httpとhttpsとは?違いを解説!安全性やサイトの見わけ方について

WebサイトのURLには、「http」と「https」の2種類があります。

両者は似て非なるものです。実際には、httpsからはじまるURLの方が、安全で望ましいといわれていますが、その違いがよくわからないという人もいるでしょう。

ここでは、このhttpとhttpsの違いについて解説します。危険なサイトにアクセスしてウイルスなどに感染することのないよう、ここで安全性やサイトの見わけ方を押さえておきましょう。

httpとhttpsとは?その違いについて

httpとhttpsを見比べると、最後に「s」が入っているかどうのかの違いがあることがわかるでしょう。両者には、具体的にどのような違いがあるのか、説明します。

httpとは……

httpとは、「Hyper Text Transfer Protocol」を指します。ホームページは、以前は文字が中心でしたが、現代では画像や動画などが掲載され、より見やすくなりました。ホームページ上の文字・画像・動画のデータを、サーバーと通信する際の通信規約(プロトコル)がhttpです。

通信規約とは、htmlファイルや画像ファイルといったWebサイトを構成する要素を、デバイスにデータとしてダウンロードする手順や決まりごとをいいます。

WindowsやMac、Linux、Unixといった異なる環境下において、Webサイトのデータの取得方法が異なると、さまざまな障がいが発生します。そこで、httpという共通のプロトコルを定めることで、同じ手順でデータをやりとりできるようになりました。

httpsとは……

httpsは「Hypertext Transfer Protocol Secure」の略となり、末尾のsは「Secure(安全)」を指します。

httpでやりとりされるデータは、データ内容がそのまま分かる状態なので、第三者が閲覧したり、改ざんしたりする可能性があります。そこでデータを暗号化し、第三者から保護する目的でhttpsが誕生しました。httpもhttpsもプロトコルの一つではありますが、httpsにはSSL(Secure Socket Layer)というプロトコルが採用されています。

現在はSSLではなく、TLS(Transport Layer Security)と呼ばれるプロトコルが使われるようになり、SSL/TLSとも呼ばれています。

httpsは、このSSL/TLSの技術によって送受信される情報に鍵をかけ、通信を暗号化させて安全性を向上させています。httpsに対応しているサーバーでは、ホームページのデータをやりとりする際に暗号化されるため、安全にデータのやりとりができます。

つまり、両者の主な違いは、「通信の内容が暗号化されているかどうか」にあるといえるでしょう。

https化すると安全?そのメリット

先述のとおり、httpsはhttpよりもセキュリティレベルの高いものですが、実際にhttps化することによって、安全になるのでしょうか?
ここでは、httpの危険性とhttps化の安全性について解説します。

httpでは安全でない理由

httpでインターネット通信をしても通信内容が暗号化されません(暗号化されていない文字列などのデータは平文と呼ばれます)。カフェや空港で提供されている公衆無線Wi-Fiはセキュリティに不安があることが多く、そのようなセキュリティが弱いWi-Fiでhttpからはじまるサイトを閲覧すると、通信内容が誰からでも容易に見られてしまうリスクがあります。

ネット詐欺が一般化している現在では、無料の公衆Wi-Fiを介してhttpサイトにアクセスし、サイトにログインするためにIDやパスワードを入力する行為は危険です。IDやパスワードが盗まれると、同じパスワードを使いまわししているほかのサイトに不正アクセスされ、被害が大きくなる恐れがあります。

https化すると安全な理由

httpsでは、SSL/TLSを利用したセキュアな通信が可能となります。
第三者によって発行される「SSLサーバー証明書」をサーバーに導入すれば、サーバーからデータを暗号化して盗聴を防止できます。同時にハッシュ関数を用いてデータの正確性を検証し、改ざんの有無を検知することも可能です。

また、「SSLサーバー証明書」を導入されたサイトのユーザーは、この証明書を確認することで信頼を置けるサイトであるかどうかを確認できます。

ただし、証明書は無料で誰でも取得できるものがあります。そういった証明書であれば、たとえhttpsのサイトであっても、通信の内容が不正に取得されたり、ショッピングサイトでは名前・住所・クレジットカード番号などの個人情報が抜き取られたりすることがあります。

httpよりはhttpsの方が安全な可能性が高いですが、httpsであってもフィッシングサイトなど危険なサイトである可能性があるということです。本当に安全なhttpsの見わけ方は次項で説明するので、把握しておくことをおすすめします。

このサイトは安全?詐欺サイトかどうか見わけるには

昨今、インターネットを舞台とした詐欺などの犯罪が横行しています。自分が利用するサイトが本当に安全か、気になるところです。
ここでは、詐欺サイトの見わけ方を 5つ紹介します。

掲載されているアドレスをチェック

まずは、ホームページのアドレスが「https」を使用しているかどうかを確認しましょう。企業のホームページなどでは企業名がきちんと入っているか、逆に全く関係のないアドレスではないか、ドメインが「.com」「.jp」以外の怪しいドメインを使っていないかなどを確認しましょう。

また、企業のWebサイトに掲載されているメールアドレスが、「@gmail.com」「@yahoo.co.jp」「@outlook.com」「@qq.com」などのフリーメールを使っている場合は、詐欺サイトである可能性があるため、利用を避けた方がよいでしょう。

詐欺ではないサイトは多くの場合、会社名やサービス名に関係した独自ドメイン名のアドレスを利用しています。

証明書で本物かどうか確認

前項でも少し触れましたが、証明書があれば絶対に安全だというわけではありません。無料で発行できる証明書の場合は、証明書の中身もしっかり精査することが重要です。

証明書の確認は、パソコンのブラウザなどから可能です。URLの鍵のアイコンをクリックして証明書を開きます。証明書の詳細タブを開いて「サブジェクト」の項目をクリックすると、証明書の下の枠に「CN =」「OU =」が表示されます。そこに「O =」があった場合、そのあとに正しい企業名が記載されていれば、信頼できるホームページということです。

企業認証(OV)の証明書の場合は、「O =」のあとに組織名が記載されます。これは認証局と呼ばれる専門機関が、組織の実在を確認して発行している証明書です。

誰でも発行できるドメイン認証(DV)のケースでは「O =」の部分がないか、「O =」のあとには企業名の代わりにドメイン名が表示されて、運営企業が確認できません。

名の知れたモール、店舗かどうかチェック

大手のオンラインショッピングモールやチェーン店の場合、ドメインを取得する際に一定の審査が行われています。「なりすまし」を防止するために、誰にでも取得ができないようにしているのです。大手企業などの名の知れたドメインであれば、あんしんして利用できるでしょう。

ただし、有名企業のサイトを真似した、紛らわしいアドレスを使った詐欺サイトも存在します。有名な企業名が入っているからといって安全だと思わず、アドレスや証明書をしっかり確認することが重要です。

実店舗があるかを確認

詐欺サイトの場合、架空の住所にオフィスを構えていることにして、実店舗を持たない傾向にあります。

実店舗や運営者のオフィスを保有している場合は、信頼できるサイトとしてあんしんできるでしょう。アドレスバーが緑色に表示される「EV SSLサーバー証明書」があるWebサイトならば、専門機関が厳格にチェックしているため、さらに信頼性が向上します。

検索で上位のページであるか

詐欺サイトなどの場合、長期的にサイトを公開するのではなく、短期集中型で個人情報の抜き取りが完了すれば、すぐにサイトを閉鎖して証拠隠滅を図ります。そのため、検索エンジンで上位に掲載することはまずありません。逆にいえば、検索エンジンで最上位にあるサイトは比較的安全なサイトであるといえるでしょう。

まとめ

インターネットを安全に使用するためには、https化されているサイトを利用するのがおすすめです。また、ホームページを運営する場合は、https化して利用者の安全性を担保することが重要です。

ただし、https化していても詐欺サイトは存在します。詐欺サイトの見わけ方を把握して、安全なインターネット生活を送りましょう。

このように、私たちの日常生活には気づきにくいネットトラブルがたくさん潜んでいます。
被害に遭った、不安があり悩んでいる、といった際はドコモの「ネットトラブルあんしんサポート」をぜひご活用ください。

コールセンターにお電話いただければ専門スタッフがお悩みをお聞きして、ネットトラブルの解決を全面的にサポートします。ぜひ一度ご相談ください。