クレジットカードでなくてもSSL必要？

個人の商用HPを作りたいのですがクレジット
カードでの取引をしなければSSLは要らないのでしょうか。
それとも個人情報を入力する以上SSLは使うものなのでしょうか。
どなたかよろしくお願いします。

No.6 ベストアンサー 回答者： JOYBOX 回答日時： 2002/01/17 21:40

現状では、カードでの取引をしていない場合はほとんどのサイトではＳＳＬを採用していません。

私個人としてはＳＳＬを採用していても、全く信用していません。
それは、ＳＳＬを採用していても不正アクセスへの対策を十分取っていなければ何にもならないからです。
この１年間で不正侵入（ハッキング）の被害が４倍に広がっています。
ネット上にはクラッキングツールが多数用意されていて、ファイアウオール等を採用していない無防備なＰＣを自動的に探し出し、NetBus トロイの木馬やBackdoor/SubSeven トロイの木馬等をＰＣに植え付ける事で、そのＰＣを遠隔操作する他、パスワード等を盗み出します。
これにより、メールサーバーに不正アクセスしてメールを覗き見ることも簡単に出来てしまいます。

また、その店舗自体の管理体制も問題のある場合が多く、例えばクレジットで買い物をした場合には、氏名やカード番号等がその店舗内に記録として残りますが、不要になった記録分をシュレッダーもせずに単にゴミ箱に捨てるような体制ですと、そこからカード番号が漏れる事も十分にあります。

ですから、私の場合はクレジットで買い物をすることは皆無で、代引きかコンビニ支払い・振込のいづれかで決済しています。

ＳＳＬですが、ＣＧＩにより店舗のメールサーバーにメールが送られますが、この時間は一瞬です。その一瞬の時間にメールを横から覗き見ることは難しいという面があります。もちろん可能性はゼロではありません。
実質的にはＳＳＬを採用する場合は例え横からキャッチされても暗号化されていますからそれだけ安全ですが、ＳＳＬを採用していないから必ずメールを横から覗き見されるということも無く、その可能性は低いものです。
しかし、一般のお客さんから見ればＳＬＬを採用しているというだけで、店の信用が高まるのも事実で安心して買い物が出来ると思う人も多いと思います。

そういう意味ではＳＳＬを採用する方がいいのは間違いがありません。

ＳＳＬを採用するとして、特別な知識が無くてもＳＳＬ専用のサーバーを用意しているレンタルサーバー業者もあります。
http://www.w-w.ne.jp/ssl/sslservicew.html

参考URL：http://www.w-w.ne.jp/ssl/sslservicew.html

この回答へのお礼

お返事ありがとうございます。ＳＳＬ専用のサーバーがあるとは知りませんでした。参考にさせていただきます・

お礼日時：2002/01/19 22:32

No.7 回答者： kusukusu 回答日時： 2002/01/18 10:29

kusukusuです。

システムを構築する立場から言えば、一重に対費用効果がどれくらいあるか！です。
SSLを導入する際に考えられる費用は２つです。
一つは、実際のシステム費、もう一つは、専門機関の承認を受けるための費用。

まず前者ですが、joleyさんが、どのような環境でECサイトを運営するのかに寄ります。
レンタルサーバーで運営するので有れば、それは業者次第でしょう。それに対する費用を管理者に聞いて確認しましょう。
次に、自分でサーバーを運営している場合で有れば、やり方によってはただでSSLの環境が簡単に作れます。
私がよくやる手段として、Linux＋OpenSSL＋modsslで構築するというのがあります。

#これはあくまでも「例え」です。

これで有れば、全てフリーウェアで構築できます。
当然かかる費用も技術代（自分でやればただ）でOKです。

次に後者（専門機関の承認）についてです。
これについても「受ける」「受けない」で費用が違ってきます。
個人的な意見では受けるべきでしょう。
例え受けていなくても、「コネクションの暗号化」については、全く違いません。
つまり「安全性」に関しては受けていようがいまいが、
変わらないと言うことです。
では、何が違うかと言えば、「受けていない」であれば、ブラウザから警告が出るのです。
まるで、「SSL化していないほうが安全だ」と言わんばかりのひどい文字列です。
一般の人はこれを見れば必ず不安になると思います。
故に受けるべきでしょう。

#例えばVeriSignは年間10万円前後だったと思います。

例として、私が承認が不必要だと顧客に勧めるのは、
グループウェアで使用するとき等です。
社員がインターネット経由で会社のサーバーに繋いで、ユーザー承認をするときなどは、どうせ社員しか使いません。
社員には予めブラウザから警告が出ることを伝えておけば、十分でしょう。
ただ、ECサイトの場合はこの例のように「事前の確認」
ができません。
つまり、警告が出れば当然不安になるわけです。

さて、SSL化する場合の費用はこのような感じです。
この費用に対して収入がPayすると（安全性が確保されることによって顧客がが増える、つまりものが、よく売れるようになる）考える場合、は導入する。
無理だと考える場合は導入しない。

この考え方でいいのではないでしょうか？

この回答へのお礼

お返事ありがとうございました。参考にさせていただきます。

お礼日時：2002/01/19 22:29

No.5 回答者： Haizy 回答日時： 2002/01/17 19:16

こんにちは。

私個人の結論としまして、【顧客ニーズによると思います。】

私の考えでは、個人情報を扱う上では、細心の注意を払うべきであると考えます。
ＳＳＬを使用すると、予算が発生するかもしれませんが、是非導入して欲しい所です。


ただ、「予算上無理だ」など、どうしてもと言う場合は、その危険性について、登録（送信）前に知らせるべきではないでしょうか。
・情報が傍受される可能性があります
・送受信が暗号化されていません
など・・・。ココから先は、顧客（ユーザ）の意識次第であり、「個人情報なんて漏れたって痛くもかゆくもない」と言う人には、無用ですし。
しかし、例えば
【メールアドレス】
　ＤＭや、スパムメールが飛んでくるようになったりする可能性がありますね。
【住所】
　ＤＭや、ちらしなどが来る可能性がありますね。
【電話番号】
　悪戯電話がきたりする可能性があります
こうなると本当に商用サイトとして通用するのでしょうか？という事にも繋がりかねませんよね。なので、

【顧客ニーズによると思います。】

参考になれば。でわ

この回答へのお礼

お返事ありがとうございます。やはりSSLを使える所にしようとおもいます。
ありがとうございました。

お礼日時：2002/01/19 22:34

No.4 回答者： Mintcream 回答日時： 2002/01/17 19:10

利用する側としては、あったほうが気分はいいです。

カードの番号以外にも、本名や住所、電話番号など
あまりネット上で吹聴したくない情報もありますから・・・。

この回答へのお礼

お返事ありがとうございます。やはりSSLを利用することにしました。

お礼日時：2002/01/19 22:37

No.3 回答者： taka113 回答日時： 2002/01/17 18:57

利用するかしないかは使用者のセキュリティー意識の問題でしょう。

Tel番号一つでも漏らしたくないという人もいれば、カード番号を送るときでさえ暗号化しないような無頓着な人もいます。
セキュリティーは信用に関わる問題なので、商用サイトなどでは個人情報漏洩は絶対に無いと宣言した上で、あらゆるフォームを送信するときには全てSSLで暗号化をしているサイトが多いです。

この回答へのお礼

お返事ありがとうございます。”セキュリティーは信用に関わる問題”
そうですね、やっぱり信用の置けない商用サイトにはしたくないです・・。
ありがとうございました。

お礼日時：2002/01/19 22:43

No.2 回答者： SLIM 回答日時： 2002/01/17 18:55

使った方がいいですね。

「なんのために」SSLを導入されようとしたのか考えれば　当然のことでしょう。

この回答へのお礼

法律的な規制などがあるのかどうかも含めての
ことだったので・・。ありがとうございました。

お礼日時：2002/01/19 22:49

No.1 回答者： asuca 回答日時： 2002/01/17 18:55

個人情報には他の人に走られ得たくない物もあると思います。

自宅電話番号など。

ですからSSLを使った方が情報漏洩が防げていいでしょう。
丁寧に作るのだったらSSLありとなしを選択してからそれに応じた入力ページに行くようにしてやるといいですよ。

この回答へのお礼

お返事ありがとうございます。参考にさせていただきます。

お礼日時：2002/01/19 22:51