顧客が入力する情報は、暗号化していますか?

投稿日: | 投稿者:ayatori
そもそも顧客情報の暗号化ってどういうこと?

ウェブ担当の部署に配属されて3ヶ月が経ちました。まだまだ、覚えることがあり本やネットで調べて勉強しています。顧客情報の暗号化ってどのようなことなのでしょうか?

顧客情報の暗号化の重要性


ウェブサイトで、顧客に重要な情報を入力してもらうことは多いと思います。たとえば、お問い合わせフォームで個人情報を入力してもらったり、eコマースサイトでクレジットカード番号を入力してもらったり、会員制サービスのログインでパスワードを扱ったり、といったものです。

そのような重要な情報を、顧客に入力してもらい、送信してもらうにあたっては、プライバシー保護や機密情報漏えい防止の観点から、通信を「暗号化」する必要があります。「暗号化」によって、インターネットを介してやりとりされる情報を第三者に傍受されることを防ぐことができるからです。

暗号化のための技術「SSL」

インターネット通信の暗号化には、「SSL (Secure Sockets Layer)」という技術が使われます。SSL が適用されたウェブサイトを開くと、ブラウザのアドレスバーに鍵マークが表示され、アドレス (URL) も「http」ではなく「https」で始まることに気づくでしょう (https の s は、「secure」つまり「安全であること」を意味します)。

SSLが適用されたウェブページのアドレスバーSSLが適用されたウェブページのアドレスバー。鍵マークが表示され (クリックすると SSL サーバー証明書を見ることができる)、URL も「https」で始まっている。

なお、アドレスバーの鍵マークをクリックすると、「SSL サーバー証明書」を見ることができます。みなさんが運営するサービス (ウェブサイト) に SSL を適用するには、この「SSL サーバー証明書」を認証局 (CA:Certification Authority) と呼ばれる機関から取得し、それをウェブサーバーにインストールします。

SSL の仕組み

SSL による通信は、大雑把に説明すると以下のようなステップで (もちろんすべて自動的にですが) 行われます。簡単にいえば、暗号化と復号は、顧客側 (送信側/ブラウザ) とサービス側 (受信側/サーバー) とが同じ鍵 (共通鍵) をもつことで可能になりますが、その共通鍵を両者で共有するために、事前準備として公開鍵/秘密鍵という技術が使われます。

事前準備

  1. 顧客がウェブサイトにアクセスすると、サービス側のサーバーが提供する「SSL サーバー証明書」とそれに含まれる「公開鍵」が顧客側に提供される。
  2. 顧客側で共通鍵が生成される。その共通鍵は、公開鍵によって暗号化され、サービス側に渡される。
  3. サービス側は、暗号化されて送られてきた共通鍵を受け取り、サービス側のサーバーにある固有の秘密鍵によって復号する。この時点で、顧客側、サービス側が、同じ鍵 (共通鍵) を持った形になる。

実際の情報の受け渡し

  1. 顧客がフォームに情報を入力すると、その内容は共通鍵によって暗号化された形で送信される。
  2. サービス側は暗号化されたフォーム入力情報を受け取り、同じ共通鍵によって復号する。

「共有SSL」と「独自SSL」

ところで、SSLには、「共有SSL」と「独自SSL」のふたつがあります。

前者は、ホスティングサービス (レンタルサーバー) が提供するもので、そのホスティングサービス上のすべてのウェブサイトで共用されるものです。このため、同じウェブサイトの中で、お問い合わせページとそれ以外のページとでドメイン名が異なる結果になりますし、お問い合わせページを開いたときにアドレスバーに表示される鍵マークをクリックすると、(そのサイトではなく) ホスティングサービスの SSL サーバー証明書が表示されます。

これに対し後者は、個々のサイトごとに適用される SSL なので、同じウェブサイトの中で、お問い合わせページとそれ以外のページとでドメイン名を同じにすることができます。また、お問い合わせページを開いたときにアドレスバーに表示される鍵マークをクリックすると、そのサイト固有の SSL サーバー証明書が表示されます。

ビジネス用のウェブサイトであれば、顧客に安心感を与えるためにも、独自 SSL を採用するのがよいでしょう。共有 SSL ですと、お問い合わせページに入った途端に「デザインは同じなのにドメイン名が異なるページ」が表示されるので、かえって怪しい印象を与えかねませんし、「フィッシング詐欺?」と誤解を招く可能性もあります (その時点で顧客はサイトから離脱してしまい、ビジネス上の「機会損失」につながるかもしれません)。

コスト面などの事情でやむを得ず共有 SSL を採用する場合は、プライバシーポリシーでお問い合わせフォームの URL を明記するか、プライバシーポリシーの中にお問い合せページへのリンクを明示することで、ドメイン名は異なるものの自サイトの公式ページであることを表明しておくことをおすすめします。

すべてのウェブサイトが SSL 化される時代になる?

最近は、お問い合わせフォームに限らず、多くのウェブサイトが全面的に SSL 化されています。身近な例としては Google が挙げられますが (Google 検索だけでなく、Gmail、Google カレンダー、Google マップ、YouTube など、いずれも全面的に SSL 化されています)、Twitter や Facebook、Instagram といったソーシャルメディアもそうですし、個人的にコラムのネタをストックするのに使っている Evernote もそうです。要するに「ユーザーが能動的に何らかの情報インプットをするようなサービス」においては、SSL 化があたり前になっているのです。

ウェブサイトといえば、一昔前は「一方的にページを表示し、ユーザーは読むだけ」という感じでしたが、次第にインタラクティブなアプリケーションとの境界が曖昧になりつつある現在 (読み物系のウェブページであっても、ソーシャルメディアのシェアボタンがあったりしますし…)、将来的にはすべてのウェブページは SSL 化されるというトレンドなのかもしれません。昨年の記事ですが、こんな話題もあります。

モバイルデバイス (スマートフォンやタブレットなど) の普及が進む中、公衆 Wi-Fi を介してウェブが利用されるケースが増えていることを考えると、ウェブサイトの SSL 化は今後ますます重要視されるのでは、と思います。

無料オンライン相談受付中!ウェブ戦略の専門家が
ご相談を承ります!

ウェブマーケティング担当者必見!

ウェブ戦略お役立ち資料

お役立ち資料のダウンロードや
セミナーのアーカイブ視聴が無料でできます。
ページの先頭へ