Webサイトを見ているとき、アドレスバーに表示されるURLの先頭がhttp://で始まるサイトと、https-://で始まるサイトがあることに気づいたことはありませんか?
そして、http://のサイトにアクセスすると、ブラウザに「保護されていない通信」という、なんだか不安になる警告が表示されることがありますよね。
実は、この違いは、あなたがインターネットを安全に使う上で、そして将来Web開発に携わる上で、絶対に知っておかなければならない、非常に重要な意味を持っています。
この記事では、IT知識ゼロの初心者の方でも、HTTPとHTTPSの決定的な違いがスッキリと理解できるように、**「手紙のやり取り」**に例えながら、わかりやすく徹底的に解説していきます。
-
Webの基本ルール「HTTP」とは?
-
HTTPが抱える3つの致命的な危険
-
安全な通信を実現する「HTTPS」の仕組み
-
なぜ今、すべてのサイトがHTTPSになっているのか?
大前提:HTTPとは? – Webの基本的な「会話ルール」
まず、sがついていない**HTTP(HyperText Transfer Protocol)**から見ていきましょう。
あなたがブラウザでリンクをクリックすると、
-
ブラウザ:「こんにちは!このページのデータをください!」(リクエスト)
-
サーバー:「はい、どうぞ!これがそのデータですよ!」(レスポンス)
という会話が、HTTPというルールに則って行われています。
このHTTP、例えるなら**「普通のハガキ」**です。
宛先と差出人、そして通信したい内容(本文)が書かれていて、手軽で速く情報を伝えられます。Webが誕生した当初から使われている、基本的な通信方法です。
HTTPの問題点:「ハガキ」が抱える3つの致命的な危険
しかし、この「ハガキ」であるHTTPには、セキュリティ上の大きな問題があります。
それは、通信内容が**「平文(ひらぶん)」、つまり暗号化されていない、むき出しのテキストデータ**でやり取りされることです。
ハガキは、配達途中の人なら誰でも、その内容を読めてしまいますよね。それと同じ危険が、HTTP通信には潜んでいるのです。
1. 盗聴(とうちょう)
カフェや空港のフリーWi-Fiなど、安全性の低いネットワークで、あなたがECサイトにログインしようとしたとします。
HTTP通信の場合、あなたが入力したIDやパスワード、クレジットカード情報が、そのままの文字列でネットワーク上を流れます。悪意のある第三者がその通信を覗き見れば、あなたの個人情報は丸裸になってしまいます。
例えるなら:配達員が、あなたのハガキの内容をこっそり盗み見している状態。
2. 改ざん(かいざん)
通信の途中で、第三者が内容を書き換えてしまう危険性です。
例えば、あなたが信頼できる会社のサイトからソフトウェアをダウンロードしようとしたとき、通信途中で悪意のある者が、そのファイルをウイルス付きの偽ファイルにすり替えてしまう可能性があります。あなたは、本物だと思って偽物をダウンロードしてしまうのです。
例えるなら:ハガキの本文を、途中で誰かが全く違う内容に書き換えてしまう状態。
3. なりすまし
あなたがアクセスしているWebサイトが、本当にその運営元が作った本物のサイトである、という保証がありません。
悪意のある者が、本物そっくりの偽の銀行サイトを作り、あなたをそこに誘導します。あなたが本物だと思い込んでIDとパスワードを入力すると、その情報がごっそり盗まれてしまいます(フィッシング詐欺)。
例えるなら:友人からのハガキだと思って読んでいたら、実は全くの赤の他人が、友人の名を騙って送ってきた偽物のハガキだった状態。
救世主の登場:HTTPSとは? – 安全な「会話ルール」
これらのHTTPの危険を解決するために生まれたのが、sのついた**HTTPS(HyperText Transfer Protocol Secure)**です。
sは**「Secure(安全な)」を意味します。
HTTPSを例えるなら、「中身が見えないように暗号文で書かれた手紙を、頑丈な『鍵付きの金庫』に入れ、さらに差出人の『公的な身分証明書』のコピーを添えて、書留で送る」**ようなものです。
HTTPSを支える「SSL/TLS」という魔法の技術
**SSL(Secure Sockets Layer)と、その後継であるTLS(Transport Layer Security)**は、インターネット上の通信を安全に行うための、暗号化のルールです。
SSL/TLSは、先ほどのHTTPが抱える3つの危険を、以下のように解決します。
1. 暗号化(盗聴対策)
SSL/TLSは、ブラウザとサーバーの間でやり取りされるすべてのデータを、意味不明な文字列の羅列に**「暗号化」**します。
もし第三者が通信を盗聴しても、そこに流れているのは解読不能なデータだけ。IDやパスワード、クレジットカード番号といった重要な情報が、そのまま盗まれることはありません。
2. 認証(なりすまし対策)
あなたがアクセスしようとしているWebサイトが、本物であることを証明します。
これを実現するのが**「SSLサーバー証明書」**です。これは、信頼できる第三者機関(認証局)が、「このサイトの運営者は、確かに実在する〇〇という組織ですよ」と発行する、**Webサイトの「公的な身分証明書」**のようなものです。
3. 完全性の保証(改ざん対策)
通信データに、電子的な封印(メッセージ認証コード)を施します。
もし、通信途中でデータが1ビットでも改ざんされたら、受信側でその封印が破られていることを検知できる仕組みになっています。
これにより、データが途中で書き換えられていないことを保証します。
ブラウザの「鍵マーク」の正体
ブラウザのアドレスバーの横に表示される**「鍵マーク」。これは、「このサイトとの通信はHTTPSで行われており、有効なSSLサーバー証明書によって、通信相手の身元も確認されていますよ」**という、安全の証です。
逆に、「保護されていない通信」という警告は、「このサイトとの通信はHTTP(ハガキ)で行われているため、盗聴・改ざん・なりすましの危険がありますよ。大事な情報は入力しないでくださいね!」と、ブラウザが私たちに教えてくれているのです。
なぜ今、すべてのサイトがHTTPS化されているのか?(常時SSL化)
昔は、ログインページや、クレジットカード情報を入力する決済ページといった、特に重要なページだけがHTTPSになっているのが普通でした。
しかし、現在では、企業のトップページから、個人のブログまで、**WebサイトのすべてのページをHTTPS化する「常時SSL化」**が、世界の標準となっています。
-
Googleによる推進
世界のインターネットのルールを牽引するGoogleが、「ユーザーの安全を守るため」として、HTTPSの利用を強力に推進しました。Google ChromeブラウザでHTTPサイトに警告を表示するようにしたほか、検索順位の決定要因(SEO)においても、HTTPSサイトを優遇することを発表しました。 -
ユーザーのセキュリティ意識の向上
「鍵マークがないサイトは危ない」という認識が広まり、HTTPサイトはユーザーに不安を与え、離脱される原因となるようになりました。 -
技術的なメリット
Webページの表示を高速化する**「HTTP/2」**という新しい通信規格は、事実上、HTTPSであることが利用の前提となっています。つまり、HTTPS化することは、セキュリティだけでなく、サイトのパフォーマンス向上にも繋がるのです。
まとめ:sは信頼の証
HTTPとHTTPSの違い。それは、単なる一文字の違いではありませんでした。
-
HTTP:通信が暗号化されていない、裸の「ハガキ」。盗聴・改ざん・なりすましの危険がある。
-
HTTPS:SSL/TLSによって通信が暗号化された、安全な「鍵付きの金庫」。3つの危険からユーザーを守る。
私たちがユーザーとしてインターネットを使う際は、「鍵マーク」の有無を常に意識し、警告が表示されるサイトでは、決して個人情報を入力しないようにしましょう。
そして、これからプログラミングを学び、Webサービスを創る側になるあなたにとって、自分が作るサービスを常時SSL化することは、ユーザーの信頼を得るための、最低限の責務となります。
この「s」という一文字に込められた、安全への想い。それを理解することが、あなたが信頼されるWeb開発者になるための、大きな一歩となるでしょう。
「Webサイトって、どうやって表示されるの?」「フォームに入力したデータは、どこに送られているの?」 Webの仕組みを学び始めると、必ずと言っていいほど登場するのが**「GET(ゲット)」と「POST(ポスト)」**という2つ[…]
