機密情報に対する対策が取られているか(SSL)(法人向け)
ネットショップサイトを運営する場合や、企業アピール用サイトで問合せフォームやアンケートなどを利用する場合、お客様の個人情報やクレジット決済情報などをやりとりすることになります。
この時、通常のWeb機能だけで情報の送信を行うと、悪意のある第3者に盗聴された内容を読み取られて悪用される危険が生じます。
そこで、ほとんどのネットショップサイトや企業サイトでは、SSLという技術を利用して、情報を暗号化して安全なデータの転送を行っています。
SSLの導入は、Webサイトを運営するために必須というわけではありません。
ですが、ネットショップ利用時やアンケートの入力時などに、個人情報や注文情報の入力画面でSSLが使われているかを確認して、使われていないWebサイトには情報を入力しないという慎重なお客様は非常に多いですし、万が一、情報を漏洩したり、悪用されたりした場合の訴訟リスクを考えれば、決してないがしろにはできない部分です。
漏えいしてはならない情報をWebサイト上でやりとりする場合は、SSLの導入をはじめてとして、受け取った情報をその後どのように保管・破棄するのかなどのルールを明確にしておきましょう。
・SSLとは
SSLには次のような役割があります。
1)情報の暗号化
2)サイト運営者(独自ドメイン所有者)の実在証明
1)情報の暗号化
SSLを導入したホームページの入力情報を、盗聴して悪用されないように暗号化して送信します。
2)サイト運営者(独自ドメイン所有者)の実在証明
SSLを導入しているホームページを表示すると、ブラウザのアドレスバーのURLの頭が「http://」ではなく、「https://」に変わり、またウィンドウの右下やアドレスバーの右側などに鍵マークが表示されます。
鍵マークをクリックすると、SSLサーバ証明書というデジタル証明書が表示されます。
SSLサーバ証明書は、信頼性の高い第三者機関(日本ベリサインなど)による、そのサイトの実在証明です。
信頼性のある第三者機関が「このサイトの運営者(ドメイン運営者や企業)が、実際に存在することを確認しました」と太鼓判を押しているわけですね。
デジタル証明書自体は無料で簡単に作れますので、ただ証明書があればいいというわけではありません。
どれだけ信頼性の高い第三者機関が太鼓判を押したのか、ということが重要になります。
このように、SSLは上記の2つの役割を持っています。
また、SSLの種類によって、ドメイン所有名義のみを証明する証明書(クイック認証やオンライン認証)、それに申請者の在籍確認や登記情報確認を加えた企業の実在証明書(企業認証や企業の実在性認証)、さらに企業の物理的実在を確認した認証など、証明する内容にもレベルがあります。
証明内容が増えるほどしっかり調査しなければならなくなるため、申請から取得までの期間は長くなり、金額が上がります。
・SSLを利用するには(独自SSLと共有SSL)
1)自分でSSLに申請して費用を払う(独自SSL)
独自ドメインの実在証明と情報の暗号化を行いたい場合は、自分で第三者機関に申請をして費用を支払い、取得した証明書をレンタルサーバにインストールします。
利用する第三者機関によって費用は大きく異なりますが、最低限の機能を持った安いもので3万円台、一般的によく利用されているものだと年額7、8万円ほどかかります。(企業用はもっと高いです)
大規模なショップや法人で利用する場合はともかく、個人事業としてはコストがかかりすぎるのも現実です。
ただその分、目の肥えたお客様には、「それだけの費用を出してきっちり運営している」という印象を与えられます。
2)共用SSLを利用する(共用SSL)
レンタルネットショップやレンタルサーバ側でSSLを提供してくれている事業者が多くあります。(レンタルネットショップであれば、ほぼ提供されています)
証明書自体は、運営するサイトの実在証明ではなく、そのサイトを置いているレンタルショップ会社やレンタルサーバ会社の実在を証明するだけなので、ネットショップ自体の信頼性の証明にはなりませんが、コストをかけずに情報の暗号化機能を利用できます。
独自SSLを利用する場合は、対応可のプランである必要があります。
また、共用SSLも提供していないレンタルサーバやプランがありますので、先に確認しておきましょう。