Webサイトのアドレスバーに「保護されていない通信」「セキュリティ保護なし」などの表示が出てきて戸惑った経験はないでしょうか。
ブラウザでそのような表示が出てくるサイトは通信の暗号化ができていないため、アクセスには十分な注意が必要です。また、自分のサイトに「保護されていない通信」の警告が出てくる場合は早急に改善するべきでしょう。
この記事ではWebサイトセキュリティの初心者向けに、「保護されていない通信」「セキュリティ保護なし」の表示が出てくる理由や解除方法について詳しくご説明します。
目次
1.「セキュリティ保護なし」「保護されていない通信」の意味
「保護されていない通信」「セキュリティ保護なし」といった警告がアドレスバーに出てきたことはないでしょうか?
ブラウザによって若干表記が異なりますが、どれも意味は同じでサイトのURL冒頭が「https」になっていないことが原因です。httpsになっていないサイトは通信が暗号化されていないため、むやみにアクセスすると閲覧履歴などの個人情報を第三者に盗聴されるリスクが生じます。
暗号化の仕組みについては「SSL証明書とは?セキュリティにおける必要性や種類を解説」にて詳しく解説しています。「保護されていない通信」警告を解除するために理解しておいた方がいい用語についてこの記事でも少し解説しておくと、データ通信を暗号化することを「SSL化」とも呼びます。
サイトを利用するうえでの安全面の判断材料として、2024年現在ではSSL化されていないページにアクセスすると「セキュリティ保護されていない」という旨の警告が表示されるようになっています。
2.「保護されていない通信」と表示される詳しい原因と解除方法
「保護されていない通信」の表示が出るのはサーバーとWebサイトをつなぐ通信が暗号化されていないのが根本的な原因であることは、ここまでご説明したとおりです。
もしご自身のサイトで「セキュリティ保護なし」と表示されるのであれば、詳しい原因が以下のどれに当てはまるかチェックし、解除するための方法を頭に入れておきましょう。
原因①SSL証明書を導入していない
SSL証明書とは、該当するサーバーが暗号化された安全なものであることを証明するファイルのことです。
CSSを用いてWebサイトを制作した場合、初期設定ではSSL化されていないこともあるので、何もしていない状態でページを作ると「保護されていない通信」という表示が出てきてしまいます。
対処法:SSL証明書発行の手続きをする
SSL証明書を取得するには、認証局(CA)に申し込みを行う必要があります。企業サイトの場合は年間数万円~数十万円程度で有料の認証を受けることもできますし、比較的小規模な新しいサイトであれば無料の認証を利用してもよいでしょう。
レンタルサーバーを利用している場合は無料でSSL化設定ができることも多いので、まずは契約中のサーバーを確かめてみるのがおすすめです。
原因②SSL証明書の期限が切れている
SSL証明書には有効期限があるため、契約方法によっては期限が来るたびに更新の手続きを行わなければならないことも想定されます。サーバー経由で契約したのであればサーバー側が更新手続きを代行してくれる場合もありますが、認証局と直接契約した場合は更新手続きを行わないと失効してしまう点には注意してください。
SSL化されたサイトはアドレスバーから以下のように証明書の有効期限を確かめることができるので、警告が表示されていないサイトも一度チェックしてみるとよいでしょう。
対処法:SSL証明書の有効期限を更新する
有効期限の更新は認証局か契約中のサーバーから行うことができます。
証明書を発行したときの手続きによって異なるので、詳しくはご自分の契約方法を確認してください。
ちなみに有効期限の90日前から更新の手続きができるようになるため、あらかじめ時期を把握してできるだけ早めに更新できるよう準備しておくことをおすすめします。
原因③SSL化されていないデータを含んでいる
Webサイトはさまざまなソースのファイルを読み込んで成り立っています。例えばページ内の画像はサイトに埋め込まれたJPEGやPNGなどの画像ファイルを読み込むことで正しく表示できるようになるといった具合です。
SSL証明書を導入しても「セキュリティ保護なし」の警告が消えない場合は、読み込んでいるファイルがSSL化されていない可能性を考えた方がよいでしょう。
対処法:SSL化されていないファイルを修正する
例えばWordPressで制作したサイトであれば、サイトアドレスのURL設定を「https」にし忘れていたことが原因で、読み込んでいる他のファイルがhttpになってしまうというケースがあります。
ただ、ファイルがSSL化されていないせいで表示が消えないのであれば、どれが原因なのか突き止めるのは難しい場合があります。自分で解決できない場合はプロに相談するのも一つの手です。
3.「セキュリティ保護なし」の警告に対応するメリット
「保護されていない通信」などの表示はサイトがただちに危険にさらされることを示すものではないので、「被害はないからそのままにしておいても大丈夫だろう」と放置してしまうパターンもあります。
しかし、SSL化はサイト全体の利益につながる大きなメリットがいくつかあるため、できるだけ早く対処しておくべきだと言えるでしょう。
セキュリティ対策になる
暗号化されていない通信は、ユーザーの情報が第三者によって盗聴できる状態であることを示します。今は被害を受けていないかもしれませんが、「セキュリティ対策が甘いサイト」として攻撃対象に指定されるリスクが高まるのも確かです。
傍受された場合のリスクが高い個人情報を入力フォームはもちろん、その他のページも全て暗号化することが重要です。サイト全体を暗号化することを「常時SSL化」と呼びますが、現在はGoogleなどによってサイトの常時SSL化が推奨されています。
SEO対策になる
GoogleはSSL化しているかどうかを検索順位の基準に組み込んでいることを公表しています。つまり、SSL化されていないサイトは検索順位が上がりにくくなってしまうということです。
検索アルゴリズムから考えてもSSL化は必要ですし、「保護されていない通信」と出てくるサイトに危機感を持って離脱者が増えるリスクもあります。サイトを利用するユーザーを増やすためには常時SSL化が必須であると言えるでしょう。
ユーザーからの信頼度向上
SSL化はそもそもサイトを利用するユーザーのために設計された技術です。
前述したように「保護されていない通信」と表示されるとユーザーが離脱してしまう恐れもありますし、サイトはもちろん企業全体のイメージにも損失を与えます。
ユーザーからの信頼を得るためにもSSL化対応をしておくと安心です。
4.利用者側から「セキュリティ保護なし」を解除する方法はある?
SSL化はサイト制作者・管理サーバーの問題なので、基本的にユーザーから解除設定を行うことはできません。解除しようとするのではなく、サイトの安全性に関わる重要な表示を見過ごさないようにする意識を持つことが重要だと言えます。
ただし、暗号化されていないサイトの読み込み前に警告が表示される設定(httpsファーストモード)になっている場合はアドレスバーでの警告のみになるよう解除することは可能です。
5.まとめ
「セキュリティ保護なし」などの表示が出てくるサイトは通信が暗号化(SSL化)されていないため、利用者であればなるべく早くサイトを離脱した方が安全です。
自分のサイトに警告が表示されている場合は原因を確かめ、なるべく早く解消することが大切です。
当社が提供しているサービスでは、プロのエンジニアがWordPressで制作したサイトを保守します。サイト内部のセキュリティ対策はもちろん、オプションでサーバーの保守管理も代行することが可能です。
「サイトのセキュリティ対策と一緒にサーバーの管理も任せたい」という方は、ぜひ一度お問い合わせください。
