ECサイトでの商品の販売・購入、サービスの予約や会員登録など、個人でもビジネスでもざまざまな目的で利用されるインターネット。
通信速度の向上やWi-Fi環境の充実により、あらゆる公共の場でアクセスできることが当たり前になりましたが、
その便利さの裏側には致命傷ともなり得るリスクも存在しています。
2018年7月、Google ChromeのアップデートによりSSL化していないすべてのページに対して、
「保護されていない通信」のラベルが表示されるようになりました。
これはGoogleがSSL対応を推奨し、未対応のサイトからユーザーを遠ざけ、守るために施行されたものです。
アップデートから数年が経ちSSL対応は特にECサイト制作・運用において常識となりました。
しかし、今でもなお、SSL未対応なサイトを見かけることがチラホラあります。
そもそもSSLとは、インターネット上でのデータの通信を暗号化し、
第三者によるデータの盗聴やなりすましを防ぐ仕組みのことです。
SSL化されたWebサイトは、URLの先頭が「http://~」→「https://~」となり、通信の暗号化が保証されます。
盗聴やなりすましのリスクと聞いてもいまいちピンときていないWeb担当者様もいらっしゃるのかもしれません。
または証明書の有効期限切れによるラベル警告も考えられます。
SSL未対応のままサイトを運用・放置することは、
訪問者だけでなく、企業にとっても致命的なリスクとなります。
双方にとって具体的にどのようなリスクがあるのか、解説していきます。
なぜSSL未導入は危険なのか~訪問者側のリスク~
①データの盗聴
「盗聴」とは、データ情報などを盗み見る行為です。
気軽にインターネットを利用できるようになった反面、盗聴による情報漏洩のリスクも急激に高まっています。
パスワードやアカウント情報を盗まれてしまうと、不正アクセスや金銭的な被害を被る可能性があります。
個人情報は、フォームに入力する名前やパスワード、クレジットカード番号だけではありません。
cookie等のデータに閲覧履歴やログイン情報などの個人情報が含まれる場合もあります。
また、個人情報が流出してしまうと、スパムメール(迷惑メール)や架空請求が届く確率が増大します。
②なりすまし
「なりすまし」とは、悪意ある第三者が勝手に有名なウェブサービスやネットバンクなどのサイトを本物そっくりに作ったページにアクセスを誘導し、
IDやパスワード・個人情報や決済情報などを不正に入手しようとする、
いわゆる「フィッシング詐欺」と呼ばれている不正行為です。
企業の実在証明になる「SSLサーバー証明書」が導入されたサイトでは、
ブラウザの鍵マークからサイトの運営者や組織名を確認できます。
なぜSSL未導入は危険なのか~企業側へのリスク~
前述の通り、SSL未設定のサイトは危険と隣り合わせです。
放置していること自体がリスクではありますが、企業にとって具体的にどのような危険性があるのでしょうか?
①情報漏洩
お客様の個人情報やクレジットカード、パスワードといった重要な情報は特に狙われやすいです。
悪用されてしまった場合、お客様や取引先からの信頼を失い、多額の賠償支払いが発生するなど、
企業にとって存続を揺るがす大きな問題になります。
- クレジットカード情報を求めるECサイト
- IDとパスワードの入力を必要とするログインフォーム
- 「お問い合わせ」などユーザーのプライバシーに関わる情報を扱うWebサイト
上記のようなサイトを運用されている場合、SSL必須と言えます。
通常のコーポレートサイトやブログ記事なども、SSL化するのが当たり前となっています。
②売上や集客への影響
SSLサーバ証明書を正しく設定しなかったり、有効期限外の証明書をインストールしている場合、
サイトを訪れると以下のような警告が表示されます。
「警告ページ」が直感的に分かるようになったことで、ユーザーは個人情報の入力をためらいます。
会員登録はもちろん、ECサイトだとしたら住所やクレカ情報を危険に晒してまで、商品を購入したいと思うでしょうか?
SSL未対応は知らずのうちに売り上げや集客の機会損失を招いているのです。
まとめ
世界中とつながっているインターネット上の情報運用/管理には、
細心の注意を払わなければなりません。
運営されているサイトに「保護されていない通信」と表示されている場合、
早急な対応をお願いいたします。
SSL導入はお客様のサーバー環境によって設定方法や金額が異なります。
弊社にてお見積りも可能ですので、まずはお気軽にご相談ください。
Written by yasuda