httpsとは?httpsの仕組みについて解説
2分で読めます
近年、多くのウェブサイトのURLが「http」から「https」に変更されています。これはウェブサイトのセキュリティを向上させるための措置で、従来のhttpからhttpsへの切り替えが行われています。httpsの「s」は「SSL化」という意味で、SSL化はウェブサイトへ通信する際の経路が暗号化されることでユーザーの安全性を確保し、第三者による情報の盗聴や改ざんのリスクを防止できます。今回はこのhttpsのサイトの仕組みや安全性について詳しく紹介します。
httpsとは?
httpsとは、「Hypertext Transfer Protocol Secure(ハイパーテキスト・トランスファー・プロトコル・セキュア)」の略称で、簡単にいうと通信手段のルールのようなもので、httpsが登場する以前はhttpが主流でした。
現在、世界中の人々が利用しているインターネットですが、ユーザーそれぞれが利用する環境によって大きく異なります。たとえば、パソコンのOSは、機種によってWindowsやMacなどのOSの違いがあったり、ブラウザの場合もGoogle ChromeやMicrosoft Edgeなど利用者によって異なり、デバイスもパソコンだけでなく、スマートフォンやタブレットを使用する人も大勢います。ただ、それぞれのアクセス環境によっては、サーバーとウェブサイト間のデータをやり取りする際のルールが異なるので、不具合等が起こる可能性があります。
そこで、様々なOSやブラウザ、デバイスなどが異なる場合でも、同じようにウェブサイトを表示させるためにhttpという共通のルールが設定されました。これによって、パソコンやスマートフォンなどの異なる環境でも同じ手順でウェブサイトのデータをやり取りが可能になり、ブラウザ上でウェブサイトを同じように表示できるようになりました。
しかし、httpは第三者に通信を盗聴されたり、情報を改ざんされるリスクがあるなどセキュリティ面に問題がありました。そこで登場したのが、SSL化と呼ばれる通信の暗号化方式によってセキュリティ面を強化したhttpsです。サイトをhttpsにすることで、通信経路での外部から情報の盗聴や改ざんを防ぐので、オンラインバンキングをはじめとする各オンラインサービスにログインする際に必要不可欠といえます。
https暗号化の仕組み
ここではhttps暗号化の具体的な仕組みについて紹介します。
httpsは、暗号化プロトコルを使用しているので、従来のhttpプロトコルより安全性が高いバージョンといえます。このプロトコルは、非対称公開キーインフラストラクチャと呼ばれるものを使用することで通信を保護します。
また、ユーザーがURLがhttpsではじまるウェブサイトのページに接続する際、SSL証明書が送信されます。このSSL証明書を送信することによって、プロバイダーが身元を確認することができます。クライアントとサーバーでは、安全な接続を確立するために使用される一連の往復通信であるSSL/TLSハンドシェイクと呼ばれるプロセスを実行します。
また、セキュリティシステムに関しては、プライベートキーと公開キーという異なる2つのキーを使用することで、2者間の通信を暗号化します。公開キーは、安全な方法でサーバーとやり取りしたい全て人が利用できるキーです。この公開キーで暗号化された情報は、プライベートキーでしか解読できません。もう一つのプライベートキーは、ウェブサイトの所有者がプライベートを確保するために使用されます。このキーはサーバー上に存在し、公開キーで暗号化された情報を解読するために使用されます。
このようにhttpsは、上記のような暗号化プロトコルの仕組みによって成り立っており、ウェブサイトの訪問者の安全性を確保するのが、SSLの主な役割です。URLがhttpsからはじまるウェブサイトは、SSL化されているのでブラウザとサーバー間のデータの送受信が暗号化されます。このSSL化によってたとえ、サイバー犯罪者などの第三者がデータを盗んだとしても暗号化されているので内容を解読できません。
なお、近年はTransport Layer Security(TLS)というTCP/IPを使って様々な種類のサーバーとクライアント間の通信を安全性の高い通信路も利用されています。
SSLと常時SSLとは?
ここでは、SSLと常時SSLの違いについて解説します。
- SSL:SSLとはSecure Sockets Layerの略で、インターネット上の通信を暗号化する技術のことです。SSLは以前、オンラインショッピングでの注文やお問い合わせ時などの際に個人情報の流出を防ぐため、各企業のウェブサイトのメールフォームのページにのみ、使用されていました。従って、メールフォームがあるページのURLのみhttpsになり、ウェブサイトのURL自体はhttpのままという形でした。これは、SSLを導入しているサーバーサービスを提供している会社の領域を一時的に間借りするという手法で、複数の企業と共有することから共有SSLや共用SSLとも呼ばれています。共有SSLの場合、自社専用のSSLサーバー証明書の発行契約をせずに済むので、費用面を抑えながらサイトへの訪問者の個人情報を保護することができます。
- 常時SSL:常時SSLは、特定のページだけではなくウェブサイト自体をSSL化する形式で、自社専用のSSLサーバー証明書を発行することから独自SSLとも呼ばれます。2010年代以降、Wi-Fiが急速に普及し、特にカフェや空港など様々な場所でフリーWi-Fiが利用できるようになったことが常時SSLが普及した大きな理由のひとつといえます。しかし、フリーWi-Fiの多くは安全性に欠けており、中間者攻撃とはじめ、さまざまな種類のサイバー攻撃を受けてしまう可能性があります。なかでも、各オンラインサービスのログイン情報などをユーザーのデバイスに保存するCookie情報はサイバー犯罪者のターゲットにされがちで、一度漏えいしてしまうとさまざまな被害に遭う可能性があります。従来の共有SSLの場合、他のページを閲覧している際はhttpのままなのでセキュリティ面でのリスクが伴いますが、常時SSLの場合はウェブサイト全体がSSL化されており、全て保護されているので第三者に盗聴が個人情報漏えいなどの可能性が低くなります。
httpとhttpsの違い
こちらではhttpとhttpsの違いについて紹介します。
httpとhttpsの違いは、シンプルに暗号化されているかどうかです。基本的にはhttpとhttpsは同じhttpプロトコルであり、httpsの場合はTLS/SSL暗号化を使用しているという違いがあるだけです。httpsのサイトへアクセスする際、トラフィックが暗号化されているため、サイトの閲覧履歴や個人情報が外部へ漏えいする心配はありません。
一方、URLがhttpではじまるウェブサイトはSSL化されておらず、仮にアクセスした場合は第三者に情報が漏えいしたり、改ざんされたりする危険性があります。オンライン上での罠に引っかからないためにも、非SSL(http)ページへのアクセスは避けましょう。
| HTTP | HTTPS | |
|---|---|---|
| 正式名称 | Hytertext Transfer Protocol | Hytertext Transfer Protocol Secure |
| URL | http:// | https:// |
| SSL/TLSによる暗号化 | × | ⚪︎ |
| 速度 | 速い | 技術の進歩により速度が向上し、HTTPと比較しても遜色のないレベル |
httpsのウェブサイトの安全性
ここでは、URLがhttpsのウェブサイトの安全性について詳しく解説します。
URLがhttpのウェブサイトの場合、安全性が低いのでサイバー犯罪者などの第三者が簡単にユーザーの情報をのぞき見することができてしまいます。また、httpのウェブサイトでは、インターネットサービスプロバイダー(ISP)などがより自分達の収益を増やしたいがためにウェブサイトの所有者の許可なしに勝手にページ内に広告などのコンテンツを挿入することもあります。
さらには、ウェブサイトがhttpsになっていないと、セキュリティ面が脆弱なため、入力フォームなどに悪質なスクリプトを埋め込んで、サイト閲覧者の個人情報などを盗み出すクロスサイトスクリプティング(XSS)攻撃やIPアドレス偽装
URLがhttpsのウェブサイトの場合は、アクセスした際のトラフィックが暗号化されているので、httpのような脆弱性を狙われたり、上記のようなサイバー攻撃を受ける心配もないので安心でしょう。このようにhttpsは、脅威対策のひとつとしても有効的といえます。
証明書の信頼性を確認する方法
以下はGoogle chromeにおいての証明書を確認する方法です。
- URL欄の鍵マークをクリックした後、「この接続は保護されています」をクリックしてください。
- 「証明書は有効です」をクリックします。
- 証明書の詳細を確認することができます。
安全でないウェブサイトのリスクを回避する方法
現在、世界中で多くの人が使用しているGoogleもSSL化(https)を推奨していることもあり、URLがhttpsではじまるウェブサイトが急速に増加しています。Googleが提供しているブラウザのGoogle Chromeでは、各ウェブサイトのhttps化を促進のためにURLがhttpのままのページに対して、URLの欄に警告マークと「保護されていない通信」と常時警告が表示されるようになりました。
セキュリティの観点から、SSL化されていないウェブサイトへのアクセスは避けた方がいいですが、どうしてもアクセスする必要がある場合はVPN(仮想プライベートネットワーク)の使用をおすすめします。VPNへ接続することで、トラフィックが暗号化されるので、サイバー犯罪者など第三者に情報を盗まれたりする心配はなくなります。
さらに、もうひとつ重要なのは、ウェブサイトがSSL化されているからといって必ずしも安全とは限らないという点です。多くの人が、SSL化されたサイトでアドレスバーに鍵アイコンが表示されていると安全だと考えるかもしれませんが、SSL暗号化は主に中間者攻撃によるデータの改ざんを防ぎ、ドメインなりすましを防ぐものであり、偽サイトを特定する確実な手段ではありません。SSLサーバー証明書はサイトの運営者や通信相手の正当性を証明しますが、詐欺サイトでないことを保証するものではないのです。
無料SSL証明書の普及により、SSL証明書の入手コストが著しく低下しています。その結果、多くのフィッシングサイトもSSL化しているのが現状です。これらのフィッシングサイトは、しばしば実在する企業のドメイン名に似た文字列のドメインを取得し、その上で欺瞞的なウェブサイトを作成します。
長い間サイバーセキュリティ業界をけん引してきたNordVPNは従来のVPN機能に加え、ウェブサイトにアクセスする前に事前にURLをスキャンできる「脅威対策機能」を兼ね備えているので、SSL化された悪質な詐欺サイトを避けるのに役立ちます。
