猶予なし!いま急務となる「常時SSL化」 すべてのサイトが直面する、対応遅れのリスクとは?

5つのドメインを1つの証明書で保護できる

 常時SSL化にはさまざまなメリットがあるが、やはり気になるのはコストである。

 市場には高額な証明書から安価な証明書まであり、SSLサーバー証明書としては同等のもののように見える。平賀氏は、「サービス内容や証明書インフラの堅牢性などをチェックして、自社に最適なものを選んでほしいですね」としたうえで、コストパフォーマンスを重視するのであれば、日本ジオトラストの価格競争力は他社をしのぐとアピールする。

 オンライン審査によって迅速に入手できる「クイックSSLプレミアム」や、わずか3営業日程で審査が完了する企業認証型証明書「トゥルービジネスID」、EV SSL対応の「トゥルービジネスID with EV」など、さまざまな商品が提供されている。いずれも十分な機能で、シマンテックグループの堅牢な証明書インフラを利用しながらも、安価に提供されているのが特長だ。

 さらに日本ジオトラストでは、これらのSSLサーバー証明書に対して、"任意のドメイン名"を4つまで割り当てられることのできる「SANs対応証明書」オプションを開始した。つまり、コモンネーム分を含めれば、合計5つのサイトに1つの証明書を使い回すことができるということだ。

 「一般企業であっても、複数のドメインを使ってウェブサイトを運用したり、メールサーバーやFTPサーバーなどを別ドメインで持ったりするケースが増えています。従来のSSLサーバー証明書では、1つのドメインに1ライセンスが必要であったため、コストが肥大化し、管理も煩雑になりがちでした」(平賀氏)

 特に平賀氏がオススメしたいのは、HTTP/HTTPSを混在させている複数のウェブサイトだという。

 よくある運用方法として、2~3のHTTPサイト(www.***.com / www.***.jp)を持ちつつ、問い合わせフォームのみを共通のHTTPSサイト(form.@@@.jp)から提供しているというケースがある。

 上述したように、こうしたサイトでは常時SSL化が望ましいが、通常のサーバー証明書では統合作業に負担がかかるのが問題だった。開発コストの肥大化を懸念して、常時SSL化に踏みきれなかった組織も少なくないだろう。SANs対応証明書であれば、ドメイン名はそのまま、1つのSSLサーバー証明書で常時SSL化できるというメリットが大きい。

 「さらにEV SSLサーバー証明書を組み合わせれば、ドメイン名が変わっても同じ企業名がアドレスバーに表示されるため、ユーザーへ安心感を提供することができます。最終的には、サービス事業者の独自ドメインオプションなどを活用し、1つのドメイン名にまとめるとよいでしょう」(平賀氏)

複数のウェブサイトのセキュリティを効率的に管理するコツとは

常時SSLが常識の時代に向けてノウハウを貯めよう

 常時SSL化というと、ウェブサイト全体の改修が必要で、大きなコストがかかることを懸念してしまうのは当然だ。同じウェブサーバーの一部ページ用に証明書を導入するのも、全ページ用に導入するのも、証明書のコストと技術的な違いはあまり無い。しかし常時SSL化をするためにHTTPSへの転送設定を加えることで、ウェブサイト全体にどのような影響があるかは、導入してみなければわからないというのが正直なところである。

 そこで平賀氏は、段階的なスモールスタートをオススメする。つまり、新しいウェブサービスを立ち上げるときに、そのサービスだけは常時SSL化を前提として作るという方法だ。

 「2012年末に常時SSL化の普及度は5%程度であったものが、2016年4月には27%に増えています。HTTP/2の普及も鑑みれば、常時SSL化はウェブサービスの常識となるでしょう。そのとき、対応方法や検討ポイントがわからないでは済まされません。今のうちから常時SSL化に着手し、ノウハウを蓄積していくことが肝要です」(平賀氏)


※クリックすると拡大画像が見られます

 最近では、無償のサーバー証明書なども登場し、GUIの設定で誰でも簡単に利用できるようになった。とは言え、顧客サービスや企業の顔としてウェブサイトを運営するのであれば、より堅牢で信頼性の高いインフラで運営されるサーバー証明書を選びたいものだ。

 日本ジオトラストは、幅広くSSLサーバー証明書をラインアップしており、用途やニーズ、予算に合わせて最適なものを選ぶことができる。いずれもコストパフォーマンスにすぐれており、小規模なユーザーがウェブサイトの安全性をベースアップしたいときに、大いに役立ってくれるだろう。

 例えば、上述したクイックSSLプレミアムは、オンラインで申し込むドメイン認証型の"DV証明書"で、企業の存在証明などが不要なイントラネットで利用する業務アプリケーションや、API連携で利用するウェブサーバーなどに最適だ。

 さらに、ウェブサービスを自社の武器としたいユーザーには、グループ企業のシマンテック・ウェブサイトセキュリティが提供するエンタープライズ向けのSSLサーバー証明書も検討したい。

 シマンテック・ウェブサイトセキュリティの証明書には、マルウェアスキャンや脆弱性診断などのサービスが標準で付属しており、ウェブサイトのセキュリティレベルを向上させることが可能だ。世界の認知度8割以上のノートン セキュアドシールをウェブサイトに貼り付けることもでき、ユーザーの安心感をさらに向上させることができるだろう。

 こうしたSSLサーバー証明書の特徴や使い分けについては、シマンテック・ウェブサイトセキュリティが定期的なセミナーを開催して、詳しく解説している。ぜひ参加して、ノウハウを貯めていただきたい。

ページリンク
インフォメーション
複数のウェブサイトのセキュリティを効率的に管理するコツとは 複数のウェブサイトのセキュリティを効率的に管理するコツとは
関連リンク
GeoTrust,Inc(ジオトラスト)詳細はこちら >>
提供:日本ジオトラスト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2016年8月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]