SSL未対応のホームページが取引先からどう見えているか、元化学メーカー技術者の視点で考える

はじめに

先日、地元・富士市周辺の製造業のホームページをいくつか見ていて、気になることがありました。

SSL未対応のサイトが、思った以上に多いのです。ブラウザのアドレスバーに「保護されていない通信」と表示されるホームページ。ご自身の会社のサイトでこの表示を目にしたことがある方もいるかもしれません。

以前「富士市でホームページ制作を依頼する前に知っておきたいこと」という記事でも触れましたが、地域の製造業にとってホームページは重要な営業ツールです。にもかかわらず、その入口で訪問者を不安にさせてしまっているケースが少なくありません。

「うちは小さい会社だから関係ない」「問い合わせフォームもないし」。そう考えている方も多いと思います。

ただ、私はこの表示を見るたびに、化学メーカーで働いていた頃のことを思い出します。当時、取引先やサプライヤーを評価する業務に携わっていた私は、相手企業のホームページを判断材料のひとつとして見ていました。そしてSSL未対応のサイトに出会ったとき、どう感じていたか。

今回は、その実体験をもとに、SSL未対応のホームページが取引先からどう見えているかをお伝えします。

SSLとは何か（とりあえずここだけ押さえれば大丈夫です）

技術的な話を長々とするつもりはありません。最低限これだけ知っておいてください。

SSL（Secure Sockets Layer）とは、ホームページとそれを見る人の間の通信を暗号化する仕組みのことです。SSL対応済みのサイトはURLが「https://」で始まり、ブラウザに鍵マークが表示されます。一方、未対応のサイトは「http://」のままで、「保護されていない通信」という警告が表示されます。

確認方法はとても簡単です。今すぐ、ご自身の会社のホームページを開いて、アドレスバーを見てください。鍵マークがなく、警告が出ていたら、SSL未対応の状態です。

化学メーカー時代、取引先のホームページをどう見ていたか

私は大手化学メーカーで研究開発部門に所属していました。その中で、新しい取引先の検討やサプライヤー評価に関わる機会が何度もありました。

評価の際、相手企業のホームページは必ず確認していました。見ていたのは会社概要、製品情報、代表の挨拶、採用ページ、そしてサイトの更新頻度です。ホームページの内容や管理状態から、その企業がどの程度きちんと事業を運営しているかを推し量っていたわけです。

そして、SSLに対応していないサイトに出会ったとき、私は基本的にそのページを即座に閉じていました。

理由は単純です。当時の私はWebに詳しかったわけではありません。ただ、ブラウザに「保護されていない通信」と表示されている時点で、「何かあったら嫌だな」と感じていました。会社のパソコンからアクセスしている以上、万が一でもリスクがあるなら避けておこう。安全第一で閉じる。技術的な判断というよりも、ごく自然な感覚としてそうしていました。

そして、この感覚は私だけのものではないはずです。取引先の担当者や発注元の購買部門の方も、同じように「なんとなく不安だから閉じる」という行動を取っている可能性は十分にあります。

結果として、SSL未対応のサイトの企業は、サプライヤー候補として検討の土俵に上がりにくい状態でした。技術力や製品の質とは関係のないところで、候補から外れてしまっていたのです。

ちなみに、SSL未対応のサイトには他の管理上の問題が見られることも多かったです。すでに取り扱いを終了した製品がそのまま掲載されていたり、ページのレイアウトが崩れていたり、代表者が交代しているのに旧代表の挨拶が残っていたり。SSLへの未対応は、ホームページ全体の管理不足を象徴する「サイン」のようなものでした。

SSL未対応が製造業にとってリスクになる3つの理由

1. 取引先・発注元からの信頼を損なう

製造業の取引はBtoBが中心です。新規の取引先を検討するとき、あるいは既存の取引先を評価するとき、ホームページを見るのはごく自然な行動です。

そこで「保護されていない通信」と表示されたら、どう感じるでしょうか。

「この会社、情報管理は大丈夫なのか」「セキュリティへの意識が低いのでは」。直接的な評価項目にはなっていなくても、こうした印象は確実に残ります。

製造業はISO取得や品質管理体制を重視する業界です。工場の安全管理には細心の注意を払っているのに、ホームページのセキュリティだけ手つかずになっている。この落差こそ、見る人に違和感を与えてしまいます。

2. 検索結果で競合に後れを取る

Googleは2014年の時点で、SSL対応をしているサイトを検索順位の評価基準のひとつにすると公式に発表しています。

同じ業種・同じ地域で事業を行っている競合がSSLに対応していれば、未対応の自社サイトは検索結果で不利になります。「ホームページを持っているのに、検索しても見つからない」という状態は、ホームページを持っていないことと実質的に変わりません。

特に地方の製造業の場合、「〇〇市　製造業」「〇〇加工　静岡」といった地域キーワードでの検索が見込み客との最初の接点になることが多いです。そこで表示されなければ、せっかくの商機を逃すことになります。

3.「問い合わせフォームがないから大丈夫」は誤解

「うちのサイトには問い合わせフォームがないから、SSL未対応でも問題ないでしょう」。こうおっしゃる方は少なくありません。

たしかに、SSLの役割のひとつは通信の暗号化であり、フォームで個人情報をやり取りする際に特に効果を発揮します。しかし現在では、ブラウザの「保護されていない通信」という警告は、フォームの有無に関係なく全ページに表示されます。

つまり、会社概要を見に来ただけの訪問者にも、製品情報を確認しに来た見込み客にも、同じ警告が表示される。フォームがなくても、サイトを訪れた全員に「このサイトは安全ではありません」というメッセージが伝わってしまうのです。

「コストがかかるから」という理由は、もう通用しない

SSL対応を後回しにしている方の中には、「費用がかかるから」という理由を挙げる方もいます。

しかし実際には、現在の主要なレンタルサーバーでは無料のSSL証明書（Let’s Encryptなど）を提供しているケースがほとんどです。サーバーの管理画面から数クリックで設定が完了することも珍しくありません。

コストがほぼゼロで、設定も簡単。この状態でSSL未対応のままにしておくことは、「やらない理由がない対策を放置している」ということになります。

ただし注意点もあります。サーバーが古い場合や、ホームページの構成によっては、SSL化だけでは済まないケースも存在します。PHPのバージョンが古かったり、CMSの更新が長期間放置されていたりすると、SSL化に伴い他の部分の改修も必要になることがあります。

私が以前書いた記事「他社が作ったWordPressサイトを引き継いだら、想像以上に危険な状態だった話」では、こうした技術的なリスクについても触れています。SSL未対応のサイトは、他のセキュリティ上の問題を抱えている可能性が高いため、SSL化をきっかけにサイト全体を見直すことをおすすめします。

まずやるべきこと

ここまで読んで「うちのサイト、大丈夫だろうか」と思った方へ。やることは3つだけです。

1. 自社サイトのアドレスバーを確認する パソコンでもスマートフォンでも構いません。自社のホームページを開いて、アドレスバーを見てください。鍵マークが表示されていればSSL対応済みです。「保護されていない通信」と出ていたら、対応が必要です。

2. ホームページの制作会社やサーバー会社に連絡する 「SSL対応をしたい」と伝えれば、対応方法を案内してもらえるはずです。無料で設定できるケースも多いので、まずは確認してみてください。

3. 対応してもらえない場合は、制作会社を見直す SSL対応の相談をしても動いてもらえない、あるいは高額な費用を請求される場合は、制作会社自体の見直しが必要かもしれません。信頼できるWeb制作会社の選び方については「相見積もりで失敗しないWeb制作会社の選び方と判断基準」で詳しく解説しています。

まとめ

SSL対応は、技術の話ではありません。企業の信頼性の話です。

製造業で日々、品質管理や安全管理に真剣に取り組んでいる方であれば、その姿勢をホームページにも反映してほしい。「事故が起きてから対応する」のではなく「起きる前に備える」。これは化学プラントの安全管理の基本的な考え方ですが、ホームページのセキュリティにもそのまま当てはまります。

私自身、SECURITY ACTION二つ星を宣言し、情報セキュリティへの取り組みを公開しています。その経緯や具体的な内容については「SECURITY ACTION二つ星を宣言したWeb制作者の情報セキュリティへの取り組み」をご覧ください。

自社のホームページのセキュリティが気になる方は、お気軽にご相談ください。現状の確認から対応方針のご提案まで、お手伝いいたします。富士市周辺の製造業の方は「富士市でホームページ制作を依頼する前に知っておきたいこと」もあわせてご覧ください。