ここでは、HTTPS(セキュア Web プロトコル)について解説します。HTTPS の末尾の「S」は、「セキュア」を意味します。 HTTPS では、Web サイトの認証や通信の暗号化を行います。Web サイトの認証により、アクセスしている www.apple.com が偽物ではなく、本物であることを確認できます。HTTPS は当初、ログインをはじめ、オンラインバンキングやオンラインショッピングなどの機密性の高いオンライン取引を保護するために使用されていました。しかし最近では、あらゆるところで HTTPS の使用がデフォルトになっています。
HTTPS は、公開鍵暗号と呼ばれるテクノロジーに基づいています。Web サイトでこれを利用できるようにするためには、認証局によって認証された公開/秘密鍵のペアが必要です。公開鍵暗号の仕組みについては、ここでは説明しません。
では、いつもの例を使って、今回は HTTPS について解説します。ステップ 1 は前回と同じです。住所を入力するか、リンクをクリックします。
ただし、ステップ 2 に進む前に、新しいステップを加える必要があります。これをステップ 1.5 とします。このステップではブラウザーと Web サーバーで、メッセージのやりとりや非常に特殊な計算など、暗号化に関する一連の処理が行われます。このときに、Web サーバーの公開/秘密鍵のペアが使用されます。これにより Web サイトが認証され、セッションキーと呼ばれる 2 つの新しいキー(クライアント用とサーバー用)が作成されます。セッションキーは、メッセージの暗号化や復号化で使用されます。
これらの暗号化機能は TLS(トランスポート層セキュリティ)と呼ばれるプロトコルによって実行されます。TLS は、現在非推奨の SSL(セキュア・ソケット・レイヤー)の後継です。
これで、ステップ 2 に進むことができます。仕組みは前回と同様です。ただし、要求メッセージが作成されると、そのまま送信されるのではなく、セッションキーで暗号化されます。その後、暗号化されたメッセージが Web サーバーに送信されます。Web サーバーでは、メッセージを受信すると、セッションキーでメッセージを復号化して読み取ります。
ステップ 3 の応答メッセージも同様です。応答メッセージの作成後、Web サーバーはセッションキーでメッセージを暗号化して、ブラウザーに返します。ブラウザーは、メッセージを受信すると、セッションキーでメッセージを復号化して読み取ります。
最後のステップ 4 も前回と同様です。ブラウザーが応答をレンダリングし、Web ページが表示されます。
南京錠のアイコンは、Web サイトの安全な接続と認証を示しています。
要求/応答メッセージは Web サーバーをどのように行き来しているのか、疑問に思うことでしょう。それは、インターネットプロトコル(IP)です。次の解説のテーマとなります。 IP アドレスとは
セキュア Web サイトは、インターネットユーザーに信頼性を示す重要な裏付けとなります。Web サイトのユーザーは、ブラウザーのアドレスバーで鍵マークの表示を確認することで、Web サイトが正規の安全なものであることを、ある程度確認できます。
インターネットは、ハイパーテキスト・トランスファー・プロトコル(HTTP)などのプロトコルに基づいています。Web サイト URL の HTTP に「S」がついているもの(HTTPS)は、サイトがセキュアなバージョンの HTTP を使用していることを示します。「S」はセキュアの S を表します。HTTPS(ハイパーテキスト・トランスファー・プロトコル・セキュア)は当初、オンラインのログインを保護し、バンキングやショッピングのオンライン取引でのセキュリティを確保するために使用されていました。しかし、2014 年になると Google が HTTPS をランキングシグナルとして使用したことで、HTTPS の重要性が大きく示されることになりました。HTTPS の導入への影響は劇的で、今日では全 Web サイトの 80% が HTTPS を使用しています。
HTTPS と、関連セキュリティプロトコルである SSL(セキュア・ソケット・レイヤー)は、Netscape ブラウザーを保護するために 1994 年に Netscape によってリリースされました。
HTTPS 接続は次の 2 つの重要な機能を備えているため、インターネット上での信頼性を確立し、接続のセキュリティを確保できます。
HTTPS は、公開鍵暗号基盤(PKI)と呼ばれるテクノロジーに 基づいています。PKI では、公開鍵暗号やデジタル署名を使用しています。「鍵ペア」は Web サイトの所有者によって作成され、公開鍵は「認証局」(CA)と呼ばれる信頼できる機関に送信されます。この認証局が公開鍵に署名し、デジタル証明書と呼ばれる文書を生成します。これで Web サイトは秘密鍵と SSL 証明書を保有して、公開鍵を保有します。公開鍵は、秘密鍵によって署名された内容を検証します。デジタル証明書は一連の信頼と検証により、Web サイトが本物であることを証明します。HTTPS はセキュリティプロトコル(SSL/TLS)と連携して機能し、Web ブラウザーと Web サーバー間の通信や機密データを暗号化および復号化します。
HTTPS プロトコルの要求/応答フローの開始は、HTTP と同じです。2 つのフローの違いは、中間のステップ「1.5」の有無です。
ユーザーがブラウザーに Web アドレスを入力するか、電子メールやその他の通信メッセージに記載されているリンクをクリックします。アドレスには URL(ユニフォーム・リソース・ロケーター)が含まれます。URL には HTTP が含まれ、URL を示す文書を HTTP で取得するようブラウザーに通知します。
ステップ 1.5 では、「暗号化の動作」を実行するブラウザーと Web サーバーが関与します。これには、暗号化されたメッセージのやり取りなどが含まれます。このステップでは、認証局(CA)で生成された Web サーバーの公開/秘密鍵のペアを使用して、複雑な暗号化機能を TLS プロトコルで実行する必要があります。また、Web サイトを認証し、クライアント用とサーバー用の 2 つの新しいキー(セッションキー)を作成します。セッションキーは、メッセージの暗号化や復号化で使用されます。
ステップ 2 は、HTTP のステップ 2 での要求/応答フローと同じです。クライアント(ブラウザーなど)は、Web サーバー向けの要求メッセージを作成します。メッセージには、要求者など、要求に関する付加的な情報が含まれます。ただし HTTP とは異なり、HTTP(S) では要求メッセージの作成後、これをブラウザーから送信する前に、セッションキーで要求メッセージを暗号化する必要があります。
Web サーバーは要求を受信すると、セッションキーでメッセージを復号化して読み取ります。その後、Web サーバーは応答メッセージを作成します。応答メッセージは、セッションキーで暗号化されてから、ブラウザーに送信されます。
ブラウザーは、暗号化されたメッセージを受信すると、セッションキーでメッセージを復号化して読み取ります。このステップの最後に、ブラウザーが応答メッセージをレンダリングし、ブラウザーに Web ページを表示します。
HTTPS を使用しないと、インターネットユーザーや、(ブラウザーなどの)クライアントと Web サーバーの間でやり取りされるオンラインデータが、次のようなリスクに晒されます。
傍受攻撃:HTTPS では TLS プロトコルで通信を暗号化します。通信が攻撃者に傍受されても、データを復号化して盗み出すことはできません。
認証情報の窃盗:Ponemon によると、認証情報の窃盗は、セキュリティインシデントの 54% を 占めています。Web サイトに HTTPS が適切に実装されていれば、その Web サイトから送信されるデータ(ログイン認証情報など)は暗号化されるため、セキュリティが確保されます。
信頼の低下:HTTPS 対応であることを示す Web サイトには、信頼できる CA によってデジタル証明書が発行されています。CA では、証明書を発行する際、企業に対してデュー・デリジェンス・チェックを実施します。ただし、Anti-Phishing Working Group(APWG)の統計情報によると、 フィッシングサイトの 83% で HTTPS が使用されていることから、引き続き注意が必要です。
HTTPS は、セキュアバージョンの HTTP(ハイパーテキスト・トランスファー・プロトコル)で、HTML ドキュメントなどのリソースを取得します。HTTPS を使用すると、クライアント(ブラウザー)と Web サーバー間の安全なメッセージングが実現します。HTTPS では、トランスポート層セキュリティ(TLS)プロトコルと併せて鍵ペアの暗号化技術が用いられ、メッセージの暗号化/復号化が行われます。また、HTTPS は、Web サイトがこのような安全なプロトコルを使用していることや、Web サイトの所有者が確認されていることを示すものとなります。
HTTP は、Web サイトのコンテンツ配信に使用する Web プロトコルで、これらのコンテンツをブラウザーに表示できます。Web プロトコルである HTTP は、Web クライアントと Web サーバーとの通信方法を定義する要求/応答型のプロトコルです。HTTPS は、このプロトコルのセキュアバージョンです。トランスポート層セキュリティ(TLS)プロトコルや鍵ペアの暗号化技術を用いて、クライアント(Web ブラウザーなど)と Web サーバー間のメッセージのやり取りを保護します。
いいえ。HTTPS だからといって、必ずしも Web サイトが安全とは言えません。
HTTPS(ハイパーテキスト・トランスファー・プロトコル・セキュア)は、Web ブラウザーと Web サイト間の通信を暗号化して、安全な接続を実現するプロトコルです。これにより、ユーザーと Web サイト間で送信されたデータが、権限のない第三者に傍受されたり改ざんされたりしないようにすることができます。
HTTPS は送信中のデータを保護する重要なセキュリティ対策となりますが、Web サイトの安全性や信頼性を全面的に保証するものではありません。HTTPS の Web サイトの中には、悪意のあるコンテンツが含まれていたり、脆弱性が存在していたり、不正行為に関与していたりするサイトもあるからです。
HTTPS は「Hypertext Transfer Protocol Secure(ハイパーテキスト・トランスファー・プロトコル・セキュア」の略です。HTTPS の「S」があることで、Web ブラウザーと Web サイト間の通信が暗号化され、セキュリティが確保されていることがわかります。
HTTPS の「S」は、Web サイトに SSL/TLS 証明書がインストールされていることと、接続が暗号化され、セキュリティが確保されていることを示しています。この暗号化により、機密情報を保護し、ユーザーと Web サイトとの接続が本物かつ信頼性の高いものであることを確認できます。
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。
