常時SSLとは?

ホームページのトップ画面からSSLを使用(https://)してサイト全体の暗号化を行いユーザが訪問する全てのウェブページを常にエンド・ツー・エンドで守るセキュリティ対策です。

乗っ取りを企てる攻撃者すべてを阻止するような確実な方法ではありませんが、最も根本的でコスト効率の高いセキュリティ手法であり、なによりも常時SSLを行うことにより、Webサイトに対するユーザの信頼を守ることができます。

常時SSLを導入するアプローチをとることによって、企業がユーザのセキュリテ ィやプライバシーについて真剣に考え、ユーザを保護するために適切な手段を 講じていることがユーザに伝わり、これがユーザを守る第一歩となります。

常時SSLを行うべき理由(常時SSLを行わないと?)

現在、インターネットは転換点を迎えており、PCだけでなく、スマートフォンやタブレットも利用されるように環境が変わりつつある中、Wi-Fiでの通信も増加しています。

しかしながら、専門知識を必要とせず簡単にWi-Fi通信の内容を盗聴できるツールが公開され、cookieとして保存されているセッション情報を盗聴することで、容易にアカウントのなりすましをおこなえてしまいます。

そのため自サイトのユーザーを守るためにも、SSLのページはクレジットカード決済や個人情報の送受信がされるページだけではなくサイトの全てのページでSSL暗号化通信をおこなうことが推奨されています。

公衆無線LAN(Wi-Fi)の危険性は以前より指摘されていましたが、「Firesheep」の登場によりこれまで高度な知識を持ったユーザーのみがおこなえていた通信の盗聴などが、特別な知識を持たない普通のユーザーでも簡単におこなえるようになりました。

またWi-Fi環境が整い、ワーキングスタイルの多様化によりWi-Fiの利用が増加している現在、サイト運営者による一刻も早い対策が望まれています。

常時SSLが当たり前に -いち早い導入で、ユーザー様の安全とサイトの信頼性を。-

現在、Online Trust Alliance(OTA)という、名だたるインターネットサービス企業やセキュリティ企業、米国政府機関が参加するオンラインの信用と信頼を向上させることを使命とする非営利団体によって下記の、「常時SSL(Always On SSL)によるWeb サイトの保護」が発表されています。

https://otalliance.org/system/files/files/resource/documents/always-on-ssl-white-paper_jp.pdf

常時SSL採用の現況

Google、Facebook、Microsoft、Twitter、PayPalなど大手企業は常時SSLに向けた取り組みを進めています。

以前は、常時SSLを行うことにより、パフォーマンスの低下や負荷が懸念されていましたが、現在では昨今のCPUの高速化によってサーバーもパソコン側も常時SSLにしても大して影響ない状況となっており、たとえば、常時SSLをGmailに導入したことによるパフォーマンスへの影響はほとんどなかったことがGoogleにより発表されています。

参考情報
9ページ「Google」参照
https://otalliance.org/system/files/files/resource/documents/always-on-ssl-white-paper_jp.pdf

2010 年 1 月、Google 社は HTTPS を Gmail および Google Apps のデフォルト設定 にすることを決めました。

これにより、ユーザはブラウザと Google 間で電子メールを常に保護することが容易になりました。この移行はコンピュータの追加や特殊なハードウェアを必要とせず、パフォーマンスへの影響はごくわずかでした。Google 社の研究者によると、SSL/TLS の影響は、同社のフロントエンドコンピュータにおける CPU 負荷の 1 パーセント未満でした(1 回の接続あ たりのメモリ使用は 10 KB 未満で、ネットワークオーバーヘッドの 2 パーセント未満)。

SSL で保護されたウェブサイトは検索結果のランキングで有利

Google は、インターネットユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者に HTTP から HTTPS への切り替えを推奨しており、検索エンジンのランキング アルゴリズムもサイトへの接続が暗号化された安全なものかどうかが検索結果のランキングに考慮された仕様に変更されています。

参考情報
Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用します
http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html

2014 年 8 月 7 日、Google 社は、ウェブサイトが HTTPS を使っているかどうかをランキングシグナル(順位付けの要因)に含めるようにしたことを発表しました。

これにより、 HTTPS (SSL が有効)で提供されているページは、そうでないページよりも Google での検索結果の順位付けで評価が高くなります。