SSLが“形骸化”しているという話

鍵マークがある=安全なサイト?

かつて「鍵マークがある=安全なサイト」という認識は、インターネットにおける“常識”のようなものでした。しかし今、その常識が通用しなくなってきています。これはホームページを運営する企業や個人にとって、非常に大きな意味を持つ話です。今回は、「SSL(Secure Sockets Layer)が形骸化してきている」と言われる背景を、できるだけわかりやすく、かつ深掘りしてお伝えします。

SSLってなに?

まず、SSLとは何かをおさらいしておきましょう。

SSLとは、ウェブサイトとユーザーの間で送受信されるデータを暗号化する仕組みです。正式には「SSL/TLS(Transport Layer Security)」と呼ばれることもあり、今ではほとんどがTLSを指します。

たとえば、ホームページの問い合わせフォームで名前やメールアドレスを入力すると、それらの情報が暗号化されてサーバーに送られる──そのため第三者が盗み見するのを防げるわけです。

SSL対応済みのサイトでは、URLが「https://」で始まり、鍵マークが表示されます。これが「安全なサイトですよ」というサインとして広く認知されてきました。

なぜSSLは必要とされたのか

インターネット初期は、すべてのデータが暗号化されずに送られていました。これはポストカードをそのまま郵便で送るようなもので、誰でも中身が見えてしまう状態。

そこで登場したのがSSLです。これにより、通信内容が「封筒」に包まれるようになり、安全性が飛躍的に向上しました。

特に、オンラインバンキングやショッピング、個人情報を扱うサイトでは必須の技術となり、Googleも2014年以降「SSL対応していないサイトは検索順位を下げる」と明言したことで、企業・個人を問わず、多くのホームページでSSLが導入されました。

それでも“形骸化”と呼ばれる理由

1. SSL=安全ではない、という事実

「SSLに対応している=そのサイトは信用できる」というわけではないのです。

SSLはあくまで通信の暗号化を担っているだけで、

  • サイト運営者が善良かどうか
  • コンテンツの内容が正しいかどうか
  • ウイルスが含まれていないか

とは関係ありません。

極端な話をすれば、フィッシング詐欺サイトでさえ、SSL対応は可能です。実際、Googleの調査によれば、今では90%以上のフィッシング詐欺サイトがSSLに対応しているとのデータもあるほどです。

2. 無料SSLの登場による「認証の軽視」

数年前から「Let’s Encrypt(レッツ・エンクリプト)」という無料SSL証明書サービスが登場し、多くのレンタルサーバーでボタン一つでSSL対応できるようになりました。

これは確かに便利でコスト削減にもつながりますが、一方で「誰でも簡単にSSLを導入できる=本来の“信頼の証”としての重みが薄れた」とも言えます。

SSLの中には、

  • ドメイン認証(DV)
  • 企業認証(OV)
  • 拡張認証(EV)

といったランクがあり、本来はEVのように企業の実在性を厳格に確認したものこそが「信頼の証」となるはずでした。

しかし、現在では大半のサイトが最も手軽なドメイン認証(DV)を使っており、「httpsだから信頼できる」という認識が事実上、破綻してしまっているのです。

3. 鍵マークの意味が変わった

かつては「https+鍵マーク」が表示されているだけで「このサイトは安全です」と表示されていましたが、Google ChromeやFirefoxなどの主要ブラウザは、2021年以降、「鍵マークは安全性の保証ではない」と明言するようになりました。

さらに、今ではChromeでは鍵マークの代わりに“接続が安全”という簡素な表示になっていたり、今後は鍵マーク自体を廃止する動きすらあります。

つまり、SSLの存在そのものが「特別なもの」ではなくなり、デフォルト(初期状態)とされるようになったのです。

では、どうすればよいのか?

では、SSLが信用の印にならなくなった今、ホームページの安全性や信頼性はどこで判断されるのでしょうか?

答えはひとつではありませんが、以下のポイントが重要です。

  • コンテンツの質
    訪問者は、「内容に納得できるか」「役に立つか」でサイトを評価します。コピペやAI丸出しの文章では、すぐに見抜かれてしまいます。
  • 実在性の明示
    会社名、代表者名、所在地、電話番号などをしっかり明記していること。さらに可能であれば、Googleマップの埋め込みや法人番号、SNS連携などもあると安心感が増します。
  • 常時メンテナンスされているか
    数ヶ月、数年放置されているサイトは、それだけで不信感の対象になります。ブログやお知らせが頻繁に更新されていれば、「今も動いている会社だ」と分かりやすいでしょう。
  • SSL以外のセキュリティ対策
    WAF(Web Application Firewall)や二段階認証、セキュリティプラグインの導入など、総合的な対策が求められています。

信頼は“鍵マーク”では作れない時代へ

SSLが登場したころは、それだけで十分な“信頼性”の証でした。ですが、技術の進化とともに、その信頼は簡単に“借り物”できるものになってしまいました。

今後ホームページを作る、あるいはリニューアルする際には、「SSL対応しているか」だけでなく、「内容は信頼できるか」「誰が運営しているか」「しっかり管理されているか」など、より多角的な視点で“信頼”を構築していく必要があります。

おわりに

SSLが形骸化してきているという話は、「だからSSLはいらない」という話ではありません。むしろ、SSLは“あって当然”の時代です。

ですが、それだけでは十分ではない。

これからの時代において、ユーザーから選ばれるホームページを作るためには、「コンテンツの質」と「実在性の裏付け」、そして「継続的な管理」が不可欠になってきます。

見た目の“鍵”に頼る時代は、終わりつつあるのかもしれません。