httpとhttpsの違いは?暗号化通信など、サイトの安全確認方法

インターネットでWebサイトを閲覧しているときに、「http」で始まるURLと「https」で始まるURLがあることはご存じでしょうか?

URLとは、Webページのインターネット上での場所を指すもので、ブラウザの上部にあるアドレスバーに表示されています。

そして「http」と「https」は、両方ともWebページを表示させるための「約束ごとの表記」なので、世界共通で使用されています。両者の違いは最後の「s」ですが、実はこれがあるのとないのとでは大きな違いがあるのです。

今回は「http」と「https」の違いや、サイトの暗号化通信についてご紹介します。

情報を守るための「s」

「http」とは「Hyper Text Transfer Protocol(ハイパーテキストトランスファープロトコル)」の略称です。インターネットの世界では、サーバーと呼ばれる場所に大量のデータが保存されています。このサーバーの中から目的のデータを取り出すためには、プロトコルと呼ばれるルールに従ってデータを取り出す必要があり、こうしたサーバーとデータのやり取りを「http」と呼ぶのです。

なお、ハイパーテキストとは、そのテキストに関連した画像や音声、動画などを呼び出すことができるテキストのことです。

一方、「https」も「http」と同様の働きをします。しかし、「https」の「s」は「Secure(安全)」を表します。「https」は、「http」よりもセキュリティが強化されているという特徴があるのです。「https」は、主にIDやパスワードなどの個人情報を入力するページや、問い合わせフォームなどで使用されています。

暗号化がなぜ必要なのか?暗号化しないリスクとは?

Webサイトを表示する際は情報を暗号化することができますが、暗号化したほうが安全なのはどうしてでしょうか?暗号化しなかった場合のリスクを確認してみましょう。

リスクの例【情報漏えいの危険】

例えば、ネットショッピングのサービスを提供しているWebサイトに、あなたのクレジットカードの番号を入力したとしましょう。その情報を暗号化されていない状態でサイト側に送信すると、途中で誰かにクレジットカード番号を盗まれてしまう危険性があります。入力したままの状態のテキストを「平文」といいますが、平文で送信してしまうことで、悪意ある第三者がその情報を盗み見ることができてしまう恐れがあるのです。

クレジットカードの番号などが流出してしまうと、身に覚えのない請求が自分に届いてしまうかもしれないというリスクに晒されます。あなたのメールアドレスが流出してしまったら、名簿業者などに売られてしまい、不審なメールが大量に送られてくる危険性もあるでしょう。

リスクの例【情報の改ざんやウイルス感染の危険】

あなた自身がWebサイトを運営している場合、ページ内容の改ざんという被害に遭うことも考えられます。テキストの内容を書き換えられたり画像を変更されたりするくらいならまだしも、Webサイトを閲覧したユーザーのパソコンに自動的にウイルスがダウンロードされるように仕込まれる可能性も考えられるのです。

そのウイルスがユーザーの個人情報を収集して送信するようなものであった場合は、さらに被害が大きくなってしまうでしょう。

このように、暗号化されていないWebサイトでは情報を公開する側も情報を送信する側も、犯罪に巻き込まれる可能性があります。Webサイトの暗号化は、Webサイトで入力した情報などを誰かに盗まれたり、改ざんされたりしないようにするための防御となるのです。悪意ある第三者から身を守るためにも、Webサイトの暗号化は避けられないといえるでしょう。

暗号化の基本的な仕組みは?

前述の通り、Webページの暗号化は重要です。しかし、そもそも暗号化はどのように行われているのでしょうか?

Webページで用いられる基本的な暗号化には2つの工程があります。1つは平文を暗号データに変換する工程、もう1つは暗号化されたデータを平文に戻す工程です。この2つの工程において、「鍵」と呼ばれる仕組みが使用されます。つまり、平文を暗号化するための鍵と、平文に戻すための鍵が存在するのです。

「共通鍵暗号方式」と「公開鍵暗号方式(PKI)」

鍵が必要とされる2回のタイミングで同じ鍵を使う暗号化の方法を、「共通鍵暗号方式」と呼びます。データを平文に戻すときに、暗号化した鍵と同じものを使用しないと戻せないようになっています。この方式で使用される鍵のことを「共通鍵」といいます。

一方、暗号化する鍵と平文に戻す鍵が異なる暗号化方式もあります。暗号化する鍵は「公開鍵」、平文に戻す鍵は「秘密鍵」と呼ばれ、一対になっているのが特徴です。この方式を、「公開鍵暗号方式(PKI)」といいます。

「公開鍵暗号方式(PKI)」のほうは鍵が2つあるため、仮に片方が流出してしまっても、もう1つが分からなければ暗号化を破ることはできません。一方の「共通鍵暗号方式」では同じ鍵を使用するので、鍵が流出してしまうと暗号化を破られてしまいます。

そのため、「公開鍵暗号方式(PKI)」のほうが安全性は高いのですが、暗号化や復号に時間がかかるというデメリットもあります。いずれにせよ、鍵が流出しないようしっかりと管理しなければなりません。

SSL認証を使った「https」での暗号通信

httpsでの暗号通信

「https」のWebサイトではどのような暗号化が行われているのでしょうか?

「https」を使ったWebサイトでは、「公開鍵暗号方式(PKI)」と「公開鍵暗号方式(PKI)」の両方を使った暗号化が行われています。この仕組みをSSL認証といい、「https」のサイトで最も一般的に使われている方式です。

SSL認証を受けたサイトは、第三者機関によってサイトの信頼性が担保されます。また、サイトの運営者を確認することができるので、いわゆる「なりすまし」などの被害を防ぐことができるのです。

さらに、SSLサーバー証明書という仕組みを利用して、通信先のサーバーに問題がないかどうかの確認も行っています。これは、Webサイト運営者の身元を証明するための仕組みです。通信先のサーバーを確認することにより、「なりすまし」などの被害を事前に除外することができます。特定のWebサイトを見ているつもりでも、誰かがそのサイトに偽装したページを表示させていて、そこで個人情報が盗まれてしまうかもしれません。通信している先が自分の意図しているサイト運営者かどうかを確認することで、個人情報流出のリスクを減らすことが可能です。

Webサイトの安全確認方法

Webサイトの安全確認方法

WebページのURLを見る以外にも、暗号化されているかどうか判断する方法があります。ブラウザのアドレスバーを見てみてください。南京錠が閉まっているアイコンが表示されていれば、そのページは暗号化されているということを表しています。この鍵マークをクリックすることで、SSLサーバー証明書などの情報を確認することも可能です。

まれにではありますが、「https」であっても悪意のあるサイトというものは存在します。そのようなサイトを見分けるためにも、不審な点があった場合には鍵マークをクリックして、悪意のあるサイトでないかどうかを確認すると良いでしょう。

特に、初めてクレジットカードの情報を入力したり、その他の個人情報を送信したりするサイトでは、あらかじめ鍵マークをクリックして表示される情報をしっかりと確認することをおすすめします。

Web担当者のためのセキュリティの教科書

Web担当者のためのセキュリティの教科書

現在の自身の状況に応じてやるべきことを理解できます

おわりに

Webページの暗号化は、Webサイトを運営する側にとっても閲覧するユーザー側にとっても、必須の仕組みとなっています。

近年は、フィッシング詐欺やなりすましなど、インターネット上の犯罪が多発している背景もあります。「難しくて分からない」「たぶん大丈夫だろう」という気持ちでWebページを閲覧して個人情報を入力してしまうと、思いもよらない被害に遭うこともあります。十分に注意しましょう。

ドクター・ホームネットでは、ウイルスやスパイウェアの駆除のほか、架空請求画面の削除なども行っています。思わぬトラブルに巻き込まれてしまった際も、まずはお気軽にご相談ください。

パソコンやインターネットで困った時は
サポートご予約専用ダイヤルを見る 今すぐお電話で相談したい方はこちらをクリック
もしもの時の印刷用資料
緊急問い合わせ
サポートご予約専用ダイヤルを見る 今すぐお電話で相談したい方はこちらをタップ連絡先に追加する

サポートご予約専用ダイヤルは、パソコン修理と家電修理で異なります。
お間違えのないようご注意ください。

パソコン修理 家電修理
基本料金+環境・トラブル診断料金+作業料金が発生いたします。
0120-713-835
受付時間 9:00~21:00
(年中無休)
出張料金+診断料金+技術料金+部品代が発生いたします。(出張修理の場合)
096-380-1945
受付時間 9:00~18:00
(年中無休)