中小企業で遅れているネット対策

Trend&News　 ■株式会社ワイコム・パブリッシングシステムズ社長　田上恭由氏

「保護されていない通信」について考える

今やインターネットに接続せずに1日を過ごすことはなくなった。企業は自社サイトを構築し、自社の情報を発信する。ユーザーは、興味のある商品やサービス、企業について情報を得る際、まず、ネットで企業サイトやショップを訪れる。その際、「保護されていない通信」という表示を目にすることがある。イメージや信用が非常に重要視されるサイトのトップページでこのような警告が表示されることは、企業にとって大きなマイナスだと言える。なぜ、このような警告が表示されるのか。どのような問題があるのか。そして、企業はどう対応すればよいのか。集客、人材採用のサイト構築に携わってきた㈱ワイコムパブリッィングシステムズ社長の田上恭由氏に話を聞いた。

なぜ、保護されていない通信の表示がでるのか
暗号化しないと盗聴、改ざんのリスクを伴う
ユーザーにとっての不安材料になる
会社概要

なぜ、保護されていない通信の表示がでるのか

―Google ChromeやEdgeなどのブラウザソフトでサイトを閲覧した際、企業のサイトによってはブラウザのURL欄の左端に「保護されていない通信」あるいは「セキュリティ保護なし」という警告が表示され、サイトの閲覧を躊躇、あるいは、止めてしまうことがあります。そもそも、なぜ、このような警告が表示されるのですか。

田上
これは、インターネット（以下、ネット）の仕組みと関係があります。私たちがネットを利用できる環境には、サーバー提供者やプロバイダーなど複数の事業者が介在しています。また、ネットに接続するためには固定回線以外にWi-Fi（無線LAN）などのサービスを利用します。
このようにネットにつながるための事業者や環境が複数存在するため、銀行や省庁が使う専用線に比べると盗聴（盗み見）のリスクにさらされやすいという問題を常に抱えています。

―外からの攻撃に対して脆弱だということですね。

田上
そこで、盗聴されないように暗号化の技術が開発されました。それがSSLという技術です。Google ChromeやEdgeなどのブラウザソフトで開くと、暗号化されているサイトはアドレスがhttpsでは始まり、鍵のマークが表示されます。一方、暗号化されていないサイトは、httpで始まり、「保護されていない通信」という警告が表示されることになります。

以前から、サイト内の問い合わせ画面やネットショップの決済画面ではSSL化が進んでいます。しかし、問い合わせ画面や決済画面だけの対応では不十分と考えたグーグルが、全てのサイト全体をSSL対応にするようと10年程前から提唱し、大企業や役所のシステムから徐々に変わってきました。中小企業でもここ3、4年の間でSSL化に対応するようになりましたが、まだSSL化に対応できていないサイトも多く見受けられます。

暗号化しないと盗聴、改ざんのリスクを伴う

―暗号化できていないと、どのようなリスクを抱えることになりますか。

田上
SSLには役割が大きく2つあります。1つは、前述しました盗聴リスクへの対策です。盗聴によりパスワードなどが盗まれるなどすると、不正ログインされてデータの改ざんなども可能になります。
企業の顔ともいえるサイト内の情報の書き換えや顧客情報が漏洩するようなことになると、企業の信用問題にかかわります。SSL化することで、こうした盗聴リスクを抑えることができます。もう1つは、実在を証明する機能です。例えば、閲覧しているサイトの会社が本当に実在するのか、本物なのかどうかを、認証会社が証明するという機能です。これにより、「なりすまし」の被害を防ぐことができるようになります。

SSL化するのは、こうしたリスク回避という目的が大きいのですが、グーグルの検索順位にも影響を与えています。グーグルもSSL化されたものの方が評価も高く、検索順位で上位表示されると公表しています。グーグルの検索エンジンが評価する項目は数百にのぼるといわれていますが、暗号化もそのうちの1つであるということです。ちなみに、スマホ対応しているかどうかも順位決定の要因の1つになっていますから、近年は多くの企業がスマホ対応に力をいれています。

ユーザーにとっての不安材料になる

―SSLに対応していないサイトを運営する企業はこれから、信用度が下がる可能性も考えられますね。

田上
「保護されていない通信」と表示されると、普通の人は不安に思うでしょうね。今、大手や中堅企業は社員教育のなかで、ウイルス対策や情報漏洩などネットの脅威にも触れますから、そうした教育をうけた人であれば、SSL化されていないサイトについては、より不安に思うようになるかもしれません。

―SSL化が進んでいるのはどのような業界ですか。

田上
個人相手の仕事をしている企業、特にネットショップを運営している企業はSSL化が進んでいて、取り組んでいないところの方が少ないぐらいだと思います。
そのようにBtoCの業界は割と早いですが、BtoBの業界はまだ遅れています。

―SSL化するにはどうすれば良いですか。

田上
いまあるサイトをSSL化しようと思うと、まず、どのような状態になっているのかを調査する必要があります。サイトを作るのは、少し勉強すればそれなりの雰囲気を持ったサイトを作ることはできまし、動かすこともできます。しかし、作った人の専門知識と経験の差によって、外観は同じようでも中身には大きな差が生じますので、いざメンテナンスを依頼されて中身を見ると、問題だというケースもあります。
ノウハウと経験を持った技術者はメンテナンスのことまで考えて設計するものですが、そこまで考えずに作る技術者もいる。そうなると、時間も労力もかかります。大きいサイト程、大変になります。

ただ、SSL化しても、コストがかかりますし、それで売り上げが上がるとは限りません。また、今のところはまだ期限が設けられているわけでもありません。すぐに取り組まなければ、サイトが運営できないというようなことではありませんから、サイトをリニューアルするタイミングで併せてSSL化を図った方が良いかもしれません。

―今やITは経営に欠かせないものとなりました。システム会社やホームページ制作会社を選ぶ場合、どのような点に気を付ければいいですか。

田上
ITを提供する会社は企業のパートナー的存在になっています。長く付き合う存在でもありますので、まずは、つぶれずに長く存続できる堅実な経営を行っているか。
そのうえで、制作や開発スタッフを正社員として直接雇用しているか。こういうところは確認しておきたいですね。技術者を揃えているように見えて、実は全て外注しているという会社もあります。自前で社員を雇っていない会社の場合、トラブルなど問題が生じた際にすぐに対応できる体制が整っていないわけですから、どこまで責任が取れるか不安です。最終的に不利益を被るのは発注者ですから。