ウェブサイトのURLを見たときに、「http://」から始まるものと、「https://」から始まるものがあることに、気がついたことはありますか?
検索機能やリンクの読み取り技術が発達したため、最近はアドレスにhttp…と直接入力する機会は殆どなくなりました。
その影響もあり、URLの部分は普段はあまり気にせずに、インターネットを楽しんでいるのではないでしょうか。
実は、httpの次に「S」があるのとないのでは、セキュリティに大きな差があります。
誰しも自分がサイバー犯罪の被害に遭うとは思っていないですが、知識があれば被害を防ぐことができるかもしれません。
そこで今回は、HTTPSについて紹介させて頂きます。
そもそもHTTP(S)とは?
HTTPは、「Hyper Text Transfer Protocol」の略です。
HTMLなどの送受信に用いられる、通信用のプロトコルです。
プロトコルとは、通信規約や通信手順という意味になります。
ちょっとわかりづらいので、もう少し説明させてください。
パソコンでウェブサイトを表示するには、サーバーとブラウザの間でHTMLなどのデータをやり取りしないといけません。
その際にサーバー独自の方法でやりとりをしていたら、皆がウェブサイトを見る事ができません。
そこで、HTTPという一定のルールを決めて、ウェブサイトを表示できるようにしました。
例えば、郵便を届けて貰うとき、まず住所、宛名を書いて、次に切手を貼って、ポストに入れるというルールがあります。
このルールを間違うと、郵便は相手に届きません。
同じ様に、インターネット上でHTTPという共通のルールを守ることにより、誰でもウェブサイトを見る事ができるのです。
つまり、HTTPはインターネットでウェブサイトを表示するための共通ルールなのです。
HTTPSのSとは?
HTTPSは、HTTPに「Secure」のSを足したものです。
Secureは安全な、危険のないという意味です。
HTTPSがHTTPと比べて安全なのは、サーバーとブラウザ間のやり取りの際、暗号化したデータを使うからです。
暗号化していないHTTPのデータは、外部から見られてしまうため、サイバー犯罪被害に遭う可能性が高くなります。
HTTPSは暗号化されていて、外部からはわかりません。
郵便に例えるなら、ハガキで送るのか、書留で送るのかという違いです。
ハガキに書いた口座や暗証番号は、誰でも見る事ができてしまいます。
それが書留であれば、送った相手にしか内容がわかりません。
HTTP通信は世界中の方と情報をやり取りする時に大声で叫んでいるのと同じ、などと例えられる事もあります。
HTTPでのやり取りは、情報が洩れる危険が高いということになります。
HTTPとHTTPSの見分け方
HTTPとHTTPSのサイトは、ブラウザで簡単に見分けることができます。
Internet ExplorerやGoogle Chromeでは、通常は上部にアドレスバーがあり、保護されている通信には🔒鍵マークが表示されます。
また、URLを確認すると、https://から始まっています。
Google Chromeのアドレスバー
Internet Explorerのアドレスバー
モバイルの表示(Google Chrome)
URLがhttp://から始まるサイトはどうでしょうか。
Google Chromeで開くと、「保護されていない通信」という表示になっています。
ⓘアイコンをクリックすると、その説明も表示されます。
HTTPSでも安全ではない場合
HTTPSがすべて安全かというと、そうではありません。
通信が暗号化されていても、送る相手が安全かどうかまでは確認できないからです。
銀行やショッピングサイトの偽サイトがあり、クレジット情報などを盗まれるというニュースも耳にします。
https://から始まるサイトであっても、100%安全とは言い切れません。
ウェブサイトの運営元を確認するには「証明書(SSLサーバー証明書)」を見てください。
証明書を表示する手順は、ブラウザのアドレスバーにある🔒鍵マークから証明書をクリックします。
この証明書の詳細に、サイトの運営元、所在地、有効期限などが記載してあります。
証明書自体はだれでも取得できるので、サイバー犯罪を行う悪意がある人にも発行されます。
そこで、信頼できる機関が発行した証明書かどうかが重要になります。
また、GoogleはChromeのセキュリティ証明書について次の様に説明しています。
HTTPS(保護された接続)を使用しているサイトにアクセスすると、ウェブサイトのサーバーは Chrome などのブラウザに対し、証明書を使って本物のサイトであることを証明します。ただし、証明書自体は誰でも作成でき、どのようなウェブサイトにも使うことができます。
ユーザーの皆様がウェブを安全に利用できるように、Chrome では、信頼できる機関が発行した証明書を使用することをウェブサイトの要件としています。
SEO対策にも有効
HTTPSのサイトは、SEO対策(検索エンジン最適化)にもなります。
Googleは、わずかですがHTTPSのページの検索順位を上げると発表しています。
これは、Googleがウェブサイトにおける安全性を最も重視しているためです。
また、2018年7月25日から、Chromeの最新バージョン(68)から、HTTPサイトに接続すると、「保護されていません」と表示されるようになりました。
以前は🔒鍵マークが表示されない仕様でしたので、利用者の方により伝わりやすくなりました。
この変更により、暗号化されていないサイトは、なんだか怪しいと感じて、利用者が減少すると予想されます。
利用者が減少すれば、結果的に検索結果の上位に表示されなくなります。
検索エンジンで上位に表示させる為には、HTTPS化が必要です!
サイトにお問い合わせフォームを設置する場合には必須と言えるでしょう。
HTTPSへの暗号化について、Googleがレポートを発表しています。
Google透明性レポート → ウェブ上でのHTTPS暗号化
世界各国におけるChromeでのHTTPSの使用状況を見てみると、日本は導入が遅れています。
他の国は、セキュリティ意識が高いのがわかります。
まとめ
今回はHTTPSの重要性について紹介させて頂きました。
ネットバンキングや大手ショッピングサイトは、対策がしっかりしているので、そこまで神経質にならなくても大丈夫だと思います。
初めて利用するサイトで、カード情報や個人情報を送る場合には注意しましょう。
また、ウェブサイトの運営元で、HTTPのままという場合は、HTTPS化を検討してみてください。
利用者の安全性の向上と、自社のSEO対策にもなりますので、早めの対応が望ましいです。
HTTPSは通信が遅いという話もありますが、技術の発達もあり、以前より表示速度が速くなっています。
セキュリティはネットワークの最重要課題ですので、今後はHTTPSのサイトだけになっていくのではないでしょうか。