SSLとは

まずは、SSLの概要や仕組みを押さえておきましょう。また、SSLと同じような仕組みをもつTLSとの違いも解説します。
SSLの概要
SSL(Secure Sockets Layer)とは通信データを暗号化する技術のことです。インターネットは第三者が比較的簡単に通信を読み取れるため、SSLを導入することで悪意ある第三者によるデータの傍受や改ざんを防ぐ効果があります。
例えば、ECサイトで商品を購入する際にユーザーは氏名や住所、クレジットカード番号などの個人情報を入力します。SSLが導入されていないサイトでは、第三者に通信を読み取られて個人情報が漏れ、悪用される恐れが考えられるでしょう。
しかしSSLが導入されたサイトでは、ユーザーが使用しているブラウザとサーバー間でデータ通信が暗号化されます。たとえ通信を読み取られたとしても、暗号化された情報の解読は難しいためリスク回避が可能です。
また、SSLサーバ証明書の発行により運営者であることを証明できれば、なりすましの防止にも役立ちます。これらのことから、ECサイトのような個人情報を取り扱うサイトを運営する場合、SSLへの対応は必須といえます。
SSLの仕組み
SSLは鍵を用いて暗号化・複合化(暗号化の解除)をする技術のことです。鍵には「共通鍵暗号方式」と「公開鍵暗号方式」があり、SSLでは両方を用いてデータの悪用を防ぎます。
共通鍵暗号方式は、送信者と受信者が同じ鍵で暗号化と複合化を行う方法です。事前に鍵を共有しておけば安全にデータを通信でき、処理速度が速いメリットもあります。
公開鍵暗号方式では「公開鍵」と「秘密鍵」を使用します。暗号化と復号化の際に異なる鍵を使用する方法で、誰でも利用できる点がメリットです。SSLでは上記2つの方式を使用して暗号化されたデータをやり取りするため、安全かつ高速な通信を実現できます。
TLSとは
SSLと混同されやすいTLS(Transport Layer Security)は、SSLと同様に通信を暗号化する仕組みのことです。よく「SSL/TLS」と表記されていますが、TSLはSSLの次世代規格にあたります。TLSはSSLの脆弱性を改善したものですが互換性はありません。
SSLとTLSは厳密には別物ですが、SSLの名称が広く普及しているため現在ではTSLもSSLと呼ばれるケースが多く見られます。
SSLに対応していなかったら?必要性・重要性を解説

ECサイトがSSL非対応の場合、個人情報流出のリスクが高まります。その場合に起こりうるリスクをECサイト運営側・ユーザー側それぞれの視点から捉えることで、SSLの重要性をさらに理解しましょう。
サイト側への被害
SSLを導入しない場合に情報漏えいやデータ改ざんなどが行われると、ECサイトには次のような被害が考えられます。
- なりすましサイトを作成される
- 顧客からクレームを受ける
- 情報流出の悪評が拡散される
- 企業の信頼性を失い、顧客離れや売上減少を招く
第三者に自社サイトになりすましたECサイトを作成された場合、ユーザーは誤認して商品代金や個人情報、クレジットカード情報などをだまし取られる恐れがあります。「フィッシングサイト」とも呼ばれ、近年被害報告が増加している詐欺の手法です。
当然、被害にあったユーザーからはクレームを受けて対応に追われることになり、損害賠償が発生することも考えられます。さらに個人情報流出の悪評について、インターネット上に拡散される恐れもあるでしょう。
拡散力が強いSNSなどにより瞬く間に情報が広がるうえに、解決後も完全に抹消することは困難です。これら一連の流れで企業が信頼性を失うと、ユーザーは不信感を抱きます。信頼とイメージの低下により顧客離れや売上減少は避けられず、企業運営・存続が困難になるリスクも考えられます。
SSLにより個人情報を守ることは危機回避、さらには企業のイメージアップにもつながるといえるでしょう。
ユーザー側への被害
SSL非対応のECサイトを利用することによるユーザー側への被害には、次のようなものが挙げられます。
- 個人情報を改ざんされる
- スパムメールや架空請求がくる
- 営業電話やダイレクトメールが増える
- 勝手に詐欺サイト運営者に登録される
個人情報を改ざんされることで、購入商品が手元に届かないといったケースが考えられるでしょう。あるいはいたずら目的で注文内容を改ざんするといった手口もあり、ユーザーとECサイト運営者どちらにとっても損失です。
また、個人情報が流出するとスパムメールや架空請求のほか、営業電話、ダイレクトメールが増える場合もあります。メールや請求書を受け取るだけであれば無視すれば問題にはなりませんが、不安になり料金を振り込んでしまうと大きな被害となります。くわえて、しつこい営業電話は非常に迷惑となるでしょう。
さらになりすましサイトの運営者として、勝手に氏名や住所が登録される恐れもあります。個人情報の流出で犯罪の加害者になる危険性もあるため、ユーザーはできるだけSSLに対応しているWebサイトを利用するべきであり、利用者を守るためにもサイトのSSL対応は重要です。
SSL対応により期待できる効果

SSL非対応の被害についてお伝えしましたが、一方でSSLに対応することで信頼性のアピールや顧客確保などの効果が期待できます。ここからは、SSL導入で期待できる効果・メリットを見てみましょう。
安心感につながる
前述のように、個人情報流出は企業の信頼性を失い、顧客離れや売上減少を招きます。SSLの導入はこのようなリスクを軽減し、ECサイト運営元の信頼性をアピールするとともにユーザーに安心感を与えられます。
WebサイトがSSLに対応しているかどうかは誰でも簡単に確認できるため、アクセスしてしまったユーザーはすぐに離脱するでしょう。SSL対応の有無を確認する方法について、詳しくは後述します。
問い合わせや注文の取りこぼしを防ぐ
SSLに対応することで顧客の離脱、購入や問い合わせの取りこぼしを防ぐ効果が期待できます。最近ではSSLの認知も高まり、WebサイトのSSL対応を重視する顧客も増えてきました。
フィッシング対策協議会の調査によると、ECサイトやWebサイトを利用する際にSSL対応の有無を意識している利用者は44.2%となっています。半数近くの利用者が、セキュリティを意識してインターネットを利用していることがわかるでしょう。
またECサイトに限らず、問い合わせや資料請求をメールフォームで受け付けている企業も多くありますが、商品の購入や問い合わせには基本的に個人情報の入力が必要です。
SSL非対応の場合、セキュリティに不安が生じることから顧客が離脱する可能性が考えられ、機会損失を防ぐためにもSSLの導入は必須といえます。
参照:SSL サーバー証明書に関する事業者ならびに利用者向けアンケート調査結果
SEO対策にもなる
SSLへの対応はセキュリティ以外にもSEO対策に有効です。SEOとは「Search Engine Optimization(検索エンジン最適化)」の略で、検索エンジンからWebサイトへの流入を増やす施策のひとつです。
自社サイトが検索結果の上位に表示されることで集客コスト削減を実現しながら、認知度や信頼性の向上を図れます。検索エンジン最大手のGoogleは、SSL化しているサイトを優遇すると発表しています。
そのため競合サイトが同じクオリティ・コンテンツ量であれば、SSLに対応しているサイトの方が上位に表示されると考えられるでしょう。SSL化によって必ずしも順位が上がるわけではありませんが、現在は多くのWebサイトが対応していることから導入する価値はあります。
SSL対応の有無をユーザーは簡単に見分けられる

ユーザーがSSLに対応したWebサイトを求めているといっても、利用者側からは判断できないのではと考える方もいるでしょう。実はSSL対応の有無は簡単に見分けることが可能です。SSL対応の見分け方について説明します。
Webブラウザの表示
SSL対応のWebサイトは、ブラウザで表示した際にアドレスバーに鍵マークが表示されます。鍵マークをクリックすると通信が保護されている、あるいは暗号化されている旨が表示され、SSLサーバ証明書の確認も可能です。
SSL非対応の場合は何も表示されない、もしくは「このサイトへの接続は完全には保護されていません」といった警告がされます。使用するブラウザによって表示方法は異なりますが、Google Chromeではアドレスバーにメッセージが表示されます。
SSL対応のWebサイトにアクセスした場合は「保護された通信」と表示され、非対応の場合には「保護されていない通信」と警告が表示されるため、一目でSSL対応の有無の確認が可能です。
httpsとhttpの違い
WebサイトにはそれぞれURLがありますが、SSL対応の有無はURLからもわかります。
- SSL化されたWebサイト:https://~
- SSL化されていないWebサイト:http://~
SSL化されたサイトにはhttpの後に「s」が加えられます。httpは「Hyper Text Transfer Protocol」、末尾に加えられたsは「Secure」の略です。
「https://~」のWebサイトでは接続中に暗号化通信が行われているため、アドレスバーに鍵マークも表示されます。顧客によってはhttpから始まるURLには訪問すらされない場合も考えられるでしょう。
SSLサーバ証明書とは

SSLサーバ証明書とは、ドメインの使用権と運営者の実在性を証明するものです。SSLサーバ証明書にはWebサイトの所有者情報・暗号化通信に必要な鍵・発行者の署名データなどが含まれており、認証局の審査を通過することで発行されます。
通信データの暗号化を行うために必要な証明で、大きく3つのレベルに分類されています。
- ドメイン認証
- 企業実在認証
- EV認証
ドメイン認証はドメイン名の利用権を確認するもので、発行までのスピードが速く低価格なため、個人事業主などが取得しやすい証明書です。期間限定のキャンペーンページで活用する場合や、安全にメールサーバーを使用したい場合などに利用できます。
企業実在認証はドメイン名の利用権と組織の法的実在性の調査です。ドメインの利用権はWHOISデータベースを利用して、ドメイン所有者と証明書利用者が同一であることを確認します。法的な実在性は帝国データバンクの情報などを利用して照会が行われるため、安心感や信頼性のアピールにも有効です。
EV認証ではドメイン名の利用権や組織の実在性にくわえて、組織の運営と承認者・署名者の確認も行われます。世界標準の認証ガイドラインに沿って調査され、場合によっては住所などの物理的確認も実施されることから、もっとも認証レベルが高い証明書といえるでしょう。知名度の高い企業やECサイト、ネット銀行などに適した認証方式です。
SSLを導入する方法

SSLの導入にはSSLサーバ証明書の発行が必要です。SSLサーバ証明書の取得は次のような流れで行います。
- 1. CSRや必要書類の準備
- 2. SSLサーバ証明書の申し込み
- 3. 審査・認証
- 4. SSLサーバ証明書の発行
- 5. サーバーへのインストール
CSRは、認証局に対してSSLサーバ証明書への署名を要求することです。提出されたCSRに認証機関が署名することでSSLサーバ証明書が発行されます。CSRには公開鍵や組織の情報などが含まれており、認証機関が署名することで所有者が存在する証明となります。
必要書類は利用する認証局や証明書レベルによって異なりますが、登記簿謄本や印鑑証明書、企業実印済みの申請書などが中心です。手続きがスムーズに行われるように、審査に必要な「申請ドメインの所有者」や「ドメインの登録状況」も確認しておくと良いでしょう。
申し込みが受理されると認証局によるメール・書類・電話の審査を経て認証となり、SSLサーバ証明書が発行されます。取得した証明書をサーバーへインストールすることで、サイトをSSL化できます。
SSL導入の注意点

SSL導入の注意点としては、まずSSLサーバ証明書の発行や維持に費用がかかることです。例えば、多くの証明書発行実績があり世界展開も行っているグローバルサインの価格は以下のとおりです。
- ドメイン認証:半年26,100円 / 1年37,200円
- 企業認証:半年44,900円 / 1年63,900円
- EV認証: 1年136,900円
くわえてサーバーの費用もかかるため、導入時の初期費用だけでなくランニングコストも考慮したうえで検討しなければなりません。コストはかかりますが、SSL非対応により想定されるリスクを勘案するとメリットの方が大きいといえます。
SSLサーバ証明書の費用に関してはお得に発行する方法もあるので、次項の「SSLサーバ証明書を簡単かつお得に発行するには」の項目を参考にしてください。
さらにSSL導入には専門技術も必要になります。社内に担当できる人材がいない場合は、申請からインストールまでひと通り外注するのもひとつの方法です。
そのほかの注意点としては、SSL導入により通信に暗号化が加わるため、Webサイトの表示スピードが遅くなることがあります。ただ近年では通信の速度や環境、品質が向上しているため、それほど意識する必要はないでしょう。
SSLサーバ証明書を簡単かつお得に発行するには
SSLサーバ証明書をお得に発行する手段として、クーポンを取得する方法があります。決済代行業者のGMOイプシロンではSSLサーバ証明書のクーポンを配布しており、簡単な申し込みでお得にSSLを導入できます。
GMOイプシロンはクレジットカード決済をはじめ、多彩なキャッシュレス決済に対応した決済代行サービスです。4万社以上の導入実績があることから信頼性が高く、国際規格に完全準拠したセキュリティ環境も整備しています。
SSLサーバ証明書のクーポンは「グローバルサイン」「ノートンセキュアドシール」で利用可能です。グローバルサインでは最大38%割引されます。以下は前項で例に挙げたグローバルサインの価格表の一部です。
サービス名 | 通常価格 | 割引価格 |
---|---|---|
グローバルサイン クイック認証SSL |
37,200円(1年間) | 23,000円(38%オフ) |
グローバルサイン 企業認証SSL |
63,900円(1年間) | 44,000円(31%オフ) |
特にクイック認証SSLは煩雑な書類手続きを簡略化し、さらにオンライン審査によるスピード発行が可能で、効率化やコスト削減を実現できます。
ECサイトを運営するなら決済代行業者をうまく活用するのがおすすめ
SSLとはデータを暗号化して安心・安全に通信を行う技術です。SSLの導入には費用がかかりますが、情報漏えいやデータ改ざんを防ぐためにもセキュリティ対策は必須です。コスト削減を優先してセキュリティ対策が脆弱な場合、トラブルが発生した際に信頼性を失う方が大きな損失となりかねません。
近年はユーザー側もセキュリティに対する意識が高まっています。SSL化の有無はブラウザ上で簡単に確認できるため、SSLの導入は自社サイトを選択してもらうひとつのきっかけにもなるでしょう。
SSLサーバ証明書を取得する際には、決済代行業者のGMOイプシロンを活用するのがおすすめです。GMOイプシロンはさまざまなキャッシュレス決済に対応する決済代行業者です。国際規格に完全準拠したセキュリティ環境下で運用されており、4万社以上の導入実績をもちます。
初期費用やトランザクション処理料がかからないため、ランニングコストを抑えてキャッシュレス決済の導入が可能な点も魅力です。最大45%割引になるSSLサーバ証明書のクーポンを配布しているので、SSLサーバ証明書発行の際にはGMOイプシロンのクーポンをぜひご活用ください。
SSLサーバ証明書のクーポンについて、より詳しく知りたい方はこちらをご覧ください。
SSLサーバ証明書クーポン