イマドキのWeb担当者に役立つウェブセキュリティ基礎講座／日本ベリサイン [【レポート】Web担当者Forumミーティング 2012 Autumn]

この記事を読むのにかかる時間：約 4.5分

» 【レポート】Web担当者Forumミーティング 2012 Autumnのバックナンバーを見る

Image may be NSFW.
Clik here to view. 【レポート】Web担当者Forum ミーティング2012 Autumn

セミナーイベント「Web担当者Forum ミーティング2012 Autumn」（2012年11月8日開催）の講演をレポートする。他のセッションのレポートはこちらから。

ユーザーがサイトの信頼性や安全性を重視することから、Webサイトのセキュリティ対策の違いがコンバージョンにも影響するという。技術的にセキュリティ対応するだけでなく、ユーザーに対して適切にアピールすることが重要だと指摘する日本ベリサインの中川氏が、セキュリティ対策の基本と、Webの成果を高める効果的な活用法を解説した講演をレポートする。

EV SSL証明書導入でコンバージョン率が10％上昇した事例も

Image may be NSFW.
Clik here to view. 中川就介氏

日本ベリサイン株式会社
SSL製品本部ダイレクトマーケティング部
マネージャー
中川就介氏

Webサイトの安全性を高め、顧客にうまくアピールし、アクセス数やコンバージョンを高める方法とは？　基調講演に続いて行われたのは、日本ベリサイン株式会社ダイレクトマーケティング部中川就介氏による「イマドキのWeb担当者に役立つウェブセキュリティ基礎講座」だ。なお日本ベリサインは2012年11月1日から、ノートン製品で知られる米国シマンテック社の完全子会社となっている。

中川氏はまず、現在のインターネットのセキュリティ動向を次のように紹介した。

最近ではマルウエアによってPCを乗っ取られたユーザーが、脅迫の容疑者として警察に誤認逮捕された事件がありました。このような犯罪や、クレジットカード悪用などの被害に巻き込まれないためにも、消費者は怪しいメールやWebサイトは開かない、といった対策をとるようにと言われています。

インターネットに潜むこのようなリスクは、消費者の購買行動にも影響を与えている。経済産業省の「平成22年度電子商取引に関する市場調査」によれば、購入するECサイト選定時に重視するポイントとして、「セキュリティ対策」が「価格」「送料」に次ぐ第3位に挙げられている。

ではセキュリティ対策が行われているサイトかどうかを、ユーザーは何で見分けているのか。中川氏は、2009年に日本ベリサインがインターネットユーザー約1000名に対して行ったアンケート調査の結果（複数回答）を紹介した。結果は1位が、SSLに対応していること（53.2％）となり、2位の「有名な企業であること」（53.1％）をわずかに上回った。「有名な企業のサイトは感覚的に安心と思われているが、有名でない企業のサイトの場合は、ユーザーはSSL対応の有無を確認している」と中川氏は説明する。

Image may be NSFW.
Clik here to view.

日本ベリサイン、インターネットユーザのインターネットセキュリティに関する意識調査 2009年

この2つの調査結果から示唆されるのは、ユーザーが安心して利用できるWebサイトにするためには、SSLを実装するだけでなく、SSLを利用した安全なサイトであることを可視化し、ユーザーにわかりやすい形で見せることが重要ということだ。中川氏は、この「見せるSSL対策」を行うために、7つの方法を紹介した。1つ目～4つ目は以下のようなものだ。

httpsに対応させ信頼性を高める
まず1つ目は、入力フォームページのアドレスを必ず「https」にしておくことだ。基本的なことではあるが、フォームの送信部分だけは適切に暗号化処理をしていたとしても、アドレスが「http」のままでは、ユーザーからは暗号化していないフォームだと思われてしまう。加えて、「http」のページ自体が偽物であってもわからないというデメリットがある。
SSLによる暗号化をアピールする
2つ目は、SSLを利用していることを明記することだ。「お客さまの安全を高めるために、SSLを用いた暗号化を行っています」といったように、ダイレクトな表現で記載しておく。さらにセキュリティポリシーを目立つ位置に記載したり、カード決済システムがセキュリティコードに対応していることを明記するのも、安全対策のアピールになる。
適切なドメイン名で安心感を与える
3つ目は独自ドメインにSSLを導入してサイトを運用することが望ましい。日本ベリサインが実施した「インターネットユーザのインターネットセキュリティに関する意識調査」（2010年）によれば、6割近いユーザーがサイトのアドレスを見て安全性を確認しており、特にco.jpドメインは他のドメインと比べ、安心感が突出しているという。
そのため、日本ではSSL導入済みの.co.jpドメインでサイトを運用するのが、安全性アピールの面からはベストな選択だといえる。ただし、知名度が低いサイトの場合は、「一般によく知られている著名な決済システムを導入した方がいい場合もある」と中川氏は付け加えた。

信頼性の高いSSL証明書を導入する

4つ目のポイントは、より信頼性の高いSSL証明書を取得することだ。SSL証明書は、サイトの信頼性を証明するレベルによって次の4つの種類に分けられる。

SSL証明書の種類と信頼性のレベル

	自己署名型	ドメイン認証型	企業実在性認証型	EV SSL
正当なドメイン保持者（警告なしの暗号化）	×	○	○	○
実在する企業（企業の公式サイト）	×	×	○	○
実在する事業所の住所（最高の信頼性）	×	×	×	○

特に不特定多数のユーザーが訪れるサイトでは、企業の実在を確認したうえで発行される、信頼性の高い「企業実在認証型」以上の証明書を取得すべきだという。さらに中川氏は、ユーザーへのアピールを考えた場合、最高レベルの「EV SSL証明書」を取得しておくことが望ましいと説明する。

EV SSL証明書を導入すると、ブラウザのアドレスバーが緑色に変化し、サイト運営者名が表示されるようになりますから、安全性を視認しやすくなります。

なお、アドレスバーがコーポレートカラーと同じ緑になるという理由で、EV SSL証明書を導入したライオンのオンラインショップでは、導入前に比べて購入完了率が10％ほど高くなったという。

コンバージョンを最大化する認証シールの使い方とは

認証シールを掲載する
5つ目は、認証局によって審査済みであることを表す「認証シール」をサイトに掲載することだ。最近では暗号化や実在性認証のほか、マルウエアのスキャンをしているか、脆弱性のチェックを行っているか、といったことも認証シールでアピールできるそうだ。

ただし大事なのは、認証シールが認知されているかどうかです。米国のマーケティング会社が、文章と認証シールで告知した場合に違いはあるのか、A/Bテストした結果、ベリサインのシールを掲載したページのコンバージョン率が42％も高くなったことが報告されています。

さらに中川氏は、別の米国のマーケティング会社の調査で、認証シールの掲載位置の違いによってコンバージョンに大きな差が出たという結果についても、詳しく説明した。

検索結果で安全性を示す「シールインサーチ機能」
6つ目は、日本ベリサインが提供する「シールインサーチ機能」の活用だ。ベリサインのSSLサーバー証明書や認証シールを導入しているサイトは、ブラウザが対応していれば、グーグルやヤフーなどの検索結果の横に、ベリサインの認証マークが表示され、クリックされやすくなる。マークを閲覧可能な利用者の割合は17.4％以上とされている。シールインサーチの効果でサイト訪問者が30％増加した事例として、NPO法人の開発教育協会のサイトが紹介された。
サイト全体の安全性を高める常時SSL
そして最後の7つ目のポイントは、ログインページなど特定のページだけでなく、サイト全体をSSLに対応させる「常時SSL」だ。