検索
連載

なぜ、「鍵マークの確認」が必要なの?――「HTTPS通信」のメリットを理解しようセキュリティ、いまさら聞いてもいいですか?(3)(2/3 ページ)

セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第3回のテーマは、「HTTPS通信」です。「通信の暗号化」や「サーバー証明書」の役割を理解し、インターネット利用時のリスクから身を守るための最低限の確認事項について把握しておきましょう。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

HTTPS通信の確認方法

なるほど! そういうことなら、安全のために「HTTPS通信」でWebサイトにアクセスするようにしたいです。どうすればよいのでしょう?


「HTTPSを使用するかどうかを決めるのは、Webサイトの作成者」です。従って利用者としては、「WebページでHTTPSが使われているかどうか」を自分で確認することが重要です。


 HTTPS通信でWebサイトを閲覧するのに、特別な操作は不要です。無線LANの設定のように、パスワード入力などの作業を行う必要もありません。なぜなら、「HTTPS通信を使用するかどうかを決めるのは、Webサイトを作った人だから」です。

 利用者はそれに従うしかありませんので、「WebページがHTTPSを使用しているかどうか」を確認することが大切になります。特に、ショッピングサイトのクレジットカード番号入力ページなど、重要な情報を入力するページでは、HTTPSが使用されていることを必ず確認しましょう。

 WebページでHTTPSが使用されているかを確認するには、ブラウザー上で、WebページのURL(アドレス)を見るのが一番簡単です。暗号化されていないページのURLが「http://」で始まるのに対して、HTTPSで暗号化されているページは、「https://」で始まります(下図)。

 なお、同じサイト内でも、ページによってHTTPとHTTPSが使い分けられている場合があります。現在は、個人情報やクレジットカード番号などの重要な情報を入力するページでのみ、HTTPSを使用するケースが多いようです。ただし、最近では全てのページでHTTPSを使用する「常時SSL」が注目を集めており、少しずつ普及し始めています。

サーバー証明書

 ここまでは通信の暗号化について説明してきましたが、HTTPSには、もう一つ重要な機能が備わっています。それが「証明書によるサーバーの認証」です。なお、HTTPSにはさらに「通信の改ざん防止」という仕組みもあるのですが、これは連載の別の回で紹介します。

 さて、先ほど、サイトとの通信がHTTPSで暗号化されているかどうかを判断するために、URLが「https://」で始まっていることを確認しました。記事の冒頭でも少し触れましたが、このとき、URL欄に「鍵マーク」が表示されます。

正確には「錠マーク」と呼ぶべきかもしれませんが、本稿では一般的に用いられる「鍵マーク」の語を使用します。

 この鍵マークをクリックすると、そのWebサイトが持っている「サーバー証明書」を見ることができます(下図)。

 サーバー証明書は、アクセスしているサイトが「信頼できる認証局によって認証された、正当なサイトであること」を証明するための身分証のようなものです。

 皆さんが使っているWebブラウザーには、あらかじめこの「信頼できる認証局」の情報が登録されています。ちなみに、認証局は国内外に複数存在します。興味のある人は、Web検索などで調べてみてください。

 このWebブラウザーの持つ認証局の情報と、Webサイトが送ってきたサーバー証明書を照らし合わせることで、アクセスしているWebサイトが偽物のサイトなどではないことを確認します。本稿では詳細な説明はしませんが、このとき、サーバー証明書が改ざんされていないことを保証するために、「デジタル署名」という技術が用いられています。

信頼できる認証局から発行されていない証明書が使用されていた場合、どうなるのですか?


Webブラウザーに警告メッセージが表示されます。


 実は、サーバー証明書は誰でも作成できます。勝手に発行した証明書をWebサーバーに配置して、HTTPS通信を行うことも可能です(「オレオレ証明書」などと呼ばれます)。

 しかし、前述の通り皆さんのブラウザーには信頼できる第三者機関である認証局の情報が登録されていますので、このような証明書を使用しているWebサイトにアクセスすると、Webブラウザーに警告メッセージが表示されます。

 また、他にも警告メッセージが表示されるケースとして、「証明書の有効期限切れ」があります。証明書には有効期限が設定されており、定期的に更新が必要なのです。あるいは、「秘密鍵」と呼ばれる情報が漏えいした場合なども、証明書の失効手続きが行われ、警告が表示されるようになります。

Quiz:証明書には、どのような種類があるでしょうか?

次ページから、証明書の種類について解説していきます。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ

Security & Trust 記事ランキング

  1. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  4. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  9. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  10. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
ページトップに戻る