webブラウザのアドレスバーに「南京錠」のマークが表示されます。これだけでも十分安全と思われるかもしれませんが、さらに安全であることをユーザーに認知させるには、*「SSL証明書」*が有効です。
「SSL証明書」は、ブラウザ側が認めた認証局が電子署名をすることで、ドメインの持ち主とSSL/TLSの実装元が同じであることを証明することです。
「SSL証明書」には、DV(ドメイン認証)・OV(組織認証)・EV(拡張認証)の3種類があります。DV証明書は個人・法人が共に取得可能で、費用もおよそ1000円からと安価ですが、信頼性が低く見られることがあります。OV証明書・EV証明書は、法人が発行対象者ですが、EV証明書があると、緑色のアドレスバーで、南京錠の横にSSL証明書の「取得者名」が明記されるので、ユーザーも安心できます。
2. 無料証明書でも大丈夫ですか?
「SSL/TLS」の取得費用の中でも、一般的にEV証明書の取得は費用が非常に高額なため、最近では、無料の証明書サービスとしてアメリカの非営利団体ISRGが運営するLet’s Encryptが人気となっています。
Let’s Encryptは有効期限が3ヶ月の証明書で、スクリプトを設定することで自動更新を行うことができます。一般的な証明書は手動で証明書の差し替えが必要となりますが、このスクリプトにより、半永久的に維持できるようになります。
また、シマンテックやコモドも無料のSSL証明書サービスを始めています。
同じSSL証明書である以上、無料だから解読がされやすいといったことはありません。高額の証明書を取得しても、無料の証明書と暗号化強度は同じです。しかし、無料で取得できるためにフィッシングサイトなどで悪用されることも多いので、企業が採用するには細心の注意が必要でしょう。
3.「オレオレ証明書」問題はクリアしていますか?
イメージ画像 / stock.io
2003年に鳥取県警の命名でよく知られることになった「オレオレ詐欺」にあやかり、ネット上では「オレオレ証明書」と呼ばれる問題が蔓延しています。
これは日経サイエンスが2005年に使った言葉です。サイバー研究家の高木浩光氏によれば、オレオレ証明書の区分は6つに分かれており、認証されていないサーバー証明書を使ったり、正規に承認されていても自分が署名したものとは違った証明書を用いていることを指します。
こうした証明書を用いていると、「暗号化」はできていても「実在確認」が伴わないので、セキュリティ上のリスクを伴います。安全なSSL通信を行いたいのであれば、信頼できる第三者認証局に依頼をしましょう。
4. 常時SSL化していますか?
イメージ画像 / stock.io
常時SSL化とは、個人情報やパスワードを入力するページだけではなく、サイト全体をSSL化してしまい、ブラウザからアクセスする場合、常にSSL接続で閲覧してもらう方法です。
現在では、常時SSL化していないと、Google Chromeで*「保護されていません」*というメッセージが出ます。一方、常時SSL化していれば、トップページから南京錠のマークが表示されるので、ユーザーとしても安心です。
現在、日本の銀行や証券サイトのほとんどが、部分SSL化を採用し、オンラインバンキング機能だけをSSL化しています。しかし、トップページに表示されている情報が、悪意のある第三者によって書き換えられてしまったらどうでしょうか。
すべてのページを暗号化しておけば、トップページからユーザーが回遊するすべてのページに暗号化が行われるので、セキュリティ上のリスクを回避できます。こうした安心を提供する上でも常時SSL化は重要な要素となります。
まとめ
セキュリティはGoogleが先導して対策を行なっていますが、とりわけ日本においては早期に対応していかなければなりません。
まだまだ暗号化されていないWebサイトも多い中で、暗号化するだけでもリスク回避の面で優位性を獲得することができます。もう一度、自社のセキュリティについて見直してみてはいかがでしょうか。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- フォーム
- フォームとは、もともと「形」「書式」「伝票」などの意味を持つ英単語です。インターネットの分野では、パソコンの操作画面におけるユーザーからの入力を受け付ける部分を指します。企業のホームページでは、入力フォームが設置されていることが多いようです。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- 離脱率
- 離脱率とはホームページを見ている人が、そのホームページから去り、アクセスの記録などを取れなくなる状態の割合のことを言います。ホームページ運営者はどのページでユーザーが離脱(去った)のかをチェックし、改善に役立てることが多いです。
- Webサイト
- Webサイトとは、インターネットの標準的な情報提供システムであるWWW(ワールドワイドウェブ)で公開される、Webページ(インターネット上にある1ページ1ページ)の集まりのことです。
- Webサイト
- Webサイトとは、インターネットの標準的な情報提供システムであるWWW(ワールドワイドウェブ)で公開される、Webページ(インターネット上にある1ページ1ページ)の集まりのことです。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- 広告
- 広告とは販売のための告知活動を指します。ただし、広告を掲載するための媒体、メッセージがあること、広告を出している広告主が明示されているなどの3要素を含む場合を指すことが多いようです。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- Android
- Android OSとはスマートフォン用に開発された基本ソフト(OS)の一種です。米国Google社が中心となり開発されました。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- オンライン
- オンラインとは、通信回線などを使ってネットワークやコンピューターに接続されている状態のことをいいます。対義語は「オフライン」(offline)です。 現在では、オンラインゲームやオンラインショップなどで、インターネットなどのネットワークに接続され、遠隔からサービスや情報などを利用できる状態のことを言う場合が多いです。
- コンテンツ
- コンテンツ(content)とは、日本語に直訳すると「中身」のことです。インターネットでは、ホームページ内の文章や画像、動画や音声などを指します。ホームページがメディアとして重要視されている現在、その内容やクオリティは非常に重要だと言えるでしょう。 なお、かつてはCD-ROMなどのディスクメディアに記録する内容をコンテンツと呼んでいました。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- Webサイト
- Webサイトとは、インターネットの標準的な情報提供システムであるWWW(ワールドワイドウェブ)で公開される、Webページ(インターネット上にある1ページ1ページ)の集まりのことです。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- Webサイト
- Webサイトとは、インターネットの標準的な情報提供システムであるWWW(ワールドワイドウェブ)で公開される、Webページ(インターネット上にある1ページ1ページ)の集まりのことです。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- HTTP
- HTTPとは、HTMLで記述されたWebページなどの情報を、WebサーバーとPCなどのクライアント端末間でやり取りする方法を定めた通信手順のことです。Hyper Text Transfer Protocolの略です。
- ドメイン
- ドメインとは、インターネット上で利用可能なホームページやメールなどを識別するときの絶対唯一の綴りを言います。電話番号や自動車ナンバーが同一のものがないのと同様に、インタネットにおいても、2つとして同じドメインは存在できない、といった唯一無二の綴りです。
- ドメイン
- ドメインとは、インターネット上で利用可能なホームページやメールなどを識別するときの絶対唯一の綴りを言います。電話番号や自動車ナンバーが同一のものがないのと同様に、インタネットにおいても、2つとして同じドメインは存在できない、といった唯一無二の綴りです。
- フィッシング
- フィッシングは、インターネット上でユーザID、パスワード、クレジットカード情報など経済的に価値のある情報を奪い取るために行われる詐欺行為のことを意味します。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- トップページ
- インターネットのWebサイトの入り口にあたるページのことをトップページといいます。 一般的には、階層構造を持つWebサイトの最上位のWebページをさします。サイト全体の顔としての役割も果たすため、デザインなどで印象を残すことも考えたサイト作りも有効となります。
- オンライン
- オンラインとは、通信回線などを使ってネットワークやコンピューターに接続されている状態のことをいいます。対義語は「オフライン」(offline)です。 現在では、オンラインゲームやオンラインショップなどで、インターネットなどのネットワークに接続され、遠隔からサービスや情報などを利用できる状態のことを言う場合が多いです。
- トップページ
- インターネットのWebサイトの入り口にあたるページのことをトップページといいます。 一般的には、階層構造を持つWebサイトの最上位のWebページをさします。サイト全体の顔としての役割も果たすため、デザインなどで印象を残すことも考えたサイト作りも有効となります。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- トップページ
- インターネットのWebサイトの入り口にあたるページのことをトップページといいます。 一般的には、階層構造を持つWebサイトの最上位のWebページをさします。サイト全体の顔としての役割も果たすため、デザインなどで印象を残すことも考えたサイト作りも有効となります。
- Googleとは、世界最大の検索エンジンであるGoogleを展開する米国の企業です。1998年に創業され急激に成長しました。その検索エンジンであるGoogleは、現在日本でも展開していて、日本のYahoo!Japanにも検索結果のデータを提供するなど、検索市場において圧倒的な地位を築いています。
- Webサイト
- Webサイトとは、インターネットの標準的な情報提供システムであるWWW(ワールドワイドウェブ)で公開される、Webページ(インターネット上にある1ページ1ページ)の集まりのことです。
この記事を書いたライター
おすすめ記事
関連記事
おすすめエントリー
同じカテゴリから記事を探す
カテゴリから記事をさがす
●Webマーケティング手法
- SEO(検索エンジン最適化)
- Web広告・広告効果測定
- SNSマーケティング
- 動画マーケティング
- メールマーケティング
- コンテンツマーケティング
- BtoBマーケティング
- リサーチ・市場調査
- 広報・PR
- アフィリエイト広告・ASP
●ステップ
●ツール・素材
- CMS・サイト制作
- フォーム作成
- LP制作・LPO
- ABテスト・EFO・CRO
- Web接客・チャットボット
- 動画・映像制作
- アクセス解析
- マーケティングオートメーション(MA)
- メールマーケティング
- データ分析・BI
- CRM(顧客管理)
- SFA(商談管理)
- Web会議
- 営業支援
- EC・通販・ネットショップ
- 口コミ分析・ソーシャルリスニング
- フォント
- 素材サイト
●目的・施策
- Google広告
- Facebook広告
- Twitter広告
- Instagram広告
- LINE運用
- LINE広告
- YouTube運用
- YouTube広告
- TikTok広告
- テレビCM
- サイト制作・サイトリニューアル
- LP制作・LPO
- UI
- UX
- オウンドメディア運営
- 記事制作・ライティング
- コピーライティング
- ホワイトペーパー制作
- デザイン
- セミナー・展示会
- 動画・映像制作
- データ分析・BI
- EC・通販・ネットショップ
- 口コミ分析・ソーシャルリスニング
●課題
●その他
