こんにちは、Webディレクターの武田です。
2008年に新卒で入社をしてから、ずっとWEBディレクターを行っています。
今年の4月メンバーズルーツに転籍してから、さまざまな企業の担当者さまとお話をする機会があったのですが、多くの中小企業のご担当者さまは、ITや広報などと兼務でかつ、担当は1名など、地方企業のWEB担当者は、幅広い業務領域で、色々な事を覚えないといけないと知って、少しでもできることはないかと思いまして、地方企業の担当者に役立つようなTIPSを紹介できればと考えました。
今回ご紹介する内容は、WEBサイトの安全性対策(常時SSL化/https化)についてです。
WEBサイトを運営するにあたって、知らないうちに、お客様の情報が流出してしまったら・・・。恐ろしいですよね。
今回は、『どのようなリスクがあるか?』『対応できているかの調べ方』『できてなかった場合の対応方法』などについて、ご紹介させていただきたいと思います。
あなたのサイトは安全対策できていますか??
みなさま、普通にWEBサイトの利用や、運営をされていると思うのですが、利用する際のログイン情報や、パスワード情報などが、他人に盗まれてしまう可能性があることをご存じですか??
ちゃんと、運営している企業だったら、しっかり『常時SSL化(https化)』という安全対策をしているのですが、安全対策をしていないサイトを利用すると、リスクがあるので注意が必要です。
先日、銀行サイト64行で実際に実装できているか調査する機会があったのですが、一部企業が常時SSL化(https化)未対応で、個人情報が漏洩するリスクがあるという結果が出ていました。個人情報や、お金周りなどの情報を掲載するサイト等であれば、安全対策をしてほしいですよね?
対策できていない場合に起こるリスクって??
ウェブのなりすまし(フィッシング詐欺)
金融機関のオンラインバンキングや有名企業のECサイトなどの、本物そっくりの偽装ページを作り、企業を装って電子メールなどを送付して、偽装ページにアクセスさせることで、IDやパスワード、個人情報や決済情報などを流出してしまうリスクがあります。
盗聴(暗号化されていないWi-Fiなど)
暗号化されていない公共のWi-Fiネットワークや、Wi-Fiルーターを悪用して、アクセスポイントを偽装し、通信内容を傍受することが可能です。それを知らないままユーザーが利用すると、ログインIDやパスワードやクレジットカードの情報などを盗み取られてします可能性があります。 また、メールやファイル共有ソフトでやり取りした内容を盗み取られる可能性もあるそうです。
同じWi-Fiスポットに接続している他人のCookieに入りこむことが可能です。
入り込んだ後は、そのユーザに成りすまして有名SNSなどで投稿や情報の変更などを行われてしまうリスクがあります。(そのようなことが簡単にできるツールもあるようです)
どんなことをすれば、安全対応ができるの??
SSL(Secure Sockets Layer)対応をすることで、安全性を守ることができます。
SSLとは、インターネット上におけるウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組みのことです。
通信の暗号化することで、外部からデータを読み取ることができなくなるため、盗聴・改ざんを防ぐことが可能になります。
常時SSL化(https化) できているかのチェック方法
調べる方法は簡単です。サイトを開いていただいて、URLの表示をみれば簡単にわかります。ブラウザによって、多少表示は異なりますが、下記のような3種類のパターンがあると思います。
※今回はGoogle Chromeでチェックした画面を共有します。
①鍵マーク(EV証明書発行)
URLの横の部分に『鍵マーク』があり、運営会社が書かれているパターンです。
これは、『EV SSL』と言いまして、世界標準の厳格な認証ガイドラインを経て証明書を発行して、常時SSL化(https化)した状態になっています。とてもよくできている状態です。
②鍵マーク
URLの横に『鍵マーク』があるパターンです。
これは、通常の証明書を発行して、常時SSL化(https化)をしたものになっています。
ちゃんと通信の際には暗号化ができているので、問題なしです。
③鍵なし
URLの横に、『保護されていない通信』と表示されているパターンです。
これに関しては、常時SSL化(https化)ができていないので、リスクありの状態です。
もし対応できていないようでしたら、すぐに対応をしたほうが良いと思います。
対応するために何をすればいいの??
手順1:証明書を準備する。
購入OR無料で入手することができます。
ここで、一定金額を支払うと、EV化の緑マークの証明書をゲットすることができます。
証明書を準備をして、各種対応が完了をしたら、サーバーに証明書をインストールしましょう。
手順2:サイトのパスの変更
サイト内の内部リンクのパスを「HTTP」から「HTTPS」に変更をして、旧サイトにリダイレクト設定をする必要があります。
但し、外部ASPサービスなどを読み込んでいる場合は、動かなくなってしまう場合がありますので影響調査などが必要です。
手順3:外部ツールなどのURL変更
『Google Analytics』や、『Google Search Console』などの外部ツールでは、変更前のHTTPの状態で設定登録をしていると思うので、管理画面から設定部分の更新が必要になってきます。
まとめ
いかがでしたしょうか。
盗んでしまう詐欺師の方が一番悪いのですが、もしかすると、貴社のサイトをご厚意に利用してくださっているユーザーさんを、安全対策をしないことで、危機にさらしてしまっているかもしれません。セキュリティ対策に関しては、ユーザーに任せるのではなく、企業側も最低限の対応することが大事だとは思っています。
常時SSL化(https化)ができているかは、5秒でできる(ブラウザをひらくだけ)ので、気になった方はチェックいただけますと幸いです。