httpsとは?httpとの違いやメリット、費用をわかりやすく解説!
自社ホームページのセキュリティ対策のため、httpからhttpsへの変更を考える方が増えています。しかし両者の仕組みや違いがわからず、何をしてよいかわからないとお悩みの方も多いのではないでしょうか。
今回はhttpとhttpsの違いや仕組み、種類やメリットについて、わかりやすく解説します。
httpsとは?
はじめに、httpsとは何か、httpとはどう違うのかなど、httpsの基礎知識について解説します。
httpsとhttpとの違い
httpsとhttpはどちらも、インターネットのどの環境でもホームページを表示できるように作られた、通信上のルール。
かつてのインターネットでは、ユーザーのOSや端末などの環境により、ホームページがうまく表示されない問題が起きていました。しかし現在はhttpで通信上のルールが設けられたことで、どの環境でもページを同じように表示できます。
httpsはhttpのセキュリティ強化版で、httpsのsは「secure」を意味します。httpsは通信を暗号化することで、データを読み取れないようにしている点がhttpと異なる点です。
郵便に例えると、httpは内容が丸見えのハガキで、httpsは外から内容の見えない封書とイメージすると解りやすいでしょう。
インターネットで検索したとき、アドレスバーに鍵マークが表示されているのがhttpsのURLです。
httpsの仕組み
ホームページをhttpsにする際には「SSL」という技術を使います。
SSL(Secure Socets Layer)とは、インターネット上で通信を暗号化し、外部から見えないようにする仕組みのこと。SSLでデータを暗号化すれば、通信中にデータを第三者に読み取られるリスクを減らせます。
ホームページをSSLで暗号化する必要性が増している背景には、近年のスマートフォンの普及によるインターネットアクセスの増加や、サイバー攻撃の手口の巧妙化があります。そのため今後はhttpのままのホームページをSSLでhttps化し、取引先や顧客の重要な情報が第三者に漏れることを防ぐ必要があるといえます。
https化のためのSSLにはいくつかの種類がありますが、詳細は後の項で解説します。
ホームページをhttps化するメリット
ここでホームページをttps化する3つのメリットを解説します。
サイトのセキュリティ性向上
ホームページをhttps化する最大のメリットは、サイトのセキュリティ性の向上。
httpのままデータを暗号化しなければ、悪意のある第三者により顧客情報を悪用される可能性があります。たとえばネットショップで、顧客が入力したクレジットカード情報や氏名・住所などが盗聴され、悪用による金銭的被害を生むことが考えられます。またデータの改ざんにより、注文内容を変更されたり、詐欺サイトへ転送されたりする可能性もあるでしょう。
httpからhttpsに変えることで、なりすましや盗聴、データの改ざんを防ぐことができます。また仮に改ざんされても検知されるため、悪用を防げるのです。
安全なサイトを構築することで、サイト訪問者のデータを危険に晒さずに済みます。
サイトの信頼度向上
ホームページのhttps化には、サイトの信頼性を向上するメリットもあります。
ホームページをhttps化するために、サイト運営者は審査を経て「SSLサーバー証明書」発行などの認定を受けています。審査に通り認定を受けた者と判れば、そのサイトは信頼性が高いと見られるのです。
最近ではサイトの訪問者側もhttpとhttpsの違いを理解し始めており、ホームページがhttpsのサイトだと、気にするユーザーであっても安心して閲覧できます。
そのため、サイトの信頼性向上のためにも、ホームページをhttps化することをおすすめします。
SEOに有効な可能性が高い
ホームページをhttps化するメリットとして、SEOに有効である可能性が高いことも挙げられます。実際にgoogleは2014年に、httpsサイトをランキングで高く評価すると発表。
Google は過去数か月にわたり、暗号化された安全な接続をサイトで使用していることを検索のランキング アルゴリズムのシグナルとして考慮するテストを実施してきました。このテストで十分な結果が得られたため、Google はランキング シグナルとして HTTPS を使用することにしました。
もちろんGoogleの評価基準はコンテンツの内容が優先ではありますが、ホームページをhttps化することで表示順位の向上が期待できます。
ホームページをhttps化する際の注意点
ホームページをhttps化するメリットと必要性をご理解いただけたのではないでしょうか。
ここでhttps化の注意点を一点お伝えします。
https化したらセキュリティが万全なわけではない
ホームページをhttps化することで、ホームページで行われる通信を暗号化することはできますが、これだけではセキュリティ対策は万全とはいえません。マルウェア感染のようにhttps化するだけでは防げないリスクもあります。
マルウェア(malware)とは、コンピューター内で不正・有害な動作をさせる「悪意あるソフトウェアの総称」です。例として「トロイの木馬」や「ワーム」などがあり、コンピューターウィルスもマルウェアの一種です。
マルウェアに感染するとパソコンのデータが破壊され、内部のデータが閲覧・使用できなくなるほか、管理権限を乗っ取られることもあるため非常に危険です。
マルウェアの予防対策には、セキュリティツールの導入やOSの更新、見知らぬメールの添付を開かないなどがあります。
マルウェアの意味や予防対策、感染してしまったときの対処法など、詳細は以下の記事を参照してください。
関連記事:マルウェアとは?種類や感染経路、兆候、被害例を解説
httpsで使われる「SSL」の種類
通信を暗号化するSSLには「独自SSL」と「共用SSL」の2種類があり、費用も異なるため、それぞれ理解しておきましょう。
独自SSLと共用SSLの概要・メリット・デメリットを以下にまとめました。
|
独自SSL |
共用SSL |
|
|
概要 |
・自社のドメインに個別に SSL証明を行う |
・サーバー会社のSSL証明を共用する |
|
メリット |
・運営者の信頼性・安全性を 証明できる |
・低コストで運用できる |
|
デメリット |
・コストがかかる ・審査に時間を要する |
・運営者の信頼性を証明できない ・ドメイン(URL)が変わる |
独自SSLと共用SSLについて、それぞれ詳しく解説します。
独自SSL
独自SSLは、自社のドメインに対して独自にSSLを適用できるもの。
自社の名前でSSL証明を発行するため、費用はかかりますが、採用すればホームページ運営者の信頼性を示すことが可能です。ドメイン上では「http」の部分が「https」に変わります。
かつては共用SSLが多く利用されていましたが、近年は独自SSLでホームページ全体をSSL化することが主流。ホームページのどこを見てもSSL化されていることから、独自SSLは「常時SSL」とも呼ばれています。
独自SSLにはさらに3つの種類がありますが、詳細は「ホームページのhttps化の費用相場」で解説します。
共用SSL
共用SSLとは、同じサーバーを使うユーザーとひとつのSSLを共用する方式。
ドメインはサーバー会社指定のものに変わり、「https://サーバー会社ドメイン名/運営者ドメイン名/~」のように表示されます。
独自SSLと比べ費用の安いことが特徴ですが、サーバー会社の信頼性を示せても、ホームページ運営者の信頼性を示すことはできません。
かつてのhttps化はホームページ内の顧客情報入力ページのみ共用SSLで暗号化し、他のページはhttpのままという手法が大半でした。しかしそれではユーザーがサイトの他のページを閲覧中にCookie情報(保存されたログイン情報)を盗まれるリスクが残ります。
近年のフリーWi-Fiの普及やインターネットアクセス機会の増加を踏まえ、サイト運営側でも安全性に配慮し、独自SSL化の動きが進んでいるのが実情です。
ホームページのhttps化の費用相場
SSLを採用しホームページをhttps化することの重要性は理解したものの、費用が気になる方も多いのではないでしょうか。
ここからhttps化するための費用相場を、独自SSLと共用SSLそれぞれについて解説します。
独自SSLの場合
先の項でも触れましたが、近年は独自SSLが主流です。独自SSLにも3種類あり、それぞれ特徴があるため表にまとめました。
|
ドメイン認証 |
企業実在認証 |
EV |
|
|
メリット |
・安価 ・手続きが簡単 ・発行が速い |
・運営者の信頼性を 証明できる |
・もっとも高い 信頼性を証明できる |
|
デメリット |
・所有者の実在を証明できず 信頼性が低い |
・費用がやや高い ・手続きが煩雑 |
・費用が高い ・手続きが煩雑 |
|
認証レベル |
低 |
中 |
高 |
|
申請可能者 |
個人・法人 |
法人のみ |
法人のみ |
|
主な運用者 |
コーポレートサイト ブログ メディアサイト |
クレジットカード決済や 個人情報を扱うサイト |
ブランド・銀行・ 官公庁サイト |
|
フィッシングサイト 対策 |
✖ |
〇 |
〇 |
|
ドメイン名使用権の 確認 |
〇 |
〇 |
〇 |
|
組織の実在の確認 |
✖ |
〇 |
〇 |
|
組織の運営の確認 |
✖ |
✖ |
〇 |
|
承認者・ 署名者の確認 |
✖ |
✖ |
〇 |
|
料金(1年) |
数千円~数万円 |
数万円~10万円 |
10万円~ 数十万円 |
ドメイン認証では料金が安い代わりに認証レベルも高くありません。企業実在認証は、その名のとおり所有者の実在証明ができるため認証レベルがやや高く、料金もそれに応じて高くなります。EV認証はもっとも認証レベルの高いSSLで、運営組織の確認がなされているかわりに、料金も高額です。
独自SSLは種類により費用と信頼性が異なり、基本的に信頼度が高いほど費用も高くなります。
そのため自社の優先度を考慮しながら、目的に応じてSSLを選択する必要があります。
共用SSLの場合
共用SSLの場合は、無料~数百円の低料金で利用できますが、実際には無料のサービスが多いです。
無料のサービスが多いのは、サイト運営者が独自のSLLサーバー証明書を取得せず、共通のドメイン名で利用でき、認証コストがかからないため。ただしサーバー会社の中には近年、共用SSLサービスの提供を終了し、無料で一部の独自SSLサービスを提供する会社もあるため、個別に確認が必要です。
今後は独自SSL化が加速することが考えられます。コストを抑え共用 SSLにするのか、無料や低料金の独自SSLにするのかなど、自社の導入目的に合わせて方法をご検討ください。
SSLについてさらに詳しく知りたい方は以下の記事もあわせてご覧ください。
ホームページをhttpsにしてセキュリティを強化しよう
ホームページのhttps化は今やセキュリティ対策上、不可欠となっています。
年々巧妙化する通信傍受やデータ改ざんなどの手口から、顧客の重要情報を守るためには、SSLによるデータの暗号化は必須といえるでしょう。ユーザーも信頼性・安全性の高いサイトを多く訪問するため、集客の意味合いからもセキュリティ強化は重要です。
ホームページをhttps化する方法はいくつかあり、それぞれコストや安全性が異なりますが、現在は信頼性の高い独自SSLが主流になっています。
自社サイトのセキュリティを高め商機を拡大できるよう、ホームページのhttps化をご検討ください。
