ネットショップにＳＳＬは必要ですか

ネットショップを作成ソフトを使って立ち上げたいと思います。ソフトの方に一応オーダーメールは暗号化する機能があると説明されているのですがやはりＳＳＬが利用可能なレンタルサーバーを選ぶべきなのでしょうか？そもそもＳＳＬはいつ必要で（カード決済の時）必ず必要なものなのでしょうか（顧客情報保護のために）？

No.10 ベストアンサー 回答者： little-m 回答日時： 2005/08/06 07:20

　カード決済はどうする予定でしょうか？

　これによって違ってきます。

１）
　カード決済をカード決済代行会社（SDペイメント）やクロネコ＠ペイメントなどを利用して行う場合は必須ではありません。
　この場合は、カード番号を入力する部分は、上記会社のSSLサイトにリンクで飛んでお客様がカード番号を入力しますので、上記会社のSSLのページを使う事になります。
　また、この場合、お店側では一切カード番号を見たり、管理したりする事はありません（できません）。

２）
　既に、実店舗がカード決済をしていて、通販ショップ自体のカートでお客様にカード番号を入力してもらい。お店でカードの認証を行う場合は、お店のサイト（カート部分から）にSSLが必須です。（ベリサイン等から認証を受けたSSLサーバー）
　ただしこの場合も、正確なカード番号はメールで飛ばさず、別途SSLの管理画面を作成し、そこからカード番号を確認した方が安全です。
　ですがこの場合、サーバー自体は自身にて管理するサーバーですので、ここにカード番号が溜まる事になります。ですので、ここにハッカーに入り込まれると、カード番号を盗まれますので、できるだけ　１）の方が安全だと思います。（ショップの規模にもよると思います）

※）
　上記１）２）以外でも、レンタルカートでカード決済に対応している場合は、そちらのレンタルカート側がSSLに対応していますので自身のサイト側は必須ではありません。

　また、１）の場合でもお客様の住所・氏名・電話番号の入力部分がありますので、できればカート部分からはSSLページの方が良いかも知れません。
　ただしこの場合は、レンタルサーバー（共用サーバー）のSSLページを利用する程度でも十分ですので、個別に（専用サーバーで）ベリサイン等の認証を得るほどの必要はないと思います。（ショップの規模にもよりますが）

No.9 回答者： tango7 回答日時： 2005/08/06 05:36

回答が出尽くしていますので、補足だけ。

SSLは必須と思いますが、証明書はベリサインが一番有名でシェアも高いですが、やや値段も高いです。

安価にSSLの証明書を発行してくれるところもでてきましたので、それを利用するのもよいかと思います。
ちなみに自分でも（自社サーバならば）発行できます。
警告のでる怪しい証明書になってしまいますが。

それから、どこかのソフトハウスさんに開発をお願いしているようですが、WebサーバはSSL化しないのにメールが暗号化とは不思議ですね。

メールの暗号化はPGPを使いますが、送信側、受け取り側ともに使い方も難しく、一般的ではありません。

PGP（128bitといっているのはこれかも知れませんね）入れるなら、その前にSSLだろ．．．という気がしますが。

自分が開発を請けおっていたらそうします。

No.8 回答者： hyubelian 回答日時： 2005/08/05 22:36

No.6さんに同感です。

カード決済を使わない予定でしたら、実情面ではSSLは不要・・・意味がないです。

私が日頃利用しているネットショップも、近頃は殆どの店がSSL付きのショッピングカートを導入していますがそこで入力する情報（私の個人情報）はその場でいくらセキュリティーで保護していようと、結局後で送られてくる注文確認等のメールにばっちり記載されているわけです。セキュリティー面では全く信頼できないメールに。（でも注文内容の確認作業上、注文者の名前や住所を受注メールに書く事は必要なのです）

ただ個人情報の保護が叫ばれているこのご時世、一般の消費者の中には、そんなSSL付き受注システムの無意味さも知らずに、注文時に入力する個人情報がちゃんとSSLのかかったサーバで安全に送信される、という事に安心感を覚え、逆にSSLもかかってない所から個人情報を送信させるなんてとんでもない、という人もいると思います。

だからお客様を安心させる為に（実は無意味な安心であっても）受注システムにだけはSSLを付けると良いと思います。
独自にSSLを取得するのは費用がかなりかかりますので、SSL付き買い物カゴシステムをレンタルすれば良いと思います。
SSL付きカートが標準装備されているレンタルサーバーもありますし（安い所で月3000円ぐらいから）、カートのみレンタルなら「ショップギア」が安いです。（個人事業主なら初期費用のみで、基本機能は無料で利用可）

No.7 回答者： blue_watermelon 回答日時： 2005/08/05 22:15

128bitというのはSSLの鍵長を表現するタームです。

えーと、こういうのはどうでしょう。
SSLを通して暗号化された情報は鍵のかかった部屋の中に置かれます。情報を取り出して復元するためにはドアの鍵穴にぴったりの鍵が必要になります。鍵が長ければ長いほど、鍵全体の凹凸を正確に復元するのが難しく、よって悪利用されにくい、ということになります。
SSLが出てきた当初はたしかこの鍵長が40bitだったのではないかと思います。現在ではそれが3倍以上の128bitになり、より安全性がましているという感じですね。

クレジットカードの導入を今後もお考えでない場合はSSLなしでスタートしても良いとは思いますが、やはりショップのイメージを考えると証明書を取っておいた方がよいでしょうね。お客様の中にはSSLでないと情報は漏れるものだ、という考え方の方も多いですし。
ご自分でリサーチできるようでしたら海外でSSL証明書を発行している所を探して、安いところにお願いするとよいでしょう。ただその場合、自分ですべてセッティングをしないといけないのでちょっと面倒かもしれません。あと安すぎる所はセキュリティ度合いが低かったりしますので気をつけてください。
プロバイダ側がSSL証明書を発行しているようであれば、そこにお願いするのもよいと思いますが、値段は高めでしょう。特に日本の場合は高いですので、日本のプロバイダをお使いの場合はメリットが少ないかもしれません。その場合はむしろSSL付きのレンタルカートと契約してしまった方が安上がりでしょう。
とりあえず、グーグルなどで「SSL証明書」で検索すると日本で証明書を発行している機関が見つかると思います。
海外のものを検索する時は「SSL certificate」で。
SSL証明書を取らない場合は、ソフトに添付されているというオーダーメールの暗号化のしくみと度合いについて詳しく説明し、お客様に対して安全性を積極的にアピールされるとよいと思います。

No.6 回答者： PU2 回答日時： 2005/08/05 21:48

皆さん言っておられますがカードを利用可能にされるのであれば必須でしょう

ちなみによく勘違いされていますがメールでやりとりしたら今のところ
ＳＳＬなんか意味ありません。(カード番号は絶対メールしてはダメですよ)
ですので住所や電話番号なども暗号化したいのでしたらメール内に
住所や電話番号の記載もできなくなります。
つまりお客様にメールで住所や電話番号の確認もできなくなります。
よってカードを使わないのでしたらＳＳＬは現状ではあまり必要ではないと思います。
ただ、暗号化の意味はなくてもお客様へ安心感を与える要素にはなると思います。

あとＳＳＬを自社で用意せずにカード決済代行会社を利用する手もあります。
こちらですと特に難しいシステムの用意も必要ありませんしカードデータは
その代行会社が管理しますので自分で管理するよりもある程度は安心になります。

あと余談ですがカードを不正利用された場合はカード会社は加盟店には
殆ど補償しませんのでご注意下さい。負債はほぼ全て加盟店になってしまいます。
不正カード利用最近多いですので注意して下さい。

No.5 回答者： blue_watermelon 回答日時： 2005/08/05 11:45

プロバイダが提供するサービスの内容にもよるのですが、基本的にSSLが必須なのはクレジットカード等の高度な顧客情報管理のためです。

カード情報をSSLなしで送信するのはかなりリスキーです。
お客様の安心感を考えるのであれば、できれば住所入力画面からSSLに置いておいた方がよいと思います。
SSL対応（というか込み）のショッピングカート／オーダーシートを使えばご自分でSSLサーティフィケイトを取る必要はありません。日本の場合サーティフケイト料がかなり高いので、海外で格安でやってくれる所を使うか、もしくはSSL込みのショッピングカートを使うようにすると良いと思います。
私が関わった所の場合、SSLサーティフィケイトとプロバイダ料合わせて年間2万円以下という感じです。
日本でSSL付きのカートをレンタルすると月に3000円近くかかると思うので、それと比べると半額程度ですね。
クレジットカード会社との契約などを考えるとどちらもそこまで変わらないので、いろいろ考慮されてみて下さい。信用面では自分でサーティフィケイトを取っているほうが良いです。

この回答へのお礼

詳しいご回答ありがとうございます。カード決済は使わない予定ですがやはりＳＳＬが合った方がベストということですね。また詳しく分かりませんがＳＳＬでない１２８bit暗号化というのもあるようですが他の暗号だと顧客情報が流れる可能性などはあるのでしょうか？

お礼日時：2005/08/05 19:17

No.4 回答者： nacam 回答日時： 2005/08/05 09:51

SSL付きのサーバーが無くとも、カートにSSL付きのカートを選べば、問題ありません。

私の行っているネットショップは、シヨッピングサイトは、通常のサーバーにおいて有りますが、カートは、SSL対応のレンタルカートを使用しています。

SSL付きのサーバーを選ぶより、カートだけSSLのほうが安価ですし、対応は、変わりませんから。

但し、カード決済の場合、レンタルカートは、決められたカード決済代行会社のものしか使えませんから、その点を考慮しておいてください。

No.3 回答者： 2531kbps 回答日時： 2005/08/05 04:00

消費者から見ればSSLは最低条件です。

ショップを開こうと思っているならSSL利用可能なレンタルサーバーを選ぶべきです。
カード番号なんてSSLがあってもまだ不安なのに、SSLなしなんてとても入力できません。

No.2 回答者： inu2 回答日時： 2005/08/05 03:47

ソフトウェアに暗号化機能があるといても、利用者にはなんら分かってもらえませんよね

うちのサイトでは暗号化していますよーと利用者に分からなければ安心してもらえないでしょう


SSLはサイト全てで使ってもよいですが、個人情報を入力するところや、入力してもらった情報を確認表示する場合など、外部に知られては困る情報を利用者との間でやりとるするところで使います

No.1 回答者： rightegg 回答日時： 2005/08/05 03:41

こんばんは。

別にSSLを導入していなければ違法だ、と言う訳ではありません。
必要なのは自分のためですよ。万が一送信過程で情報が漏れたら責任があなたに全てのしかかってくる訳ですからね。リスク管理の一環だと思って下さい。

必要なのは入力画面以降です。入力画面には必ず送信ボタンや次へ進むボタンがあるでしょう？
と言う事は入力された情報をやり取りしている訳ですから。
ですから商品カゴまでは無くても良い訳です。