SSLとは【Secure Sockets Layer】
インターネット上のウェブサイトなどでデータを暗号化して送受信できる仕組みのこと。
SSLは、ネット通販などでクレジットカード情報を入力する場合に、情報を暗号化することで顧客の重要情報を保護することができる。
【目次】
- ネットショップのSSLの必要性について
- SSLのメリットについて
- SSL化されていない場合に何が起こる?
- SSL証明書とは?
- 認証におけるレベル、強度について
- ドメイン認証SSL(Domain Validation SSL)
- 企業実在認証SSL(Organization Validation SSL)
- 強化認証SSL(Extented Validation SSL)
- SSLを導入する方法について
- MakeshopでSSL認証を利用する方法
- カラーミーショップでSSL認証を利用する方法
- BASEでSSL認証を利用する方法
- STORES.jpでSSL認証を利用する方法
- EC-CUBEやWordpressを利用したネットショップのSSL設定方法
- SSL認証サービスの選び方について
- ワイルドカードSSLとは
- ネットショップとSSLのまとめ
ネットショップのSSLの必要性について
ネットショップ、ネット通販では
クレジットカードの利用が当たり前となりました。
クレジットカード情報の漏えいや、
フィッシングサイトによる個人のログイン情報などを盗み見られる
詐欺の被害も年々増加しています。
インターネットショッピングモールの
最大手である楽天市場も、2017年中には
サイト全体を常時SSL化すると公式発表がありました。
楽天市場以外に、ヤフーショッピングや
wowma(ワウマ)など、国内の主要ネットショッピングモールも
全体SSL対応を進めています。
EC業界全体でもSSL化する流れが
急速に高まっていますが、ネットショップをSSL化する必要性はあるのでしょうか。
SSLを導入する目的としては、
顧客情報の保護はもちろんのこと、
実は「SEO」に関連した意味もあります。
2014年にGoogleからウェブサイト、ネットショップなどの
ウェブシステムの利用に対して、ユーザー保護の観点から
SSLに対応しているか否かを検索結果の基準の一つにするという
公式発表がありました。
SSL認証は、ウェブサイトの安全性という意味では
非常に重要な対策です。
これまで楽天市場は、SSLを買い物かご、
決済画面には実装していました。
その他の大手ネットショッピングモールでも
決済画面にはSSLを実装しているサービスがほとんどです。
大手企業なども、SSL対応を行っている企業が
多く、SSLは企業サイトの信頼のバロメーター的な
役割も果たしてきました。
ネットショップ以外に、企業サイトの
お問い合わせフォームなども
SSL化することは非常に重要です。
ただ、個人のネットショップの場合、
SSL認証への対応はまだまだ行われている
ネットショップは少ないです。
一番の理由は、
SSLは料金が高額である
という点にあります。
SSLの料金は、サービスや事業規模などによって
様々な料金体系があります。
ただ、ここ数年、SSLの料金体系の中に
低価格なSSLも出現しています。
利用しているレンタルサーバーによっては
「共有SSL」というSSLの利用方法もあります。
月額利用料がかなり低価格で利用できるため
個人ユーザーがSSL認証を利用するような場合に
おすすめのSSL認証です。
今後、Googleの検索指標のひとつに
あげられているSSL対応について、
ネットショップ関連の事を中心に
ご紹介していきたいと思います。
SSLのメリットについて
SSLのメリットは、「情報を暗号化」することで
顧客の個人情報を保護できる点です。
ネット通販の決済方法で、最も選択されている
決済方法は「クレジットカード決済」です。
これは、楽天市場、ヤフーショッピング、
Amazonともに共通です。
各ネットショッピングモールは、
決済画面において、SSL化は完了しています。
現在、大手ショッピングモールが行っているのは
「サイト全体のSSL化」
についてです。
サイト全体がSSL化することで、
ユーザーはどのページにいても
安全性の高い状態で買い物を続けることができます。
SSL化されていない場合に何が起こる?
逆のことを言えば、SSL化されていないページで
個人情報、特にクレジットカードなどの
決済に関する情報を入力することは
非常にリスクが高い行為と言えます。
暗号化されていない入力フォームへ、
個人情報を入力するということは
悪意を持った者(ハッカーなど)に
いつ、情報を盗み見られてもおかしくない状況です。
特に最近増えてきているのが、
楽天市場などの出店者、それも
大手企業のネットショップを模倣した
ネットショップをインターネット上に
構築して、ユーザーを騙し、
商品代金を入金させるという手口です。
これには、非常に近いクライアントさんが
実際に被害にあわれましたので
詐欺サイトも確認したことがあります。
詐欺サイトはSSL化することができないため、
SSL化することは、こうした詐欺サイトと
見分けてもらうためにも非常に有効です。
SSL証明書とは?
SSLについて、SSL証明書という
言葉を聞いたことがないでしょうか。
SSL証明書とは、「所有者の証明書」のことです。
誰が証明してくれるのか?
CAと呼ばれる認証局が証明書を発行しています。
CAとは【Certification Authority】の略称で、
SSLサービスを運営している企業、団体が集まってつくられた組織です。
SSLとSSL証明書はふたつでひとつのセットです。
SSLは暗号化するため、SSL証明書は暗号を解読するために必要です。
いわゆる、電子証明書という仕組みです。
認証とは、指紋認証などの認証と同じく、確認し、証明する作業です。
SSL認証においては、ウェブサイトは大丈夫か?運営者、管理企業は
実在している企業か?を確認し、問題がないと判断すれば証明書という形で
「このサイト、ネットショップは安全です」
という証明を行ってくれるわけです。
認証におけるレベル、強度について
SSLの認証においては、いくつかの認証レベルがあります。
認証にも強いものもあれば、弱いものもあるわけです。
SSLは大きくわけて3種類の認証があります。
それぞれ、簡単に説明していきます。
【認証レベル1】ドメイン認証SSL(Domain Validation SSL)
ドメイン認証は、ドメインに登録されている登録者を確認することにより、発行される証明書です。
SSL認証の中でも、最も低コストで行えるのがドメイン認証SSLです。他の二つと比較しても
発行までのスピードも最も速いため、個人の利用に向いているSSLと言えます。逆に言えば、個人でSSLを利用するためには、このドメイン認証以外は審査が通らないため、必然的にドメイン認証SSLを申し込むことになります。
認証の方式としては、証明書に記載されているドメインの使用権を、SSLサーバー証明書の所有者が所有していることを証明するという方法です。 証明の確認方法はメールで行われます。手軽で安いのがメリットです。
当然、他の二つの認証レベルと比較すれば、その強度は一番弱くなります。
【認証レベル2】企業実在認証SSL(Organization Validation SSL)
企業認証は、ドメインに加えWEBサイトを運営している組織の実在性を証明する証明書です。
企業の実在性を証明する認証で、主に法人サイトで利用されるケースが多いSSL認証です。
企業認証を取得するためには、各種書類による審査と、申請者への電話確認が必須です。
ドメイン認証よりも、信頼性が高いSSL認証となります。
費用も年額で4万円以上するサービスが多いです。
【認証レベル3】強化認証SSL(Extented Validation SSL)
EV認証は、企業の実在性に加えて、所在地の認証を行います。
ブラウザのアドレスバーがグリーンになり、信頼性が向上します。
銀行のウェブサイトに行けば、URLが表示されている場所がグリーンに
なっているのを見たことがないでしょうか。
これが最も厳格な認証方式であるEV認証です。
企業承認の審査、各種書類の提出、第三者機関による審査と、
認証されるまでには、いくつかの確認事項があります。
認証の審査に時間がかかる分、認証された後は、
アドレスバーも緑色で表示されるため、ユーザーへの安心度は
もっとも高い認証方式と言えます。
費用も5万円から10万円以上になるプランもあります。
銀行などは認証レベルはもっとも高いEV認証が採用されています。
SSLを導入する方法について
SSLの導入はどうすればいいのか?
SSLと一言でいっても様々な会社から
サービスが提供されているため、
よほど詳しい人でない限り、どこで導入すればよいか
検討もつかないと思います。
今回は自社ネットショップへのSSL導入という
ポイントに絞って、導入方法を調査してみましたので
ご紹介させていただきたいと思います。
自社ネットショップでも、ASPカートサービスの
利用の場合と、EC-CUBEやWordpressなどの
CMSベースのネットショップ構築で方法が異なります。
ネットショップの状態に合わせて
最適と思われるSSLの導入方法を確認してみましょう。
MakeshopでSSL認証を利用する方法
Makeshopには、基本サービスのなかに
「SSLの適用設定」が含まれています。
特に別途費用は必要なく、SSL設定が可能です。
MakeshopでSSLを適用する対象ページは
- 会員情報登録画面
- 会員情報修正画面
- ログイン画面
- 注文照会画面
の4画面となります。
一点注意点があり、SSLを適用した場合、
ページデザインにおいて、「独自デザイン」が利用できなくなる点です。
独自デザインとは、HTMLやCSSを利用して、
管理者がデザインを自由に行うことができる機能です。
SSLの種類としてはGMOグローバルサイン社のSSLの使用となります。
【参考】
Makeshop:SSLの適用設定
カラーミーショップでSSL認証を利用する方法
カラーミーショップは、常時SSLの対応が可能です。
【常時SSLとは】
ネットショップでは「買い物かご」や「個人情報登録画面」など、
個人情報に関する入力が行われる画面に「SSL」の設定を行うことは
普通だったが、常時SSLでは、特定ページのみでなく、サイト全体に対して
SSL認証を実施する方法。よりユーザーの安全性が高まるため、昨今多くの
ネットショップ、ショッピングモールも常時SSLへ移行する動きにある。
カラーミーショップは、
ショップURLがカラーミーショップの
サブドメインであるshop-pro.jpを利用している
店舗であれば「無料」で常時SSLへの変更が可能です。
独自ドメインを利用している店舗であっても
月額1000円(税抜)でオプション機能として
常時SSLの利用が可能です。
カラーミーショップは通常の運用固定費も
月額900円から始められるエコノミープランもあり、
常時SSLを導入しても月額の固定費としては
プラス1000円で済むため、お得感があります。
BASEでSSL認証を利用する方法
BASEもBASEドメイン(thebase.inや、shopselect.netなど)を
利用しているネットショップを対象に、
2016年10月以降、常時SSLが利用できるようになっています。
http:からhttps:になることで、
URLが変更になっているため、
リンク先のページはリンク切れにならないのか?
という疑問があると思います。
URL変更の問題については「リダイレクト」対応で
解決させているようです。
ウェブサイトにおけるリダイレクトとは、ウェブサイトの閲覧において、
指定したウェブページ(URL)から自動的に他のウェブページ(URL)に転送されること。
http://xxxx.com にアクセスした場合、自動的に
https://xxxx.com に移動させる
ということです。
ただし独自SSLの設定については、
2017年2月現在においても公式的な発表はありません。
【参考】
BASEドメインをご利用の全てのショップで常時SSLが使えるようになりました
常時SSL化対応ドメイン提供開始!BASE
STORES.jpでSSL認証を利用する方法
STORES.jpでネットショップを開業されている方は
既に常時SSLに対応しています。
基本的に初期のドメインである
「○○○.stores.jp]
のドメインは常時SSL化されています。
独自ドメインについてですが、
STORES.jpでは独自ドメインの移管対応は
行っていません。
そのため、お名前.comやムームードメインなどで
取得された独自ドメインを利用することはできません。
STORES.jpのプレミアムプランで
取得した独自ドメインに対して
SSLの設定はできるのでしょうか。
STORES.jpのカスタマーサポートに
問合せしてみました。
STORES.jpからの回答は
「当サービスにて発行しております独自ドメインはすべてhttpでの対応となっております」
ということでした。
せっかく独自ドメインを利用できるサービスがありながら、
SSL化はできないというジレンマが生まれています。
今後のEC業界の流れとしても、SSL化は必須対応と思われるので
独自ドメインの利用よりも「○○○.stores.jp」によるSSL化の方が
SEO的にも有効かもしれません。
EC-CUBEやWordpressを利用したネットショップのSSL設定方法
上記のオープンソースのCMSは、
いわゆるHTMLやドメイン、サーバーの選択まで
ユーザーの任意となります。
SSLの利用についても、店舗運営者が
利用しているサーバーなどによって
プランが異なるため、どのサービスを利用しなければならない
という厳密な決まりもありません。
今回、EC-CUBEやWordpressといったCMS利用型の
自社ネットショップのSSL対応について、
料金が比較的安いサービスを調査してみました。
2017年2月現在の調査となりますため、
状況によっては変動があるかと思います。
参考までにしてください。
SSL認証サービスの選び方について
自社ネットショップ用にSSL化する方法として、
代表的なSSLサービスをまとめました。
SSLサービスの選び方は、暗号化のレベルや
年間費用などの料金面など様々だと思います。
価格の安いサービスとしてはラピッドSSLがあります。
SSLは提供しているサービスに対して
国内正規代理店と契約を結ぶ必要があります。
例えば、シマンテック社のSSLを導入する場合でも
様々な代理店がそれぞれの価格帯で
サービスを提供しています。
参考までに確認してください。
シマンテックとは
シマンテックで思い浮かぶのはセキュリティソフトの「ノートン」シリーズが有名。
日本法人は1994年設立の株式会社シマンテック。世界一の認知度と信頼度を誇る
シマンテック社のSSLサーバ証明書は、脆弱性診断などのセキュリティ機能をはじめ、最高強度の暗号化とも言われる
楕円曲線暗号などにより、ウェブサイトの安全を強化するシマンテック独自のテクノロジーがあります。
【参考】
シマンテック|SSL証明書の比較
グローバルサインとは
TLS/SSLサーバ証明書をはじめとする電子証明書販売を行う国際企業グループ。
世界10カ国に拠点を持ち、日本法人はGMOグローバルサイン株式会社が提供している。
ベルギー政府認証局への認証を行う実績もあり、世界規模での政府レベルのセキュリティ対応が可能。
サービスの開発は日本国内で行っている。グローバルサインは国内企業からの信頼も厚く多くの企業から支持されています。
【参考】
グローバルサイン|SSLサーバ証明書
ジオトラストとは
ジオトラストとは、SSLサーバ証明書の分野において、世界シェア第2位の認証局です。
2006年9月からはシマンテックグループの傘下になりました。証明書が他社と比較しても低価格で提供されているのが特徴です。
全世界150カ国以上で10万件をこえるユーザーにSSLサーバ証明書を提供しています。
【参考】
ジオトラスト|製品・価格一覧
サイバートラストとは
情報セキュリティ分野で認知度の高い、アメリカのサイバートラスト社と、電子証明書システムを提供する
日本ボルチモアテクノロジーズ株式会社が2004年3月に資本業務提携を行い、
現在のサイバートラスト株式会社となりました。
サイバートラストは国内で最長の運用実績を持つ認証機関であり、
日本初の「商用電子認証局」として20年以上にわたり SSLサーバー証明書を提供しています。
マルチ OS、マルチフォームファクターに対応した端末電子認証サービス「デバイス ID」は国内導入ナンバーワンの実績があります。
2005年6月にソフトバンクBBの連結子会社となり、2014年4月以降はソフトバンク・テクノロジーの連結子会社となっています。
【参考】
サイバートラスト|製品ラインアップ
ラピッドSSLとは
ラピッドSSL(RapidSSL)は、アメリカのジオトラスト社が提供するSSL証明書です。
SSL証明書のなかでもほとんど最安値でSSL暗号化通信に対応することが可能です。
ラピッドSSLはドメイン認証のみとなりますが、費用面を重視する個人ユーザーなどには
非常に人気が高いSSL証明書です。価格面のみでいえば一番のおすすめのSSL証明書です。
【参考】
SSLストア|ラピッドSSL
より詳しいまとめを記載されている方が
おられましたので参考にしてください。
ワイルドカードSSLとは
上記のサービスサイトに「ワイルドカードSSL」という
文言が出てきたかと思います。
ワイルドカードSSLについて
簡単にご説明させていただきます。
ワイルドカードSSL証明書とは、
コモンネームに「*.」を付けることで
「*.」の同一階層部分を無制限に利用できる証明書です。
ひとつの証明書でコモンネーム(メインドメイン)に属する
サブドメインの全てにSSL認証が可能となります。
例として「urerunet.shop」というコモンドメインにたして
ワイルドカードSSLの対応を行った場合について。
受信メールサーバー:pop.urerunet.shop
送信メールサーバー:smtp.urerunet.shop
FTPサーバー:ftp.urerunet.shop
ウェブサーバー:www.urerunet.shop
サブドメインウェブサーバー:1ban.urerunet.shop
上記の全てが、1つのSSL証明書で利用可能です。
ネットショップとSSL化のまとめ
楽天市場やヤフーショッピングなどのネットショッピングモールから
MakeshopやカラーミーショップなどのASPカート提供サービス、
BASEやSTORES.jpなどの無料開設系ネットショップサービス。
その全てが「常時SSL」へ移行しています。
今後、個人のネットショップであっても
SSL化されていないネットショップは
利用そのものを敬遠されるかもしれません。
それほど、ウェブサービスの
SSL化はネットショップにおいては
業界全体が対応の方向で動いています。
是非、この機会に、運営中のネットショップの
SSL化について検討していただければと思います。
参考になれば幸いです。
【参考】
SSLのまとめ|シマンテック
