そのホームページ本当に大丈夫?httpとhttpsの違いとそのリスクについて
更新日:2021年5月14日
「http」と「https」には表面上1文字の違いしかありませんが、そこには
「エンドユーザーからの信憑性」「セキュリティ面」に大きな差が生まれます。
今回はその”リスク”についてお話させていただきます。
"https化"を行わないと会社の信頼性失墜につながるかも!?
それでは、"https化"を行わないと具体的に何が起きてしまうのか。
結論から言うと、以下2つの会社の信頼性失墜につながるリスクがあります。
不審なサイトとして認識されてしまい機会損失の可能性も
第三者に盗聴、なりすまし、改ざん等のセキュリティ面でリスクに晒される可能性も
この2つのリスクは、パッと見て「危ないんだな」となんとなく理解している方がほとんどだと思います。しかし、2018年7月リリースのGoogle Chrome 68からhttps化されていないサイト全てに対し、「保護されていません」とアドレスバーに警告表示するようになった(※)ため、危険を感じエンドユーザーがサイトを見なくなってしまう可能性があります。
今後Webサイト運営を考えているのであれば、大きな爆弾を抱えていることをこの記事内でご認識いただけたら幸いです。
【引用元】:Googleウェブマスター公式向け公式ブログ
【参考記事】:「Chrome のセキュリティにとって大きな一歩: HTTP ページに
「保護されていません」と表示されるようになります」
URL:https://webmaster-ja.googleblog.com/2018/07/marking-HTTP-as-not-secure.html
今すぐお問い合わせしたい方はこちらをクリック!
そもそも"http"ってなんだろう?
普段私たちがインターネット上でWebサイトを閲覧するとき、自分のスマートフォンや
パソコンからホームページやブログなどのデータを公開・発信しているサーバに毎回
アクセスを行なっております。
この時、スマートフォンやパソコンが、サーバとやり取りをする時の通信の手段がいくつか存在しており、"http"や"https"とはこの通信手段のことを指した名称です。
"http"は 「Hyper Text Transfer Protocol(ハイパーテキストトランスファープロトコル)」の略で、HTTP通信によってスマートフォンやパソコンからWebサイトを閲覧するときには「データが暗号化されていない」状態になっています。
そのため、簡単に第三者からサイトを通じて通信データを傍受(盗み見)することができ、通信内容が簡単に漏洩してしまいます。
そこでHTTP通信でやり取りするデータを盗み見られても分からないように暗号化した通信の方法が"https"「Hyper Text Transfer Protocol Secure(ハイパーテキストトランスファープロトコルセキュア)」となっております。
名前の通りHTTP通信のセキュリティを強化したバージョンになります。
不審なサイトとして認識されてしまい機会損失の可能性も
それでは本題の2つのリスクについて具体的に例を挙げていきたいと思います。
以下の2枚の警告文画像を御覧ください。
Google Chrome
【PC(Windows)に表示された警告文①】
【スマートフォン(IOS)に表示された警告文②】
皆様はいつのまにか、上記のような画面が表示されるようになったということに
お気づきな方もいるのではないでしょうか?
この表示に関する記事が、2018年7月27日に”Googleウェブマスター向け公式ブログ”にて発表されました。
以下をご覧ください。
Chromeのセキュリティにとって大きな一歩:HTTPページに「保護されていません」と表示されるようになります
2018年7月27日金曜日
Google では、Chrome を最初にリリースした時から、セキュリティを Chrome の基本原則の 1 つと考え、ウェブを閲覧するユーザーの安全を守る(英語)ために常に取り組んできました。Chrome で HTTPS によって暗号化されていないサイトに「保護されていません」と表示し、最終的にはすべての非暗号化サイトにこの警告を表示すると発表(英語)したのは、およそ 2 年前のことです。この警告により、ウェブ上で銀行口座の確認やコンサート チケットの購入などを行う際に、個人情報が保護されるかどうかを簡単に知ることができます。7 月 25 日より、Google はすべての Chrome ユーザーを対象にこの変更のロールアウトを開始しました。
【引用元:Googleウェブマスター公式向け公式ブログ】
文字通り、Google社はWebサイトのセキュリティを重視しており、この記事から3年後の現在では、chromeのバージョンも2014年8月のchrome37から2020年11月のchrome87までアップデートされ、"https化"されていないサイトに対して
「保護されていない通信」などの警告文表示がされるようになりました。
こういった表示がもし自分の運営するサイトに表示されていたとしたら、せっかくWebサイトまで見に来てくれたエンドユーザー(※)に不信感を抱かせてしまうことは、大きな機会損失を生むことに繋がってしまいます。
さらに詳細を知りたい方は、以下URLをご参考ください。
【引用元】:「Googleウェブマスター公式向け公式ブログ」
【参考記事】:「Chrome のセキュリティにとって大きな一歩: HTTP ページに
「保護されていません」と表示されるようになります 」
URL:https://webmaster-ja.googleblog.com/2018/07/marking-HTTP-as-not-secure.html
今すぐお問い合わせしたい方はこちらをクリック!
※【エンドユーザー】
この記事内での「エンドユーザー」とは、サイトを訪れた消費者のことを指す。
第三者に盗聴、なりすまし、改ざん等のセキュリティ面でリスクに晒される可能性も
上記でご説明した警告表示以外にも、”https化"していないとセキュリティ面で
とても危険な状況を起こしてしまうことがあります。
まず、"https化"していないサイトの状態を、「封筒に入れていない手紙のようなもの」とイメージしましょう。
封筒に入れられていないと、具体的にどういうことが起きてしまうのでしょうか?
結論、ご自身の個人情報を第三者からサイトを通じて情報を抜き取られてしまう可能性が大きくなってしまうということです。
さらに具体的な例を挙げると、ネットで買い物をしようとした時にクレジットカードの情報をフォームに入力しますよね?
もし、サイトが"https化"されていなかったとすると、そのカード情報を第三者によって
抜き取られてしまう可能性があるということです。
直接的にサイト所有者が被害を被るわけではなく、
サイトを見に来てくれたエンドユーザーの個人情報が第三者に利用されてしまうことが
起こりうる可能性を含んでいることをしっかりとサイト所有者は理解しないと
いけません。
【引用元】:「Googleウェブマスター公式向け公式ブログ」
【参考記事】:「暗号化された接続が増えれば、セキュリティが高まる」
URL:https://webmaster-ja.googleblog.com/2018/07/marking-HTTP-as-not-secure.html
今すぐお問い合わせしたい方はこちらをクリック!
まとめ
以上が「httpとhttpsの違いとそのリスク」についてになります。
日常でよく見る”http”と”https”ですが、今回の記事で"https化"されていないWebサイトはリスクがあるという認識は持てたのではないでしょうか。
ただ、あまり深刻に考えないwebサイト所有者が、日本にはまだまだたくさんおります。
この記事をきっかけに少しでもwebサイト所有者が危機感を持ち、"https化"に向けて行動していただけると幸いです。
もし、「今すぐリニューアルしたいけど頼む先がわからない」といったお悩みがあれば、
弊社の商品"NTTタウンページデジタルリード"にお任せください。
"NTTタウンページデジタルリード"なら、"https化"サイトを作成でき、アフターフォローも充実しているので、ご安心してご利用できます。
気になる方は今すぐ下記画像をクリック!
これからは余談ですが、日本は"https化"の意識が
低い!?
これは余談ですが、世界的に見て、日本はまだ"https化(常時SSL化)"※になっていないサイトが世界的に多い国であることはご存知でしたか?
【引用元:「Google透明性レポート」】
上記はGoogleが「ウェブ上でのHTTPS 暗号化」について発表している記事です。
記事内にある「ChromeでHTTPS経由で読み込まれたページの割合(国/地域別)」という項目で、日本は2020年の9月5日の段階では、14%のwebサイトがまだ"https化"していないというデータがあります。1位のアメリカは95%のwebサイトがすでに"https化"されており、日本とは9%の差があります。
まだまだ、日本は世界的に見て遅れていることが見てとれますね。
※2021年1月20日現在
【引用元】:「Google透明性レポート」
【参考記事】:「ウェブ上でのHTTPS暗号化」