「保護されていません」警告!常時SSL化の波は止まらない、Chromeのセキュリティ強化・SEOでの優位性は?
2017年10月よりChromeのセキュリティがさらに強化され、SSL化されていないページにアクセスすると、「保護されていません」という警告が表示されるようになりました。この変更はユーザーへ与えるインパクトが大きく、Webサイトの信頼性や利用率にも関わってくるため、各Webサイトとも常時SSL化対応が迫られている状況です。
常時SSL化すれば、セキュリティが向上するだけでなくSEOにも効果があるので、今すぐにでも対応して損はありません。
常時SSL化(https)とは?
常時SSL化とは、個人情報やクレジットカード番号などを入力するフォームページだけでなく、WebサイトのすべてのページをSSL化(暗号化通信)すること。常時SSL化すると、全ページのURLが「https」からはじまるようになります。
「https」からはじまるページでは、通信がすべて暗号化されます。そのため、パスワードや個人情報などを不正に入手するフィッシング詐欺を防ぐことができ、暗号化されていないWi-Fi利用下でもログイン情報の抜き取りやCookieの盗聴を防止できるため、セキュリティリスクを大幅に軽減することが可能です。
常時SSL化するためには「SSLサーバ証明書」を設定する必要があります。認証レベルによって費用や審査難易度、取得までの時間が異なるため、Webサイトの目的に応じて適したSSL証明書を選びましょう。なお、年間費用は数千円~10万円程度のものが一般的で、中には無料で設定できるものもあります。
「保護されていません」の警告はどんな時に表示される?
2017年10月にリリースされたGoogle Chromeのバージョン62より、SSL化未対応のページではURLバーの左部に赤字で「保護されていません」という警告が表示されるようになりました。
「保護されていません」という警告は、どのような条件で表示されるのか詳しく見ていきましょう。
すべての入力フォームが対象
Chromeのバージョン56時代は、パスワードやクレジットカード番号といった、とくに高いセキュリティが求められるページだけに警告が表示されていました。
しかしバージョン62からは、サイト内検索ボックスやチェックボックスなど、入力フォームが存在するすべてのページに「保護されていません」と表示されるよう変更されています。
これは、Webサイトを利用するユーザーが入力するすべてのデータを、盗聴や漏洩の危険性から回避させるべきだというGoogleのスタンスを反映したものです。
サイトの形式によっては大半のページに何らかの入力フォームが表示されているケースも多いため、SSL化していない多くのサイトが警告の対象となりました。
シークレットモードではすべてのページが対象
閲覧履歴やCookieなどを保存せず、より高いセキュリティ状況でWebサイトを閲覧できるChromeの「セキュリティモード」を利用している場合は、入力フォームの有無にかかわらず、SSL化未対応ページのすべてに警告が表示されるようになりました。
セキュリティモードの利用者はセキュリティへの意識が高いという、Googleの配慮からこの方式がとられています。
Googleはセキュリティを守ることへの意志が非常に強いため、今後はセキュリティモードを使用していなくても、入力フォームのないページまですべて警告の対象とする可能性もあります。
そのため、今の内から全ページを常時SSL化しておくことをおすすめします。
ユーザーは警告をどのように受け取るか?
「保護されていません」という警告が表示されるようになり、ITリテラシーが低いユーザーであってもセキュリティを意識できるようになりました。
SSL化未対応でページに警告が表示された場合、ユーザーはWebサイトをどのように受け取ってしまうのでしょうか。
偽物のWebサイトである可能性を疑う
本物に似せて作られた、悪質な偽物のWebサイトではないかと疑う可能性があります。
最近は本物そっくりのフィッシングサイトが流行しており、ニュースアプリやSNSなどといった幅広い層が閲覧するサイト上でも注意喚起の情報が頻繁に提供されているので、多くのユーザーがそのような詐欺に敏感になっています。
たとえ本物のサイトであったとしても、「保護されていません」という警告が表示されることで信頼感が失われ、偽物のサイトであるから利用すべきでないと判断するユーザーも多くなるでしょう。
個人情報など「重要な情報」を抜き取られる可能性を疑う
「保護されていません」と表示されることで、閲覧や入力した情報が流出してしまうのではないかという印象を与えるため、Webサイトを利用するだけでも個人情報などの重要な情報を抜き取られてしまうのではと疑う可能性があります。
たとえ個人情報やクレジットカード情報などを入力する重要な入力フォームをSSL化していたとしても、サイト内検索ボックスなどがある他のページで警告が出てしまった場合は、入力フォームまで到達しなくなってしまうでしょう。
SSL化未対応によりWebサイトの信用感がなくなることで、成約率も利用率もともに引き下がってしまう可能性もあるのです。
常時SSL化は今すぐ対応すべき!3つのメリット
以上のように、Googleのセキュリティへの姿勢やChromeの変更内容の状況を見ても、常時SSL化の波はとどまることを知りません。
常時SSL化すれば、「保護されていません」の表示がなくなるだけでなく様々なメリットを享受できます。対応にはコストや工数がかかってしまいますが、計画を立てて今すぐにでも常時SSL化対応を進めることをおすすめします。
セキュリティが向上する
当たり前のことではありますが、常時SSL化することですべての情報が暗号化されるため、セキュリティを強化できます。
個人情報やログイン情報、クレジットカード情報だけでなく、ユーザーのあらゆる情報について漏洩の危険性がなくなるため、企業としてもWebサイトから情報漏洩するリスクを大幅に軽減することが可能。
大手企業でも情報漏洩の事件が発生してしまう中で、セキュリティを強化することは企業の信用を守ることにもつながるのです。
Webサイト・企業の信頼性が向上する
常時SSL化する際は、第三者機関のSSL認証局により「SSLサーバ証明書」を発行してもらわなければなりません。SSLサーバ証明書はブラウザでも確認できるため、ユーザーに対する信頼の証とすることができます。
また、「保護されていません」という警告が表示されなくなるため、ユーザーは安心してWebサイトを利用することができ、信頼性を維持・向上させることも可能です。
SEO対策で優位になる
Googleは2014年8月に、SSL化されたページを検索順位の決定要因のひとつに使用すると公式に発表しており、常時SSL化はSEO対策でも優位に働きます。
しかし、最も検索順位に影響するのは「ユーザーにとって良質なコンテンツであるかどうか」という判断基準のため、常時SSL化したからといって劇的に検索順位が上昇するということはありません。しかし、安全なWebサイトであることも、ユーザーにとって良質なコンテンツであることにつながるため、SEO的にも評価されています。
同質のクオリティのコンテンツであれば、SSL化されたページが優先されるということは大いにあり得ますので、常時SSL化のメリットは大きいと言えるでしょう。
その他、常時SSL化によるメリット・デメリットはこちらをご覧ください
WEBサイトを常時SSL化。WordPressでのSSL導入メリット・デメリット、注意点など
https://www.unionnet.jp/knowledge/ssl/
まとめ
「保護されていません」という警告が表示されるようになってから、多数の企業が常時SSL化に踏み切りました。
ユーザーに安心してWebサイトを利用してもらうためにも、情報漏洩のリスクから企業自信を守るためにも、セキュリティを強化する常時SSL化は極めて有効です。
Googleのセキュリティ強化への動きを見る限り、SSL化の推奨範囲がさらに広げられることは大いにあり得ます。そうなると、常時SSL化していないWebサイトの方が恥ずかしいという状況にまでなるかもしれません。
コストや工数がかかるため、社内調整やスケジューリングが必要になりますが、できる限り早く対応した方が得策だと言えるでしょう。
この記事を描いたひと
企業のWeb担当者と制作会社の想いをつなげるメディア「untenna」の編集部。