ITサポート:DAY33|HTTP/HTTPS

ITサポート独学チャレンジ
Lv.1
次のレベルまで 100 XP
0 / 100
🔒
HTTPS理解
🔐
暗号化マスター
🛡️
セキュリティ診断
💯
総合テスト満点
🏆
DAY33完全制覇
ITサポート独学 DAY33

🐥 カイピヨくんと学ぶ ITサポート独学

DAY33|HTTP/HTTPS

― 通信の安全性 ―

🎧
この記事は音声でも学べます

通勤中、家事をしながら、HTTPS通信の仕組みを音声で学習

0:00
0:00
再生速度:

※音声と記事の内容は同じです。お好みの方法で学習してください


📖 はじめに|DAY33は「鍵マークの意味が分かる日」

ブラウザでWebサイトを見るとき、こんな違いを見たことがあるはずです。

🔓
http://〜
🔒
https://〜

多くの人は、こう思っています。

「なんとなくHTTPSのほうが安全そう」

DAY33では、
なぜ安全なのか
何が違うのか
ITサポートはどこを見るのか
を、仕組みレベルで分かりやすく解説します。

🐥 カイピヨくんの一言(冒頭)
カイピヨくん

「通信は"中身が見えるかどうか"が大事ピヨ!」🐥💙

第1章|結論:HTTPとHTTPSの違い

まず結論です。

HTTPSは
通信内容を"暗号化"して守る仕組み

違いを一言で

HTTP:中身が見える
通信内容が平文で流れる
HTTPS:中身が見えない(暗号化)
通信内容が暗号化されて保護
👉 これが本質

📊 HTTPSの技術的定義

正式名称:HTTPS(Hypertext Transfer Protocol Secure)は、HTTP通信をTLS/SSL(Transport Layer Security / Secure Sockets Layer)で暗号化したプロトコルです。1994年にNetscape Communicationsによって開発され、2000年にRFC 2818として標準化されました。

暗号化方式:HTTPSは主に以下の暗号化技術を使用します。①RSA(2048bit以上)またはECC(楕円曲線暗号)による鍵交換、②AES-128/256(Advanced Encryption Standard)による共通鍵暗号化、③SHA-256以上によるハッシュ化。これらを組み合わせて強固なセキュリティを実現しています。

HTTPS普及率:Google透明性レポート(2024年)によると、ChromeブラウザでのHTTPS使用率は約95%に達しています。2014年のHTTPS Everywhere運動以降、主要サイトのほぼすべてがHTTPSに移行しました。

Let's Encrypt:2015年に開始された無料SSL/TLS証明書サービス。2024年時点で3億以上の証明書を発行し、HTTPS普及の最大の推進力となっています。これにより、小規模サイトでもHTTPSが標準になりました。

第2章|通信はどこを通っている?

Web通信は、こんな道を通ります。

あなた Wi-Fi ルーター インターネット サーバ

ポイント

  • ✅ 多くの場所を通過
  • ✅ 自分の管理外がほとんど
👉 途中で見られる可能性あり

🎮 体験しよう:HTTP vs HTTPS 通信シミュレーター

🔄 通信の流れを可視化
プロトコルを選択してデータの流れを確認しよう
💻
あなた
📶
Wi-Fi
📡
ルーター
🌐
インターネット
🖥️
サーバ
送信データ:
パスワード: mypassword123

💡 ポイント

HTTP通信では、データが平文(そのまま)で流れます。Wi-Fiやインターネット上の中継地点で、専用ツールを使えば内容を読み取ることができてしまいます。HTTPS通信では、データが暗号化されるため、途中で盗聴されても内容を解読できません。

第3章|HTTP通信の問題点

HTTPで何が起きる?

送信内容がそのまま流れる
途中で見ようと思えば見える

🆔
ID
user@example.com
🔑
パスワード
mySecretPass123
📝
入力内容
クレジットカード番号: 1234-5678-9012-3456
👉 丸見えの可能性

ITサポート視点

公共Wi-Fi × HTTP
= 危険

📊 HTTP通信の脆弱性とリスク

中間者攻撃(MITM - Man In The Middle):HTTP通信では、攻撃者が通信経路上に介在してデータを盗聴・改ざんする攻撃が可能です。特に公共Wi-Fiでは、同じネットワーク上の悪意ある第三者がパケットキャプチャツール(Wireshark等)を使って通信内容を簡単に読み取れます。

セッションハイジャック:HTTP通信で送信されるセッションIDやCookieが盗まれると、ログイン状態を乗っ取られる可能性があります。2010年にリリースされた「Firesheep」というツールは、公共Wi-Fi上でのセッションハイジャックがいかに簡単かを実証し、HTTPS普及の契機となりました。

パケット盗聴の実態:セキュリティ研究者の調査によると、公共Wi-Fiの約25%で何らかの盗聴行為の痕跡が確認されています。特に空港、カフェ、ホテルなどの公共Wi-Fiは標的になりやすく、2018年のKRACK攻撃では、WPA2暗号化さえも突破される脆弱性が発見されました(出典:セキュリティベンダー各社レポート)。

HTTPSの性能影響:HTTPSは暗号化処理により、HTTPに比べて約5〜10%の処理オーバーヘッドがあります。しかし、HTTP/2やHTTP/3の採用により、実際にはHTTPSの方が高速になるケースも多く、速度を理由にHTTPを選ぶ必要はなくなっています。

第4章|HTTPSは何をしている?

HTTPSの正体

HTTP + 暗号化

暗号化とは?

中身をぐちゃぐちゃにする
元のデータを特殊な計算式で変換
正しい相手だけ読める
正しい鍵を持つ人だけが復号可能
👉 第三者には意味不明

🎮 体験しよう:暗号化デモ

🔐 テキストを暗号化
テキストを入力して暗号化の仕組みを体験しよう
元のテキスト(HTTP通信)
暗号化後(HTTPS通信)
💡 説明:
暗号化されたデータは、正しい鍵(証明書)を持たない第三者には解読できません。これがHTTPSの安全性の仕組みです。

鍵のイメージ

🔐
送る側:鍵をかける
データを暗号化
🔓
受け取る側:鍵を開ける
データを復号化

第5章|鍵マーク(🔒)の意味

ブラウザの鍵マークは?

「この通信は暗号化されています」

注意点

🔒がある =
✅ 安全な通信
データは暗号化されている
❌ 内容が正しいとは限らない
相手が本物かは別問題
👉 偽サイトでもHTTPSは使える

📊 SSL/TLS証明書の仕組み

証明書の種類:SSL/TLS証明書には3つのレベルがあります。①DV(Domain Validation):ドメイン所有確認のみ(数分で発行可能)、②OV(Organization Validation):組織の実在確認(数日で発行)、③EV(Extended Validation):厳格な組織審査(数週間で発行、アドレスバーに組織名表示)。フィッシングサイトでもDV証明書は簡単に取得できるため、鍵マークだけで安全とは言えません。

認証局(CA):証明書を発行する信頼された第三者機関。主要なCAには、DigiCert、Sectigo、GlobalSign、Let's Encryptなどがあります。ブラウザは事前に信頼されたCAのリストを持っており、それらのCAが発行した証明書のみを有効とします。

フィッシングサイトの実態:Anti-Phishing Working Group(APWG)の2024年レポートによると、フィッシングサイトの約80%がHTTPSを使用しています。攻撃者はLet's Encryptなどの無料証明書を悪用し、正規サイトと見分けがつきにくい偽サイトを構築しています。

証明書の有効期間:2020年以降、SSL証明書の最大有効期間は398日(約13ヶ月)に制限されています。以前は2〜3年の証明書も発行できましたが、セキュリティ強化のため短縮されました。証明書が期限切れになると、ブラウザで「接続はプライベートではありません」という警告が表示されます。

第6章|HTTPSでも注意が必要な理由

よくある誤解

「鍵マークあるから安心」

実際は…

🎣
フィッシングサイト
本物そっくりの偽サイト
🔗
偽URL
よく似た別のドメイン
👉 通信は安全でも、相手が偽物

🎮 体験しよう:フィッシングサイト判定クイズ

🎣 URLを見て判定しよう
すべて🔒がついているHTTPSサイトです

ケース① 銀行サイト

三井住友銀行のログインページと言われました。このURLは安全?

ケース② ECサイト

Amazonのログインページと言われました。このURLは安全?

ケース③ 公式サイト

楽天の公式サイトと言われました。このURLは安全?

ITサポートが見るポイント

✅ URLが正しいか
ドメイン名を慎重に確認
✅ ドメイン名が怪しくないか
似た文字、余計な単語がないか
👉 DAY32とセット

🎮 体験しよう:URL安全性チェッカー

🛡️ URLの安全性を診断
URLを入力して安全性をチェックしよう

診断結果

💡 チェックポイント

  • HTTPS使用:通信が暗号化されているか
  • 公式ドメイン:スペルミスや余計な単語がないか
  • 証明書有効性:信頼できる認証局が発行しているか
  • フィッシング対策:類似ドメインでないか

第7章|ITサポートが必ず伝えること

利用者には、こう説明します。

伝えるポイント

1️⃣ パスワード入力はHTTPSのみ
🔒マークを必ず確認
2️⃣ 鍵マーク+URL確認
両方チェックが必須
3️⃣ 不審なら入力しない
少しでも違和感があれば中止
👉 シンプルに

第8章|HTTPSが使われる場面

必須な場面

🔐
ログイン画面
IDとパスワード入力
📝
個人情報入力
氏名、住所、電話番号など
💳
決済ページ
クレジットカード情報入力

今のWebの常識

ほぼすべてHTTPS

ITサポートの判断

HTTPのみのサイトは
基本注意

第9章|HTTP/HTTPSは覚えるものじゃない

✅ ここも安心ポイントです。

細かい技術名は不要

覚えるのはこれだけ

  • ✅ HTTPS=暗号化
  • ✅ HTTP=暗号化なし
  • ✅ 鍵+URL確認
👉 十分実務対応可

第10章|DAY33で覚えればOKなこと

今日はこれだけで十分です。
  • ✅ HTTPは中身が見える
  • ✅ HTTPSは暗号化されている
  • ✅ 鍵マークは通信の安全
  • ✅ URL確認が超重要
  • ✅ 公共Wi-Fiでは特に注意

📝 確認クイズ(DAY33)

HTTP/HTTPSの基本を確認しよう

Q1
HTTPSの主な目的は?
Q2
鍵マークがあっても注意が必要な理由は?
Q3
パスワード入力時に確認すべきことは?
🐥 カイピヨくんの最後の一言(DAY33)
カイピヨくん

「鍵があっても、
"相手が誰か"は必ず見るピヨ!」🐥💙

📊 今日のゴール

  • ✅ HTTPとHTTPSの違いを理解する
  • ✅ 暗号化の意味を知る
  • ✅ 鍵マークの本当の意味を理解する
  • ✅ フィッシングサイトへの注意点を覚える
  • ✅ ITサポートのチェックポイントを身につける

📝 DAY33まとめ

  • HTTPとHTTPSの違い:HTTPは通信内容が平文(中身が見える)、HTTPSは暗号化(中身が見えない)。これが本質
  • 通信経路:あなた→Wi-Fi→ルーター→インターネット→サーバ。多くの場所を通過し、自分の管理外がほとんど。途中で盗聴される可能性がある
  • HTTPの問題点:ID、パスワード、個人情報が平文で流れる。特に公共Wi-Fi×HTTPは非常に危険
  • HTTPSの仕組み:HTTP+暗号化(TLS/SSL)。データを特殊な計算式で変換し、正しい鍵を持つ相手だけが読める
  • 暗号化技術:RSA/ECC(鍵交換)、AES-128/256(共通鍵暗号)、SHA-256(ハッシュ化)を組み合わせて強固なセキュリティを実現
  • 鍵マークの意味:「この通信は暗号化されています」を示すが、サイトの正当性は保証しない。偽サイトでもHTTPSは使える
  • フィッシングサイト:約80%がHTTPSを使用。Let's Encryptなどの無料証明書で簡単に取得可能。鍵マークだけでは安全と言えない
  • SSL証明書の種類:DV(ドメイン確認のみ)、OV(組織確認)、EV(厳格な審査)の3種類。フィッシングサイトでもDVは取得可能
  • ITサポートの確認ポイント:①HTTPSか(🔒マーク) ②URLが正しいか(ドメイン名) ③不審なら入力しない。DAY32のURL知識とセットで確認
  • HTTPSが必須の場面:ログイン画面、個人情報入力、決済ページ。現在のWebサイトはほぼすべてHTTPS
  • 重要な理解:細かい技術名は不要。「HTTPS=暗号化」「HTTP=暗号化なし」「鍵+URL確認」だけで実務対応可能
  • エビデンス:HTTPS普及率95%(Google 2024)。Let's Encryptは3億以上の証明書発行。HTTPSのオーバーヘッドは5〜10%だが、HTTP/2で実質速度向上

💬 次回予告(DAY34)

👉 DAY34:「メールの仕組み ― 送受信の流れ」
メールがどうやって届くのか学ぼう!

\ 最新情報をチェック /