ECサイトはなぜ常時SSL対応しなければならないのか? Eストアー石村社長が説く

Webサイトの常時SSL対応の最新情報などを、老舗EC支援企業のEストアー・石村社長に聞いた
瀧川 正実 2018/9/27 6:00

非SSLのWebサイトに対してWebブラウザが警告を表示するようになるなど、セキュリティ確保の点からWebサイトへの常時SSL対応が求められるようになってきている。こんな環境下、ECサイト構築・運営サポートの老舗であるEストアーは新設子会社を通じ、通信の暗号化や企業の実在を証明するSSL/TLSサーバー証明書の発行事業を始めた。なぜEストアーは電子認証事業を始めたのか。常時SSL対応の最新情報を含めて、Eストアーの石村賢一社長、新設子会社のクロストラスト・秋山卓司社長に話を聞いた。

常時SSLに関する業界内の動きは?

――なぜSSL/TLSサーバー証明書の発行事業を始めたのですか?

石村賢一社長:今後、セキュリティ確保の流れは止まることはなく、ネットを介在するさまざまなサービス、アプリなどに証明書が入ってくるでしょう。ECのインフラを提供する立場から見ても、証明書の発行事業は価値あるものだと考えたからです。

Eストアーの石村賢一社長
Eストアー・石村賢一社長

――Eストアーでは、顧客の96.9%でSSL証明書の対応準備が完了したと発表されましたが。

石村社長:2018年4月に、12月まで無料でSSL証明書を提供しますと顧客にアナウンスしたところ、少しだけ対応する動きがありました。でも、少しだけなんです。

10月に予定されている「Chrome 70」では、HTTPページでフォームに入力すると、アドレスバーの「保護されていない通信」が赤く表示されるようになる計画があるなど、「Google Chrome」はWebサイトの全ページへの常時SSLを促してきています。

ECサイトにおける常時SSL対応とは、お店ページ全体をSSLで暗号化することです。買い物カゴやアンケートフォームなど特定のページだけでなく、その他すべてのページもSSL化することで、決済情報やアンケート情報だけでなく、Cookieの不正アクセス(盗聴)を防止するなど、Webサイトのセキュリティと信頼性の向上にもつながります。

ECサイト全体のSSL対応イメージ
ECサイト全体のSSL対応イメージ(画像はEストアーのサイトからキャプチャ)

これからのECは、「ちゃんとお客さまの情報を保護して適切な商環境を提供しています」というのが当たり前になっていくと思うんですよね。

――9月上旬時点でも、ECサイトが常時SSL対応になっていないところが多いですよね。石村社長はどう見ていますか。

石村社長:SEO(検索エンジン対策)にも影響が出てくると思うので、ECサイトは早く常時SSLに対応すべきでしょう。Googleは常時SSL化を推奨しており、検索結果の順位決定要因として、常時SSL化しているかどうかを考慮することを公表しています。

2017年10月にリリースされた「Chrome62」から、アドレスバーに表示される「保護されていません」という警告表示の対象が拡大しました。その後の2017年11月から、常時SSL対応と非対応に関する影響を調べ始めたんです。

すると、HTTPS化されていない特定業種のECサイトの検索順位は落ち、“Google八分”状態に。年末年始の売り上げは例年より落ち込みました。

次に調査を全業種に広げました。すると、それまで特定キーワードで上位表示されていたECサイトは軒並み検索結果の1ページ目から消えました。その調査から3~4か月後に再び検索結果は上位表示されるようになりましたが、私の推測は「常時SSLに対応しなければ検索結果に影響が出る」という結論に至りました

Googleでは2014年から、HTTPSをランキングシグナルとして活用。「全く同じSEOスコア同士だった場合、HTTPSのサイトを有利」と判定していますので、サイト品質のスコアが悪くなると、広告を使って露出を図る必要が出てきます。お金を積んで売り上げを伸ばしても、結果的にROAS(広告費用対効果)の悪化を招いてしまう可能性があります。

常時SSL化のメリット
常時SSL化のメリット(画像はEストアーのサイトからキャプチャ)

常時SSLに対応していないとどうなる?

――今後、常時SSLに対応していないとどうなりますか?

秋山卓司社長:いま、非対応のサイトでは、7月下旬にリリースされた「Chrome 68」において、暗号化されていないHTTPでコンテンツを表示するページ全てのアドレスバーの横に「保護されていない通信」と表示し、利用者に警告を出しています。「保護されていない通信」という文言の横には!(ビックリマーク)が表示されている状況です。

SSL通信されていないページでの表示
SSL通信されていないページの表示

9月にリリースされた「Chrome 69」からは、HTTPS対応ページに表示されていた「保護された通信」が削除され、鍵マークだけになり、色が緑から灰色になりました 。

9月からのHTTPSに関するChromeの処理について
9月からのHTTPSに関するChromeの処理について(画像はGoogleのウェブマスター向け公式ブログからキャプチャ)

それが今後、10月に予定されている「Chrome 70」では、HTTPS非対応のページでは赤文字で「保護されていない通信」と表示され、横には△のなかにビックリマークが記載され赤表示となります。利用者への警告がより強い形となりますよね。

HTTPページにデータを入力するときに表示される「保護されていません」の警告を赤に変更する予定
HTTPページにデータを入力するときに表示される「保護されていません」の警告を赤に変更する予定(画像とテキストはGoogleのウェブマスター向け公式ブログから)

一方、10月から常時SSL対応のページでは鍵マークの表示が消えます。これは、常時SSL対応しているのが“当たり前”という状況を示すためのものと考えられます。10月になった瞬間、SSL通信しているサイトは「正」、SSL通信していないサイトは「悪」……。こういう状況になるのです。

ちなみに、通信がSSLに対応している、していないというのは業界の考え方。一般の人から見れば、赤文字やマークが表示されたら、「このサイトは危ないんだ」という認識になりますよね。それほど重要な環境の変化なのです。

クロストラスト・秋山卓司社長
クロストラスト・秋山卓司社長

――今回、Eストアーが始めるSSL/TLSサーバー証明書の発行事業について教えてください。

秋山社長:これまで私は、旧クロストラスト株式会社の代表として電子認証サービス事業を手がけてきました。今回、Eストアーが新設したクロストラストへ事業を譲渡して、私が代表に就任。これまで蓄積してきた電子認証サービスに関するノウハウと運用経験を、継続的に発展し提供していきます。

Eストアーの顧客のショッピングカートシステム「ショップサーブ」利用企業のうち96.9%でSSL証明書の対応準備が完了しました。グループ会社としてEストアーの顧客へ提供することで、その企業へのSSL/TLSサーバー証明書の発行を推進しています。ちなみに、Eストアーの顧客には、SSL証明書を永続無料提供しています。 今後、社会で必要性が高まっていくと予測される、広告、取引、決済、物流などの証明、安全に活用できるPKI技術に基づくサービスを開発、供給していきます。

関連リンク: 
この記事が役に立ったらシェア!
関連記事: 
これは広告です

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]