パスワードで制限されている場合、パスワード入力が必須になります。パスワードが必要な方は、お手数をおかけしますがこちらからお問い合わせください。
企業にとってSSL導入の目的とは
投稿日:
当ブログでも何度か取り上げたSSL(Secure Sockets Layer)ですが、世間の流れに乗り導入したはいいけれどあまり意味がない対策にならないためにも企業にとってのSSL導入の目的を考えてみます。
世間の流れについては下記記事をご参照下さい。
SSLという言葉を初めて聞く人にも下記で解説していきますが、具体的にはアドレスがHTTPSと「S」が付いていたり鍵のマークや緑色になっているものです。
特に費用面で言えばLet’s Encryptやサーバー付属のサービスとして無料でもSSL対応できるようになっておりSSL導入のハードルは下がっていますが、それにはデメリットもあり国内大手レンタルサーバー会社のさくらインターネットもやんわりと有料をすすめています。
ホームページの制作会社の立場から言えばSSL導入費用の多くはSSLの認証局への費用であり、自社の利益になるわけでもないのでSSLを導入しなかったり、無料のサービスを使う方が提案としてはお客さん受けが良いのかもしれませんが、お客さんの立場を考え意味のあるものにするなら有料を提案することが多いです。
SSLとは?キーワードは7つ
詳細は下記で説明していきますがSSLを語る上では2つの目的と2つの種類、3つの認証という7つのキーワードが重要になってきます。
予備知識として下記をポイントにおいてください。
・暗号化通信
・サイト運営元、所有者の信頼性証明
・共有SSL
・独自SSL
・ドメイン認証(DV)
・企業認証(OV)
・EV認証(EV)
見た目の判断としてはhttpsや鍵マーク、組織名の表示。
Googleのchromeでしたら「保護されていない通信」と表示されないものがSSL対応しているウェブサイトです。
SSL対応サイト
SSL非対応サイト
2018年9月末時点 総務省ウェブサイト
SSL導入2つの目的
SSLは大きく分けて2つの目的の為に導入します。
1、暗号化通信
2、サイト運営元、所有者の信頼性証明
その他表示速度の向上やSEO、検索順位をあげる為など付加的な目的もありますが、大きくはこの2つです。
暗号化通信
SSL(Secure Sockets Layer)の直接の意味としてはデータを暗号化して送受信する仕組みを指します。
暗号化通信は郵便ポストに手紙が届く場面をイメージすると分かりやすいかもしれません。
通常の内容の手紙ではポストに届いた手紙を第三者が勝手に開封したり、悪意の郵便局員が開封すると手紙の内容が流出してしまいます。
しかし手紙の内容を暗号化して受取人にしか分からない符丁を予め決めておけば仮に盗み見られても内容が流出することはありません。
ウェブサイトを利用したネットでのやり取り(問い合わせフォームからのメール、パスワード入力、クレジット情報の入力等)も基本的に平文(そのまま)のまま情報がサーバーに届きます。
通常はもちろん運営元しかその情報を確認することはできませんが、悪意ある人がいればその情報を盗み見することができてしまいます。情報を暗号化することにより仮に盗み見られても問題ないようにするのがSSLです。
サイト運営元、所有者の信頼性証明
直接的な意味には含まれていませんが、むしろ暗号化通信よりも重要な隠れた導入目的としてはサイト運営元、所有者の信頼性証明があります。
まずSSL導入の具体的な仕組みと流れは下記になります。
1、SSLの申請
2、審査
3、SSL証明書の発行
4、SSL証明書の導入
5、暗号化された通信の実現
6、証明の更新
SSL導入を申請するとSSL証明書というものがCA(Certification Authority)と呼ばれる認証局から発行されます。
このSSL証明書は暗号化された情報を元に戻す鍵ですが、信頼性の証明としても使われます。
信頼性の証明とはどういうことかというと、例えばそのウェブサイトは実在の企業が運営しているのかどうかということです。
実態のない会社や個人が情報取得の為に適当に作ったウェブサイトかもしれません。もしくはフィッシング目的で実在の企業のサイトに似せて作ったサイトかもしれません。
ウェブサイトの難しいところとして見た目の綺麗さと運営実態はイコールにならないということです。
立派な会社を装って豪華なウェブサイトを作ろうとしたら簡単にできてしまいます。
そんな時に安全なサイトなのかどうなのかの判断として役立つのがSSLです。
ユーザー側としてはウェブサイトのアドレスを見ると簡単に判断することができ、企業側としては審査の過程において登記簿の確認や電話での確認などで運営元の実態を確認するのでSSLが導入できている=安全で信頼できるサイトというアピールになります。
但し、SSLを導入しているから100%信頼できるサイトかというとそうでもなく認証レベルによって違いも出てくるので後ほど説明します。
2つの種類、共有SSLと独自SSL
※共有と共用で厳密には意味が異なるかと思いますが同じものとします。
ウェブサイトの世界では共有や独自(専用)という言葉が良く出てきます。ドメインでは共有ドメイン、独自ドメイン。サーバーでは共有サーバー、専用サーバー等。
SSLにも共有SSLと独自SSLの2種類があります。
共有SSLとは共有サーバーのオプション的なものでサーバー会社が所有しているSSLを共有するイメージです。
特に個別の審査があるわけでもないので手間がかからず、費用も安く、サーバー会社によっては無料で利用ができます。
具体的にはどうなるかというと例えば独自ドメインをもっている企業サイトで問い合わせフォームやショッピングカートで手続きをすすめると急にドメインが切り替わりサーバーのドメインになることがあります。
例、http://●●●.com
→https://secure●●●.sakura.ne.jp
これが共有SSLです。
対して個別で認証局に申請を出し証明書をもらい独自ドメイン下で運用するものが独自SSLです。
例、https://●●.com)
問い合わせフォームなどの一部だけに導入している場合とサイト全体に導入している場合があります。
メリット・デメリット
共有SSLと独自SSLでメリットデメリットは反対になりますが、
共有SSLのメリットは
・手間がかからない
・費用が安い、無料の場合も
デメリットは
・ドメインがサーバー会社のドメインに切り替わることになるのでユーザーからすると別のサイトに飛ばされた感じになり不安感が出てしまう
・サーバー会社が審査を受けてるのであり、企業が審査を受けて取得しているわけではないので信頼性の証明としては弱いものになる。
(サイトシールと呼ばれるSSL導入が視覚的に分かる画像も使えなかったりもします)
独自SSLのメリットは
・共有SSLのデメリットが無くなる
・サイトの管理画面なども含めてSSL化できるので安全性が高くなる
デメリットは
・費用や手間、承認までの時間がかかる
・設定には知識や技術が必要になる。
です。
独自SSLの費用はピンキリですが、その値段の差は次に説明する認証レベルの差になってきます。
3つの認証、ドメイン認証(DV)、企業認証(OV)、EV認証(EV)
独自SSLの費用は正直ピンキリです。
ここで注意したいのが、暗号化通信としての意味としては安いから危険、高いから安全というわけではなく基本的には暗号化の強度としては同じです。
では何で費用が異なるかというと認証レベルの差です。
認証レベルが高いものほど認証局の審査項目や基準が高くなりその分手間や期間がかかるため費用が高くなります。
言い換えると費用が高いということは信頼性へのブランド価値が高いと言えます。
認証レベルには大きく分けると3つの認証があり、それぞれに複数の認証局(セコムトラストシステムズ、GMOグローバルサイン等)が認証を与えています。
安価に導入できる順としてはドメイン認証(DV)→企業認証(OV)→EV認証(EV)となりEV認証が一番高額ではあるけれど信頼性の高い認証と言えます。
ドメイン認証(DV)のメリットデメリット
個人、法人問わず誰でも取得ができるSSLがドメイン認証(DV)です。
認証の導入例:
申請
↓
ドメインの登録者情報の確認
↓
入金の確認
↓
発行
メリットは
・費用が安い、無料の場合も
・手間がかからない
デメリットは
・企業の実在証明などは行わないので企業としての信頼性をとるのであれば弱い。
企業認証(OV)のメリットデメリット
法人しか取得できず個人事業では取得できないSSLが企業認証(OV)です。
認証の導入例:
申請
↓
ドメイン登録者、登記事項証明書の確認
↓
電話確認
↓
申請責任者、担当者の在籍確認
↓
入金の確認
↓
発行
メリットは
・審査段階で登記事項証明書が必要になるため企業としての実在信頼を得ることができる
デメリットは
・ドメイン認証よりも高額
・登記事項の送付や、電話確認等実在証明に手間がある
です。
EV認証(EV) のメリットデメリット
SSLの中では最も高額ですが、その分信頼性が高いのがEV(Extended Validation)認証です。
EVも企業認証の一種ですが、大きく異なる点として見た目に分かりやすい点というのがあります。
世間によく名前が知られている企業やネットショップ、銀行など金銭のやり取りが発生するサイトでは導入はおすすめ、というよりも必須になってくるかと思います。
認証の導入例:
申請
↓
ドメイン登録者、登記事項証明書の確認
↓
電話確認
↓
申請責任者、担当者の在籍確認
↓
認証局から申請責任者確認書を登録住所宛てに送付
↓
確認書の返送
↓
訪問での現地確認等
↓
入金の確認
↓
発行
メリットは
・見た目に分かりやすくアピールできる。
具体的にはアドレスバーの部分が緑色になったり組織名を同時に表示することができる。
※ブラウザの種類やバージョンによって異なります
・審査段階で登記事項証明書や書類のやり取りが必要になるため企業としての実在信頼を得ることができる
デメリットは
・企業認証よりも高額(年間十数万円)
・認証がおりるまでにより長い期間(認証局により違いがあるが3,4週間程度)と手間がかかる
無料で導入できるSSL、Let’s Encrypt
冒頭で「Let’s Encrypt」というキーワードを出しながらここまで触れてきませんでしたが、Let’s Encrypt も最近話題になっています。
Let’s Encryptは何かというと無料で利用できるドメイン認証(DV)のSSLです。
2016年4月からアメリカのISRGという組織が運営しておりSSLの普及に賛同した企業がそのスポンサーになることで無料を実現できています。
年間十数万円かかるEV認証の後にLet’s Encryptの話題を出すと、ではそれでお願いしますという流れになるのですが、安易に導入する前に一つ検討が必要です。
以下にメリットデメリットまとめます。
Let’s Encrypt のメリットデメリット
メリット
・無料で利用でき、暗号化通信される
(EVなどと比べて暗号化強度は同じなので無料だから暗号化に対して危険があるということはありません)
デメリット
・企業認証ではなく無料簡易に導入できるのでスパムサイト等でも導入できてしまい信頼性に劣る。
・レンタルサーバーによってはLet’s Encryptに対応していないので導入できない
・サイトスキャン機能など有料SSLにあるような付加サービスがない
・証明書の有効期限が90日なのでデフォルトでは都度更新が必要
・有料SSLに比べサポートに劣る面がある
・寄付で成り立っている面もあるので今後どうなるか分からない
企業にとってSSL導入の目的は
SSLについての解説が長くなりましたが、本題に戻り企業にとってSSLを導入する目的は何でしょうか。
2つの目的の内の1つ、暗号化だけを考えるのであれば無料でも有料でも機能的には変わらないのでどれを選択しても良いと思います。
また、会社案内的なウェブサイトや情報発信系のサイトの場合、Google対策ということを考えないのであれば特にSSLを導入しないでも支障がないという考えもあります。
(SSL導入だけだとセキュリティ的には不十分で改竄検知の仕組みなども必要)
ただSSLを導入していない場合、グーグルのブラウザ、Googlechromeでは「保護されていない通信」と現在表示されてしまうので同業他社に比較されやすくそちらが導入しているのであれば導入を前向きに検討した方がいいでしょう。
企業としての信頼性を買うことに繋がるからです。
この信頼性の証明が企業としての一番の導入目的になります。
そういった面ではもちろん費用もかかりますが見た目にも分かりやすいEV認証が一番良いと思います。
まとめ
暗号化対策、Google対策としてはLet’s Encryptや共有SSLなど無料でも導入できるSSLではありますが、デメリットもあるので企業としてサイトを運営していくのであればできればEV認証、最低でも独自でのドメイン認証レベルのSSL導入が必要だと思います。
スマートフォン対応の為のプラグイン「WPtouch Pro」無料版との違い
投稿日:
スマートフォンが広く普及している今、ウェブサイトへのスマートフォン対応は必須とも言えます。
サイトの特徴や業種などによりスマホユーザーの比率は大きくかわりますし、BtoB系のサイトの場合パソコンからのアクセスがメインなのでスマホ対応しないでも良いという意見もありますが、検索エンジンのGoogleがモバイルフレンドリーとしてスマートフォン対応を推し進め検索順位決定のアルゴリズムもそちらにシフトしていっているのでウェブサイトのリニューアルや新規作成の機会があればスマートフォン対応をしていきましょう。
では既にパソコン向けのホームページはあるけれど、リニューアル予定はまだ先でそこまでスマートフォン対応にコストをかけれない場合はどうすれば良いでしょうか。
今回はいくつかある方法の中でワードプレスのプラグイン、WPtouch Pro(WPタッチプロ)をご紹介します。
スマートフォン対応3つの方法
本題に入る前に主なスマートフォン対応の方法をご紹介します。
1、レスポンシブデザイン
2、スマホ用専用ページ
3、追加機能や外部サービスの利用
1、レスポンシブデザイン
Googleも推奨しており現在主流になっている方法です。画面の幅に合わせてレイアウトを変更しますが、基本デザインやコンテンツはパソコンでの内容を引き継ぎます。
修正などの管理の手間が一つになりデザインイメージを崩すこともないのでお勧めですが、既存のパソコンサイトを後からレスポンシブ化するのは大変になります。
詳しくは下記ブログご参考下さい。
参考:2017年8月版 スマートフォン対応とレスポンシブデザイン
2、スマホ用専用ページ
パソコン用とは別にスマートフォン専用のデザイン、コンテンツのページを新しく作る方法です。
レスポンシブデザインよりも自由度があがりゼロから作ることができますが修正などの管理の手間が2倍になったりパソコンサイト制作と同じぐらいの労力とコストがかかります。
3、追加機能や外部サービスの利用
既存パソコンサイトのスマートフォン対応でコストをかけないのであればこちらの選択肢になるかと思います。
今回の本題のワードプレスのプラグインであるWPtouchやさぶみっとを提供していた会社のshuttoというサービスなどがあります。
導入費用や月額コストなどがかかってきますが、基本的には自動的にスマートフォン対応に変換してくれたりと大幅リニューアルまでのつなぎとしては良いと思います。
スマートフォン対応にはWPtouch Pro!?
WPTouch Proはワードプレスのプラグイン(追加機能)の一つです。(ワードプレスを使用していないウェブサイトの場合は利用できません)
無料版と有料版があり、無料版はWPtouch(wptouch Mobile Plugin)、有料版はWPTouch Pro という名称です。
無料版でもスマートフォン対応は可能な為、よりコストをかけないのであれば無料版でも良いかと思いますが、有料版の方が使い勝手が良くカスタマイズもしやすいため有料版も検討してみて下さい。
基本的にはプラグインをインストールするとスマートフォン対応が完了しますが個々の設定で調整していきます。
最新ではWPTouch Pro4というバージョンになっています。
バージョンによっても違いはありますが、WPtouch(無料版)との主な違いは下記です。
WPtouch Pro(有料版)とWPtouch(無料版)の主な違い
・費用がかかる
有料版なので当たり前ですね。
ドル表記なのでその時のレートによって日本円での購入価格は変動しライセンスは1年間有効です。
また過去から比べると数十ドル値上がりしているようです。
(18年9月。1ライセンス79ドル)
・購入から14日以内なら返金可能
お試しができることで導入ハードルは下がりますね。
・プラグインの一部を任意で無効にできる。
スマートフォン対応において不要な要素は無効化して軽量化できます。
・利用できるテーマ・テンプレートが増える
無料版ではデフォルトテーマで独自性に欠けますが、有料版のWPTouch Proでは初期で用意されているテーマ・テンプレートが増えるためサイトの特性に合わせてデザインや挙動を選択することができます。
・独自テーマ、子テーマを作成できる
無料版でも独自カスタマイズは可能ですが、有料版のWPTouch Proではテーマ&拡張でコピー機能などを使い独自テーマを作成できます。
・設定項目のバックアップが可能
自動バックアップや手動のバックアップが可能なので安心です。
・拡張機能を利用できる。
モバイルサイトをキュッシュ化して、高速にアクセスできるようにするINFINITY CACHE
などの拡張機能が利用できます。
但し拡張機能はよく他の機能とバッティングして不具合を起すこともあるので慎重な導入が必要です。
・WordPressカスタマイザーで視覚的なリアルタイム編集
設定の変化を視覚的にみながらカスタマイズできます。
・サポートの充実
WPtouch Proの専用フォーラムがあり2,3営業日で回答がもらえるようなので疑問を解決することができます。
自分で設定やサイト構築する人にとってはありがたいですが、基本的には英語サポートのようです。
ホームページの制作会社にサイトの制作や管理を依頼している場合やサポートが充実していても関係無いように思いますが、制作会社がプラグインを開発しているわけではないのでやはり分からないところもでてきます。そんな時にサポートがある無いではまた対応も変わってきます。
ライセンスの更新は必要!?
WPTouch Pro のライセンスは1年間有効でその間に行われたWPTouch Proの自動バージョンアップとサポートがついています。
ではライセンスを更新しないとどうなるのでしょうか。
無料版に自動で切り替わる?スマホ対応しなくなる?
現状としてはライセンスを更新しなくても一度購入していれば有効時のバージョンでのPro機能を利用してスマホ対応はできるようです。
サポートとバージョンアップ機能が使えなくなるという認識でしょうか。
但し、いつスマホ対応ができなくなるかも分からないですし、バージョンが古いままというのは時としてセキュリティリスクの原因にもなるので更新することをお勧めします。
まとめ
ホームページをリニューアルするタイミングや新規構築であればレスポンシブデザインでのスマートフォン対応をおすすめしますが、途中からスマートフォンに対応する場合はWPtouch Proは有益なプラグインだと思います。
まずは無料のWPtouchで試すこともできるので一度試してみましょう。
但し、デザイン性の面でこだわろうとすると細かいカスタマイズが必要になり結局リニューアルするよりも手間や費用がかかったということにもなりかねないのでお気をつけ下さい。
ワードプレス 固定ページ修正の4つの注意点
投稿日:
ホームページは作って終わりではなくその後の運用が大切になってきます。
中のコンテンツも徐々に古くなってくるので少なくとも1年に1回の見直しと修正が必要になってきます。
(例、会社概要の売上実績、社員数等)
ホームページを制作した業者に修正依頼をするのも良いですが、出来る部分は自社で対応してその分の浮いたコストを新規ページの作成やチラシの作成などとして業者に依頼した方が効率的です。
ワードプレスはお知らせだけでなく会社概要などの固定のページも比較的お客様側で修正しやすいのでチャレンジしてみてください。
自社で修正する上で気を付ける点がいくつかあるのでご紹介します。
修正の流れ
基本的な修正の流れは下記です。
1、お知らせ管理画面右上「こんにちは●●さん」の所から一度ログアウトして頂き編集者権限でログインしなおす。
※ワードプレスの権限については下記を参考下さい。
2、サイドメニューに「固定ページ」という選択肢ができるので、固定ページ→固定ページ一覧→該当ページ→編集→更新。
ワードプレス固定ページ修正で気を付ける4つのポイント
ワードプレスの組み方や状態によっては修正によって意図せずレイアウトが崩れてしまうことがあるので下記に気を付けます。
・テキストモードの選択
固定ページ一覧から該当ページを開く前に「新規追加」をクリックし「ビジュアル」と「テキストモード」でテキストモードを選択しておく。
(テキストモードに切り替えたら固定ページ一覧から該当ページへ)
・編集前にバックアップ
(テキストモードの状態で本文全体をコピーしてメモ帳などテキストエディターに保存)
・テキストを修正するときはテキスト以外の部分も消してしまわないように注意する。
・更新ボタンを押す前にプレビューの確認。
おかしくなって戻らない場合はページを保存せずに離れる。
まとめ
基本的には更新するまでは反映されないですし、レイアウトが崩れるといっても該当ページだけの影響で済むのであまり恐れる必要はないですが、レイアウトが崩れた場合の修正などは制作業者に依頼しないと難しい部分もあるので4つのポイントに注意しましょう。
Outlook2016 同一アドレスの複数設定方法(メールサーバー変更等)
投稿日:
メールサーバーの変更などで一時的に旧サーバーと新サーバーの設定が必要になる場合、新しいメールアカウントを追加しようと思っても同じアドレスだとOutlook2016で通常のやり方の場合、「このメールアドレスは既に追加されています。」と拒否されてしまいます。
そんな時は下記の方法を試してみて下さい。
同一メールアドレスの登録方法
まずはコントロールパネルを表示させます。
Windows10などでコントロールパネルがどこにあるか見当たらない場合は下記のショートカットで確認して下さい。
Windowsキー+Rキー
→ファイル名を指定して実行が立ち上がるので「control」と入力
コントロールパネルが表示されます。
OSや右上の表示方法の設定により表示の仕方も変わりますが、
・コントロールパネル(カテゴリー表示の場合)
ユーザーアカウント>Mail(Microsoft Outlook2016)>電子メールアカウントを選択
・コントロールパネル(アイコン表示の場合)
Mail(Microsoft Outlook2016) >電子メールアカウントを選択
後は通常通りに新規からアカウントを作成します。
この方法だとOutlook管理画面からの設定画面も一緒に表示させることができるので設定情報をコピーするのにも効率的です。
まとめ
あまり同一メールアドレスを複数設定するという機会はないかもしれませんがメールサーバーの変更などを検討している場合こちらの方法を試してみて下さい。
メールサーバーの移行に関しては下記ご参考下さい。
参考:メールサーバー移管
SSLの導入 2018年7月版
投稿日:
最近お客さんと打ち合わせをする中でホームページのSSL対応の話題が多くなりました。
SSLとは何ぞや?という方に簡単にお伝えすると、よく知られているキーワードとして「暗号化通信」と「セキュリティ向上」があります。
誤解含みで言うとSSL対応しているホームページは保護された安全なサイトということです。
日本においてSSL対応しているホームページというのは海外に比べあまり多くありませんでしたが、今後増えてくることが予想され導入を検討していく段階になっているとも言えます。
とはいえ、他社もSSL対応しているから自社でも導入をということではなくそのメリットや検討材料を集めて導入検討することが必要です。
SSLに関しては過去に何度かブログを書いているのでよろしければそちらも併せてご覧ください
参考:2016年「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?
参考:2017年SSL対応は必要?不要? SSL化のメリットデメリット
なぜ今SSLが話題?その背景
SSLは今年新しくできた新技術というわけではなく昔から存在する技術です。
ではなぜ今話題になっているのでしょうか。
背景としてGoogleの発表があります。
Googleは今までにもSSLに関してアナウンスをしています。
・2014年 HTTPSへの切り替えをおすすめ
参考:HTTPS をランキング シグナルに使用します
・2017年 シークレットモードでのアクセス、入力フォームがあるサイトに警告表示の開始
参考:Chrome の HTTP 接続におけるセキュリティ強化に向けて
そして今回、
・2018年 Chrome 68 よりhttpすべてのサイトに「保護されていません」と警告表示されるように
参考:保護されたウェブの普及を目指して
SSLに限らずGoogleはアルゴリズムの変更などシステムやデザイン、UIで色々なマイナーチェンジを繰り返していますが目的としてはユーザーに有益な検索結果を安全に表示させるということがあります。
今回話題になったアナウンスはSSL対応していないサイトに対してSSL対応を促すための変更なのですが、これまでに比べてもインパクトが大きい変更になるので話題になっています。
具体的にはSSL化していないサイトに対しては常にブラウザのURL表示部分に「保護されていません」の表示がされるという変更です。
実はこの表示はシークレットモードでは既に導入されていましたがそれが通常の検索状態でも表示されるということです。
「保護されていません」=ただちに危険というわけではないですし、URL表示部分であまり目立たないかもしれませんが、気付いた人にとってはインパクトが大きい変更になります。
Googleの思惑には簡単に乗らない。SSL対応のメリットとは
今話題になっている背景から考えるとSSL対応は必須に思えてきますが、Googleの思惑に簡単に乗ってしまうのも面白くないので改めてSSL対応のメリットを確認してみます。
その前に一つ注意点として上記SSL対応に関する表示はGoogleのブラウザ、Google Chromeに限っての表示なのでマイクロソフトのブラウザ、EdgeやIEなどには当てはまりません。
自社サイトの訪問ユーザーの多くがマイクロソフト派だということでしたら取り急ぎの対策は必要ないという考えもありかもしれません。
以下SSL対応による主なメリットです。
- ・セキュリティの向上
- ・リファラー(参照元)の取得
- ・ウェブページの表示速度があがる
- ・ユーザーの安心感・信頼性
- ・SEOへの効果
情報の盗聴や、通信過程での改ざん、フィッシングの防止に繋げることができ、そういった被害にあった場合でも対抗力を持つことができます。
アクセスログ分析の項目でリファラー(参照元)というものがあります。
他社のウェブサイトに自社のサイトがリンク付きで紹介されていて、そのリンク経由でサイトに訪問した場合、どのサイトから訪れたかというのを知ることができます。
被リンクはSEOにおいてもウェイトが高いのでリファラーも重要なポイントですが、他社のサイトがSSL化していて、自社サイトがSSL化していない場合リファラーが記録されなくなり分析ができなくなります。
自社サイトをSSL化することでリファラーを取得できるようになります。
他社(リンク元)→自社(リンク先)
http→http ○
http→https ○
https→http ×
https→https ○
リファラーを増やすということはSEOの外部対策の評価判断としても大切なことなのでSSL化のメリットとも言えます。
次世代プロトコル「HTTP/2」が登場しウェブページ表示速度の向上が図られているのですが、その効果はhttpsだけに対応しています。
表示速度の向上はユーザー利便性に繋がります。
「保護されていません」よりは「保護された通信」とURLに表示されればユーザーの安心感が増し無用な離脱を防ぐことができますし、予め検索結果に表示されるURLで判断するユーザーの流入も増やすことができます。
過度な期待は禁物ですしGoogleが明確に順位が上がるなどと発表しているわけではありませんが、普及を目指して推奨し変更を加えていることからもSEO指標の一つとしてプラス影響することは考えられます。
メリットを考えるとSSL対応は必要だと思えますが、コストや手間も必要になってくるのでSSL対応が必須かどうかと問われると最後はサイトの目的や企業ポリシー、タイミング等にもなってきます。
ただ無視できる段階ではなく検討すべき段階に来ているということは言えます。
SSL対応の必要性
SSL対応の現状として自治体別では3分の2の地方自治体のホームページは常時SSLに対応していないというデータもあります。
参考:自治体の6割超、常時SSL接続未対応 – 実施率高いのは愛媛県
総務省や国土交通省といった行政機関のサイトも現在はSSL対応しておらず(今後は分かりませんが)、一方的な情報発信による情報提供が目的のサイトや企業の会社案内的なサイトなどは実務的な必要性が低いともいえます。
実務的な必要性が低いというのはSSLのメリットの一つにセキュリティの向上、不正アクセスや改竄を防止ができると述べたのですが、情報を暗号化してやりとりすることは重要でもサイバー攻撃の対象などになった場合それだけでは対応ができず、改竄を検知するための仕組みなどのセキュリティ対策が必要になってくるからです。
とはいえ、皆が皆SSLに関して詳しく知っているわけでもないですし、「保護された通信」と表示されるか、「保護されていません」と表示されるかだと後者の方がマイナス印象になるのは避けられないと思うので今後SSL対応したサイトにリニューアルする企業も増えていくでしょう。
SSLのタイプ選択。ドメイン認証SSL?企業認証SSL?EV SSL?
検討の結果、SSLを導入することが決定したら次のステップとしてはどのタイプのSSL(サーバー証明書)をどこの会社(認証局)から導入するかを検討する必要があります。
SSLには廉価(無料)で対応できるものから、月1万円以上かかる高額なものとピンキリです。
どこで値段の違いがでてくるのでしょうか。
SSLの役割である暗号化の機能に関しては、一部旧型の携帯機種などの対応への違い以外は無料でも高額なものでもほとんど差異はありません。
サーバー証明書の認証レベルによって料金の差が出てきます。
というのも仮に通信が暗号化していても相手方が本物のサイトに似せてつくったフィッシングサイトだった場合等は意味がなくなってしまいます。
安全性を担保するには相手方が信頼できるサイトなのかといった審査が必要になってきますが全てを厳重にしていたのではコストも時間もかかってしまうので信頼性の認証レベルに主に3段階の差を設けることで対応しています。
ドメイン認証(DV:Domain Validation)SSL
3段階の中では一番手軽に取得できるSSLサーバー証明書です。
法人登録していない個人でも認証できます。
ドメインの所有者に対してメールで所有権を確認したり、サーバーに指定のファイルを置くことで確認認証します。
手軽な反面ドメイン管理者であれば誰でも認証できてしまうため、フィッシングなどの悪意のあるサイトも通してしまい信頼性に劣ります。
ドメイン認証の中には無料で利用できるSSL(Let’s Encrypt)もあります。
企業認証(OV:Organization Validation)SSL
法人サイトではよく使われている認証です。
書類審査や電話確認などにより、法的に存在している企業や団体のサイトであることを認証します。
手間がかかりその分コストや時間がかかりますが、企業としての信頼性を担保するのならば企業認証レベルのSSLは必要になってくるでしょう。
EV(Extended Validation)SSL
3段階の中では一番コストと手間がかかる認証です。
企業認証+α、登記簿の調査や現地調査等が加わります。
企業認証でも企業としての信頼性には繋がりますが、コストと手間をかける特典としてURLのアドレスバーが緑色になったり、そこに組織名称が表示されることにより視覚的にも分かりやすく信頼性アップに繋がります。
予算さえ許せばEV SSLで行きたい所ですが、自社のサイトの特徴とコストを比較して検討が必要です。
独自SSL、共有SSL
SSLサーバー証明書の認証レベルによる違いを説明しましたが、お金さえかければ誰でもアドレスバーを緑色(EV SSL)にできるという分けではありません。
まずは法人である必要があるということと、使用しているウェブサーバーが対応しているかどうかというのもポイントの一つです。
共用のレンタルサーバーによっては指定のSSL証明書以外、独自で取得したSSL証明書の持込ができないことなどもあります。新規でウェブサイトを立ち上げる時は事前に考慮できますが、既に公開運用しているサイトでSSL対応する場合は注意が必要です。
また、独自ドメインで運用する独自SSL以外に共有SSLというものもあります。
よくあるのが、ショッピングカートなどを導入していてクレジットカードや個人情報の入力ページになるとURLがhttps//secureユーザID.sakura.ne.jp/独自ドメイン等独自ドメイン以外にサーバーのURLなど他の表記が加わるものです。
標準オプションでついていたりコストをかけずに導入できる共有SSLですが、URLが途中から勝手に変更されるということで人によっては不信感を与えてしまうということや、そもそもレンタルサーバーが取得したものを使用するので運用企業の信頼性が担保されなかったり、場合によっては本質的な暗号化通信を盗聴される恐れもあるようなので可能であれば独自SSLの導入の方が良いといえます。
認証局の違いによるSSLの違い
これまで認証レベル、独自か共有かの違いを説明しましたがSSLサーバー証明書を発行する認証局にもブランドというものがあります。
イメージ的にはドコモやソフトバンク、auといった大手キャリア内での違いや格安スマホを取り扱うuqモバイルやマイネオ等の違いといった所でしょうか。
電話をかけてメールを送受信できる点ではどこも同じだとしてもサポートや知名度などが異なってきます。
有名ブランドほど費用は高くなりますが、有名だからといって完全に安心かというとそうでもないようです。
ウイルス対策などで有名なシマンテック系のSSL (Thawte、VeriSign、Equifax、GeoTrust、RapidSSL なども)の一部が無効になってしまうようです。
既にSSLを導入されている場合注意が必要です。
参考:Symantec の PKI の無効化について: 要対応確認
まとめ
SSLの導入に関してはサーバーの要件や費用もかかることなので必要な企業がタイミングを見計らってというのが一番ですが、Googleの仕様変更によりその動きが加速化するのは間違いないと思いますのでどの企業も一度導入を検討する時期にあると言えます。
ただその際に中途半端なSSLを導入してもあまり意味がないですし、適切に管理していないと有効期限切れ等逆効果になってしまうので企業認証もしくはEV SSLを導入し適切に管理する必要があります。
サイバーセキュリティ保険
投稿日:
ITが普及した今の社会、某国によるサイバー攻撃や電子マネーの流出がニュースになるなど便利になった反面常にリスクと隣合わせです。
企業規模が大きくなればなるほど影響も大きくなるのでリスク対策が必要になってきます。
リスクの話をするときには保険の話題になりますが、ITにもそれに対応した保険サービスというものがあります。
では保険をかければ全てを守ることができるのでしょうか。
結論としては守ることは難しいと思います。
できる範囲を把握した上で事前、事後のリスク管理することが大切になります。
サイバーセキュリティ保険と個人情報漏洩保険
色々な保険会社から多様なサービス内容や商品名で提供されていますが、大きな枠組みとしてサイバーセキュリティ保険と個人情報漏洩保険があります。
個人情報漏洩保険は比較的昔からのサービスですが、サイバー保険は2012年にAIU損害保険が始めたCyberEdgeというサービスから広がりを見せているようです。
ではその違いはなんでしょうか。
一般的な大きな違いとは保証範囲の広さです。
サイバーセキュリティ保険は個人情報漏洩も含めた包括的な保険
セキュリティ上のリスクに晒された時に企業はどんな負担をしないといけないでしょうか。
主なものとして
- ・賠償
- ・事故対応
- ・システムの再構築費用
- ・広告費用
- ・逸失利益
- ・顧客流出
被害者への損害賠償金や訴訟費用、弁護士費用、一時見舞金等
調査費用、外部機関への依頼費用、問い合わせ窓口の設置費用、対応人件費等
システムの復旧やセキュリティの強化など再構築にかかる費用等
メディアに対する告知や謝罪広告などの広報費等
通常業務が出来ていた場合に得られるであろう利益などの機会損失等
ブランドイメージ低下などによる顧客の流出等
等あげればきりがありません。
その中で個人情報漏洩保険はその名の通り個人情報漏洩にかかる部分だけの保険であり、それ以外は基本的に補償されません。
例えば、サイバー攻撃を受けてHPが改竄され商品販売ができなくなったけれど個人情報の漏洩が無い場合、
システムの復旧費や中断の間の費用が補償されなかったりということがあります。
新規で検討する場合は個人情報漏洩も含んだより包括的なサイバーセキュリティ保険の方が良いといえます。
(補償範囲は個別の保険内容により異なります)
保険費用としては範囲が広い分サイバーセキュリティ保険の方が高いのでリスクとコストを検討する必要はありますが。
サイバーセキュリティ保険は万全なもの?
では、サイバーセキュリティ保険を契約すれば全て安心でしょうか。
実はそうではありません。
免責規定
サイバーセキュリティ保険でも保険がおりない免責規定があります。
細かい規定は各保険内容によりますが、主なものとしては下記などがあります。
- ・ランサムウェアというマルウェアに感染した場合。
- ・天災や労働争議が原因での流出
- ・海外サーバーに保存されている情報漏洩
- ・重大な過失や他人に損害を与えることを認識しながら行った行為に起因すること
パソコンが操作できなくなってしまいその制限を解除するために金銭=身代金を要求されるということがありますが、こちらの費用は補償対象外のようです。
(日本では誘拐をまねく恐れがあるとして身代金の支払いに関する保険の提供が認めれていないため)
金銭で測れない損失
金銭的な部分では情報漏洩などの費用負担が補償されたとしても、長年つちかった信頼や信用といったブランドイメージの低下や今後派生する風評被害などは難しくなります。
サイバー攻撃を受けないようにするためのセキュリティ対策
またサイバーセキュリティ保険はそもそもサイバー攻撃を受けた後の対処法であってリスク回避ができるわけではないので基本的なセキュリティ対策は必要になってきます。
まとめ
新規でサイバーリスクに対する対策を検討する場合は、より広範なサイバーセキュリティ保険が良いと思いますがコストがかかることでもあるので自社でのサービス形態や及ぼす影響を考えた上で保険の加入や内容の違いを検討していく必要があります。ものによっては対象外で補償がおりないということにもなりかねません。
ただ、加入する加入しないにかかわらずサイバー攻撃などによる情報漏洩が起きた際に影響することは予めリストアップしておきシュミレーションしておくことは大切です。
Outlook Express(アウトルックエクスプレス)の連絡先をGmailに移行
投稿日:
パスワードを入力してください。
パスワードは、弊社のクライアントもしくは、現在商談中のお客様のみ閲覧が可能です。
閲覧したい方は、営業担当もしくはこちらからお問い合わせください。
Outlook Express(アウトルックエクスプレス)の送受信メールをGmailに移行
投稿日:
パスワードを入力してください。
パスワードは、弊社のクライアントもしくは、現在商談中のお客様のみ閲覧が可能です。
閲覧したい方は、営業担当もしくはこちらからお問い合わせください。
コピーサイトへの対策法
投稿日:
自分のホームページがコピーされた!
そんな時の対策法をご紹介します。
Googleではコピーコンテンツ対策を行っています。
SEOの話題でパンダアップデートやペンギンアップデートという言葉が広がりましたがパンダアップデートによりGoogle及びYahooの検索結果でユーザーに有益で良質なコンテンツを提供するために他人のサイトをコピーしただけのコピーサイトなどは評価されなくなったり下げられたりしています。
とはいえ、悪意を持っている人からすればコピーしてサイトを一つ複製し少し修正してアフィリエイトなど他の目的で利用すれば手間も少なくできるため、コピーサイトは完全にはなくなっていません。
またブログ記事によっては悪意をもっていなくても引用や参考といった形で他人の記事を手本にすることはあるので似たようなコンテンツのページができることは避けられません。
オリジナルサイトの運営者からしたらコピーコンテンツは無くなって欲しいとおもいますが、基本的にはどのサイトを評価し、どのサイトを評価しない、インデックスから外す(検索結果に表示させない)などはGoogle次第になってしまいます。
ただ、少しでも影響を減らすことはできるので4つの対策をご紹介します。
1、自社ウェブサイトでの対策
自社のウェブサイトのお知らせ等で注意喚起を促すことは大切です。
悪質なコピーサイトが発見された旨、見分け方、閲覧しないようになど事前の注意喚起という意味や、後々ユーザーが気づいたときの悪影響を最小限にするためにも大切です。
2、運営管理者への対策
悪意をもった運営者には効果がないかもしれませんが、問い合わせ先に申し出るのも手です。
サイト上に連絡先の記載が無い場合、ドメインの登録情報(who is)を調べることで連絡先が記載されていることもあります。
https://www.cman.jp/network/support/ip.html
3、Googleへの対策
検索結果を表示しているGoogleに報告することで検索結果の表示から無くすこと(インデックス削除)ができます。(YahooもGoogleと同じ検索エンジンなので同じ結果になります。)
但し、サイト自体が消えるわけではないので別の検索エンジン(Bing等)の表示には残ってしまう場合があります。
著作権侵害の報告: ウェブ検索
※Googleアカウントでログイン後でないとフォーム表示されません。
オリジナルサイト運営者からの直接的な申請としてはこちらが一番ですが申請には責任も伴うので注意が必要です。
4、外部機関への対策
警察
フィッシングサイトなど利用者に悪影響をもたらすようなコピーサイトになっている場合は警察窓口にも報告相談しましょう。
フィッシング110番
広告代理店
バナーなどが貼られアフィリエイトなどの誘導がされている場合は出稿元の広告代理店への報告も方法です。サイト自体の削除などは難しくても広告収入減をなくすことでコピーサイトの意味を無くしたり、運営者の情報を得られる可能性があります。
サーバー会社
自社でサーバーを用意していない限り、ウェブサイトを表示するためにレンタルサーバーを借りているはずです。サーバー会社に報告を行うのが直接的な対応としては確実かもしれません。
にURLを入力するとサーバー・ドメインの項目に情報が表示されることがあります。
但し海外のサーバーを利用していたら対応が難しい場合があります。
また国内のサーバーでも報告したら簡単に削除してくれるというものでもなくプロバイダ責任制限法の送信防止措置請求の手続き書類を準備し審査時間が必要になってきます。
まとめ
コピーサイトと一口でいっても種類は様々です。
デザインやコンテンツをそっくりそのままにして公式サイトとして誤認させて情報を盗み取るフィッシング系のサイト、SEO目的でのブログ記事の作成の手間を減らすためにテキストをコピペして作成するコピーサイト、アフィリエイトや外部サイトへ誘導するサイトを手っ取り早く作成するためにデザインなどを流用したコピーサイト等々。
Googleなどの対策も日々進みますがどうしてもイタチごっこになってしまうところがあります。
手間や時間はかかりますが、イメージダウンやユーザーに不利益を与えないためにも自社で対策できることは対策していきましょう。
Microsoft Outlook(2003~2016)のデータをGmailに移行
投稿日:
パスワードを入力してください。
パスワードは、弊社のクライアントもしくは、現在商談中のお客様のみ閲覧が可能です。
閲覧したい方は、営業担当もしくはこちらからお問い合わせください。