タグ: レンタルサーバー

先日もまた、この件でお客様（個人事業主の方)からご質問をいただきました。

ただ、この方がご利用中のレンタルサーバーでは、導入出来るSSL証明書が限られており、かなりコストが嵩んでしまうため、「今すぐに行うのは厳しいと感じられるかもしれません。絶対にヤラなければ…という感じではなく、おいおいいいタイミングが来た時でも良いかと思います。」と言うような内容を書き添えたと記憶しています。

お客様とサイト運営者の情報のやり取りを安全にする施策、やったほうが良いのは確実ですが、問題になるのは導入に掛かる様々なコスト面ですよね。運営されているサイトのサーバーの縛りがネックになって常時SSL化に踏み切れていない個人事業主の方や企業様も多いのではないでしょうか？

個人事業でありながら、企業認証並みの証明書の価格を払うのはあまりにももったいないですし、企業であっても企業認証・EV認証までコストを掛けなくたっていいという考え方ももちろんあると思います。

常時SSL化は比較的簡単に出来る、セキュリティリスク回避策

さて、当社サイトもそうですが、常時SSL化の大きな波は2014年あたりから始まっていますよね。

SSLというと送信フォームは暗号化通信を掛けて個人情報を守る…というのが定説でしたが、Googleが「httpsサイトをランキングで優遇しまっせー」と明言してから、サイト全域のSSL化（常時SSL化）はどんどん進められていますね。（当サイトの常時SSL化もそれがきっかけでした）

常時SSLのメリットについてSEOに有利とか、HTTP/2で早いとかもありますが、もっと本質的なところをおさらい的に簡単に書いておきますと、

1. ユーザの投稿情報を守る。
   サイトを訪れるユーザにとって、安心・安全感を与えサイトの信頼性（偽物じゃないよー）を伝えやすくなります。
2. ユーザのサイト上の行動を守る。
   上２つの様な情報送信を行わない状況の閲覧などでも、Cookieへの不正アクセスを防止でき、セッションを乗っ取られてしまうなどの対策に繋がります。
3. サーバーサイドでサイト内容を操作するCMSでのサイト運営についても必須。
   CMSへログインする際、情報投稿する際、保持している個人情報を閲覧・操作する際…などなど、通信を傍受される危険性はいつもつきまといます。

個人事業主の方や若い経営者の方などは、忙しく動き回りながら、積極的に情報収集や情報発信に取り組んでいるケースが多いですが、フリーWi-Fiエリアで、自社サイトの情報更新をしたり、なんてことも多いかと思います。セキュリティに関する細かな知識を持ち合わせていないわりに、けっこう楽観的だったり^^;とっても危ない行為なんですけどね…。

サイト改ざん、個人情報漏えいなどのリスクは、小さな会社は一瞬で吹っ飛んでしまうほどの怖さがありますので、すぐ出来るリスク回避策としても、常時SSL化は有効かと思います。

常時SSL化のススメ方

常時SSL化の流れを簡単に言えば、

1. SSLの証明書の購入
2. サーバーへのインストール
3. ウェブサイトへの適応(既存コンテンツの細かなリンク記載の見直しなど含む)

です。

SSL証明書、年間1,000円程度で済むものから20万円以上掛かるものまでピンからキリまで有りますよね。
認証レベルや実在証明など機能的な違いがもちろんありますが、安いものだからといって、暗号化の強度が大きく違うのか？というと、実はそういうわけではないのです。

冒頭にも書きましたが、企業として「サイト所有者の身元の信頼度」をどれだけみせたいか！？ではなく、「サイト運営者として、運営管理の実務における情報のやり取りや、お客様の自社サイト上での情報のやり取りなどを、安全に守る環境を作っておきたい」という事が目的であれば、安いSSL証明書でも十分だと思います。

サイトで展開するサービスにもよりますが、個人事業主さんや小規模な事業所さんであれば、身元の信頼度に固執するよりも、まずは安全性の目的を達成するために安いSSL証明書を選択すれば、会社を安全に維持できると思うのです。（無駄なプライドにコストを掛けてほしくないと）

ただ、お使いのサーバーによっては、提供しているSSL証明書が限定されている（SSL証明書の購入後の持ち込みが出来ない）ケースも多いと思われます。

どこか大手のサーバーをやり玉に上げたくはないので明記はしませんが、これからは常時SSLでのサイト運用を大前提として、レンタルサーバーも考えていく必要があります。サーバの月額費用は500円、なのに証明書は最安のを選んでも月額3,000円程度かかってしまう…なんて事もありますから、トータルコストで無理なく安全なサイト運用を行えるサーバーを選んでおきたいものですね。