HTTPとは？HTTPSとの違い・安全なサイトの見極め方を解説

本記事では、HTTPとHTTPSの違いや訪問中のページが安全なWebページかどうか見極める方法を解説します。

HTTPとは

HTTP（Hypertext Transfer Protocol）とは、サーバ・クライアント間でやり取りをするのに用いられる通信規則（プロトコル）です。

私たちが普段インターネットで調べものをしたりだれかのブログを読んだりする時にはHTTPを使ってサーバ・クライアント端末間でやり取りが行われています。

ユーザによって利用する端末やOS、ブラウザは多種多様ですが、HTTPという共通のルールがあることで、環境が異なっても同じ手順でWebページを表示できるようになっています。

Webページの仕組み

クライアント（Webブラウザ）は表示させたいWebページのデータが保管されているサーバにHTTPリクエストを送ります。サーバはリクエストされたURLに該当するWebページのデータの検索・呼び出しを行い、その処理結果をクライアントに返すことで、ユーザはWebページを閲覧できる仕組みになっています。

HTTPは、1つのリクエストに対して、1つのレスポンスを返します。また、リクエスト内容が同じであれば、同じ内容のリクエストを返すというシンプルな特性があります。

HTTPとHTTPSの違い

HTTPとは、サーバ・クライアント端末間でデータのやり取りをする際に用いられる通信規則（プロトコル）です。また、この通信を暗号化したものがHTTPSです。

HTTPSとは

HTTPS（Hypertext Transfer Protocol Secure）とは、SSLという暗号化通信技術を使ってHTTPリクエスト・レスポンスを暗号化することでセキュリティを強化したHTTPです。HTTPSを利用することで、通信経路における第三者によるデータの窃取や改ざんを防げてHTTPよりも安全性が担保されます。

HTTPS通信がデータを守る仕組み

HTTPSによる通信では、SSLという仕組みによってやり取りされるデータが暗号化することで、HTTPよりもはるかにWebページの安全性が高くなります。

SSLとは

SSL（Secure Sockets Layer）とは、TLSという仕組みを利用した暗号化通信のことで、インターネット上で送受信するデータを暗号化する仕組みです。簡単にいうと、鍵を使って通信に暗号をかけてその鍵がなければ暗号が解除できない仕組みです。「SSL／TLS」と表記されることもありますが、SSLとして周知されているためTLS（Transport Layer Security）もSSLと同様のものと解釈しても問題ありません。

SSLを用いて通信を暗号化することを「SSL化（HTTPS化）」といいます。たとえば、オンラインショッピングでは氏名や住所、クレジットカード番号といった個人情報を入力しますが、SSL化していないWebページでは悪意のある第三者に情報が漏れて、不正にデータの窃取・改ざんされる可能性があります。SSL化したWebページには「SSL証明書」が発行されます。

SSLサーバ証明書

SSLサーバ証明書とは、SSL通信に用いる電子証明書のことでWebページ運用者の実在性証明やSSLによる暗号化通信を行う役割があります。SSLサーバ証明書にはWebサーバに通信を暗号化するのに用いる鍵の情報とWebページの運営者の情報が記されています。Webサーバにインストールすることで、SSL暗号化通信ができるようになります。SSLサーバ証明書は、認証局という第三者機関が、ドメイン使用権の確認とWebページの運営組織の実在性の審査を行うことで発行されます。

SSLサーバ証明書はセキュリティリスクを避けるうえで欠かせません。ユーザはこの証明書を見れば運営者が信頼のできるWebページかを確認できます。後ほど詳しく説明しますが、安全なWebページかを判断する1つの有効な方法となっています。

HTTPSによる通信の仕組み

1. クライアントがサーバにリクエストを送る
2. サーバがサーバ証明書と公開鍵を送信
3. クライアント側でサーバ証明書を確認・公開鍵で共通鍵を暗号化
4. クライアントで暗号化した共通鍵をサーバに送信
5. サーバが秘密鍵で共通鍵を復号化
6. クライアント・サーバ間で暗号化通信を開始

HTTPはなぜ安全ではないのか

サイバー攻撃の一つには「中間者攻撃」というものがあります。この攻撃は悪意のある第三者が通信の間に割り込み、データの窃取や改ざん行うサイバー攻撃で、MITM攻撃とも呼ばれます。暗号化されていないHTTP通信ではデータが平文で送受信するため、誰でも読むことができ、窃取や改ざんも可能です。この中間者攻撃が簡単にできてしまうという点で安全とは言えません。

HTTPSは本当に安全なのか

HTTPS通信は中間者攻撃に対しては有効です。ただ、HTTPS通信はHTTP通信よりも安全ではありますが、100％とは言い切れません。なぜなら、HTTPS通信であっても、そもそも通信相手が安全でない場合があるからです。昨今はSSLサーバ証明書を悪用した偽サイトなども横行しています。そのため、HTTPS通信でも信用に足る証明書なのかを判断する必要があります。

SSL化する理由

ユーザに安心感を与える

通信を暗号化することで第三者がデータを盗み見ても何の情報なのか分からないのでセキュリティを担保できます。暗号化はユーザに伝わるので信頼でき、Webページを利用するユーザに安心感を与えられます。

SEO施策においても重要

SEO（Search Engine Optimization）とは簡単にいうとGoogleの検索上で記事の順位を上に上げることです。GoogleではHTTPS化を推奨しており、2014年に検索順位に影響することを宣言しています。（参考）つまり、WebページはHTTPS化することがSEO対策の一つになっているということです。集客の観点からも、WebページはSSL化する必要があるといえます。

暗号化の見分け方

アドレスバーでSSL化されているか否かを調べることができます。HTTPS通信は「https://」からURLが始まり、アドレスバーの先頭に鍵マークまたは「保護された通信」もしくは「組織名」が表示されます。（利用する環境によって表示は変わります。）組織名になっている場合は暗号化されているうえにドメインの所有者が実在する組織であることを示しています。一方でHTTP通信は「http://」からURLが始まり、アドレスバーの先頭に注意や警告マーク、または「保護されていない」と表示されます。

安全なWebページか見分ける方法

メールアドレスを確認する

Webページ運営者のメールアドレスを確認しましょう。会社名やサービス名に関係する独自ドメイン名のメールアドレスである場合が一般的です。反対にGmailやYahooメールなどのフリーメールアドレスになっている場合は疑う必要があります。

有名ECサイトか

amazonやrakutenなどのECサイトを巧妙に真似た偽サイトも存在します。見た目だけでなくURLも確認する必要があります。スペルが一文字違うといったこともあります。

振込み先が企業名かを確認する

振込先口座の名義が企業名ではなく、個人になっている場合や聞き覚えのない銀行名である場合は注意が必要です。

口コミを調べる

Webページの口コミを検索すると、偽サイトの場合は被害者の書き込みを見つけることがあります。

実店舗の有無を確認する

偽サイトは実店舗を持たない場合が大多数です。実店舗やオフィスがしっかり実在する場合は信用度が高いです。特に、EV認証のSSLサーバ証明書をもつWebページであれば専門機関によって住所の確認をとっているので信頼性が上がります。

固定電話番号か確認する

問い合わせ先やサポートの電話番号が固定電話であれば信頼性が高いです。偽サイトでは電話番号を掲載していないことが多いです。しかし、オフィスと同様にユーザを信用させるために架空の電話番号を記載している場合もあるのであくまで目安にしておいてください。

証明書を確認し、本物か確かめる

「https://」から始まるURLの場合でも偽サイトの可能性はあります。証明書の内容を確認することで実在する企業か否かを判断できます。

SSLサーバ証明書の種類

サーバ証明書は3種類あり、認証レベルが異なります。

ドメイン認証はドメインの所有者であることを保証しているものの、実在する企業や団体であることを保証しているわけではありません。

ドメイン認証、企業認証、EV認証とありますが、下に行くほど認証レベルが高くなり、ユーザに高い信頼性を示すことができます。費用に関しては、証明書の認証局によって異なります。

SSLサーバ証明書の確認方法

Webページの運営者を簡単に確認できます。Chromeでのサーバ証明書の確認方法を紹介します。SSLサーバ証明書の中身を確認することで、危険性の高いサイトを利用するリスクを低減できます。

ドメイン認証の場合

SSLに対応したWebページを開き、アドレスバー先頭部分の鍵マーク部分の[サイト情報を表示]タブをクリックします。

SSLに対応したWebページであれば「この接続は保護されています」と表示されるのでそのタブをクリックします。

[証明書は有効です]タブをクリックします。

[詳細]タブをクリックします。

ドメイン認証の場合は「サブジェクト」フィールドに「CV=」で始まる文字列にWebページの運営組織のドメイン名が表示されます。

企業認証のサーバ証明書の確認方法

企業認証の場合は「サブジェクト」フィールドに「O=」で始まる文字列にWebページの運営組織名が表示されます。

EV認証のサーバ証明書の確認方法

EV認証の場合はアドレスバーの左側に企業名が表示されるのでドメイン認証や企業認証のような操作が必要ありません。

HTTPをHTTPSにする手順（常時SSL）

HTTPS化するには、簡単にいうと下記の6つの手順で行います。

1. サーバの対応状況を確認する
2. CSR（証明書署名要求）を作成する
3. SSLサーバ証明書を申請・取得する
4. SSLサーバ証明書をサーバにインストールする
5. リンクを「https://」に置換する
6. リダイレクト設定を行う

HTTPS化されていないWebサイトにアクセスしてしまったら

もしHTTPS化されていないWebサイトにアクセスしてしまった場合の対処法について解説します。閲覧のみを行った場合は閲覧したWebページは特定されてしまいますが、直接的な脅威になる可能性は少ないため特には対処する必要はありません。しかし、個人情報を入力してしまった場合は即座に対応する必要があります。たとえば、クレジットカードなどの情報を入力してしまった場合、不正利用されるケースもあります。確認してもし不正利用が確認できた場合はカード会社に連絡しましょう。

終わりに

HTTPとHTTPSの違いや安全なサイトの見極め方、SSLサーバ証明書の確認方法を解説しました。HTTPS対応するとサイトの信頼性を上げたりユーザに安心感を与えられる、さらにはSEO上でも有利になるといったメリットがあります。Webサイト運営者はHTTPS化を検討しましょう。次回はHTTPS化する方法について解説する予定です。

ITスキルの習得方法は？

書籍やインターネットで学習する方法があります。昨今では、YouTubeなどの動画サイトやエンジニアのコミュニティサイトなども充実していて多くの情報が手に入ります。
そして、より効率的に知識・スキルを習得するには、知識をつけながら実際に手を動かしてみるなど、インプットとアウトプットを繰り返していくことが重要です。特に独学の場合は、有識者に質問ができたりフィードバックをもらえるような環境があると、理解度が深まるでしょう。

ただ、ITスキルを身につける際、どうしても課題にぶつかってしまうことはありますよね。特に独学だと、わからない部分をプロに質問できる機会を確保しにくく、モチベーションが続きにくいという側面があります。独学でモチベーションを維持する自信がない人にはプログラミングスクールという手もあります。費用は掛かりますが、その分スキルを身につけやすいです。しっかりと知識・スキルを習得して実践に活かしたいという人はプログラミングスクールがおすすめです。

プログラミングスクールならテックマニアがおすすめ！

ITスキル需要の高まりとともにプログラミングスクールも増えました。しかし、どのスクールに通うべきか迷ってしまう人もいるでしょう。そんな方にはテックマニアをおすすめします！これまで多くのITエンジニアを育成・輩出してきたテックマニアでもプログラミングスクールを開講しています。

このような特徴を持つテックマニアはITエンジニアのスタートラインとして最適です。
話を聞きたい・詳しく知りたいという方はこちらからお気軽にお問い合わせください。

関連記事

• ドメインとは？
• サーバとは？
• 「404 not found（404エラー）」とは？
• 「HTTPステータスコード」とは？
• 「FTP」とは？

HTML/CSS部門

• HTML/CSSとは？関係性や書き方
• HTMLとは？
• HTML頻出タグ一覧
• HTMLで表を作成する方法
• HTMLで画像リンクを貼る方法
• CSSとは？メリットや基本的な書き方
• 【コピペ可】CSS見出しデザイン30選
• CSSのmarginやpaddingで余白指定
• 擬似要素とは？::beforeや::afterの使い方
• 改行ルールの設定方法
• HTMLにCSSをstyleで直書きする方法
• 表（テーブル）のデザイン方法
• CSSで背景画像を指定する方法
• CSS floatプロパティとは？
• HTML要素を横並びにするCSSの新定番「flexbox」とは？
• 要素を好きな位置に配置する「position:absolute;」とは？
• 主軸方向に対する配置を指定する「justify-content」
• display:inline、display:block、display:inline-blockの違い
• CSSフレームワーク「Bootstrap」とは？