皆さんはインターネットを使われる際に、ブラウザの変化に気づかれたことはありますか?
日本で主に使われているブラウザはGoogleの「Chrome」、マイクロソフトの「Internet Explorer」、Mozillaの「Firefox」などがありますが、見た目のデザインの変更だったり、機能追加があったり、ユーザーの利便性をより高めるために様々なアップデートが繰り返されています。
しかし、見た目の良さや便利な機能だけでなく、ブラウザからみたセキュリティ面もアップデートによって強化されてきています。
昨年2017年秋にリリースされたGoogleの「Chrome 62」では、暗号化通信SSL(Secure Sockets Layer)に対応していないページの、ログインフォームやお問い合わせフォームなどに情報を入力する際、URLバーへ下画像のようなコメントが表示されるようになりました。
SSLとはインターネット上で、サーバーとパソコン間で送受信する情報を暗号化し、外部から情報が分からないようにする仕組みです。
SSLについて、より詳しい説明はこちらのブログ記事をご覧ください。
http://www.web-balloon.com/blog/post-1647/
ブラウザがChromeの場合、SSLを導入していれば、下の図のようにURLバーヘ錠アイコンと「保護された通信」と表示されます。
■GoogleChromeでのSSL導入ページの表示
また、Chromeだけでなく、Internet ExplorerやFirefoxでもSSLが導入されたページでは、保護されている印として錠アイコンが表示されます。
■Internet Explorer
■Firefox
逆に、SSLを導入していなければ、確実に情報が流出するというわけではないのですが、GoogleChromeでは下の図のように警告文が表示されるようになり、お問い合わせフォームなどを利用する側が自衛のために確認するべき目安の一つとして扱われるようになりました。
■GoogleChromeでのSSL未導入ページの表示
このように、各種ブラウザでは使用するユーザーに「利便性の高さ+安全性」を提供できるように日々アップデートを行っています。
その中でも、おそらく2018年で最も注目されるのではないかと思われるGoogleChromeの最新アップデートについてご紹介します。
先日Googleから、2018年の7月に最新のブラウザー「Chrome 68」 をリリースする予定と発表がありました。
Google ウェブマスター向けブログ
(https://webmaster-ja.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html)
「Chrome 68」では、上記項目でご紹介したSSLに対する意識がより強くなっており、お問い合わせなどのフォームがあるページだけではなく、サイト内全てのページに対して、SSLを導入していなければ、URLバーへ「保護されていません」と表示されるようになるとのことです。
ちなみに、全ページSSL化のことを「常時SSL」と呼びます。
しかし、現状で全ページにSSLを導入しているサイトは少なく、ログインページでしたり、お問い合わせフォームや通販ページのみSSLを導入というサイトが多い印象です。
市役所や銀行などでも、お問い合わせページや、ログインページのみにSSLを導入し、トップページなどはSSL無しの通常ページで運営しているサイトがほとんどです。ですので本当に今すぐに全ページSSL導入は必要なの?と思われるかもしれません。
Googleなどの企業が、サイト管理者へ全ページSSL導入を促しているのは、フィッシングサイトの存在が一つの理由と考えられます。
皆さんの元にも届いたことがあるかもしれませんが、近年、大手通販会社や銀行などになりすましたフィッシングメールが急増しています。
メールに記載されたURLをクリックさせ、なりすました企業のサイトとそっくりのフィッシングサイトを作り、ログイン情報やクレジットカード情報などの個人情報を入力させて情報をだまし取る、というのが一般的な手口です。
企業側もユーザーに対し大々的に注意勧告をしていますが、サイトのデザインだけでなく、URLもその企業のURLとそっくりの表記にしたりと、非常に巧妙な手口が増えてきていて、ユーザー自身がフィッシングサイトに対して自衛するしか回避ができない状態とも言えます。
そこで、インターネットを閲覧するためのChromeなどのブラウザ自体に、アクセスしたサイトが本当に正規企業のサイトであるかどうかを証明する機能が搭載されたのです。
SSLには3種類の「認証レベル」があります。
①ドメイン認証(DV)
「ドメイン登録者情報」を元に発行される認証です。
企業・組織情報などの登録は不要で、最も簡単に申請できるので、個人運営サイトへのSSL導入はこの認証が使用されています。
②企業認証(OV)
「ドメイン登録者情報」+「サイト運営組織の実在性」を証明した認証です。
公的資料と申請情報の照らし合わせや、電話確認による確認など、ドメイン認証よりも厳しい審査によって発行されます。
③EV(Extended Validation)認証
「ドメイン登録者情報」+「サイト運営組織の実在性」よりも更に厳格にサイト運営組織の実在性が審査された認証です。
申請した住所に企業が実在しているか、法的に実在する企業か、SSL申請者が企業に在席しているかどうかなどが確認された上で発行されるため、3種類の認証の中で最も申請が厳しいのですが、それと同時に最も信頼性が高い認証です。
個人運営サイトでは①のドメイン認証しか取得できませんが、企業や組織サイトでは①②③の認証が取得できます。
また、②③では「企業の実在性の審査」があり、アクセスしたユーザーに正規のサイトであるとアピールができるため、見た目が全く一緒のフィッシングサイトがあったとしても、ブラウザーのURLバーの表示で正規のサイトか、非正規のサイトかを判断することができます。
特に③EV認証のSSLが導入されたサイトでは、URLバーヘ企業名が表示されるため、一目で判断ができるのです。
EV認証は主に銀行、通販、各種契約など、重要な個人情報を取り扱うサイトで使われています。サイトの見た目がそのまま一緒のフィッシングサイトがあったとしても、URLバーで正規サイトかどうかを目視で確認できるのです。
では実際の証明書を確認してみましょう。
例えばChromeから、ゆうちょ銀行のログイン画面を見てみるとURLバーに企業名、URLへ「https」の表示があるので、SSLが導入されていることが分かります。
赤枠内をクリックすると、ポップアップが表示され、ここから証明情報の詳細確認ができます。
「証明書」の「有効」のリンクをクリックすると、サイトの所有者の証明が表示されます。
この中に、
・運営組織名(O)
・運営組織の所在地
町名・番地(STREET)
市区町村(L)
都道府県(S)
国(C)
などの情報が記載されており、正規企業サイトとして証明されているのです。
また、Chrome以外の他のブラウザでも同様に、SSLが導入されたサイトではブラウザで認証の印が表示されます。
▼Internet Explorer … EV認証サイトの場合、URLバーが緑色に変色し、錠アイコンをクリックするとサイト所有者の詳細が表示されます。
▼Firefox … Chrome同様、URLバーヘ企業名が表示され、クリックするとサイト所有者の詳細が表示されます。
7月にリリースされるChromeでは、「全ページSSLが必要になる!?」でご紹介しました通り、いままで表示されなかった「保護されていません」という表示がURLバーに表示されるようになります。
SSLについての知識がある方ですと、SSLを導入していないんだな…と思われるだけかもしれませんが、通常のユーザーがURLバーの「保護されていません」の表示だけ目に入れてしまうと、保護されていないってなんだろう…アクセスしない方がいいのかな…。などと思われてしまい、サイトへの信頼度が下がってしまう可能性があります。
企業紹介だけのサイトや、ユーザーとの個人情報のやり取りが無いサイトですと、SSL導入を億劫に思われるかもしれませんが、将来的にはChromeだけでなく、Internet Explorer、Firefox、他様々なブラウザでSSLを導入していないサイトに対して、何らかの勧告が出されるかもしれません。
今まで説明させて頂いた、SSLでできることですが「情報の暗号化によるセキュリティ強化」「企業・組織の実在性証明」以外にもメリットがあります。
Google検索では、全ページSSL導入済サイト = 信頼できるサイト = 「ユーザーにとって有益なサイト」と認識され、SEO的に有利になると言われています。
Google ウェブマスター向けブログ
(https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html)
TOPページなど、既にGoogle検索エンジンが「良質である」と判断しているページで順位を変動させるのは難しいかもしれませんが、全ページSSLを導入することによって、今まで評価されていなかったページなどが検索エンジンによって評価されるようになる可能性があります。
幅広く、多くの人が当たり前に使うようになったインターネットですが、信頼性・信用性・安全性がより重視されるようになっています。
7月のChromeのアップデートまでに、SSLの導入をご検討されてみてはいかがでしょうか。
SSL導入のご相談は是非ユーシステムへ!
受付時間8:40~17:40(平日)