avatar
インターネットを利用するときに必要になるURLですが、この先頭が『http://』となっている時と『https://』となっている時があるのを見たことがありますか?

『HTTP』と『HTTPS』の違いは?

HTTPは、「Hyper Text Transfer Protocol」の略で、 インターネット上でWEBサーバーとクライアント(パソコン上のアプリケーション等)が、 HTML(Hyper Text Markup Language = WEBページを記述するための言語)で書かれた文書などの情報をやりとりする時に使われる通信手順(プロトコル)を意味します。

基本的な仕組みとしては、 ブラウザなどのクライアントがWEBサーバーに対して操作するコマンドを送ると、 それに応じた結果のデータがサーバーから送られてきます。 送られてきた結果のHTML、 JPEGといったデータをきれいに成形して表示させるのが、WEBブラウザの仕事です。

しかし、HTTPではデータが暗号化されていないため、 通信経路のどこかで内容を見られてしまう可能性があります。 第三者に知られたくない情報をやりとりする時は、暗号化されたHTTPSという通信手順を使うのが有効です。

「HTTP」と「HTTPS」通信の確認方法

アクセスしたWEBサイトがHTTP通信の場合、URLの先頭は『http://』となり、警告が表示されます。これに対して、アクセスしたWEBサイトがHTTPS通信の場合は、URL(アドレス)の先頭は『https://』となり、鍵マークなどが表示されます。

WEBブラウザごとに警告や鍵マークなどの表示は異なります。

Microsoft Edge の場合

HTTP通信の場合
HTTPS通信の場合

Internet Explorer の場合

HTTP通信の場合
HTTPS通信の場合

Google Chrome の場合

HTTP通信の場合
HTTPS通信の場合

Firefox の場合

HTTP通信の場合
HTTPS通信の場合

Safari の場合

HTTP通信の場合
HTTPS通信の場合

SSLとは?

HTTPとHTTPSの違いというのは、実は、アクセスしたWEBサイトでSSLが導入されているかどうかの違いです。SSL化されたWEBサイトは、ご紹介したように、URLが「https」から始まり、ブラウザのアドレスバーに鍵マークが入っているかどうかで確認できます。

SSLとは

Secure Sockets Layer の略で、インターネット上におけるWEBブラウザとWEBサーバー間でのデータの通信を暗号化し、送受信させる仕組みのことです。SSLが導入されていると、通信データは保護され、第三者が盗み見しようとしてもデータの内容を解読することができません。また、そのウェブサイトから送信されるデータは暗号化されることが保証されています。
インターネット上で送受信される氏名・住所・メールアドレスなどの個人情報や、ショッピングの決済に必要なクレジットカード情報、ログインに必要なID・パスワードといった情報は、常に悪意ある第三者から狙われています。SSLは、これらの重要な情報を悪意ある第三者による盗聴を防いだり、送信される重要な情報の改ざんを防ぐ役割を持っています。

SSLを導入するには

WEBサイトでSSLを導入する場合、通信の暗号化に必要な鍵とWEBサイトの運営者の情報が含まれた「SSLサーバー証明書」を取得して、サーバーに設定する必要があります。

SSLサーバー証明書とは

SSLサーバー証明書は、WEBサイトの「運営者の実在性を確認」し、ブラウザとWEBサーバー間で「通信データの暗号化」を行うための電子証明書で、GMOグローバルサインなどの認証局から発行されます。
SSLサーバー証明書には、WEBサイトの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データが含まれています。

SSLサーバー証明書の役割

通信データの暗号化

SSLサーバー証明書に含まれる2つの鍵(共通鍵暗号方式・公開鍵暗号方式)によって、ブラウザとサーバー間で送受信される個人情報や決済情報などの通信データを暗号化することができます。 暗号化されたデータは、SSLサーバー証明書を導入したサーバーで保持する秘密鍵のみでしか解読することができず、悪意ある第三者からの盗聴を防ぎます。

SSLサーバー証明書の共通鍵で通信する仕組み

(出典:ジオトラスト)
運営者の実在性を確認可能にする

SSLサーバー証明書の発行には、認証局(CA=Certification Authority:デジタル証明書の発行・管理を行う機関)が、対象のWEBサイトのドメイン(コモンネーム)の使用権の確認と、WEBサイトの運営者(組織)の実在性について審査を行います。
「実在する運営者(組織)によって運営されている本物のWEBサイト」であることが認証局によって認証され、ユーザーは自分がアクセスしたWEBサイトが、安心して利用できるサイトであることを確認できます。

SSLサーバー証明書の種類

SSLサーバー証明書には、サイト運営者(組織)の認証内容によりレベル分けされた3種類が存在します。

ドメイン認証

申請者が証明書に記載のあるドメイン(コモンネーム)の使用権を所有していることを確認し発行される証明書です。証明書に記載されるコモンネーム(URL)は偽装ができません。このため、ユーザーは証明書(サイトシール)を確認することで、 自分がアクセスしているWEBサイトのコモンネーム(URL)が正しいか否かを知ることができます。
認証レベルは3つの中で一番低いレベルで、認証項目はドメイン名の利用権です。比較的に低価格でスピード発行されるのが特徴で、個人事業主の取得も可能です。
主な用途しては、期間限定で使用するキャンペーンページ、特定の人が利用する組織内のサイト、メールサーバ・FTPサーバなどが挙げられます。

企業実在認証

組織が法的に存在し、その組織が証明書に記載されるドメインの所有者であることを確認し発行される証明書です。証明書に記載される組織名は偽装ができないため、WEBサイトにアクセスするユーザーは、証明書(サイトシール)を確認することで、自分がアクセスしたURLの運営組織を知ることができます。
認証レベルは中レベルで、ドメイン名の利用権に加え、組織の法的実在性が認証項目になります。
主な用途としては、お問い合わせや資料請求などのコーポレートサイト、SNS・会員制サイト、自社内や学内など組織内利用に限定した組織内のサイトなど。

EV認証

EVは、Extended Validation の略で、証明書に記載されるドメインの所有者と運営組織の法的実在性の確認の他、組織の所在地や申し込み意思と権限を確認し、発行される証明書です。EV認証は世界標準の認証ガイドラインがあり、サーバー証明書の中で最も厳格な審査が行われます。
EV認証を導入したWEBサイトは、アドレスバーにそのWEBサイトの運営組織が表示され、色も緑色になります。ユーザはアドレスバーを一目見るだけで、自分がアクセスした先の運営組織を知ることができます。
認証レベルは3つの中で一番高く、認証項目は、ドメイン名の利用権、組織の法的・物理的実在性、組織の運営、承認者・署名者の確認になります。
主な用途としては、決済情報など個人情報を保護したいオンラインショップ、フィッシング詐欺やなりすましを防ぐ必要があるネット銀行やネット証券、Cookie盗聴を防止して常時SSL化・ブランド力を強化したいサイトなど。

SSLの必要性

現在のWEBサイトの運営においては「なりすまし」「盗聴」「改ざん」のリスクが常時つきまとい、「フィッシングサイト」による詐欺被害も後を絶ちません。便利なWEBサービスが当たり前に利用されるようになった今、ユーザの個人情報保護に対する意識も高く、インターネット上で送受信される個人情報や決済情報などの重要なデータを、悪意ある第三者から守ることは必須と言えます。

SSLを導入することで、インターネット上でやり取りされる重要なデータを守り、ユーザーに安心してWEBサイトを利用してもらうことにより、リスクを回避し、それが機会損失を回避することにつながります。

avatar
SSLについておわかりいただけましたか?ネット犯罪が横行する中、データを守る手段を知って、普段から安全な方法でインターネットを利用することが大切です。

Office Cloud 資料ダウンロード

下記フォームからご入力いただくと詳細な資料をダウンロードいただけます。

ダウンロードフォームへ