守るだけじゃないセキュリティの考え方
ダイレクトマーケティング部マネージャー
中川就介 氏
Column
SSLサーバ証明書はECサイト、ネット銀行、様々なログインページ、お問い合わせフォームなどで多く目にします。httpsから始まるURLでアクセスするとブラウザに 南京錠アイコンが表示されますが、それがSSLによって暗号化されている目印です。
セキュリティは資産を守るための必要経費と考えていませんか?
今回のコラムではWeb制作、運営者向けにセキュリティ対策で売上、集客に役立つ方法をご紹介したいと思います。
セキュリティ対策は一般的に会社の資産や顧客情報を守り、会社の評判を下げないようにしたり、訴訟リスクを最小化されるための必要コストだと考えられています。もちろん、それは正しいのですが、もう一歩進んで、他社との差別化要因、顧客の信頼性を高めて売上を伸ばすための投資とも考えることができます。
お客様は安心してから関係性を結びたいと考えている
例えば経産省が発表している平成22年度電子商取引に関する市場調査の一般消費者向けアンケート回答の中で、購入するECサイト選定の重視ポイントとして「セキュリティ対策が行われている」という点が「価格が安い」「送料がかからない」に続いて3番目のポイントとして挙げれられています。「大手のサイトである」「事業者側の対応が丁寧である」などに比べても優先されるポイントです。
匿名利用が前提となっているインターネットでは相手の顔が見えにくく、Webサイトで行動を起こす前に自分の個人情報を預けても安心な相手なのか、関係性を結んでも問題ないのか、信頼をおけるのか、漠然と不安を持っています。
そのため、この不安を解消する、ということが顧客ニーズに合致し、売上、集客につながります。
SSLはブラウザで「見える」セキュリティ対策
ではどうやって一般消費者は不安を解消しようとするのか?
少し古いのですが、2009年に弊社で行った一般消費者向けのアンケート調査をご紹介します。Webサイトの安全性を確認するためにどんなことを確認するのか、という複数回答式の質問に対して2つの回答が53%の回答を占め、他の回答に比べて突出して高い結果となりました。「SSLに対応していること」と
「有名な企業であること」です。
有名な企業であればお金もあり、信頼性を守るために当然セキュリティに気を使っているであろう、と考える方が多いと思います。では何故過半数の方が「SSLに対応していること」が挙げるのか。
SSLは「見える」から、という事が大きく関わっています。
SSLというのはスマホやパソコンなどからWebサーバまでの通信を暗号化するよく知られた技術です。ブラウザのアドレスバーでURLがhttpsから始まるURLにアクセスすると南京錠のアイコンが表示されます。PCではそれをクリックするとWebサイトの運営者と、(弊社のような)第三者の認証局によって一定のルールで認証されているサイトであることが分かります。
でも本当にSSLだけで十分に安全性が分かるのか?
残念ながらそんなことはありません。Webサイトが施すべきセキュリティ対策としては、サーバの設定を最新に保つ、脆弱性が無いプログラムを作る、アクセス権限を適切に設計する、運営者のセキュリティ教育を施す、管理者のPCをアンチウィルスソフト等でクリーンに保つ、などSSL以外にもたくさんあります。でも、それらの裏方の施策はWebサイトの訪問者には見えません。
それでもWebサイトを利用する方々は少しでも安心につながるヒントを探しています。そこでブラウザから見える「SSL」をWebサイトの安全性を判断をする目安にすることになります。
つまり、SSLはWebサイトセキュリティの玄関です。玄関が怪しいWebサイトだと安心できませんよね?
もし皆さんが携わっているサイトがhttpのままで問い合わせフォームや、ID、パスワードを入力するサイトを運営していたり、運営者を分かりやすくする工夫を怠っている場合は、お客様を逃がしている可能性が十分にあります。
セキュリティを見せることで集客やコンバージョン率向上につながる
ではどうやって玄関をきっちりと作り上げてゆけばいいのか。これからいくつか施策をご紹介します。
SSLを正しく実装する
フォームの入力画面はしっかりとhttpsのURLにしてください。httpsでないと送信しない、というユーザは多くいます。入力ページがhttpであっても、データを送信するCGIにはちゃんとhttps接続にしているから大丈夫だと運営者が思っていてもユーザにはそれは運営側のエゴにしか映りません。ユーザが分かるかどうか、が成功の鍵となります。
また、せっかくSSLに対応していても別のサイト用の証明書を誤ってインストールしているなど、SSLの実装にミスがあることもあります。自社のサイトに正しくSSLが実装されていかどうかはQualys社が提供しているチェックツールで確認してみるとよいでしょう。
セキュリティ対策を謳う
ストレートにWebサイトが施しているセキュリティ対策をページで紹介することは案外有効です。例えば証明書を利用するだけではなく、SSLによって通信データを暗号化して他者に情報を盗み取られないように施している事を記載するとよいでしょう。ECサイトの場合はショッピングカートがセキュリティコードに対応していることをお伝えしてもよいです。専門家による脆弱性チェックを定期的に受けており、サーバを常に最新のバージョンに保つなどの運用ポリシーを明示してもいいと思います。
そのページは入力フォーム、サービスのFAQ、お問い合わせ、プライバシーポリシーなどからきっちりリンクさせることで視認性を高めることができます。
セキュリティマークの掲載
第三者認証局が認証した証ということで配布しているシール(マーク)のWebページへの掲載もコンバージョン率に影響します。
例えば米国のあるマーケティングコンサルティング会社が行った見積書請求フォームのA/Bテストでは興味深い結果が出ています。SSLのセキュリティマークを掲載したフォームと掲載していないフォームでコンバージョン率に違いが見られるのか、というテストです。
マークを掲載したページの方がコンバージョン率が42%高かったそうです。さらに自然検索経由のブランドと無関係なキーワード、つまり指名層を取り除いた層のコンバージョン率の差はもっと高い81%に上ったそうです。
つまり、この会社を知らない、いわば新規顧客に対して、よりマークがあることによるコンバージョン率の増加が期待できるという事です。英語ですが詳細に興味がある方は下記をご覧になってみてください。
(ROI Factor) Did Our VeriSign Seal Really Increase Conversions by 42%?
さらにマークの掲載場所もコンバージョン率に影響するというテスト結果もあります。クレジットカード番号やパスワードなどのように機密性の高い情報を入力する場合の方が、よりセキュリティに敏感になっていることをうかがえる調査結果です。
一般的にはセキュリティのマークはフォームページの最上段や最下段に掲載されることが多いです。そうではなく、クレジットカードの入力項目の真横にわかりやすく掲載するのが一番コンバージョン率を高めることができたというテスト結果です。こちらも英語ですが、サイトのリニューアルの際にマークの掲載場所を見直してみてはいかがでしょうか。
Proper placement of your "trust logos" will improve your conversion rate
マークの認知度がWebサイトの信頼感によりプラスに影響するというキーポイントであるという調査結果もありますのであわせてご紹介いたします。
(Actual Insights) Trust Logo Recognition Precedes Presence
用途に合った証明書選び
SSLサーバ証明書の選び方も集客・コンバージョン率に影響を与えます。世の中にSSLサーバ証明書と呼ばれるものは大きく4種類のものがあります。価格も、年間無料~20万円程度の違いがあります。
1.無料で利用できる「オレオレ証明書」
一番安いものは無料で利用できる「オレオレ証明書」と呼ばれるものです。これはWebサーバを使って自分で作ってしまえる証明書です。第三者が認証した証にはならないので、Webサイトにインストールするとブラウザが信頼できないサイトである旨の警告を表示してしまいます。一般公開サイトで利用するとコンバージョン率が著しく低くなってしまうため、社内テストなどに用途が限られます。
2.「ドメイン認証型証明書」
2番目に安いものが「ドメイン認証型証明書」と言われるものです。ドメイン名の保有者であることを機械的に認証して発行する証明書です。安くて早く発行を受けることができますが、個人でも取得できるため、不特定多数に向けた企業の公開サイトの信頼性を保つためには不十分です。サーバ間通信の暗号化や社内の閉じられたネットワーク間の暗号化に向いています。
3.「企業実在性認証型証明書」
中堅以上の企業サイトでよく見られるのが3番目の「企業実在性認証型証明書」と呼ばれるものです。弊社のような第三者認証局が電話などで企業が本当に実在していることを確認して発行する証明書です。不特定多数がアクセスする公開サイトなどに適切なものです。
4.「EV SSLサーバ証明書」
最後の証明書が「EV SSLサーバ証明書」と呼ばれるもので、企業実在性認証型証明書の上位製品です。事業住所の正当性、事業責任者の意思などより厳格な認証を行ったうえで発行されます。EV SSL証明書は信頼性が最も高く、ブラウザでアクセスするとアドレスバーに認証を受けた企業名が表示されるとともに、アドレスバーが緑色に変化し、視覚的にわかりやすくなっているのが特徴です。iPhoneでは標準ブラウザのウィンドウに南京錠と共に社名が緑色のテキストで表示されます。ネット銀行の大半に採用されておりますが信頼性が最も高く、それがわかりやすいため、ECサイトでの採用も広がってきています。
常時SSLのサイト運用
昨今大手の会員サイトで採用が進んでいるのが「常時SSL」です。トップページからサイト全てをSSLのサイトとして運用するものです。
スマホとインフラの整備によって無線LANでの通信が増え、無線接続の盗聴によるID奪取のリスクが高まっています。サイトを常時SSLすることによって通信が全て暗号化されるのでID情報を含むcookieの値を盗み出されてしまうリスクを手軽に最小化できるようになります。
10年以上前にはサイトを全てSSL接続にすることはアクセスが遅くなる原因と考えられ、あまり例を見ませんでしたが、近年はサーバもPCやスマホなどの端末にも強力なCPUが搭載されているため、負荷は気にならない状況となっています。
先ほどご紹介したEV SSL証明書と組み合わせるとサイトのどのページに訪問しても緑色のアドレスバーに常に社名が表示されるため、非常に分かりやすくサイトの正当性を示すことができるようになります。
SSL以外にも信頼感を分かりやすくする工夫
これまでSSLで安全性をアピールすることだけに触れてきましたが、Webサイトの信頼性を高めることがWebサイトの経営的価値を高めます。
例えばサイト運営者の誠実さを示すエピソードや歴史を掲載したり、プロフェッショナルに見えるデザインにするなど、セキュリティ対策以外にも信頼性を高めることはできます。少し古いガイドラインですが、今でも十分に有用だと思いますので、スタンフォード大学の研究グループによるWebサイトの信頼性を向上するためのガイドラインをご紹介します。
(Stanford Web Credibility Research) Stanford Guidelines for Web Credibility
効果を高めるためには信頼感を高めるサイトづくりを
企業によってWebサイトに求められる役割は様々です。個人情報を取り扱うサイトもあれば、扱わないサイトもあります。
従来は個人情報を取り扱うサイトのみにSSLが必要と考えられがちですが、信頼性をわかりやすくする投資だと考えればフォームにこだわる必要はありません。敢えてフォームが無いWebサイトを常時SSL+EV SSLで運用するといった視点を持ってみるのはいかがでしょうか。
合同会社シマンテック・Webサイトセキュリティセキュリティの知識を学びたい方へ
まずは無料カウンセリング、
無料体験レッスンからスタート!
日本初そして唯一のIT・Web専門スクールのインターネット・アカデミーでは、「セキュリティについて学びたい」「社員のセキュリティリテラシーを高めたい」という方に向けたカリキュラムをご用意しています。企業研修をご検討の方に向けた無料相談を承っていますので、お気軽にご連絡ください。
