(2018/2/7執筆、2019/10/26修正・加筆、2022/1/21修正・加筆)
パソコンやスマートフォンでブラウザを利用してWebサイトを参照している時に、URLを意識して見ることがあるでしょうか。URLはWeb上のどの番地を見ているというアドレスを表すものですが、その始まりがhttpsの場合とhttpの場合があります。
httpsはサービス提供者とユーザーの間で安全に通信をすることを目的として利用されています。本記事では初心者にもわかりやすく、http(http://から始まるもの)とhttps(https://から始まるもの)の違い、httpsにすると何がいいのか、URLの読み方、SSL通信とはどのようなものかについてご説明します。
https(Hypertext Transfer Protocol Secure)を略してhttpsと呼びます。
https(Hypertext Transfer Protocol)にSecureのSを付けてhttpsとしています。
Secureは安全を意味しており、httpsは安全なhttpという意味合いです。
といっても、そもそもhttpとはなんなのでしょうか。
Webと関係のある技術という認識で大きくは間違っていないのですが、その定義から確認していきましょう。
http(Hytertext Transfer Protocol)とは、Webサーバからデータを取得するための共通の手順や約束事です。Web上でWebサーバとユーザーが相互に通信する際に利用されている仕組み、ルールといえます。
PCやスマートフォンのブラウザを使って各種のWebサイト、ページを表示する際には、このHTTP/HTTPSを利用して、Webサーバから表示内容を取得します。
HTTP/HTTPSを利用する際には、URLの先頭にhttp/httpsを指定します。
例:
https://www.shadan-kun.com/blog/
このURLはWeb上のどこに存在しているページを表示するかという指定です。所在ですのでアドレスという言葉も使います。上記例では「www.shadan-kun.com」が該当のページを所有するホスト(Webサーバー)を示し、「/blog/」はホスト内での詳細な格納構造を示しています。
なお、URLのホストを示す部分には、ホストのポート番号を末尾に設定します。ただし、デフォルトのポート番号の場合は省略することができます。httpでは80、httpsでは443がデフォルトのポート番号です。上記例ではhttpsのため443ポートの指定が省略されています。
例:
https://www.shadan-kun.com:443/blog/
上記の二つのURLは同じページを指定しています。
httpsではSSL/TLSを利用して通信内容の暗号化を行っています。http通信+SSLでセキュアになるため「https」と表示されます。httpsを利用すると、Webサーバとユーザー間の通信を傍受(盗み見)や改ざんされにくくなります。
※SSL/TLSについては後述します。
httpsとhttpとの違いは、SSL/TLSというセキュアなプロトコルを利用して通信を暗号化している点です。
http通信の場合、データは平文(ひらぶん)であり、暗号化されていません。この平文の通信を傍受された場合、Webページとユーザー間の通信を盗み見たり、改ざんされてしまう可能性がありました。
SSL/TLSプロトコルは通信が傍受された場合にも、暗号化によって内容の読取りを防ぎます。それに加えて、改ざんを検知する役割も持ちます。
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)はいずれもWebで利用される暗号化の方式です。TLSはSSLをもとにして、脆弱性への対処などを追加して作られています。
2021年現在では一般的にTLSが利用されています。しかし、SSLの名称が普及しているためSSLやSSL/TLSと呼称しているというのが実情です。
利用者の立場としては、TLSはSSLの後継版で、ほぼ同一のWebの暗号化の方式として認識してよいでしょう。
SSL通信はSSL/TLSを利用したセキュアな通信です。第三者によって発行されたSSLサーバ証明書をサーバへ導入して利用します。SSLサーバ証明書を導入したサーバでは、データの通信時にデータを暗号化し、傍受を防ぎます。同時にハッシュ関数を用いて、データが正確であるかを検証し、改ざんの検知も行っています。
もし、あなたがWebサイトを利用している際の通信内容を、知らない人に見られていると考えるとその恐ろしさが分かるでしょう。例えば、オンラインショッピングで住所やクレジットカードなどの個人情報を入力して商品を購入した際の通信が傍受されているとしたら、暗号化が行われていなければ個人情報が筒抜けになってしまいます。
SSL通信は暗号化、データの改ざん検知をすることにより、Webサービスとユーザーを安全に結ぶ規格なのです。
パソコンやスマートフォンで利用するブラウザには、URLの表示されるアドレスバーがあります。httpとhttpsのどちらを利用しているかは、アドレスの先頭が「http://XXX」か「https://XXX」なのかを見ることで判断が可能です。
また、ブラウザやアプリの種類によっては、「https://」の部分が簡略化され、錠前のマークになっていることもあります。クリックやタップをすることで、暗号化通信と表示されたり、より詳しい内容をチェックすることができます。
例:
SSL通信は、アクセスするサービスのサーバが「安全」であることを示しているわけではありません。信頼性が高い第三者機関から発行されたSSL証明書を利用しているので、「なりすまし」をしていないことを示します。
ウイルス対策ソフトの中には、httpsを利用していないページや、危険なページを表示する時に、警告を表示するものもあります。リンク元のページが一見安全そうに見えたとしても、警告が表示された場合は安易に開かないことをおすすめします。
SSL/TLSを利用したhttpsによる通信は安全を確保するものであることから、Webページの標準として導入が進んでいます。
その一つの後押しとなっているのが、大手検索サービスのGoogleがhttps化を推奨していることです。GoogleはWebサイトの検索されやすさであるSEOにおいて、httpsを優先することを明言しています。このため、SEO対策の観点からもhttpsの導入が進んでいます。
Webの提供形式をhttpsにするメリットとしては、サービス提供者の信頼性が高まり、ユーザーが安心、安全にサービスを利用できることがあげられます。一般的なWebページを表示する時も、httpではなくhttpsであることを確認することで、信頼性の高いページのみを参照することが可能です。
https化が行われていないWebページに、個人情報、IDやパスワードを入力する場合は注意する必要があります。暗号化されていない状態で情報を入力することは危険であると、ユーザーは把握しておきましょう。
httpsはWebセキュリティの向上を目的として、普及を見せています。現在では、新たにWebサイトを作る場合にはhttpsを利用するのが一般的であり、httpは古いサイトへの対応のために残っているといっても過言ではありません。
現在もhttpを利用している場合には、httpsを利用できるように検討してみてください。
レンタルサーバ上のCMSなどを利用してWebサイトを構築している場合は、レンタルサーバのサービス内容を確認して、httpからhttpsに移行可能か確認しましょう。無料でhttps化できるレンタルサーバもありますし、料金を支払うことで利用できる場合もあります。無料の場合はSSLサーバ証明の種類も確認しましょう。
企業や公的な組織の場合は、EV SSL証明書を導入することも多いです。EV SSL証明書(EVサーバ証明書)は発行時に厳格な審査があり、ドメインの所有権の確認と企業の法的な実在証明をおこなう信頼性が高い証明書です。
httpsを利用することで、Webの通信を暗号化し、セキュリティを向上させることができます。Webサービス提供者はhttpsを適用し、Web利用者はhttpsの適用を確認して利用することで、安心・安全に情報のやり取りをすることが可能となります。https化はWebセキュリティ対策として効果的であるため、個人や組織に関わらず、積極的に導入することをおすすめします。
企業のwebセキュリティ対策としておススメなのが「WAF」の導入です。
WAFにも種類がありますが、クラウド型WAFは少ないコストや手間でセキュリティ対策することが可能です。クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業にとって、有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにもクラウドサービス側で早急に対応を行います。セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保つことが可能です。
ぜひ、この機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
この記事と一緒に読まれています
2016.05.19
セキュリティ対策
2020.01.30
セキュリティ対策
2020.02.14
セキュリティ対策
2018.05.10
セキュリティ対策
なぜIPOを目指すベンチャー企業がセキュリティ対策を行う必要があるのか?
2020.02.26
セキュリティ対策
2019.09.25
セキュリティ対策