httpsとhttpの違いとセキュリティ上のメリット

• httpとhttpsは、何がどう違うの？
• URLがhttpのままのホームページをhttpsにしないといけないのはなぜ？
• セキュリティ上、httpsだと何が良いの？

こんなふうにお思いのWeb担当者になってしまった会社員の皆さまや、経営者の皆さまもいらっしゃるのではないでしょうか。

単に「http」に「s」がついているかどうかは、ちょっとした違いなのでは？
そう思われる方も多いかもしれませんが、実はかなり重要な違いです。

今回は、この「http」と「https」の違いについて、解説を試みます。

httpとは

httpとは「Hypertext Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)」のことです。

このhttpは、ホームページをどんな環境でも問題なく表示するため、サーバーとクライアント間で情報を送受信するための「プロトコル(通信規則)」です。

• 「サーバー」とはネットワーク上での「データの保管庫」のこと。
• 「クライアント」はホームページを利用する側、つまりユーザーのことです。

【参考】
ホームページの仕組みと構造を解説

ホームページを閲覧するためには、クライアントが利用するWebブラウザとサーバーの間で、リクエスト(要求)とレスポンス(応答)の応酬が必要となるわけですが、その一連の手順や決まりごとを定めたものが、プロトコルです。

【参考】
どんな仕組みでホームページは閲覧できるの？

このプロトコルは国際的に「標準化」されています。
また、どの地域でも同じものが採用されています。

このhttpというプロトコルが事前に決まっているおかげで、世界中の、製造メーカーもOSもCPUも異なるコンピュータ同士が、お互いに問題なく適切に通信を行えます。

• ちなみにOSとは「Operating System（オペレーティング・システム）」の頭文字を取って略したもので、WindowsやMac、iOS、Androidなどの端末全体を管理している基本ソフトウェアのことです。
• また、CPUは「Central Processing Unit(セントラル・プロセシング・ユニット)」の略で、パソコン上の演算処理や制御を行う頭脳部分の役割を担うパーツのことです。

さらに、クライアントがパソコンでホームページを閲覧する際、ブラウザでもGoogle Chromeを利用する人もいれば、Microsoft Edgeを使う人もいれば、Firefox、safariのユーザーもいます。

OSやCPUやブラウザの違いがあっても適切に通信を行えるhttpというプロトコルは、世界のインターネット環境を支えている存在と言えるでしょう。

httpsとは

一方、httpsとは何でしょうか。

httpsとは「Hypertext Transfer Protocol Secure（ハイパーテキスト・トランスファー・プロトコル・セキュア）」の略。
httpsは、httpをSSL(暗号化通信)によってセキュリティを高めたhttpのことです。

SSLは「Secure Socket Layer(セキュア・ソケット・レイヤー)」の略で、暗号化技術を活用した通信のことを指します。

これまで全世界のインターネットで使われてきたhttpですが、技術の進歩と時代の変化により、大きな問題が生まれました。

それは、安全性の問題です。

かつてはホームページの閲覧が主な利用方法だったインターネット。

現代では

• ECサイトの利用
• 個人情報の登録
• クレジットカードでの決済

など、インターネットの利用方法が多岐にわたっています。

上記のような大切な個人情報が他者に盗み取られないようにする対策としてhttps通信は、

• SSL(暗号化通信)により、
• あらゆる通信を高度に暗号化し、
• 他者が情報を盗み取ることを極めて困難にすることで、

ホームページの安全性を高めています。

また、https通信を利用するためには「SSLサーバ証明書」も必要です。
これは、通信の改ざんの検知や、接続先サーバの存在の検証を行う機能をあわせ持つ電子証明書のことです。

例えばオンラインショッピングをする際、ホームページにSSLサーバ証明書が使われていない通信(すなわちhttp通信)の場合、通信の内容が悪意ある他者に不正に盗聴され、個人情報や機密情報を盗み取られてしまう機会が増えています。

http通信は暗号化されていないがゆえに、他者が容易に情報を盗み取ることができるのです。

一方、https通信ではSSLとSSLサーバ証明書で、安全性を高めています。

httpとhttpsの違い

「http」と「https」を見分けるのは簡単です。
これまでのhttpを今も採用しているホームページのURLは「http://」から始まります。
すでにhttpsに移行したホームページのURLは「https://」から始まります。

【参考】
「保護されていない」警告が出る理由と解除方法

と、ここまでhttps通信の安全性について解説してきましたが、https通信を行っているホームページなら必ず安全とは限りません。

SSLは、通信を暗号化することで、悪意のある他者からの「中間者攻撃」を防ぐためのものだからです。

「中間者攻撃」とは、

• 通信を行う二者の間に割り込み、
• 両者が送受信する情報を自分が用意したものとすりかえることにより、
• 気付かれることなく盗聴したり、
• 通信内容に介入したりする

攻撃手法のことです。

例えば、SSLサーバ証明書が偽造され、クライアントが接続するホームページが本物ではなかった場合は、情報が盗み取られてしまうことでしょう。

現実に、身分を詐称してSSLを導入し、URLが「https://」から始まる詐欺サイト・偽物サイトも存在します。

また、ホームページを運営している側の皆さまは、

「SSLを導入してhttps化すれば、企業ホームページへのハッキングを防げる」という勘違いをしてしまいがちですが、
SSLはあくまで訪問者を暗号化通信で保護するためのシステム。

企業ホームページををサイバー攻撃から守るためには、また別の対策が必要となります。

その対策についてはまた、別の機会に解説するとして。

現在ではホームページ内のWebページすべてをSSL化する「常時SSL化」が推奨されています。
各レンタルサーバーが充実した現在、サイトを常時SSL化するコストはかなり下がっています。

通信が暗号化されていれば、盗聴されても、内容の解読は困難。
個人情報の流出やホームページの改ざんなどの被害を回避できる確率は格段に高まるでしょう。

「https化は当然・当たり前」というスタンスの時代に変化してきています。

まだ、URLがhttpsになっていないホームページを運営しているWeb担当者の皆さまや、経営者の皆さま、一刻も早くホームページをSSL(暗号化通信)化しましょう。

用語のまとめ

• 「http」とは「Hypertext Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)」のことで、ホームページをどんな環境でも問題なく表示するため、サーバーとクライアント間で情報を送受信するための「プロトコル(通信規則)」。
• 「サーバー」とはネットワーク上での「データの保管庫」のこと。
• 「クライアント」はホームページを利用する側、つまりユーザーのこと。
• 「OS」とは「Operating System（オペレーティング・システム）」の頭文字を取って略したもので、WindowsやMac、iOS、Androidなどの端末全体を管理している基本ソフトウェアのこと。
• 「CPU」は「Central Processing Unit(セントラル・プロセシング・ユニット)」の略で、パソコン上の演算処理や制御を行う頭脳部分の役割を担うパーツのこと。
• 「https」とは「Hypertext Transfer Protocol Secure（ハイパーテキスト・トランスファー・プロトコル・セキュア）」の略で、httpをSSL(暗号化通信)によってセキュリティを高めたhttpのこと。
• 「SSL」とは「Secure Socket Layer(セキュア・ソケット・レイヤー)」の略で、暗号化技術を活用した通信のこと。
• 「SSLサーバ証明書」とは、通信の改ざんの検知や、接続先サーバの存在の検証を行う機能をあわせ持つ電子証明書のこと。

ホームページ制作なら横浜のクオリティロードへ

なお、株式会社クオリティロードWeb制作チームでは、ホームページ制作をご検討されているお客さまの、さまざまなご要望に総合的にお応えするため、多様なWebサービスをご提供しています。

ホームページのコンセプト作りからデザインまで、トータルでお手伝いいたします。
Web集客を成功させたい中小企業・中小事業者さま、株式会社クオリティロードWeb制作チームにお任せください。

ご興味のある方は、以下のバナーから詳細をご覧ください。

あわせて読みたいコラム