常時SSLはするべき！？メリットとデメリット

個人情報漏洩の問題が珍しくなくなり、情報セキュリティの意識が個人レベルまで広まるようになりました。特にインターネットのセキュリティは年々注目されるようになり、Webサイトの常時SSL化が注目されています。

そんな中、Googleが2014年8月にSSL/httpsを検索結果のランキングシグナルに使用することを発表したのを皮切りに、YahooもYahoo検索をSSL化することを発表し、Webサイトの時代の流れが常時SSL化に向かっていて今後も加速することが予想されます。

では、すぐにでもサイトを常時SSL化するべきなのでしょうか。今回はSSL導入のメリット・デメリットについてご紹介します。

そもそもSSLって何？

まずはSSLとはそもそも何なのかについてご説明します。SSL（Secure Sokets Layer）はインターネット上でデータを暗号化して送受信するプロトコルです。主にWebサイトの閲覧者とサーバ間のデータの送受信で用いられます。通常の送受信と異なるところはデータを暗号化して送る点です。データを暗号化してから送るため、第三者からデータを盗み見られたり、改ざんされるリスクが激減します。

URLが「http」ではなく「https」から始まるサイトがSSLサイトです。昔から個人情報を入力するECサイトの入力フォーム等では、多くのサイトでSSL化されていて、フォームページのみhttpsのURLに対応しているサイトをよく見かけます。現在注目されている「常時SSL」は、サイトの全ページをhttpsにすることです。個人情報の送受信が守られていれば十分な気がしますが、常時SSLにするメリットはどこにあるのでしょう？

常時SSLのメリット

常時SSL化するメリットで言われているのは主に以下の4つです。

・セキュリティの強化
・信頼性の向上
・アクセス解析でのリファラーの精度向上
・SEOに有利

セキュリティの強化

個人情報は、フォームに入力する名前やパスワード、クレジットカード番号だけではありません。通常のページを閲覧している時もcookie等のデータが含まれていることがあります。閲覧履歴やログイン情報等の個人情報も含まれますが、常時SSLによってこれらの盗聴も防ぐことができます。

信頼性の向上

SSL化の際、第三者機関のSSL認証局がSSLサーバ証明書を発行します。証明書の種類にもよりますが、サイト運営企業の実態まで調査してから発行します。発行を受けたサイトは認証局のサイトシールをサイト上に設置することができ、SSLサーバ証明書をユーザーがブラウザで確認することができます。これによってユーザーにSSL化された安心して利用できるサイトであることをアピールでき、サイト、並びに企業の信頼性の向上につなげることができます。

ブラウザでSSLサーバ証明書を確認する方法は以下です。（Google chromeの場合）

SSL化されているページはURLの左に鍵マークが表示されます。鍵マークをクリックした後に、「詳細」をクリックします。

SSLについての情報が表示されるので、その中にある「view certificate」をクリックするとSSLサーバ証明書のウインドウが表示されます。

アクセス解析の精度向上

Google Analytics等でサイトのアクセスデータの解析を行う場合、どこのサイトから自分のサイトへ訪問されたかを知る「リファラー」データは非常に重要な項目です。しかし、ユーザーがhttpsサイトからhttpサイトに移動する場合は、このリファラーが渡されず、参照元無しとなるノーリファラー（no referrer）としてカウントされます。
リファラーを渡す元サイトが「meta name=”referrer”」を使うことによって、https → httpへリファラーを渡すことも可能ですが、受け取る側で制御することはできません。自分のサイトをhttpsにすることで、http、https両方のサイトからリファラーを受け取れるようになります。

SEOに有利

冒頭でもお伝えした通り、Googleは2014年8月にhttpsを検索結果のランキングシグナルに使用することを公式に発表しました。簡単に言えば、「httpのサイトよりhttpsのサイトの方が検索順位を優遇しますよ」というものです。この発表から、常時SSLが以前よりも注目を集めるようになったきっかけとも言えますが、現状ではSEOの影響は非常に小さいものです。今後重要度が増す可能性はありますが、現状ではほとんど気にしなくていいレベルと言えます。

常時SSLのデメリット

常時SSLはメリットだけでなくデメリットも存在します。現時点で考えられるデメリットは以下です。

・運用コストの増加
・広告収入の減少リスク
・リファラーが渡せなくなる

運用コストの増加

SSL化の際に必要なSSLサーバ証明書の発行に費用が発生します。証明書の種類や発行する認証局によって金額に差があり、無料のものから年間で10万円程度のものまでさまざまです。基本的に1サイトごとに証明書が必要なため、多数のサイトをSSL化する場合は、その分費用もかさむことになります。
ただし、複数サイトを一括でSSL化する場合は、ワイルドカードやマルチドメインのオプションをつけられる認証局もあります。これらを使うことで、別ドメインやサブドメインの複数サイトを一括して証明書を発行できるのでコストを抑えることが可能です。

広告収入の減少リスク

広告掲載をしているサイトのSSL化は特に注意が必要です。httpsのサイトはサイト内のコンテンツ全てがSSLに準拠していなければならないため、httpサイトの広告の掲載ができません。Google AdsenceではSSL非準拠の広告を排除するので、オークションの競争率が低下して広告収益が低下する可能性があります。

HTTPS 対応サイトでは、広告を含むページ上のすべてのコンテンツが SSL に準拠している必要があります。そのため AdSense では、HTTPS 対応ページに掲載する広告を決めるオークションから、SSL 非準拠の広告を除外します。サイトを HTTPS に対応させることを検討している場合は、オークションから SSL 非準拠の広告が除外されることによって、オークションの競争率が低下し、HTTP ページに広告を掲載する場合よりも収益が低下する可能性があることに注意してください。

「Google AdSense ヘルプ: SSL 対応の AdSense 用広告コード」より引用

リファラーが渡せなくなる

リファラーを受け取れるようになることが、httpsのメリットとして挙げましたが、逆で捉えると、httpsになることで、httpのサイトにリファラーを渡すことができなくなります。メディアサイト等では、自サイトから他サイトへ誘導していることが、サイトの価値となっていることも多いでしょう。しかし、https化することでリファラーが渡されず誘導を計測することができなくなってしまいます。

これを解決する方法もあります。前述したように「meta name=”referrer”」を使えばhttps→httpへリファラーを渡すことができます。但し対応しているブラウザが現時点では限定されているため、全てを渡すことはできません。

まだまだhttpのサイトの方が圧倒的に多い現状では、リファラーを渡すことに価値があるサイトは導入を見送った方が懸命かもしれません。

常時SSL化はするべき？

上記の通り、常時SSL化にはメリット、デメリットがあります。これらを踏まえると取り掛かるべきかどうかは、サイトのテーマで変わってくると考えられます。

信頼性やセキュリティを問われることが多い企業のコーポレートサイトやECサイトではメリットの方が大きいでしょう。運用コストさえ問題でなければ、とりかかってもよいかもしれません。また、サイト新規立ち上げの際は、後々変更することを考えると同じタイミングで行ってしまった方が楽でよいかもしれません。

一方、広告収入が目的のサイトや、リファラーを渡すことが重要なサイトについては、まだ慎重になるべきです。安易に行うことで、サイトの価値を損ねる危険性があります。また、SEOのみを目的とした場合は、効果もほとんど期待できず、そもそもSSLの本質とはずれているので、今は見送ったほうがよいでしょう。

まとめ

今後も常時SSLの動きは加速していくことが予想されます。httpsのサイトは増えてhttpsが当たり前の時代もそう遠くないかもしれません。ただ、今すぐに焦って行うことではありません。現状のメリット・デメリットを理解した上で、移行するタイミングを見極めてください。