【レポート】Web担当者Forumミーティング 2011 Autumn
「知らない」では済まされない、Web担当者のためのセキュリティ対策最前線 | 日本ベリサイン
Web担当者向けにサイトのセキュリティ周りのトレンドや常時SSL化のポイントを、事例を交えながら紹介した。
セミナーイベント「Web担当者Forumミーティング 2011 Autumn」(2011年11月8日開催)の講演をレポートする。他のセッションのレポートはこちらから。
B会場最後のセッションには、SSLサーバ証明書やクライアント証明書の発行・運用管理、ワンタイムパスワードやオンライン詐欺検出サービスなどを提供する総合セキュリティサービスプロバイダである、日本ベリサインの中川就介氏が登壇。Webマスターとしての業務経験のある中川氏が、Web担当者向けにサイトのセキュリティ周りのトレンドや常時SSL化のポイントを、事例を交えながら紹介した。
スマホの普及にともなう無線LAN利用拡大で、サイトの常時SSL化が進む
日本ベリサイン株式会社
SSL製品本部
アシスタントマネージャー
中川 就介氏
SSL製品本部
アシスタントマネージャー
中川 就介氏
「私自身が少し前までWebマスターでしたので、本日はWebマスターの方が知っておくといい情報をお話ししたい
」。日本ベリサイン株式会社の中川就介氏は、冒頭でこのように挨拶をした後、「Webサイトのセキュリティ」について、興味深い事例を交えながら講演してくれた。
中川氏がセッション全体で提起したのは、「Webサイトは常時SSL化すべきかどうか」という問題だ。通信暗号化技術のSSLは、従来からフォームやログイン入口ページにSSLが用いられている。しかし最近では、Webサイトを常時SSL化することがトレンドになりつつあると言う。
「たとえば、Google+は常時SSL化済みで、グーグル検索もログイン後は常時SSL化される予定です(Google.comを利用する場合)。TwitterやFacebookも、ユーザー向けに常時SSLのオプションを提供しています。Facebookでは2011年10月以降、SSL対応していないマイアプリ(iframe)が、常時SSLユーザーには表示されなくなりました
」
Webサイトの常時SSL化が進む背景には、Cookie(セッションID)の保護や、サイト全体の信頼性向上が挙げられる。このほか常時SSL化を促す大きな理由となっているのが、Wi-Fi(無線LAN)利用シーンの広がりだ。最近ではスマートフォンやタブレット端末の爆発的な普及にともない、無線LANインフラの利用も増加している。しかし、フリーのホットスポットなどの公衆無線LANを使い、データが暗号化されていない状態で通信を行うと、アカウントの乗っ取りや、なりすましの危険が生じてしまう。こうしたことから、SSL通信やSSLサーバ証明書の必要性が高まっていると、中川氏は説明する。
エンドユーザー側としても、無線LAN環境では通信に必ずhttps(SSL)を用いるようにしたり、httpsとhttpが混在するページの警告が表示された場合に、非暗号化のコンテンツを表示しないように注意するといったセキュリティ対策が推奨されている。
常時SSL化の誤解と移行のポイント
ではWebサイトの常時SSL化には、どんなポイントがあるのだろうか。中川氏はいくつかのポイントを紹介した。まず「SSL化すると通信速度が遅くなる」と言われることがあるが、昔に比べてCPUパワーが格段に向上している現在では、影響格段に小さくなっているという。またサーバー設定の調整、SSLアクセレーター(暗号処理専用のハードウェア)などの製品やサービスを用いることで、SSLの処理を効率化できる。
「常時SSL化すると計算コストが跳ね上がる」というのも10年前の話で、Gmailの常時SSL化による影響はCPU負荷の1%以下だったという記事や、ウェブサーバーの簡単な変更でレスポンスタイムを14秒から2秒に短縮できたという記事が紹介された。
またSSLサーバ証明書の選び方としては、セキュリティの高いものから順に、「EV SSL証明書」「企業実在性認証型SSL証明書」「ドメイン認証型SSL証明書」の3つがあることを説明。「アドレスバーにサイト運用者名を表示し、対応ブラウザではアドレスバーが緑色に変化するEV SSL証明書をサイト全体に採用することで、セキュリティ効果が高まる
」と中川氏は説明した。
SSLサーバ証明書の種類
| 自己証明書型 | ドメイン認証型 | 企業実在性認証型 | EV SSL | |
|---|---|---|---|---|
| 正当なドメイン保持者 (警告なしの暗号化) | × | ○ | ○ | ○ |
| 実在する企業 (企業の公式サイト) | × | × | ○ | ○ |
| 実在する事業所の所在 (最高の信頼性) | × | × | × | ○ |
Webマスターにとっては、常時SSL化とSEOの関連性も気になるトピックだ。中川氏の説明によれば、httpとhttpsをハイブリッドで運用すると、被リンク効果が分散され、SEO上不利になってしまう可能性があるという。常時SSL化へと移行する場合には、httpからhttpsのページへと301リダイレクト(恒久的な移転)させることで、SEOの効果を引き継ぎながら運用できる。
また、ベリサインのEV SSL証明書などには、検索結果に安全なサイトであることを示す「シールインサーチ」機能がある。この機能を利用することで、一部のユーザーはGoogleやYahoo!などで安全なサイトかそうでないかを見分けやすくなる。これによって特にロングテールのキーワードにおいて、クリック数向上が期待できるそうだ。シールインサーチの実際の導入例として、Googleからのサイト訪問者が1.6%増えたケースも紹介された。
goo検索でのシールインサーチ表示例。Google、Yahoo!、Bingで表示するにはノートンインターネットセキュリティ、ノートン360、ソースネクスト社のウイルスセキュリティZEROなどのインストールが必要。
最後に中川氏は、「2012年4月から赤いチェックマークのベリサインシールは、黄色いチェックマークのノートンセキュアドシールに生まれ変わります。切り替えは自動的に行われ、すでにご利用中のお客様はそのままご利用いただけます
」と、話題を提供した。2010年に日本ベリサインがセキュリティ対策ソフト大手のシマンテック社グループ企業になったことで、ネットユーザーにはお馴染みのベリサインのシールが切り替わることを告知し、セッションを終えた。
関連情報
Web担主催イベント【Web担当者Forum ミーティング 2024 春】5/30・5/31開催。全20講演超の無料セミナー
» 【レポート】Web担当者Forumミーティング 2011 Autumn のバックナンバーを見る
関連記事:
これは広告です
これは広告です
必見! Facebookいいね! 人気記事
最近(過去90日間)の記事で、Facebookの「いいね!」が多かった記事をお見逃し無く。
デジタルマーケティングの即戦力を2日間で育てます! 第24期「企業Web担当者 初級講座」6/13・6/14【2024年6月度】
4,867 いいね!「第6回 Googleアナリティクス4実践講座~GA4を使いこなす! 計測設定からレポート・分析活用まで」オンライン開催
1,164 いいね!Web担 編集後記 2024年3月
441 いいね!ライオンでアドビのCMSを導入! 導入の背景や活用方法を聞いた
432 いいね!【満員御礼】「GA4祭り」をテーマにアクセス解析の専門家が集結! 3月21日(木)@渋谷【Web担当者Forum Meet UP #2】
88 いいね!生成AI「Copilot」でMicrosoft 広告はどう変わる? ―Web担編集長・四谷が根掘り葉掘り聞いてきた!
85 いいね!STUDIO導入・内製化で運用コストが40分の1に! パシフィコ横浜のWebサイトフルリニューアルの成果
82 いいね!
Facebookいいね!の多い記事
Twitterで言及の多い記事
はてなブックマーク人気記事
ソーシャルもやってます!