POINTSSL / Secure Sockets Layerとは

SSL(Secure Sockets Layer)とは、インターネット上において、ブラウザとサーバ間でデータを暗号化して送受信する仕組みのことです。似た言葉に「TLS(Transport Layer Security)」がありますが、SSLとほぼ同義で使われます。

SSL通信をおこなうことで、個人情報やクレジットカード情報などの重要なデータが第三者に改ざん・盗聴されることを防ぎ、安全に送受信することができます。また、最近では、個人情報を扱うページだけでなく、すべてのページにSSLを実装する「常時SSL化」も重要視されています。

SSLが導入されているかどうかはURLと鍵マークから判断できる

今見ているWebサイトにSSLが導入されているかどうかは、Webサイトの鍵マークの有無とURLから判断できます。
SSLが導入されている場合、WebサイトのURLの先頭は「https://」となり、アドレスバーに鍵マークが表示されます。逆に、SSLが導入されていない場合は、URLの先頭は「http://」で、アドレスバーには警告マークが表示されます。

SSL通信で防ぐことができるリスク

SSL通信をおこなうことによって防ぐことができるリスクを3つ挙げます。

①データの盗聴
SSLが導入されていないWebサイトで個人情報やクレジットカード番号などを入力してしまうと、第三者に盗聴され、悪用されてしまう恐れがあります。決済など、特に重要なデータを扱うサイトの場合は必ずSSL通信をおこないましょう。

②データの改ざん
SSLでは途中でデータが書き換えられていないかどうか検出することができます。データの書き換えが検出された場合はそのデータを破棄し、送り主にもう一度同じデータを送信してもらうよう依頼することができます。

③なりすまし
第三者がサイトの運営者を装い、ユーザーから個人情報や金銭を騙し取ることを防ぎます。SSL通信をする際に必要な秘密鍵はコピーをすることができず、SSL通信をすることで利用しているドメイン(URL)の正しい所有者であることを証明することができるため、なりすまし防止につながります。

ROASの主なメリット

①適切な広告運用に役立つ
ROASを用いることで、掲載した広告が売上にどれだけ貢献しているかを把握することができます。これにより、広告の予算配分を変えたり、ランディングページを改善したりと、適切な広告運用のための施策を講じることができます。

②算出しやすい
ROASを算出する際に必要となる情報・データは、広告費用や売上データなど、比較的入手しやすいものが多いです。そのため、ROASは広告効果を算出しやすいというメリットがあります。

SSL通信の流れ

SSL通信の流れを簡単に説明します。
①ブラウザ：対象のサーバーに対し、SSL通信をリクエストします。
②サーバー：リクエストのあったブラウザに対し、「SSLサーバー証明書」を送付します。
③ブラウザ：ルート証明書を用いてこの証明書を検証し、問題なければサーバが送信された公開鍵を使って自身の共通鍵を暗号化し、サーバーに送信します。
④サーバー：ブラウザから受け取った暗号化された共通鍵を秘密鍵で復号し、共通鍵を取得します。
⑤ブラウザ/サーバー：一致した共通鍵を使って送受信するデータを暗号化・復号して、暗号化通信をおこないます。

現在SSLや常時SSLが重要視されている背景

近年、フィッシング詐欺など、インターネット上の犯罪が増加しており、SSLが今まで以上に重要視されています。多くのインターネットユーザーが、Webサイトに個人情報を入力する際「SSL導入されているかどうか」を気にするという調査結果もあり、ECサイトでは安心してユーザーに買い物をしてもらうためにSSL通信は必要不可欠です。

さらに、現在、公衆無線LAN環境の拡大により、Cookieが盗聴されるリスクが高まり、個人情報の入力を必要としないWebサイトでも常にSSL通信をおこなうこと(常時SSL)が求められるようになりました。また、Googleは、ユーザー保護の観点から、WebサイトがSSL通信であるかどうかを検索順位の評価対象にすると発表しており、SEOの観点からもSSLは重要視されるようになりました。

SSLの種類

SSLは、暗号化通信で確認する内容により、①ドメイン認証、②企業実在認証、③EV認証の3種類にわけられます。

①ドメイン認証
ドメイン名の利用権を認証します。個人でも申請でき、3種類のSSLうち1番低価格で入手することができます。

②企業実在認証
ドメイン名の利用権に加えて、サイトを運営している組織の法的に実在しているかどうかを認証します。コーポレートサイトやSNS・会員制サイトなどでよく用いられます。

③EV認証
ドメイン名の利用権や組織の法的実在に加え、さらに詳しい組織の運営情報や承認者・署名者の認証をします。EV認証を取得するには世界基準のガイドラインに則った審査に合格する必要があるため、3種類のSSLのうち最も厳格な認証方法といえます。多くのブラウザでは、EV認証されているサイトはアドレスバーが緑色になり、利用者に一目で安心なサイトとアピールすることができます。

SSLを導入するには

WebサイトでSSLを利用したい場合、通信の暗号化に必要な鍵とサイト運営者の情報が含まれた「SSLサーバ証明書」をサーバにインストールする必要があります。

発行するSSLサーバ証明書には、その取得方法や仕様が異なる「共有SSL」と「独自SSL」があります。
①共有SSL
共有SSLは、サーバ会社が取得代行したSSLサーバ証明書を複数のユーザーで共有して使います。そのため、独自SSLよりも比較的低コストで簡単に入手することができますが、サイトの運営者の表示がサーバ会社になってしまうためサイト所有者の身元を認証できないなど、信頼性に欠けます。
②独自SSL
独自SSLは、世界的な資格を持つ認証局に、1つのドメインに対し専用のSSLサーバ証明書を発行してもらいます。サイトの身元証明ができるサイトシールの発行など、サイトの信頼性をアピールできる機能が共有SSLより多いことが特徴です。サイト全体をSSL化する常時SSLには、よくこの独自SSLが用いられています。

SSL / Secure Sockets Layerに関係した気になる話題

SEO面ではSSL化されていると有利

Googleは全世界のWebサイトにSSL化を促進し、ユーザーがより安全にインターネットを利用できるようにしようと考えています。この一環として、2014年、Googleは検索順位を決定する要素として、WebサイトがSSL化され、URLの先頭が「htpps://」から始まるかどうかを加えることを発表しました。そのため、SSL化されていると、セキュリティやユーザーへの安心感だけでなく、SEOにもよい効果が現れるようになりました。