ページがHTTPSに対応しているか否かでGoogleからの評価が変わるようになりました。
評価は非常に軽微であり、今すぐに対策を立てないといけないという類のものでは無いです。無理やり急いでやると色々と弊害が出る可能性も高そうです。きっと便乗煽りが出てくるだろうから気をつけたいですね。
デジタルマーケティングに関わっているとWebとプライバシーの問題が必ずつきまとってきます。一般的にはマーケティングとWebとプライバシーというと、個人情報保護法を中心とした広告周りの話やデータ管理体制などが中心です。
「個人情報を取り扱うフォームでは必ずHTTPSにしなければならない」というのは理解していても「HTTPSって何?」というような事を普段考える機会はそれほど多くは無いかと思います。
いい機会なので分かったつもりになっているHTTPSをもう一度理解しようと試みたいと思います。エンジニアではないので、詳細な技術ではなくざっくりとした理解を目的として。
HTTPはセキュリティが貧弱
HTTPSを理解するために、まずはHTTPのおさらいを。
Webブラウザを用いてインターネットへアクセスする時には『ハイパー・テキスト・トランスファ・プロトコル』というプロトコルで通信がされます。頭文字をとってHTTPですね。このHTTPのおかげでHTMLや画像データ等がスムーズにやりとりできるのですが、大きな欠点があります。
セキュリティ機能が貧弱なのです。盗聴を防ぐための「暗号化」や、Webサーバの「成りすまし」を防止する機能をHTTPは持ちあわせていないのです。
HTTPのプライバシー能力を強化するHTTPS
HTTPの弱点であるセキュリティ部分を補完した仕組みがHTTPSです。HTTPSはSSL(TLS)を用いて暗号化された状態で通信を行います。
この手の話題を調べているとTLSとSSLが現れてきて混乱します。通信の暗号化は、ネットスケープコミュニケーションズ社がSSLをつくった事から始まり、SSLを標準化した物がTLSという事ですが……このあたりは大枠だけ頭に入れておくに留めたいと思います。
ともかく、HTTPのプライバシー的な弱点を克服するために、HTTPSではSSLを用いた通信で「通信の暗号化」「データの完全性のチェック」「サーバ認証」を行っているという事を理解しておきたいです。
常時SSLが普通になるのか?
ログインや問合せ等のフォームではHTTPSだが通常のページはHTTPというのが現在の主流です。
全てのページで常にSSLのページを表示する「常時SSL」は大多数の企業にとって積極的なメリットない一方で大きなデメリットもありません。現代ではSSLでパフォーマンスが大きく落ちる事は無いでしょうし、Webの全体予算からみればSSL費用が大きな障害になると思えません。大企業で複数サーバーで運用している場合は証明書枚数が膨大などがあるかもしれませんが……このあたりは料金テーブル外でしょうから……
何となく常時SSLにしておいた方が良いかも?という流れになれば思ったより常時SSLな世界がやってくる可能性は高いかもしれません。「大手を中心にチラリホラリと常時SSLの流れが加速すると、常時SSL対応していないサイトが何となくイケてないような雰囲気になり更に流れが加速する」なんて世界になるためにSSL事業者の皆様は頑張られるのでしょう。
まぁ、実際にGoogleの評価も軽微ですし、多くの企業はSSL対応よりもコンテンツを増やすとか「もっと他にやることあるでしょ!!」状態かと思いますので、そちらに予算を使ったほうが良いのは確実だとは思います。
NSA問題が発端!?
今回の措置はNSA問題に端を発しており、Googleとしては技術的に盗聴が不可能な世界の実現を後押しをしたいと思っているのではないか? と思うのは穿った見方でしょうかね。
- ニュース - NSAが盗聴する9割は一般のネットユーザー、米紙の報道:ITpro
- エドワード・スノーデン - Wikipedia
- NSAなどの大規模盗聴「危険な習慣に」 国連が報告書:朝日新聞デジタル
- Google が NSA に対抗措置:ガチガチの HTTPS 化を Gmail に施すとアナウンス! | Agile Cat --- in the cloud
Googleがやるからどうこうでは無く(影響は非常に大きいですが)、インターネットにおいてプライバシーが重視される流れは弱まる事は無いでしょう。きちんと大きな枠組みを理解して、煽られず、軽んじず事実をきちんと見つめる事ができるようになりたい所存です。