ITサポート:DAY33|HTTP/HTTPS

🐥 カイピヨくんと学ぶ ITサポート独学
- DAY33|HTTP/HTTPS
- 📖 はじめに|DAY33は「鍵マークの意味が分かる日」
- 第1章|結論:HTTPとHTTPSの違い
- 第2章|通信はどこを通っている?
- 🎮 体験しよう:HTTP vs HTTPS 通信シミュレーター
- 第3章|HTTP通信の問題点
- 第4章|HTTPSは何をしている?
- 🎮 体験しよう:暗号化デモ
- 第5章|鍵マーク(🔒)の意味
- 第6章|HTTPSでも注意が必要な理由
- 🎮 体験しよう:フィッシングサイト判定クイズ
- 🎮 体験しよう:URL安全性チェッカー
- 第7章|ITサポートが必ず伝えること
- 第8章|HTTPSが使われる場面
- 第9章|HTTP/HTTPSは覚えるものじゃない
- 第10章|DAY33で覚えればOKなこと
- 📊 今日のゴール
- 📝 DAY33まとめ
DAY33|HTTP/HTTPS
― 通信の安全性 ―
通勤中、家事をしながら、HTTPS通信の仕組みを音声で学習
※音声と記事の内容は同じです。お好みの方法で学習してください
📖 はじめに|DAY33は「鍵マークの意味が分かる日」
ブラウザでWebサイトを見るとき、こんな違いを見たことがあるはずです。
多くの人は、こう思っています。
DAY33では、
なぜ安全なのか
何が違うのか
ITサポートはどこを見るのか
を、仕組みレベルで分かりやすく解説します。
「通信は"中身が見えるかどうか"が大事ピヨ!」🐥💙
第1章|結論:HTTPとHTTPSの違い
まず結論です。
通信内容を"暗号化"して守る仕組み
違いを一言で
📊 HTTPSの技術的定義
正式名称:HTTPS(Hypertext Transfer Protocol Secure)は、HTTP通信をTLS/SSL(Transport Layer Security / Secure Sockets Layer)で暗号化したプロトコルです。1994年にNetscape Communicationsによって開発され、2000年にRFC 2818として標準化されました。
暗号化方式:HTTPSは主に以下の暗号化技術を使用します。①RSA(2048bit以上)またはECC(楕円曲線暗号)による鍵交換、②AES-128/256(Advanced Encryption Standard)による共通鍵暗号化、③SHA-256以上によるハッシュ化。これらを組み合わせて強固なセキュリティを実現しています。
HTTPS普及率:Google透明性レポート(2024年)によると、ChromeブラウザでのHTTPS使用率は約95%に達しています。2014年のHTTPS Everywhere運動以降、主要サイトのほぼすべてがHTTPSに移行しました。
Let's Encrypt:2015年に開始された無料SSL/TLS証明書サービス。2024年時点で3億以上の証明書を発行し、HTTPS普及の最大の推進力となっています。これにより、小規模サイトでもHTTPSが標準になりました。
第2章|通信はどこを通っている?
Web通信は、こんな道を通ります。
ポイント
- ✅ 多くの場所を通過
- ✅ 自分の管理外がほとんど
🎮 体験しよう:HTTP vs HTTPS 通信シミュレーター
💡 ポイント
HTTP通信では、データが平文(そのまま)で流れます。Wi-Fiやインターネット上の中継地点で、専用ツールを使えば内容を読み取ることができてしまいます。HTTPS通信では、データが暗号化されるため、途中で盗聴されても内容を解読できません。
第3章|HTTP通信の問題点
HTTPで何が起きる?
例
ITサポート視点
= 危険
📊 HTTP通信の脆弱性とリスク
中間者攻撃(MITM - Man In The Middle):HTTP通信では、攻撃者が通信経路上に介在してデータを盗聴・改ざんする攻撃が可能です。特に公共Wi-Fiでは、同じネットワーク上の悪意ある第三者がパケットキャプチャツール(Wireshark等)を使って通信内容を簡単に読み取れます。
セッションハイジャック:HTTP通信で送信されるセッションIDやCookieが盗まれると、ログイン状態を乗っ取られる可能性があります。2010年にリリースされた「Firesheep」というツールは、公共Wi-Fi上でのセッションハイジャックがいかに簡単かを実証し、HTTPS普及の契機となりました。
パケット盗聴の実態:セキュリティ研究者の調査によると、公共Wi-Fiの約25%で何らかの盗聴行為の痕跡が確認されています。特に空港、カフェ、ホテルなどの公共Wi-Fiは標的になりやすく、2018年のKRACK攻撃では、WPA2暗号化さえも突破される脆弱性が発見されました(出典:セキュリティベンダー各社レポート)。
HTTPSの性能影響:HTTPSは暗号化処理により、HTTPに比べて約5〜10%の処理オーバーヘッドがあります。しかし、HTTP/2やHTTP/3の採用により、実際にはHTTPSの方が高速になるケースも多く、速度を理由にHTTPを選ぶ必要はなくなっています。
第4章|HTTPSは何をしている?
HTTPSの正体
暗号化とは?
🎮 体験しよう:暗号化デモ
暗号化されたデータは、正しい鍵(証明書)を持たない第三者には解読できません。これがHTTPSの安全性の仕組みです。
鍵のイメージ
第5章|鍵マーク(🔒)の意味
ブラウザの鍵マークは?
注意点
📊 SSL/TLS証明書の仕組み
証明書の種類:SSL/TLS証明書には3つのレベルがあります。①DV(Domain Validation):ドメイン所有確認のみ(数分で発行可能)、②OV(Organization Validation):組織の実在確認(数日で発行)、③EV(Extended Validation):厳格な組織審査(数週間で発行、アドレスバーに組織名表示)。フィッシングサイトでもDV証明書は簡単に取得できるため、鍵マークだけで安全とは言えません。
認証局(CA):証明書を発行する信頼された第三者機関。主要なCAには、DigiCert、Sectigo、GlobalSign、Let's Encryptなどがあります。ブラウザは事前に信頼されたCAのリストを持っており、それらのCAが発行した証明書のみを有効とします。
フィッシングサイトの実態:Anti-Phishing Working Group(APWG)の2024年レポートによると、フィッシングサイトの約80%がHTTPSを使用しています。攻撃者はLet's Encryptなどの無料証明書を悪用し、正規サイトと見分けがつきにくい偽サイトを構築しています。
証明書の有効期間:2020年以降、SSL証明書の最大有効期間は398日(約13ヶ月)に制限されています。以前は2〜3年の証明書も発行できましたが、セキュリティ強化のため短縮されました。証明書が期限切れになると、ブラウザで「接続はプライベートではありません」という警告が表示されます。
第6章|HTTPSでも注意が必要な理由
よくある誤解
実際は…
🎮 体験しよう:フィッシングサイト判定クイズ
ケース① 銀行サイト
三井住友銀行のログインページと言われました。このURLは安全?
ケース② ECサイト
Amazonのログインページと言われました。このURLは安全?
ケース③ 公式サイト
楽天の公式サイトと言われました。このURLは安全?
ITサポートが見るポイント
🎮 体験しよう:URL安全性チェッカー
診断結果
💡 チェックポイント
- ✅ HTTPS使用:通信が暗号化されているか
- ✅ 公式ドメイン:スペルミスや余計な単語がないか
- ✅ 証明書有効性:信頼できる認証局が発行しているか
- ✅ フィッシング対策:類似ドメインでないか
第7章|ITサポートが必ず伝えること
利用者には、こう説明します。
伝えるポイント
第8章|HTTPSが使われる場面
必須な場面
今のWebの常識
ITサポートの判断
基本注意
第9章|HTTP/HTTPSは覚えるものじゃない
細かい技術名は不要
覚えるのはこれだけ
- ✅ HTTPS=暗号化
- ✅ HTTP=暗号化なし
- ✅ 鍵+URL確認
第10章|DAY33で覚えればOKなこと
- ✅ HTTPは中身が見える
- ✅ HTTPSは暗号化されている
- ✅ 鍵マークは通信の安全
- ✅ URL確認が超重要
- ✅ 公共Wi-Fiでは特に注意
📝 確認クイズ(DAY33)
HTTP/HTTPSの基本を確認しよう
「鍵があっても、
"相手が誰か"は必ず見るピヨ!」🐥💙
📊 今日のゴール
- ✅ HTTPとHTTPSの違いを理解する
- ✅ 暗号化の意味を知る
- ✅ 鍵マークの本当の意味を理解する
- ✅ フィッシングサイトへの注意点を覚える
- ✅ ITサポートのチェックポイントを身につける
📝 DAY33まとめ
- HTTPとHTTPSの違い:HTTPは通信内容が平文(中身が見える)、HTTPSは暗号化(中身が見えない)。これが本質
- 通信経路:あなた→Wi-Fi→ルーター→インターネット→サーバ。多くの場所を通過し、自分の管理外がほとんど。途中で盗聴される可能性がある
- HTTPの問題点:ID、パスワード、個人情報が平文で流れる。特に公共Wi-Fi×HTTPは非常に危険
- HTTPSの仕組み:HTTP+暗号化(TLS/SSL)。データを特殊な計算式で変換し、正しい鍵を持つ相手だけが読める
- 暗号化技術:RSA/ECC(鍵交換)、AES-128/256(共通鍵暗号)、SHA-256(ハッシュ化)を組み合わせて強固なセキュリティを実現
- 鍵マークの意味:「この通信は暗号化されています」を示すが、サイトの正当性は保証しない。偽サイトでもHTTPSは使える
- フィッシングサイト:約80%がHTTPSを使用。Let's Encryptなどの無料証明書で簡単に取得可能。鍵マークだけでは安全と言えない
- SSL証明書の種類:DV(ドメイン確認のみ)、OV(組織確認)、EV(厳格な審査)の3種類。フィッシングサイトでもDVは取得可能
- ITサポートの確認ポイント:①HTTPSか(🔒マーク) ②URLが正しいか(ドメイン名) ③不審なら入力しない。DAY32のURL知識とセットで確認
- HTTPSが必須の場面:ログイン画面、個人情報入力、決済ページ。現在のWebサイトはほぼすべてHTTPS
- 重要な理解:細かい技術名は不要。「HTTPS=暗号化」「HTTP=暗号化なし」「鍵+URL確認」だけで実務対応可能
- エビデンス:HTTPS普及率95%(Google 2024)。Let's Encryptは3億以上の証明書発行。HTTPSのオーバーヘッドは5〜10%だが、HTTP/2で実質速度向上
💬 次回予告(DAY34)
👉 DAY34:「メールの仕組み ― 送受信の流れ」
メールがどうやって届くのか学ぼう!


