SSLはなぜ会社によって値段が違うの！？今さら聞けないSSLの仕組みと導入のメリット

皆さん、こんにちは。
京都のWebマーケティングチーム「ウェブライダー」の松尾です。

某社からCPIサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。
CPIの専用サーバーを使い始めて2年目に突入しましたが、とても快適です。

前回、Webセキュリティに関する記事を書きました。
その流れで、今回はWebセキュリティを強化するための「SSL（Secure Sockets Layer）」に関するお話をします。

このSSLは、インターネット上の通信を暗号化する技術のことです。
たとえば、Webサイト上にある「お問い合わせフォーム」などをSSL化すれば、そこで送信される情報が盗み見られることがありません。

「えっ！？お問い合わせフォームの情報が盗まれることがあるの！？」と驚いた方がいらっしゃるかもしれませんが、実は、お問い合わせフォームの内容にかかわらず、ネットで行われるすべての通信は、盗み見られる可能性があります。

たとえば、電話機をイメージしてください。
電話機の回線に盗聴器を仕掛ければ、電話の内容は盗聴できてしまいますよね。
それと同じで、インターネット回線を介したネット上のやりとりは、攻撃者によって傍受される恐れがあるんです。

ただ、その傍受された内容が「意味の分からない暗号」になっていたらどうでしょう？
日本語などでやりとりされているはずの文字列が、意味のわからない暗号に変化していたら、通信を傍受しても中身を知ることはできません。

SSLとは、まさにその、“ネットを介してやりとりされる情報を暗号化する技術”のことを指します。
WebサイトをSSL化するということは、セキュリティの面で、とっても心強いことなんです。

ただ、このSSL、昔は導入コストが高く、予算の少ない小規模なサイトでは導入を見送るケースがありました。
しかし、最近、低価格なSSLが登場しており、SSLを積極的に導入するサイトが増えてきています。

というわけで、今回はSSLに関するノウハウを取り上げます。

「SSLって何のことかわからない・・・」という方にとって、SSLを導入するメリットなどをわかりやすく解説しますので、どうぞ最後までお読みください。

それではまいりましょう。

●このページの目次

早速ですが、SSLには以下のふたつの役割があります。

1. やりとりされるデータの「暗号化」
2. Webサイトの「所有者の証明」

まずはひとつめの役割、「データの暗号化」からみていきましょう。

たとえば、クレジットカード情報を入力するECサイトがあったとします。
もし、このECサイトがSSL化されていない場合、ユーザーが入力したクレジットカード情報は、「誰でも読める状態」のまま、サーバーに届きます。
そうなれば、攻撃者によってクレジットカード情報を盗み見される恐れがあります。

しかし、このECサイトがSSL化されていれば、ユーザーが入力したデータは暗号化されたのちに、サーバーに届きます。
そうなれば、攻撃者はクレジットカード情報を盗み見ることはできません。

続いて、ふたつめの役割、Webサイトの「所有者の証明」について説明します。

この所有者の証明とは、「このサイトはSSLを導入していて、信頼できるサイトだよ！」という「SSL証明書」を、「CA（Certification Authority）」と呼ばれる認証局から発行してもらうことを指します。
（※この「CA」とは、SSLサービスを運営している団体が集まって作られたSSL認証のための組織です）

このSSL証明書は「電子証明書」となっており、“SSLを導入したそのサイトが信頼できるかどうか？”という証明書としての役割のほかに、暗号化されたデータを解読するためのカギとしての役割もあります。
このカギとは、インディジョーンズの映画などで出てくる“ふたつに分かれた石板をくっつけたら扉が開く”みたいなイメージを想像してください。
暗号化されたデータを解読するためには、必ずSSL証明書が要るということです。

このSSL証明書の内容は、契約したSSLサービスによって異なります。
SSLサービスの暗号化強度はどのサービス経由で申し込んでも同じなのですが、「認証」のレベルが異なってくるのです。

「認証」とは、このドメインは怪しくないか？（ドメインのオーナーはきちんと実在しているか？）、このサイトを運営している企業や団体は怪しくないか？（架空の会社や団体ではないか？）といったことを確認する作業のことを指します。
この認証を受けることにより、あなたはサイトを訪れた人に対して「うちのサイトは安全ですよ！」と訴求することができるのです。

ちなみに、認証のレベルには、ドメイン認証である「DV（Domain Validation）」、そして企業や団体の認証である「OV（Organization Validation）」、そして、最高レベルの認証である「EV（Extended Validation ）」という3つがあります。
なかでも、最高ランクの認証である「EV」は、SSL証明書が発行されていることが一目で分かる強みがあります。

あなたは銀行などのサイトを使った際、ブラウザのアドレスバーに、以下のような緑色の帯が現れたことを見たことはありませんか？
この緑色の帯が現れているWebサイトは、「EV」の証明書が発行されたサイト、すなわち、最高レベルの認証を受けている“安心できるサイト”なのです。

ちなみに、最近、SEOの世界でも「SSL」の話題が出るようになりました。
それは、サイトをSSL化（HTTPS化）することで、Googleから評価されて検索順位が上がる！という話題です。

参考：HTTPSをランキング シグナルに使用します（Googleウェブマスター向け公式ブログ）

実際のところは、SSL化（HTTPS化）しただけで順位がポンと上がるわけではなく、SSL化はあくまでもサイトを評価する一指標でしかないのですが、なぜ、GoogleはSSL化したサイトを評価し始めたのでしょう？

その理由はカンタンです。
Googleは常にユーザー第一主義であり、ユーザーのために、できるだけ「安全かつ信頼できそうなサイト」を検索結果に表示したいと考えるからです。

サイトをSSL化（HTTPS化）することで、ユーザーがお問い合わせフォームなどで送信した情報は暗号化され、守られます。
また、「所有者の証明」をおこなうことが可能になるため、認証レベルが高ければ高いほど、「このサイトのオーナーは怪しくないよ。オレたちが保証するぜっ！」いうと第三者からの信頼のお墨付きを得ることにもなります。

そのため、サイトのSSL化（HTTPS化）はSEOに効果的な施策といえるのです。

では、このSSLを導入するにはどうすればいいのでしょうか？

実はSSLには、安価で手軽に導入できる「共用SSL」と、自分でSSL証明書の発行手続きをおこなう「独自SSL」の2種類があります。

続けて、この2種類のSSLの違いについてお話ししましょう。

「共用SSL」とは、“サーバー会社が所有しているSSL化された空間の一部を借りる”形式のSSLで、他人のオフィスの一部を間借りするようなイメージです。

料金は安く、導入も簡単ですが、SSL化したサイトは自分のドメインではなく、“サーバー会社の保有するSSL化された空間”のドメインに置く形となります。

そのため、ユーザーによっては「あれっ？お問い合わせフォームで送信したら、さっきのサイトと違うドメインに移動したんだけど・・・」という不信感を感じさせる可能性があります。

とはいえ、SSLは導入しないより導入しておいたほうが絶対にいいです。
ちなみに、CPIサーバーの専用サーバー「マネージドプラン」では、この共用SSLを無料で利用できます。

参考：CPI専用サーバー「マネージドプラン」共用SSL

次に「独自SSL」の説明です。

独自SSLは、サーバー会社のSSL化された空間を借りるのではなく、自分のサイトのドメインをSSL化します。
ドメインをSSL化することで、サイト内にあるすべてのページをSSL化することができ、たとえば、WordPressで作られているサイトの場合、WordPressの管理画面もSSLにできます。
それによって、高いセキュリティを維持することが可能です。

この独自SSL、昔は設定や取得にかかる作業がとても面倒でした。
ただ、最近では、設定や取得を代行してくれるサーバー会社が増えており、導入しやすくなっています。

「独自SSL」のサービスにいろいろな価格帯がある理由

Webセキュリティに強いCPIサーバーは、SSL導入にも配慮されており、共用サーバー「ACE01」、専用サーバー「マネージドプラン」および「ハイブリッドプラン」で独自SSLに対応しています。

専用サーバー「マネージドプラン」では独自SSLの設定・取得代行のオプションがあるほか、1ドメイン分の「CPI SSLサーバー証明書」が標準提供されています。

また、専用サーバー「ハイブリッドプラン」では、以下のように、大手のSSL証明書の料金割引率が最大58%となる特別クーポン（！）を販売しています。

参考：CPI専用サーバーのSSL証明書

上記の表を見ていただければわかりますが、SSL証明書の料金は提供元やサービス名によって違います。

実は独自SSLごとの暗号化の強度は変わらないんです。
にもかかわらず、なぜ料金がこんなに違ってくるのでしょうか？

その理由は、各サービスの「認証」のレベルの違いにありました。

独自SSLの「認証レベル」の違いとは、そのSSLを取得しようとするWebサイトの所有者に対する“審査の厳しさ”の違いです。

認証レベルが高ければ高いほど、サイトの所有者に対する審査が厳しくなり、その分、信頼度も高くなります。
先述したとおり、認証レベルが低くても高くても、SSLの「暗号化の強度」はまったく変わりません。
認証レベルとは、あくまでもサイトの所有者の身元の信頼度なのです。

では、誰が審査をして認証するのでしょうか？
それは、「CA（Certification Authority）」と呼ばれる「認証局」という組織です。

認証局は国内にいくつかあり、たとえば、シマンテックSSLサーバー証明書を提供しているデジサート・ジャパン合同会社や、セコムトラストシステムズ株式会社、GMOグローバルサイン株式会社などが有名です。

また、認証局にもレベルがあり、最上位の認証局は政府レベルでの認可を受けています。
先ほどあげた会社は、まさに、その政府レベルでの認可を受けた認証局で、信頼度が高いのです。

そして、認証局は以下の3つのレベルでサイト所有者の認証をおこないます。
（下にいくほど、信頼度の高い認証レベルです）

1. ドメイン認証：DV（Domain Validation）
2. 企業認証：OV（Organization Validation）
3. EV（Extended Validation）

それでは、上記3つの認証について、もう少し詳しく説明していきます。

「ドメイン認証」はもっとも手軽な認証です。
「このドメインは信頼できますよ」ということを証明するための認証で、料金が安く、個人や企業など関係なく誰でも登録することができ、手続きもインターネット上だけで完結します。

ただし、その分、情報の信頼度としてはもっとも低いので、注意しましょう。
（※それでも、SSLは導入しないより導入しておいたほうが絶対にいいです）

ちなみに、認証局は以下の流れで認証作業をおこないます。

申請者は申込時に申請するドメインのSSLの「暗号化鍵」を一緒に送るので、認証局は申請者が「SSLの対応準備をしている」という確認ができます。

「企業認証」はその名の通り、企業・団体のみが登録できるもので、個人および個人事業主は登録できません。

手続きには、企業の「登記証明書」を送る必要があり、認証にはドメイン認証よりも多くの手順を踏みます。

自分のサイトのお申し込みフォームから、お客様に住所や電話番号といった個人情報を送ってもらう場合、「どんな企業が個人情報を預かるのか？」を明示し、自分たちの信用をアピールするという意味で、この「企業認証」以上のSSLを導入しておくとよいでしょう。

「企業認証」の場合の手続きは以下の通りです。
「ドメイン認証」に比べると、公的資料との照らし合わせや、人による電話確認が入り、かなり厳しく審査されることがわかります。

最高レベルのSSL証明書が「EV（Extended Validation）」です。

「EV認証」では、企業や担当者個人の実在証明がより厳しく審査されます。
（※ここでは「EV認証」という言葉を使っていますが、本来、EVという言葉は「認証」までを指す言葉です。そのため「EV認証」という言葉の使い方はおかしいのですが、分かりやすさを重視するため、あえて「EV認証」と書きます）

また、審査が厳しい分、年間の費用は十数万円～ともっとも高額になりますが、EV認証にはこのあとお話する“あるメリット”があるため、大手のECサイトや銀行といったサイトにおいては導入は必須といえるでしょう。

「EV認証」の手続きは以下のとおりです。
「EV認証」は「企業認証」よりさらに厳しい審査となり、住所が実在しているか？といったことも確認されます。

「EV認証」にもなると、かなり厳格に認証の手順が踏まれているのがわかりますね。
そんな「EV認証」ですが、さきほど“あるメリット”があるとお話ししました。
そのメリットとは、ズバリ、以下のようなメリットなんです。

EV証明書を取得しているサイトは、ブラウザのアドレスバーを見れば一目で安全だとわかる

「EV認証」の場合、訪問者がブラウザのアドバレスバーを見ただけで、“このサイトは「EV認証」を受けている”ということがわかるようになります。

なぜなら、「EV認証」を受けたサイトは、ブラウザのアドレスバーが「緑」になるからです。

上記の画像のように、 “企業名＋[国を表すイニシャル] ”という文字列が書かれた緑色の帯がアドレスバーの先頭部分に表示されているサイトは、「EV認証」を受けたサイトです。

今後、あなたがネットサーフィンした際、緑色の帯を見かけたら、そのサイトは信頼できると考えてよいでしょう。

最近問題になっている「フィッシング詐欺」対策でも緑のアドレスバーが有効

「あと●日以内にログインしないと、口座情報が消えてしまいます！」

あなたは、上記のような件名の迷惑メールを受け取ったことはありませんか？
このような件名の迷惑メールは、大抵、インターネットリテラシーが低いユーザーを狙った「フィッシング詐欺」です。

「フィッシング詐欺」とは、大手銀行などのインターネットバンキングのログイン画面そっくりの偽のサイトを作り、ユーザーに口座情報を入力させたあとに、その情報を盗み取る犯罪です。

このフィッシング詐欺でだまされてしまうと大変です。
あなたが偽のサイトで入力した情報は、犯罪者の手に渡ったのち、あなたの銀行口座への不正ログインに使われるからです。

参考：フィッシング対策協議会：りそな銀行をかたるフィッシング (2016/01/25)

実は「EV認証」は、このようなフィッシング詐欺の対策として役立ちます。

というのも、「EV認証」を受けたサイトであれば、アドレスバーに緑色の帯が表示されるわけですから、銀行側が「ブラウザのアドレスバーが緑色でないサイトは偽物です！気を付けて下さい！」と注意喚起することで、怪しいサイトを見分けることができるようになるからです。