御社のWebサイトは、今、正常に表示されていますか?
もし、ブラウザのアドレスバーに「保護されていない通信」という警告が出ていたり、アクセスした瞬間に「この接続ではプライバシーが保護されません」という真っ赤な警告画面が表示されているなら、それはビジネスにとって致命的な状態です。実質的に、Webサイトが「閉鎖」されているのと変わりません。
近年、Google Chromeをはじめとする主要ブラウザは、セキュリティ強化のためにSSL化(https)されていないサイトへの締め付けを急速に強めています。かつては「やったほうがいい」レベルだったSSL化は、今や「やっていないと土俵に立てない」必須条件となりました。
本記事では、SSL未対応が引き起こすブラウザ表示問題の現状と、それがBtoB企業に与える深刻なダメージ、そして正しいリカバリー方法について解説します。Web担当者の方はもちろん、リスク管理を重視する経営者の方も、自社サイトの状況と照らし合わせながらお読みください。
「保護されていない通信」が招く3つの致命的な損失
SSL(Secure Sockets Layer)とは、インターネット上の通信を暗号化する技術です。これを導入していない(httpのままの)サイトに対し、ブラウザは容赦ない警告を発します。これは単なる表示上の問題ではなく、経営における3つの損失に直結します。
1. アクセス遮断による機会損失
現在、Chromeの「HTTPSファーストモード」などの機能により、httpサイトへのアクセス前に全画面の警告が表示されるケースが増えています。「悪意のあるユーザーによってパスワードやクレジットカード情報が盗まれる可能性があります」といった文言が表示されれば、訪問者は恐怖を感じ、即座に「戻る」ボタンを押します。どれだけ広告費をかけて集客しても、入り口で門前払いをしている状態です。
2. 企業ブランドの毀損
BtoB取引において、セキュリティ意識は取引先選定の重要な指標です。公式サイトがSSL化されていないということは、「顧客データの保護に関心がない」「ITリテラシーが低い」「管理が行き届いていない」というメッセージを世界中に発信していることになります。これでは、新規の問い合わせなど来るはずもありません。
3. SEO順位の下落
Googleは2014年の時点で「HTTPSをランキングシグナルに使用する」と明言しています。さらに現在は、ユーザー体験(ページエクスペリエンス)が重視されるため、安全でないサイトの評価は相対的に下がります。競合他社がSSL化済みで、自社が未対応であれば、検索順位で勝つことは不可能です。
なぜ今、ブラウザはSSL未対応サイトを排除するのか
「うちは問い合わせフォームで個人情報を入力させないから、暗号化なんて関係ない」
そう考える経営者もまだいらっしゃいますが、その認識は数年前で止まっています。
現在のWeb標準において、すべてのページをSSL化する「常時SSL(AOSSL)」は常識です。これには明確な理由があります。
改ざん防止となりすまし対策
http通信は「平文」で行われるため、通信経路で第三者が内容を盗み見たり、改ざんしたりすることが容易です。例えば、御社のサイトの内容が書き換えられ、ウイルス配布サイトへのリンクを貼られるといった被害も起こり得ます。
ブラウザベンダーは、ユーザーをこれらの脅威から守るため、非SSLサイトを「危険」とみなす方針を徹底しているのです。
また、フリーWi-Fiなどの普及により、通信経路の盗聴リスクは高まっています。カフェや空港で御社のサイトを閲覧している見込み顧客を守るためにも、SSL化は企業としての社会的責任と言えます。
無料SSLと有料SSL、どちらを選ぶべきか
SSLサーバー証明書には、レンタルサーバーが提供する無料のもの(Let’s Encryptなど)と、認証局が発行する有料のものがあります。
「とりあえず表示されればいい」というレベルであれば無料SSLでも暗号化機能は果たしますが、BtoB企業としての「信頼」を担保するなら、認証レベルを理解しておく必要があります。
①ドメイン認証(DV):ドメインの持ち主であることだけを確認。個人ブログや簡易的なサイト向け。無料SSLの多くはこれです。
②企業認証(OV): 登記簿などで企業の実在性を確認。サイト運営者の身元が保証されるため、コーポレートサイトに推奨されます。
③EV認証: 最も厳格な審査が行われる。金融機関や大規模ECサイト向け。
コスト削減を優先するあまり、身元不明のサイトと同じレベルの証明書を使っていては、目の肥えたユーザーからの信頼は得られません。CagraPROでは、御社の事業規模やサイトの目的に合わせ、最適な証明書と運用コストのバランスをご提案します。
SSL化は「設定して終わり」ではない。素人対応の落とし穴
「サーバーの管理画面でSSLボタンを押しました。これで安心です」
そう思っている担当者様、実はそこからが本当の作業です。SSL化は、単に証明書をインストールするだけでは完了しません。不完全な対応は、かえってサイトの評価を落とす原因になります。
① 「Mixed Content(混合コンテンツ)」問題
SSL化(https)したページの中に、httpのままの画像やスクリプトが混ざっている状態です。これがあると、アドレスバーの鍵マークが表示されず、ブラウザによっては画像が表示されないなどの不具合が起きます。
CagraPROでは、全ページのソースコードを精査し、内部リンクや画像パスをすべてhttpsに書き換える作業を徹底します。WordPressなどのCMSを使用している場合、データベース内の置換処理も必要になります。
②リダイレクト設定(301リダイレクト)の不備
httpのアドレスにアクセスしたユーザーを、自動的にhttpsのアドレスへ転送する設定です。これが適切に行われていないと、「http://~」と「https://~」の2つのサイトが存在することになり、Googleからの評価が分散してしまいます(重複コンテンツ)。
これまでの検索エンジンの評価(ドメインパワー)を引き継ぐためには、正しいリダイレクト設定が不可欠です。
Search ConsoleやAnalyticsの再設定
忘れがちなのが、Google Search ConsoleやGoogle Analyticsなどのツール側の設定変更です。Googleにとってhttpとhttpsは「別のサイト」として扱われます。
これらを再登録・再設定しないと、アクセス解析のデータが途切れてしまったり、正しくインデックスされなくなったりします。Web制作会社の中には、サイト側の作業だけで完了とし、こうしたマーケティングツールの設定変更をサポートしないケースも多々あります。
Webサイトは「資産」。守るのは経営者の決断
Webサイトが閲覧できない状態を放置することは、店舗のシャッターを下ろしたまま営業しているようなものです。
SSL化対応は、技術的な課題であると同時に、経営課題でもあります。
「そのうち対応しよう」と先送りにしている間に、ブラウザの仕様変更はさらに進みます。将来的には、httpサイトは完全に表示されなくなる可能性すらあります。また、一度「危険なサイト」というレッテルを貼られてしまったドメインの評価を回復させるには、多くの時間と労力がかかります。
私たちCagraPROは、単なるSSL証明書の導入代行ではありません。
Mixed Contentの解消、301リダイレクトによるSEO評価の継承、そして各種ツールの設定まで、Webサイトがビジネスツールとして正常に機能し続けるための環境整備をワンストップで行います。
御社のWebサイトを、今の時代に即した「安全で信頼できる場所」へとアップデートしましょう。
警告画面が出てから慌てるのではなく、先手を打って対策を講じることが、賢明な経営判断です。現状の診断も含め、まずは専門家である私たちにご相談ください。
著者:清宮 雄(株式会社カグラ 代表取締役) マーケティング、ブランディングおよび企業経営の領域において20年以上の実務経験を有する。国内外にてIT事業および教育事業を展開。