prismgate Webサイトを閲覧する際、ブラウザのアドレスバーに鍵マークが表示されているか確認していますか?「保護されていない通信」と表示されるサイトは、個人情報が第三者に盗まれるリスクがあります。
今回は、SSL/TLS証明書とHTTPS通信の仕組み、そしてWebサイトのSSL化(HTTPS化)がなぜ必要なのかを専門的に解説します。
「保護されていない通信」とは?HTTPとHTTPSの違い
WebサイトのURLは「http://」または「https://」で始まります。この違いがセキュリティレベルを大きく左右します。
HTTP(HyperText Transfer Protocol)は、Webブラウザとサーバー間でデータをやり取りする基本的な通信プロトコルです。しかし、このHTTP通信は暗号化されていないため、通信内容を第三者が傍受・盗聴できてしまいます。
一方、HTTPS(HyperText Transfer Protocol Secure)は、HTTPにSSL/TLSという暗号化技術を組み合わせたプロトコルです。通信データが暗号化されるため、第三者が情報を傍受しても内容を解読できません。
例えるなら
HTTPは「はがき」のような通信で、途中で誰でも内容を読めてしまいます。
HTTPSは「封筒に入った手紙」のような通信で、受取人以外は中身を見ることができません。
SSL/TLSとは?通信を暗号化する仕組み
SSL(Secure Sockets Layer)は、インターネット通信を暗号化するための技術です。現在では、SSLの後継であるTLS(Transport Layer Security)が主流ですが、一般的には「SSL」や「SSL/TLS」という名称で呼ばれています。
SSL/TLSプロトコルは、Webブラウザとサーバー間の通信において以下の3つの重要な役割を果たします。
- データの暗号化
送信されるデータを暗号化し、第三者が傍受しても解読できない形式に変換します。お問い合わせフォームに入力した氏名、メールアドレス、パスワード、クレジットカード情報などの機密情報が保護されます。 - データの完全性の保証
通信中にデータが改ざんされていないことを検証します。データの送信元から受信先まで、内容が変更されていないことを確認できるため、中間者攻撃(Man-in-the-Middle攻撃)を防ぎます。 - サーバー認証(なりすまし防止)
SSL/TLS証明書により、接続しているWebサイトが本物であることを証明します。認証局(CA:Certificate Authority)という信頼できる第三者機関が発行した証明書によって、フィッシングサイトや偽サイトへのアクセスを防ぎます。
鍵マークの意味とSSL証明書の役割
ブラウザのアドレスバーに表示される鍵マークは、そのWebサイトがSSL/TLS証明書を導入し、HTTPS通信で保護されていることを示すセキュリティインジケーターです。
鍵マークが表示されているサイトでは、ブラウザとサーバー間の通信が暗号化されているため、ユーザーは安心して情報を入力できます。
逆に「保護されていない通信」や「安全ではありません」と表示されるHTTPサイトでは、パスワード、クレジットカード情報、住所、電話番号などの個人情報が盗まれるリスクがあります。
SSL証明書の種類:DV・OV・EVの違い
SSL/TLS証明書には、認証レベルに応じて主に3つの種類があります。
1. DV証明書(ドメイン認証型)
DV(Domain Validation)証明書は、ドメインの所有権のみを確認する最も基本的なSSL証明書です。認証が簡単で、数分〜数時間で発行されるため、個人サイトや小規模なWebサイトに適しています。費用も安価で、無料のSSL証明書(Let’s Encryptなど)もDV証明書に該当します。
2. OV証明書(企業認証型)
OV(Organization Validation)証明書は、ドメインの所有権に加えて、運営組織の実在性を認証局が審査・確認した証明書です。企業の登記情報や法人番号などが確認されるため、DV証明書よりも信頼性が高く、企業のコーポレートサイトやECサイトに適しています。
3. EV証明書(EV認証型)
EV(Extended Validation)証明書は、最も厳格な審査基準を満たした最高レベルのSSL証明書です。組織の実在性、所在地、電話番号、申請者の雇用状態など18項目以上の審査が行われます。金融機関、大手ECサイト、公的機関など、高度なセキュリティが求められるWebサイトで採用されています。
注意
2020年以降、主要ブラウザ(Chrome、Firefox、Safari)ではEV証明書の組織名表示(緑色のアドレスバー)が廃止されています。ただし、証明書の詳細情報で確認できるため、信頼性の高さは変わりません。
SSL化(HTTPS化)しないとどうなる?リスクと影響
WebサイトをSSL化せずHTTPのまま運営すると、以下のようなリスクや影響があります。
- 個人情報漏洩のリスク
入力フォームから送信されたデータが暗号化されず、第三者に盗まれる可能性があります。 - ブラウザの警告表示
Chrome、Firefox、Edgeなどの主要ブラウザでは、HTTPサイトに「保護されていない通信」「安全ではありません」という警告が表示され、ユーザーの離脱率が高まります。 - SEO評価の低下
Googleは2014年からHTTPSをランキングシグナルとして採用しており、SSL化されていないサイトは検索順位が下がる可能性があります。 - 信頼性の低下
特にECサイトや企業サイトでSSL化されていない場合、ユーザーからの信頼を失い、コンバージョン率(購入率・問い合わせ率)が大幅に低下します。
WebサイトをSSL化(HTTPS化)する方法
WebサイトにSSL証明書を導入し、HTTPS化するには、サイトの所有者または管理者が以下の手順で設定を行う必要があります。
Step1:SSL証明書の取得
レンタルサーバー会社や認証局(CA)からSSL証明書を取得します。多くのレンタルサーバーでは、無料SSL証明書(Let’s Encrypt)が標準提供されているため、コストをかけずに導入できます。
Step2:サーバーにSSL証明書をインストール
サーバーの管理画面からSSL証明書をインストールします。さくらインターネット、エックスサーバー、ConoHa WINGなど、主要レンタルサーバーでは管理画面から簡単にSSL設定ができます。
Step3:WebサイトのURLをHTTPSに変更
WordPressサイトの場合は、設定画面で「WordPressアドレス(URL)」と「サイトアドレス(URL)」を「https://」に変更します。また、内部リンクや画像URLもHTTPSに統一します。
Step4:HTTPからHTTPSへのリダイレクト設定
.htaccessファイルに301リダイレクト設定を記述し、HTTPでアクセスしたユーザーを自動的にHTTPSページに転送します。これにより、検索エンジンの評価を引き継ぎながらSSL化できます。
サーバー会社のサポートを活用しましょう
SSL証明書の設定方法はサーバー会社によって異なります。詳しい手順は、ご利用中のレンタルサーバーのマニュアルやサポートに問い合わせてください。
まとめ:常時SSL化でWebサイトの安全性と信頼性を向上
SSL/TLS証明書を導入してHTTPS通信を実現することは、現代のWebサイト運営において必須のセキュリティ対策です。ユーザーの個人情報を保護し、Googleのランキング評価を高め、サイトの信頼性を向上させるために、まだSSL化していないサイトは早急に対応しましょう。
鍵マークが表示されているWebサイトを選ぶことで、安全にインターネットを利用できます。Webサイトにアクセスする際は、必ずアドレスバーの鍵マークを確認する習慣をつけましょう。
記事監修
芝田弘美(しばた ひろみ)
プリズムゲート株式会社 代表取締役
Web業界29年のWebコンサルタント。現在まで1000社以上のWebサイト制作に携わる。中小企業に「インターネットを上手に使って、事業を伸ばしてほしい!」という想いでサポート中。特技は日本舞踊(師範)、空手(三段)。著書に『ホームページ集客大全』(自由国民社)、『Webライティング大全』(自由国民社)、『儲かる会社はホームページが9割!』(自由国民社)、『士業のためのホームページのつくりかた』(中央経済社)
