yuichi.co

ゆういちのノートブック

ポイントサイトのSSL証明書について知っておきたい4つのこと

 4165

SSL証明書

Webサイトにおけるユーザー情報の保護は、必ず強固にしなければいけません。なぜなら知らないうちに顧客データを見知らぬ人に盗まれて悪用されたら犯罪に巻き込まれる可能性があるからです。クレジットカードや携帯番号などもってのほか。特に多くのユーザー数を抱えているサイトには気をつけてほしいですね。

さらに、同じ業界がイカサマや良からぬことを企てて詐欺を実行したとすると、業種全体の信用がなくなってしまいます。1度信頼を失った業界や会社が信用を取り戻すにはとても時間がかかりますよね。

企業が運営するサイトにセキュリティ保護システムであるSSL証明書(https)の導入を実施していないと、運営サイトどころか企業の信用問題に関わってきます。デザイナーやプログラマーの人ならSSLについて理解できますが、全く別の業種ではほとんどの人がサーバ認証保護システムについてわからないはずです。

本記事では、サイト構築時にSSL認証システム導入を実際に実施したことがある筆者が、ポイントサイトにおけるセキュリティについてご紹介いたします。



SSL証明書とは?

SSL証明書 保護された通信

SSLとは、情報暗号化技術(Secure Sockets Layer)の略称です。本技術を開発したのは米国に拠点を構えるNetSpace社。同社はNCSA Mosaicという世界初のWebブラウザを開発した企業でもあります。

SSLを簡単にまとめると、「保護(https)された通信をしているので安心にご利用できますよ」ということです。検索エンジンのChromeをはじめ、メールサービスGmailやオンラインストレージサービスのGoogle Driveなど様々なWebサービスを提供している大手米国企業のGoogle社はサイトのhttps化を推奨しています。

さくらナレッジのトップ画面のスクリーンショット

SSLを詳しく知りたい方は、東京証券取引所市場第一部しているレンタルサーバー会社、「さくらインターネット株式会社」が運営のさくらナレッジに掲載してある改めて知ろう、SSLサーバー証明書とは?を参考にしてください。現実の世界とネット上の世界をわかりやすく比較しています。

SSLをサイトに入れるとどうなる?

SSL証明書をサイトに導入すると、フィッシング詐欺と呼ばれるなりすましに対抗したり、WiFiでのアクセスによるセキュリティリスクやCookieが盗聴されることがほぼ無くなります。

詳しくは東証一部上場企業をグループ会社にもつGMO Global Signが運営しているブログ記事の常時SSLとは?メリットと注意点をご覧ください。

SSL証明書を導入している9つのポイントサイト表

ポイントサイト SSL証明書の発行
ハピタス
Pointtown
モッピー
ECナビ
PONEY
ちょびリッチ
i2iポイント
Get Money!
モバトク

上記すべてのポイントサイトにSSL証明書が発行されています。ハピタスやちょびリッチなどを含める多くのサイトは、全てのページにhttps://が付属していませんが、最低限のページのセキュリティは施されていますね。

ポイントサイトにおけるSSL証明書は必須!確認しておきたい4つのこと

なぜポイントサイトは、全WebページにSSL導入をしないのか。それは、SSL化(https)に実装するとき、SEOの引き継ぎを配慮しているのではないでしょうか? WebサーバーであるApacheの.htaccessや、同時リクエストの処理に特化しているNginxのnginx.confでリダイレクト設定をしても、httpからのhttpsへのSEO引継は80%程度。よって、全ページをhttpsに変更していないと推測しています。

ポイントサイトにおける全てのページを、httpsに変換にした方がセキュリティが高くなりますが、どこのページを暗号化すべきかは各々のポイントサイトを運営している企業によります。SSLをサイト全体に張り巡らせる常時SSL化がおすすめですが、最低限の保護された通信のマナーを守っているポイントサイトをユーザーが使っても支障はありません。ポイントサイトに登録したユーザーの情報を外部に漏らさなければ問題はないです。

以下、SSL証明書の導入を採用しているポイントサイトで確認してほしいWebのページ項目です。

  1. サインアップ
  2. ログイン
  3. 秘密の質問
  4. ポイント交換

サインアップ

サインアップ

サインアップ(個人情報を入力)時にSSL証明書が取れていないサイトは、おすすめできません。最初に個人情報を登録させてから外部に流出させる恐れがあるからです。このような業者は、メールアドレスを登録させておいて、そのメール情報を第3者に渡し、利益を受け取る手段が考慮されます。

よって、SSL証明がされていないサイトで、サインアップの時に「https://」の綴りが見えないサイトは利用すべきではないでしょう。

ログイン

ログイン

ポイントサイトでは、表向きはユーザーのみのログインフォームをサイト上で閲覧できますが、広告を掲載する企業用のログインページもあるはずです。

サインアップはSSL証明を取得してログイン画面はhttps実装していないサイトはないと思いますが、念のため注意が必要です。

ひみつの質問

秘密の質問

本登録したユーザーのみが知る情報の秘密の質問です。この情報を守るためにもSSL証明書を取得してることを確認しておくべきでしょう。ユーザーは安心を抱えてフォームに入力し、回答することができますね。

ポイント交換

ポイント交換

このポイント交換が、セキュリティ対策で最も配慮すべきところでしょう。もし、ポイントを移行するとき、他のユーザーが保護されていない通信に入り込み情報をみて、ポイントをチェンジする際になんらかの方法でポイントを奪ったらどうでしょうか? さらに、奪われた事に気づかないように通信を細工して企業や個人をだましていたとしたら?

ポイントを交換する際は、URLの左に緑色で「保護された通信 https://」が記されているかを確認しましょう!SSL証明書が発行されているサイトとされていないサイトでは、運営企業の印象やサイトの見方が変わりますよね。

まとめ

いかがでしたか? 2017年11月現在のポイントサイトは、ほとんどのサイトにSSL証明書が導入されています。ポイントサイトを運営する会社は、いかにセキュリティに配慮してユーザー情報の漏洩を防ぐかを日々追求してほしいところですね。

ポイントサイトは企業間ではなく、個人の顧客がいて成り立っています。今後の展開に期待しましょう!

Web Web セキュリティ
,