Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
WH
ITE PA
PER
:
powered by Symantec
White Paper
知らないと大きな差が出る、 SSLとドメイン名の密接な関係
「共有 SSL」と「独自ドメイン名 +SSL」の使いわけ
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
2
Copyright ©2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、黙示、または法律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または間接の)損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、またはサービス ・ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ・ マークの所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。
合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます。
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
3
CONTENTS
概要 4
第1章 共有SSLと独自ドメイン名上のSSL 4
共有SSLとは? 4
共有SSLの注意点 4
第2章 大きな差を生む、独自ドメイン名のSSL 7
独自ドメイン名を運用することの利点 7
SEOによる独自ドメイン名への導線 8
第3章 さいごに・理想の組み合わせは? 8
EVSSL証明書:ドメイン名と企業・団体の関係を証明する 8
新しい手法:「シールインサーチ」による独自ドメイン名への導線 8
重要な点は利用目的に応じたドメインとサービスの選択 9
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
4
概要
アンケートや問い合わせフォームなど、簡易な情報のやりとりを行うために共有 SSL は有効なサービスです。しかしネットショッピングなど、金銭の授受を伴うサービスで活用するためにはセキュリティ面での不安要素があります。長期的に運用する企業や製品・サービスのウェブサイトを構築するには、初めから独自のドメイン名を取得し運用を始めた方が、費用対効果の面からも有効な選択であると言えます。
このホワイトペーパーでは、共有 SSL 利用時の注意点に触れながら、企業や製品・サービスの独自ドメイン名を取得しウェブサイトを運営することのメリットについてご紹介します。
第1章 共有SSLと独自ドメイン名上のSSL
共有 SSL とは ?
インターネット上で個人情報を扱う時には、SSL による暗号化が必要不可欠です。ところでこれを簡単に実現するために、あらかじめ準備された SSL 導入済の環境を活用できる、共有 SSL というサービスがあることをご存じでしょうか ?
多くのホスティング・レンタルサーバ事業者や ISP が共有 SSL サービスを提供しています。例えば ISP の example 社(架空の事業者名です)が運営するサービスの一つとして、“https://kyoyu.example.net/< 契約者ごとの固有名 >/”という URL の形態で、複数の契約者がそれぞれのサブディレクトリを取得してコンテンツを運用することができるサービスが存在します(以下「サブディレクトリ型」)。契約者専用のドメイン名を取得するより早く簡単に SSL によって保護されたウェブサイトを利用することができるため、「できるだけ早く、訪問者(エンドユーザ)からの会員登録や問い合わせを受け付けられるフォームを公開したい」といった場合に多く利用されています。
このウェブサイトの SSL サーバ証明書は、example 社が取得・管理しているので、契約者はすぐに SSL 暗号化を利用し始めることができます。契約者は SSL サーバ証明書の有効期限の管理や、更新時のサーバへの証明書設定などの作業をおこなう必要がありません。そして当然ながらこの SSL サーバ証明書は、シマンテックのような正規の認証機関がexample 社を審査した上で発行する SSL サーバ証明書が採用されているので、ウェブサイトにアクセスするエンドユーザのブラウザに警告が表示されることもありません。
共有 SSL の注意点
一見して利点ばかりに見える共有 SSL ですが、注意すべき制限もあります。
まず初めに、共有 SSL はネットショッピングやオンラインバンキングなど、金銭の授受を伴う Web サービスには向いていません。 なぜならば、こうしたサービスを運用するには、エンドユーザが安心してトランザクションを行うために、データの暗号化に加えて、サイトのコンテンツオーナの実在性証明が必要不可欠だからです。 しかしながら共有 SSL で利用される SSL サーバ証明書は、上の例では「example 社という事業者」の実在性のみを証明しているため、その配下のコンテンツのオーナである契約者の実在性を証明書で確認することができません。
また、サブディレクトリ型の共有サービスは、同じサービスを利用する他の契約者のコンテ
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
5
ンツや cookie が盗聴されてしまうなどのセキュリティリスクが指摘されています※ 1。この他にも検索エンジンの検索結果からの集客を狙った SEO(検索エンジン最適化)効果があがりにくいことが知られています※ 2。
こうした背景から、共有 SSL サービスの中には、サブディレクトリ型ではなく、サブドメイン名(ホスト名)を契約者ごとに割り当て、
“https://< 契約者ごとの固有名 >.example.net/”という形式で提供される方式が増えてきています(以下「サブドメイン型」)。下図に、サービスの型による URL の見え方の違いについてまとめてみます。
図1:共有SSLの種類と独自ドメイン名利用時のURLの違い
■共有SSL(サブディレクトリ型)
https:// kyoyu.example.net/ user1/ cgi-bin/otoiawase-form.cgi
事業者の固定FQDN 契約者個別に 割り振られる ディレクトリ
契約者が配置する コンテンツファイル
■共有SSL(サブドメイン型)
https:// user1. example.net/ cgi-bin/otoiawase-form.cgi
契約者個別に 割り振られる
サブドメイン名
事業者の 固定ドメイン名
契約者が配置する コンテンツファイル
通常このように契約者毎にサブドメイン名を割り当てる共有サービスの場合、SSL サーバ証明書を都度取得し設定する必要があります。理由は、SSL サーバ証明書はサブドメイン名、ホスト名を含む FQDN に対して発行されるからです。しかし都度 SSL サーバ証明書を取得する手間を削減するために、サブドメイン名部分にワイルドカード(例えば“*.example.net”という形式)を使った証明書が利用される場合があります。この場合、SSL サーバ証明書取得の手間は削減できますが、携帯電話対応率が低下する懸念があります。Internet Explorer や Mozilla Firefox などのブラウザは、このワイルドカード(“*”)の部分を「全てのサブドメイン名に対して有効」と見なして SSL 通信を行うことができますが、一部の古いブラウザや、携帯電話上のブラウザはこうした解釈が行えません※ 3。従って、不特定多数の、広い範囲のエンドユーザからのアクセスを想定するサービスを運用するには不利な点があると言えます。さらにサブドメイン型の場合もドメイン名部分(“example.net”の部分)を事業者や他の契約者と共有しているため、他の契約者のふるまいによって自分のページへの SEO 効果への影響がある可能性に関しては必ずしも排除できません※ 4。
※ 1: サブディレクトリ型では、ホスト名が同一のウェブサーバを複数ユーザで共有するため、JavaScript や CGI の設置によって、ルート ディレクトリ(/kyoyu.example.net/)や異なるパス名(/kyoyu.example.net/<異なる契約者の固有名 >/)のサービスで利用するコンテンツや cookie にアクセスが可能となることが知られています。事前に用意された定型の入力フォームを利用し、JavaScript や CGI の 制 限がかけられたサービスの場合はこのリスクは低いと考えられます。
※ 2: Google では、同一ドメイン名 FQDN 単位)から検索結果に表示されるページ数の上限は 2 件までと制限されています(2011 年10 月時点)。このため、サブディレクトリ型の場合、コストをかけて SEO を行っても検索結果として表示されないケースがあります。
※ 3: 2008 年以前に発売された携帯電話(いわゆる「ガラケー」)の標準ブラウザは、ワイルドカードに対応していないことが確認されています。(自社調べ)
※ 4: 共有 SSL サービスの利用者のうちの誰かによって SEO スパム行為が行われた場合、Google などが管理するブラックリストにドメイン名(本文中の例では“example.net”)や IP アドレスごと登録され、行為を行った契約者のページのみならず、ドメイン名配下の全てのページが検索結果に表れないなどの罰則が適用されるケースがあることが知られています。
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
6
上記のような不利な点は、独自ドメイン名で運用することで回避できます。
■独自ドメイン名上のSSL
契約者が配置する コンテンツファイル
https:// shop.user1.jp/ product2/otoiawase-form.cgi
独自のドメイン名とサブドメイン名
以下に、共有 SSL を利用する際の利点と、独自ドメイン名上で SSL を取得・運用する際の利点や手間などを比較して整理します。(ここで独自ドメイン名とは、
“https://< 固有名 >.co.jp/”のように、TLD 配下にそのサイトで情報発信を行う対象である組織やモノを表す固有の文字列を利用するドメイン名全般を指します)
表1:共有SSLと、独自ドメイン名上でのSSLとの比較
機能など 共有SSL 独自ドメイン名上でのSSL
通信の暗号化 ○ ○
ウェブサイトコンテンツオーナの 実在性証明書
× (事業者の実在性のみを証明) ○
取得・更新の代行による手間の削減 ○△
(ただし取得代行サービスを利用する 場合、契約者側の手間は軽微)
携帯電話対応率△
(サブドメイン型でワイルドカード 証明書が利用される場合)
○ (シマンテックの場合ほぼ全ての
携帯電話に対応)
SEO効果の制約制約あり
(他の利用者のふるまいに 影響されるケースがある)
制約はない
利用に適したサービス お問い合わせフォーム、 アンケートなど
ネットショッピングや オンラインバンキングなど、
金銭の授受を伴うWebサービス
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
7
第2章 大きな差を生む、独自ドメイン名のSSL
次に、独自ドメイン名を取得して運用することの利点について述べたいと思います。
独自ドメイン名を運用することの利点
共有 SSL サービスを提供するホスティング・レンタルサーバ事業者や ISP の多くは、同時に、独自ドメイン名の取得を代行するサービスを提供しています。
企業・団体の認知度を高めてブランド価値を向上させるためには、「分かりやすい、使いやすい」ドメイン名を取得することが重要です。例えば一般的なネットユーザの 40.7% は「インターネットサービスを利用する際、その企業(サイト)の安全性を確認するために、サイトのアドレス(xx.com、xx.jp など)を確認する」と回答し、そのうち 65.5% は、「ウェブサイトのアドレスが xx.co.jp であれば安心である」と感じています※ 5。ドメイン名に企業名やブランド名が利用されていることで、ウェブサイトの訪問者に信頼感に違いが表れることが分かります。
図2:ドメインによるウェブサイトへの信頼感の違い
あなたがインターネットサービスを利用する際、その企業(サイト)の安全性を確認するために、サイトのアドレス(xx.com、xx.jp など)を確認しますか?
確認する場合、アドレスが下記のどれであれば、より安心感を覚えますか?(複数回答あり)
40.7% 59.3%はい いいえ
xx.co.jp xx.jp xx.com その他 どれも同じ
65.5
23.9 22.2
0.7
24.6
0%
20%
40%
60%
80%
さて、サイト訪問者の信頼感を高めるために、次に必要なことは何でしょうか。最近では、あるサービスやモノを探す時の行動を考えてみると、Google や Yahoo! などの検索エンジンからの導線を考えることは必要不可欠です。
※ 5: 2010 年 12 月「インターネットユーザのセキュリティに関する意識調査」自社調べ
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
8
SEO による独自ドメイン名への導線
例えばある会員向けのサービスを立ち上げる際に、「最初は共有 SSL サービスでクイックスタートし、顧客が集まり始めて緻密なサービスに移行したくなったら独自ドメイン名に移行しよう」と考えるかも知れません。
これは、SEO 効果という観点からはお勧めできません。共有サービスで開始したウェブサイトに対して検索エンジン側で蓄積されたトラフィック情報が、独自ドメイン名に移行した後は無効なものとなり、一からのスタートとなってしまいます。結果として、ビジネスを維持するためのコストが高くついてしまうリスクがあります。
さて、ビジネスが順調に伸びて製品が増えてゆくと、今度は自社サイト内に複数の Web ページを配置して運用する必要が出てきます。貴方がもし企業のウェブサイト担当者であれば、訪問者の足跡を辿って、エンドユーザが何を探しているのか分析し、サイトの改善に役立てたい、と考えるでしょう。また、会員向け専用ページやショッピングカートなどの機能を追加したいと考えるかも知れません。この時、ウェブサイトが異なるドメインにまたがっていると、cookie が共有できずに、カート機能が利用できなかったり、あるいはアクセス解析が十分に行えないことがあります。独自のドメイン名を利用することで、サイト横断での改善を提案でき、ビジネス拡大に寄与することができます。
長期的に大事にしていきたいウェブサイトであれば、最初から独自ドメイン名を取得して運用を始めることが望ましいと言えます。
第3章 さいごに・理想の組み合わせは?
EV SSL 証明書:ドメイン名と企業・団体の関係を証明する
ウェブサイトの信頼感を高める手段の一つとして、EV SSL 証明書が有効であることはご存知でしょうか。EV SSL 証明書が導入されたウェブサイトを訪問すると、ブラウザのアドレスバーが緑色に変化し、ウェブサイトを運営する企業・団体名が表示されます。これはそのウェブサイトについて、EV SSL 証明書を発行する条件として定められた厳格な認証プロセスに基づいて、運営者の実在性が確認されたことを意味するため、エンドユーザに対して一目で分かる
「安心感」を与えることができます。
この EV SSL 証明書を発行するための条件の一つとして、ドメイン名の「独占的な」使用権を申請企業・団体が保持している必要があります。したがって、サイトを運営する企業・団体は、原則として自らが保有する「独自ドメイン名」に対してのみ、これを取得することができます。
新しい手法:「シールインサーチ」による独自ドメイン名への導線
次にシマンテックが提供する「シールインサーチ」を利用することで生まれる独自ドメイン名のウェブサイトへの「新しい」導線についてご紹介します。
White Paper : 知らないと大きな差が出る、SSLとドメイン名の密接な関係
9
合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028 東京都港区赤坂1-11-44赤坂インターシティTel:0120-707-637E-mail:[email protected]
Copyright ©2014 Symantec Corporation. All rights reserved.シマンテック(Symantec)、ノートン(Norton)、およびチェックマークロゴ(the Checkmark Logo)は米国シマンテック・コーポレーション(Symantec Corporation)またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014年4月現在のものです。
インターネットユーザの 80% に認知されたノートンセキュアドシール※ 5 は、サイト訪問者が安心して情報をやり取りできる「信頼の証明」としてウェブサイトに掲載され、利用されてきました。これに加えて、シールインサーチ機能は、Google、Yahoo!、Bing や gooなどの国内外の検索エンジンによる検索結果にノートンセキュアドシールを表示させることができます※ 6。
図3:シールインサーチ機能によって表示されるノートンセキュアドシール(ノートンインターネットセキュリティを導入したPCのInternetExplorerで表示した場合)
「シールインサーチ」という名のこのサービスは、実在性認証に加えて、サイトコンテンツの安全性を担保するための日々実施されるマルウェアスキャンに合格した結果として表示されます。これによって、一般的なキーワードで検索結果として表示される多くのサイトの中から、実際に訪問する前に「より安心して訪問できるサイト」として認知されます。この結果、Google や Yahoo! からの訪問数が、5% 増加するという事例も生まれており※ 7、通常のSEO に加えたウェブマーケティングの促進機能としても利用されています。
重要な点は利用目的に応じたドメインとサービスの選択
インターネットユーザにとって「信頼度」を判断して訪問するウェブサイトを選択する基準の中で、適切なドメイン名であることに加えて、セキュリティ対策が可視化されており分かりやすいことが大きな位置を占めます。また、ウェブサイトの運営者にとっても、独自ドメインを運用することは、従来の SEO の効果を維持するだけでなく、EV SSL 証明書やシールインサーチ機能によってさらに集客効果を生み出すことにつながります。
今日、独自のドメイン名や SSL サーバ証明書の取得・更新代行サービスを提供する事業者は多く存在するので、利用形態によっては、必ずしも共有 SSL に比べて維持作業が煩雑とも限らないと言えます。ウェブサイトを運営する際には、長期的なプランを立てて、その中で最適な SSL の利用方法を検討してみてください。
※7: http://www.symantec.com/ja/jp/page.jsp?id=ssl-certificates-resources
※ 5: 2012 年 5 月「企業システムとセキュリティについての調査」株式会社ボーダーズ
※ 6: Google/Yahoo!/Bing の検索結果でノートンセキュアドシールを確認するには、ノートンインターネットセキュリティ、ノートン360 のいずれかがインストールされた PCのブラウザをご利用いただく必要があります。goo/OCN では、ソフトウェアの追加インストールをしなくても、検索結果にノートンセキュアドシールが表示されます。