問合せフォームに https 通信は必要なのでしょうか？

Web サイトの運営が本業でもないと、ホームページ用のコストというのものは手間も時間もなるべく減らしたいものです。今日は、小規模　Web サイトに https 通信（暗号化通信、SSL通信）は必要かという点を考えてみたいと思います。

https 通信とは

「https 通信」は 「SSL通信」や「暗号化通信」とも呼ばれ、ホームページ（Webサイト）へのアクセスの内容がが他人から盗聴できないように暗号化する技術です。他人には知られてはいけない情報、例えばクレジットカード番号やパスワードの入力に際しては https 通信でやり取りするように Web サイト運営者は配慮する必要があり、そのような重要な情報を暗号化しないで送信しようとした時に警告を出すブラウザもあります。

ブラウザのアドレスバーに表示されるURLが 「http://www...」 から「https://www...」 と「s」が付いているものに変わる時がありますが、この時、ブラウザはこの安全な https 通信をしています。

https 通信にかかるコスト

さてこのように安全な通信を可能にする https 通信ですが、Web サイト運営者側から見ると追加のコストが掛かります。まずは実費として「SSLサーバ証明書」という、 https 通信を行う時に必要になる身分証明書を買わなくてはなりません（※1）。また、 https 通信を行う場合、 https 通信を行わない時に比べてより高いコンピュータの能力が必要です。

※1 独自ドメインネームで https 通信をする場合。

もちろん、守るべき情報がある場合これらは絶対必要なコストなのですが、小規模サイトのお問合せ用メールフォームなどの場合、特にBtoB サイトでは、入力された会社の所在地などは既に公開されている情報だという場合が多いですね。

このような場合わざわざ費用を掛けて暗号化しなくてもいいの...かな、という気がしませんか？この点を検討してみたいと思います。

https 通信で暗号化できる範囲

ここで、問合せフォーム（メールフォーム）を https 通信配下に設置した時に、守れる情報の範囲についてまとめておきます。驚いちゃいけませんよ。

https 通信は暗号化

Webサーバ（フォームのページ） <--(暗号化)--> Webサイトのお客様

まず、Webサイト訪問者と問合せフォームを設置したサーバの間のやり取りはOKです。暗号化されて安全です。

メール送信は暗号化なし

Webサーバ --(暗号化なし)--> 社内担当者メール

ところが、その内容を社内担当者にメールで送ったような場合は、経路の一部では暗号化されず、盗聴しようと思えば盗聴可能です。

もちろん、盗聴などが行われるにはそれなりの意図と技術が必要なので、殆どの場合実際問題としては心配は無いのですが、それでも、入り口を https 通信で守るだけでは情報を守った事にはならない点は事実です。

もし個人情報をフォームで受け付けるなら、その内容はメールなどには記載せずに Web サーバに保存しておき、サーバから https 通信で安全な社内にダウンロードしてくる、などの配慮が必要です。

https 通信の必要性

さてでは、実は後でメールで情報を流してしまうような場合でも入口には https 通信が必要かという点について考えます。

私の答えは「必要」です。

というのはまず第一には、https 通信をしていないとブラウザが警告を出す事があるからです（上の図）。Web サイト利用者に余計な不安を抱かせずにフォーム送信をしていただくためには、https 通信の設定が必要です。これは「わが社の」メリットです。

また、「わが社」では重要な情報を受け付けないのでブラウザの警告を無視してもらえばよいというものでもありません。というのはブラウザは本当に危険なサイトにアクセスしようとした場合にも警告を発しますが（例：下の図）、「本当に危険」と「ただ単に https 通信の設定に難ありなだけで危険ではない」の区別はなかなか難しいものです。このため、ユーザの方が普段から警告を無視する事に慣れている、または、警告されるサイトがあまりにも多いので警告を切ってしまうという事になると、インターネット全体として Web サイト利用者を危険にさらしてしまう事になります。

こちらは公共のメリットですが、この2点で、私は、情報保護自体が喫緊の要請でなくてもフォーム送信時は https 通信を行う事をお勧めしています。