【レポート】Web担当者Forumミーティング 2014 Autumn
SEOにも影響するWebページ全体HTTPS化(常時SSL)の効果と実装のポイント
グーグルが、SSL化されたWebサイトをSEOの評価として優遇することを2014年8月に公式発表したこともあり、サイト全体をHTTPからHTTPSに変更する流れが加速している。SSL化に必要となるサーバ証明書発行の大手シマンテック・ウェブサイトセキュリティ(ベリサインを吸収合併)の木村泰介氏がWeb担当者Forumミーティングで登壇し、常時SSL化のメリットとデメリット、具体的な対処方法について語った。
増大するセキュリティリスク
まず木村氏は、常時SSLの話に入る前に、昨今のセキュリティトレンドについて触れた。
2020年に開催される東京オリンピック・パラリンピックを契機に、外国人観光客を増やそうと政府や地方自治体が音頭を取り、案内表示の外国語表記とともに公共無線LANの大量設置が予定されている。しかし、通常Wi-Fi通信は暗号化されていないため、セキュリティリスクが懸念されると木村氏は指摘する。
特に、Wi-Fiスポットに接続する他人のCookieを傍受できるブラウザのアドオン機能が登場していることから、セッションIDを詐称してなりすましログインを行い、個人情報を取得するマンインザミドル(中間者攻撃)という手口には警戒する必要がある。
GoogleやTwitterなど大手サービスが進める常時SSL化のトレンド
前述の通信傍受の問題は、WebサイトのSSL化(HTTPS化)を行い、ブラウザとWebサーバー間の通信を暗号化することで回避できる。WebサイトのHTTPS化によって通信の内容を暗号化すれば、たとえ通信が傍受されたとしても、暗号をデコードしない限りCookieを読むことができないからだ。
従来から、個人情報を入力するWebフォームやログインページのみHTTPS化しているサイトは多いだろう。HTTPページとHTTPSページを使い分けていたが、現在はすべてのページをHTTPS化する「常時SSL化(Always-On SSL)」によるセキュリティ強化がトレンドとしてあるという。
常時SSL化に先進的な企業の代表は、なんといってもグーグルだ。「Google+」「Google アナリティクス」「Google Adwords」といったセキュアな情報をやりとりするサービスはもちろん、Google検索も数年前から常時SSL化されている。
また、グーグルがウェブマスター向けブログで「HTTPSをランキングシグナルに使用する」と、公式に発言したことにも注目が集まっている。現在のところ、影響を受ける検索結果は全体の1%未満とされているが、今後は影響が高まることも考えられる。
グーグルだけではなく、プライバシーに関わる情報を多く扱うFacebookやTwitterはもちろん、マイクロソフトのBing、米Yahooもすでに対応を終えている。
国内では、2013年4月にネット選挙が解禁されたことをきっかけに、自由民主党や公明党など、政党の公式サイトが常時SSLを採用した。これはユーザーの保護というよりも、なりすましサイトなどをけん制するといった意味が大きい。なお、これら政党のサイトは、アドレスバーの先頭が緑色で表示されるSSLの上位規格「EV SSL」を採用しており、より厳格な認証を行っている。
このように、常時SSL化にはセキュリティ強化だけでなく、サイトの安全性と信頼感がともに高まるというメリットがある。
常時SSL化の実装方法は4パターン
次に木村氏は、常時SSL化の実装方法には大きく4つのパターンがあると解説した。
- HTTPS(SSL)のみにする
一番安全性は高いが、すべての被リンク先のURL変更は事実上不可能ということもあり、HTTPによるアクセスを取りこぼしてしまう可能性がある。
- 「.htaccess」ファイルでHTTPのアクセスをすべてHTTPSに転送(301転送)する
サーバーの設定ファイル「.htaccess」を使い、HTTPページからHTTPSページに転送する。これはHTTP/HTTPSどちらのページにアクセスしても必ずSSL暗号化される方法だ。グーグルも、この方法がSEOに与える悪影響はほとんどないとしている。
- ハイブリッド(HTTP/HTTPSの両方を運用)にして、HTTPサイトにHTTPSサイトのリンクを設置する
- ハイブリッドにして、HTTP/HTTPSの両サイトを並行して運用する
ハイブリッドの運用では、どちらもHTTPとHTTPSで被リンクが別扱いになるため、SEO効果が分散されるというデメリットがある。また、画像のリンク先を両サーバーで変更する必要があるのでメンテナンスにも手間がかかる。
Webマーケティングへの対応
常時SSL化は、アクセスログ解析にも影響を与える。ログ解析ツールは、HTTPとHTTPSでログファイルが別々になっている場合があるため、従来であればそれぞれのデータを見る必要があったが、常時SSL化するとHTTPSのみを分析対象にすればよいというメリットもある。
また、多くのブラウザはHTTPSサイトからHTTPサイトへの移動時にリファラ情報を引き渡さないため、自社サイトがHTTPだった場合、リンク元が「不明」になってしまうが、自社サイトがHTTPSであれば、リファラ情報を取得しやすくなるのも利点だ。
Webマーケティングの観点からも常時SSL化はメリットがあります。というよりもデメリットがなくなると言ったほうがいいでしょう(木村氏)
アプリ開発で忘れてはならないSECURE属性
常時SSL化する際には、一点注意することがある。これは技術的な側面になるが、Webアプリ開発の際、サーバーからクライアントに送るCookieのレスポンスヘッダにSECURE属性を必ず指定することだ。この属性を指定することで、HTTPS接続時しかCookie情報の利用はできなくなり、Cookieが盗聴される危険性を極小化できる。
また、従来SSL通信はサイトのレスポンス(通信速度)を悪くすると言われていたが、その原因はSSLネゴシエーション(暗号通信の確立に必要な手順)の回数と、その処理に必要なCPUの能力的制限だ。SSL通信のCPU処理にかかる負荷は、マルチコアCPUの普及によって処理能力が大幅に向上したため、懸念することはないという。
なるべくコンテンツを複数のサーバーに分散させず、1つのサーバーにまとめるのも通信速度の向上に効果的だ。SSLアクセラレーターやCDNサービスといった、HTTPS接続に特化した製品・サービスを利用して、処理をアウトソースするという方法もある。また、暗号通信の確立に必要な手順の発生回数を減らすための手法として、サーバーのKeepAlive設定を有効にする方法も紹介された。
301転送から始めるのが一番のおすすめ
始めに示されたように、常時SSL化の手法にはいくつかの手法がある。実際に導入を進めるには、どの手法を選択すべきか、木村氏はメリットとデメリットを鑑み、完全に常時SSL化し、HTTPページのアクセスを同じ内容のHTTPSページに301転送(恒久的な移動)することでの対応をすすめる。そうすることで、HTTPページのアクセスを取りこぼすことがなく、ハイブリッドによる運用負荷の問題も解消できるからだ。
― | 常時SSL化 | http/httpsのハイブリッド |
---|---|---|
メリット |
|
|
デメリット |
|
|
実装サイト例 |
301転送による運用方法を続け、最終的にHTTPページのアクセスがなくなったら転送設定もストップすればよいと木村氏は強調し、セッションを終えた。
合同会社シマンテック・ウェブサイトセキュリティ
https://www.jp.websecurity.symantec.com/