秘匿通信・セキュア通信とは?SSL/TLS・HTTPSの仕組みも詳しく解説!|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. 秘匿通信・セキュア通信とは?SSL/TLS・HTTPSの仕組みも詳しく解説!
             

秘匿通信・セキュア通信とは?SSL/TLS・HTTPSの仕組みも詳しく解説!



セキュア通信について、お調べですね。誰もがインターネットにアクセスできる今、セキュア通信は必要不可欠な存在です。しかし、多くの人は「セキュア通信」や「秘密通信」と聞いても、具体的にどのようなものか知らないのではないでしょうか。

そこでこの記事は、セキュア通信について解説。どのような種類があり、なぜ必要なのかまで詳しくお話します。

  • セキュア通信について知りたい
  • なぜセキュア通信は必要なの?
  • セキュア通信をおこなうためにはどうしたら良い?

こうした疑問をお持ちの人は、ぜひご覧ください。わかりやすく解説しますので、きっと疑問を解消できるはずです。

セキュア通信とは

セキュア通信とは、一言でいうと「安全な通信」のこと。もしくは、暗号化してやり取りされる通信を指します。要するに、「第三者が見ても中身がわからない安全な通信」のことを、セキュア通信というわけです。

セキュア通信に必要な要素として、以下の5つがあげられています。

  • 機密性
  • 認証
  • 完全性
  • 否認不可能性
  • 可用性
  • アクセス制御

専門用語が多く、いまいち何を表すのかがわかりません。そこで各要素を別の言葉で言い換えてみましょう。

セキュア通信に求められるのは、大切な情報が第三者に見られず(機密性)、誰かに書き換えられることもなく(完全性)、いつでも安全に情報に触れられること(可用性)です。

さらには、情報に触れる人を選定し(アクセス制御)、その人が紛れもなく選定した本人かを確認して(認証)、情報に触れたことを間違いなく証明できる(否認不可能性)ことも、セキュア通信に必要な要素です。

もし上記の要素がわかりづらい人は、シンプルに「セキュア通信とは、知らない人に盗み見られることなく、安全に通信ができること」と覚えてもらえれば問題ありません。ただ、今の説明だと、いまいち遠い存在のように感じますよね。

実を言うと、セキュア通信は思っているよりも、あなたの身近に存在しています。

SSL/TLS・HTTPSとは

セキュア通信の概要はわかったものの、いまいちどのような存在か、ぴんと来ていない人もいるでしょう。ですが、セキュア通信はあなたのずっと身近に存在しています。それが「SSL/TLS」および「HTTPS」です。

セキュア通信の代表例である、この2つの要素について解説します。

  1. SSL/TLS
  2. HTTPS

順番に見ていきましょう。

SSL/TLS

SSL/TLSは「Webブラウザ(ユーザーのPCなど)」から、「Webサーバー(Webサイトなど)」と安全に通信するための仕組みです。この仕組みには、以下の要素があります。

  • 通信の暗号化し、情報を盗み見る「盗聴」を防ぐ
  • サーバーの正当性を確認して、なりすましを防ぐ
  • メッセージ認証をおこない、改ざんを防ぐ

セキュア通信の説明と同様に、要するに安全に通信するための仕組みとなっているわけです。SSL/TLSは、元々SSL(Secure Socket Layer)が先に誕生し、そこから約20年もセキュア通信の仕組みとして使われていました。

しかし、2014年にセキュリティ上の重大な欠陥が見つかったことで、廃止に。ただし、「SSL=安全に通信する」との意味で、今も言葉だけは残り続けているわけです。

そして、今もなお「安全に通信するための仕組み」として、利用されているのがTLS(Transport Layer Security)です。TLSは、SSLが登場した数年後に生まれましたが、その仕組みや要素はほぼ同じ。

SSLが使われなくなってからは、TLSが「セキュア通信の仕組み」として普及しています。

HTTPS

HTTPSも、安全に情報を通信する仕組みのことです。SSL/TLSと同じことを言っていますが、HTTPSは2つの要素にわけられます。分解してみましょう。

HTTPSは、「HTTP」と「S」の2つからなります。まずHTTPですが、これは「Hyper Text Transfer Protocol」の略で、Web通信をするための仕組みのことです。Web通信とは、いわゆるPCやスマホでGoogle検索したり、Webブラウザ上でゲームしたりすることを指します。

このときに、HTTPという仕組みが使われて、通信できているわけです。しかし、このHTTPにはセキュリティ対策が施されていません。つまり、何らかの手段によって、この通信を第三者に盗聴されてしまうと、機密情報が漏れてしまう危険があります。

そこで、このHTTP通信を安全にする方法が、残りの「S」に隠されています。「S」はSecure(安全)のS。このS(安全)を示す要素こそが、先ほど説明した「SSL/TLS」です。つまり、「HTTP通信」を「SSL/TLS」によって、安全な通信に変えているわけです。

まとめると、HTTPS通信とは「安全にWeb通信をおこなう仕組み」のことを言います。ただし、HTTPSだからといって、絶対に安全というわけではありません。あくまでもHTTPと比較して、セキュリティ対策が施された通信であるということです。

このセキュア通信の代表例である「SSL/TLS」と「HTTPS」ですが、この他にもセキュア通信はあります。

詳しくはこちらの記事を参考にして下さい。

http・httpsとの違いは?アクセスしてしまったらどうする?セキュリティの基礎を解説
2018.7.16
URLの「http」に「s」が付いているかいないかというのは、ちょっとした違いのように思われるかもしれませんが、実はかなり重要な違いなんです。 「http」と「https」の違いを正しく理解すれば、最近話題のフィッシングサイトやなりす

セキュア通信の種類

セキュア通信とひと口に言っても、さまざまな種類があります。主なセキュア通信を以下の表にまとめましたので、ご覧ください。どれも安全に通信することを目的としていますが、その対象は異なっています。

たとえば、SSHは「サーバーを遠隔操作するときの通信」を暗号化します。HTTPSは、一般ユーザーが「Webサイトを安全に閲覧」できるよう、インターネット上の安全な通信を確保していました。

一方でSSHは、サーバーの管理者が「遠隔でサーバーを操作するとき」に、安全に通信・接続するための方法です。従来はTelnetという仕組みで、サーバーを遠隔操作していました。しかし、Telnetは暗号化されていないため、通信内容を盗聴される危険があったわけです。そこでより安全に通信するための手段として、SSHが誕生しました。

セキュア通信の種類 内容
SSL/TLS・HTTPS
  • Webサイトへの通信で使われる
  • Webサイトを安全に表示する
SSH(Secure Shell)
  • サーバーを遠隔操作するときの通信を暗号化する
  • サーバーの管理者が、安全にサーバーに接続する
FTPS(File Transfer Protocol over SSL/TLS)
  • FTPとSSL/TLSを組み合わせた通信方法
  • ファイルを安全に転送するための手段
  • FTPの通信をSSL/TLSで暗号化している
SFTP(SSH File Transfer Protocol)
  • FTPとSSHを組み合わせた通信方法
  • SSHの通信を使って、FTPを安全に転送する
  • SSHによって安全な通信を確保し、その中でファイルの転送をおこなう
SNMPv3(Simple Network Management Protocol)
  • ネットワーク機器を監視するための通信
  • SNMPのセキュリティ面が大幅に強化されたのがSNMPv3
  • v3はバージョン3のことで、過去v1とv2があった

他にも、「FTPS」や「SFTP」といった安全にファイルを転送するための通信もあります。FTPとは、「文章や画像といったデータ(ファイル)」を転送する際に使われる通信方法。たとえば、自分のブログに新しく記事をアップロードするときに使われます。

しかし、FTPはHTTPと同様に、通信が暗号化されていません。そのため、FTPによる通信はやはり情報を盗聴される可能性があります。そこで安全にデータを転送する手段が、「FTPS」や「SFTP」というわけです。

この2つは安全の確保の仕方が違うだけで、どちらも目的は同じです。単純に「安全にデータを転送する手段」との理解で問題ありません。このように、セキュア通信にはさまざまな種類があります。

それでは、ここで一度原点に立ち返ってみます。そもそも、なぜセキュア通信は必要なのでしょうか?

セキュア通信の必要性

ここまでのお話で、セキュア通信については何となく理解できたかと思います。ここでは、そもそもセキュア通信はなぜ必要なのか、あらためて確認してみましょう。

結論から言うと、あなたの大切な情報を守るためです。インターネットが普及したことで、世の中は一気に便利になりました。遠くにいる人といつでも気軽にメッセージのやり取りができ、お金の振り込みも遠隔でおこなえます。

その反面、インターネットの利便性を悪用する人たちも出てきました。そうした悪意のある人間は、インターネット上でやり取りされる通信内容を盗み見たり(盗聴)、内容を書き換えたり(改ざん)といった攻撃をおこないます。

その結果、あなたの個人情報が漏れ、犯罪者宛にお金を振り込んでしまうなどの被害につながります。これが企業なら、被害はなおさら大きいものになるでしょう。多くの顧客情報や機密情報が万が一漏えいしてしまえば、信頼へのダメージはもちろん、損害賠償など金銭的にも甚大な被害を受けます。

このように、情報が漏れることは、その先の被害や犯罪につながる危険をはらんでいます。ですから、セキュア通信によって、あなたの大切な情報を守る必要があるわけです。セキュア通信の必要性を踏まえた上で、次はその方法を見ていきましょう。

セキュア通信をおこなうための方法

セキュア通信は、企業や個人の大切な情報を守るために必要な手段です。そうは言っても、具体的にどのようなことを実施すれば良いのか、わからない人もいるでしょう。ここでは、個人と企業それぞれの視点から解説します。

  • 個人でおこなえる方法
  • 企業でおこなえる方法

すぐにできることもありますので、ぜひ参考にしてみてください。

個人でおこなえる方法

まずは個人でおこなえるセキュア通信の方法です。主に以下2つがあげられるでしょう。

  1. HTTPS通信であることを確認する
  2. VPNサービスを利用する

それぞれ解説します。

HTTPS通信であることを確認する

あなたがWebサイトにアクセスするとき、必ずHTTPS通信かどうかを確認してください。確認方法はいたって簡単。URLの先頭に「https」とついているかどうかだけです。ブラウザの上部にあるURLをクリックすると、URL全体が表示されます。

その頭に「https://〜」となっていれば、そのサイトはHTTPS通信です。逆にHTTP通信であった場合は、「この通信は保護されていません」と表示されます。そうしたサイトには、アクセスしないことが賢明です。

VPNサービスを利用する

次に、VPNサービスについてです。VPNとは「バーチャル・プライベート・ネットワーク(Virtual Private Network)」の略で、これもセキュア通信の1つ。カフェやホテルなどフリーWi-Fiを利用する人に、おすすめしたい方法です。

フリーWi-Fiは誰でも簡単にアクセスできるがゆえに、どんな人が一緒にアクセスしているかがわかりません。もしかしたら、あなたがフリーWi-Fiを使っておこなった通信を、誰かに盗聴されている可能性もあります。

VPNを利用すればあなたの通信は保護されるため、たとえフリーWi-Fiを使っても第三者に通信内容を盗み見られる心配がありません。VPNサービスに関しては、セキュリティ会社がサービス展開をしています。その気になれば、すぐにでも自分のPCに導入できるでしょう。

WebサイトをHTTPSにするかどうかは、個人ではどうしようもできません。「HTTPSのサイトのみを閲覧する」といった受け身な対応しか取れないでしょう。しかし、VPNの利用は、個人が能動的におこなえるセキュア通信の手段です。

セキュリティを意識する人は、導入を検討してみてください。VPNに関して詳しくはこちらをご覧ください。

VPN接続とは?VPNの仕組みと基本、メリット・デメリットを解説
2018.8.14
外出先から安全にインターネットを使用する技術として、SSLやメールの暗号化などプロトコルベースの対策が普及しています。しかしインターネットを使うサービスは多様化してきており、利用するアプリケーションを意識することなく安全に使用したいというニ

企業でおこなえる方法

次に、企業側でおこなえるセキュア通信の方法を見ていきましょう。こちらも以下の2つがあげられます。

  1. SSL証明書をインストールする
  2. セキュリティ対策製品を導入する

詳しく見ていきましょう。

SSL証明書を導入する

自社でWebサイトやシステムを持っている企業は、SSL証明書を導入しましょう。導入することによって、そのサイトの通信がHTTPSとなります。一般ユーザーに安心してアクセスしてもらうことはもちろん、自社の大切な情報を守るためにも導入するべきでしょう。

導入方法はシンプルで、SSL証明書を提供している会社に申請して、導入したいサイトにインストールするだけです。1つ注意なのは、SSL証明書には無料と有料のものがあります。しかしながら、無料だからといってセキュリティが弱いといったことはありません。

大きな違いは、「サポートの有無」と「実在証明の厳格さ」の2つです。サポートの有無に関しては、そのままの意味です。有料証明書のほうが、インストールに際しての問い合わせやその他の付加サービスなどの点で、手厚い傾向にあります。

2つ目の実在証明ですが、これは「SSL証明書を導入したい企業が存在すること」を確認するものです。この実在証明には以下3つのレベルがあり、無料のSSLは基本的にもっとも低いDV認証のみです。

認証名 実在証明レベル 概要 費用
DV認証

(Domain Validation)
  • SSLの申請者(企業や団体)がドメイン(Webサイト)の所有者であることを証明する
  • しかし、その所有者が実在するかは確認しない
  • そのため、SSL証明書が導入されていても偽サイトの可能性がある
 無料でも入手可
OV認証

(Organization Validation)
  • DV認証に加え、申請者が本当に実在しているかを電話で確認する
  • DV認証よりもサイトの信頼性が上がる
  • ただし、費用と複雑な手続きが掛かる
 有料
EV認証

(Extended Validation)
  • DV認証に加え、申請者が本当に実在しているかを電話確認に加え、書類送付による所在地確認もおこなう
  • 3つの認証の中ではもっともサイトの信頼性が高くなる
  • その分、費用や手続きの負担も一番高い
 有料

一方で費用を掛ければ、OV認証やEV認証を使った有料証明書を導入できます。企業によっては、あまりコストをかけたくないと思うかもしれません。ですが、ユーザーの安心やサイトの信頼性を考えると、できる限りEV認証のような厳格な有料証明書をインストールするのがおすすめです。

おすすめのSSLサーバ証明書のサービスはこちら↓
https://cybersecurity-jp.com/product-service/network-security/ssl

セキュリティ対策製品を導入する

企業ができる対策の2つ目は、セキュリティ製品を導入することです。セキュア通信の方法とは少し外れますが、ユーザーが安心してサイトにアクセスするために、大切な手段の1つです。

今の時代、多くのセキュリティ製品が展開されています。中でも代表的なのは、ファイアウォールやIPS、WAFなどの攻撃通信をブロックする防御装置です。それぞれ守れる範囲や特徴は異なるものの、外部からの不正アクセスや攻撃通信からWebサイトを守ることを目的としています。

こうした防御装置を導入すれば、悪意のある人間からの攻撃を阻止可能。正規のユーザーが安心して、サイトにアクセスできるようになるわけです。ただし、製品であるからには、当然そこには費用が発生します。

SSL証明書の導入は必須として、その他のセキュリティ製品をどこまで導入するかは、企業ごとの予算の兼ね合いもあるでしょう。ですので、無闇やたらと高機能の製品を導入するのはおすすめできません。自分たちに必要な性能を整理し、最適な製品を選びましょう。

おすすめのネットワークセキュリティサービスはこちら↓
https://cybersecurity-jp.com/product-service/network-security

まとめ

ここまで、セキュア通信について解説してきました。一般の人には関係ない話のように思えて、実は身近に存在しています。あなたがWebサイトにアクセスするとき、恐らく多くのサイトは暗号化されているからです。

IoTなどテクノロジーが日進月歩で進化している現在、セキュリティ意識の向上も同時に求められます。それは企業に限らず、個人においても同様です。何も知らずに危険なサイトにアクセスし、情報を盗まれても誰の責任にもできません。

自分の情報は自分で守るしかないわけです。ここでお話した内容をもとに、日常からセキュアな通信を意識してみてはいかがでしょうか。本記事が、あなたのセキュリティ意識の向上につながりましたら幸いです。


あわせて、以下の記事もよく読まれています

セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。