みなさん、おはようございます!タカハシ(@ntakahashi0505)です。
こちらの記事は、タカハシが音声メディアVoicyの「スキルアップラジオ」にて放送した内容から、ピックアップしてお届けします!
今回のテーマは、今さら聞いてもいいIT用語 #12「SSL」です。
なお、以下で実際にお聴きいただくこともできます!
では、よろしくお願いいたします!
SSLとは
今日は、今更聞いてもいいIT用語シリーズ第12回をお送りします。このシリーズは、今さら人には聞けない、でも知っておいた方が良い気がする、そんなIT用語を耳からこっそり学べるシリーズとなっています。
今日紹介するIT用語は「SSL」になります。
みなさん、こんなことはありますでしょうか。
ブラウザであるウェブサイトを開いた時に、「保護されていません」とか「保護されていない通信」とかブラウザに表示される、そんな時が時々あったりするのです。
「なんかちょっと危険そうだからこのサイト使うのをやめよう。」
そんな風に思われるかもしれないのですが、それは実に賢明な行動なのです。
そして、この現象にSSLという技術が関係しているという話になります。
今日は、そのSSLが何者なのかというのを紹介していきますので、ぜひ頭に入れといていただければと思います。
なぜSSLが必要か
前提からお話していくのですが、インターネットを使って僕らはウェブサイトのデータ、これを取りに行ったりとか、もしくは自分のデータを送ったりとか、そういったことをしているわけです。
インターネットの通信網に、データや情報が行き来していて、それが日々大量に行われているわけです。
そのインターネット通信網をどっかでピックアップされてそれらを盗られてしまったら、めちゃめちゃやばいわけです。
たとえば、ウェブサイトを提供する会社が提供しているウェブページのデータ。
これは、常にオープンになっているデータなので、取られてもそんなに問題なかったりします。
ただ、ウェブサイトを利用する時に、たとえばショッピングサイトとかでいうと、ログイン情報やクレジットカードの情報とか、住所、名前、そういった個人情報を送るわけですよね。
そういった情報がインターネットの通信の途中に傍受されてしまう、そして悪用されるというのは非常にやばい話になるわけで、それを防ぐ仕組みがSSLとなります。
SSLの技術
SSLという技術を使って何をしているかというと、インターネットでデータを送るときに暗号化ということをするのです。
誰かが途中で抜き取ったとしても、暗号を解読できない限りはわけわかんない文字列になっちゃっている、そういった状態にするということです。
送った先でその暗号化を戻す、これを複合って言うのですが、「複合化して本来のデータに戻す」作業をするということなのです。
このようなインターネットでデータを暗号化してやり取りをする仕組み、そしてそれが世界共通で使われている、これがSSLという技術になります。
ちなみにこの技術、最新のもので言うと、実はSSLという名前ではなくて「TLS」というものが使われているのです。
ややこしいので一般的にはTLSを含めてSSLと呼んでしまっていることが多いので、この放送でもSSLという紹介をしていきます。
SSLは「Secure Sockets Layer」の略
さて、SSLという言葉なのですが、英語で言うと「Secure Sockets Layer」の略になります。
Secureは「安全な」、Socketsは「受け口」、Layerは「層」という意味です。
直訳で繋げると「安全な受け口の層」となります。
ちょっと直訳ではイメージがつかないので、とにかくインターネットでデータを暗号化してやり取りをする仕組み、それがSSLなのだな、そんな覚え方をしていただいた方がいいかなと思います。
SSLを使った通信では何が行われているか
さて、ではこのSSLを使って通信をインターネット上でしている場合、どんなことが行われているのか、イメージをお伝えしたいと思います。
インターネット通信はどのように行われるか
たとえば、みなさんはPCブラウザを使って、あるウェブサイトのページを開いたりとか、もしくはあるウェブサイトにデータを送ったりするわけです。
その時、URLの情報を使って、相手先のウェブサイトが存在しているウェブサーバーの場所を突き止めて、そことデータのやり取りをします。
この時、みなさんの手元のPC、これを「クライアント」なんて言います。
クライアントと相手側のサーバー、この間で「データをくださいな」とか「送りました」と、このようなやり取りをするというのがインターネット通信になります。
データをやりとりする前に何が行われているか
この時、ウェブサイト側でSSL、これに対応していると、実際にデータのやり取りをする前にあることが行われるのです。
何をするかと言うと、サーバーとクライアント、この2つでやり取りするための個別の鍵のようなものを作る作業を安全に行うという手順があります。
この鍵を作るやり取りは安全に行われますので、途中で鍵がインターネット通信から傍受されて引っこ抜かれたりとか、そういったことができないような仕組みでやり取りがされます。
無事に鍵が出来上がったら、クライアントとサーバーでそれぞれ共通の鍵を持っておくわけです。
この後にクライアントとサーバーの間でデータのやり取りが行われるのですが、そのやり取りされるデータは暗号化されます。
その暗号化されたデータを元の状態に戻す、つまり複合化するには鍵が必要なのですが、それはクライアントとサーバーしか持ち得ないということなのです。
なので、悪意のある第三者がインターネット通信網の途中でその暗号化されたデータを引っこ抜いたとしても、元々の情報を読み取ることができないという仕組みになっています。
このような仕組みで安全にデータをやり取りできる、このベースとなっている技術、仕組みがSSLということになります。
SSLに対応していないウェブサイトの危険性
このSSL、サイト側で導入して対応するものなので、クライアント側で何かをする必要はないのです。
SSLに対応しているサイトであれば、先ほどお話しした通り、安全にデータのやり取りができます。
逆に、SSLに対応していないサイト、そことの通信がどうなるかというと、いわゆるデータそのものがインターネット上でそのままやり取りされている状態になります。
悪意のある第三者がそれ引っこ抜いた時にそのデータが悪用される、そういった危険があるわけです。
なので、はっきり言って危険ということになります。
今でも、SSLに対応してないサイトを日本でもまあまあ見かけます。
ウェブサイトを開いた時に、ブラウザに保護されていませんとか、保護されていない通信とか、そういった表示がされるサイトはSSLに対応していません。
そういったサイトでは、たとえばテキストボックスなどの入力フォームに、データを入力しないようにしていただければと思います。
SSLに対応しているか見分ける方法
さて、ウェブサイトがSSLに対応しているかどうか。これは、URLでもチェックができるのです。
前回の今更聞いてもいいIT用語シリーズ第11回646回の放送で、URLについて紹介しました。
ここでURLがどのような構成で作られているのかというのをお伝えしたのですが、最初の「http://」とか「https://」、この部分はスキーム名と言うんです。
この部分を見れば、ウェブサイトがSSLに対応しているかどうか確認できます。
この部分は、インターネットで何をするか、どういう通信方式をするかということを表す通信プロトコルなっています。
よく見かける「http」というのは、インターネット上でウェブページをやり取りするときに使う通信方式を表します。
そして、もう1つ見かける「https」、これなのですが、ウェブページをやり取りする通信方式HTTPにSSLの暗号化、これも使いますよということを表すのです。
つまり、SSLを使ったHTTP通信、これがHTTPSということになります。
URLを見て、最初の部分が「https」になっていれば、SSLに対応しているウェブサイトであるということがわかります。
一方で、ただの「http」、この場合はSSLを使ってないのです。
このように、URLの最初の部分だけ見て、安全な通信、SSLを使っているかどうかというのをチェックすることができます。
今日の話は、安全にインターネットを使う上で結構重要な話になるかなって思いますので、ぜひ覚えておいていただければと思います。
注意点「SSL通信だから安全とはかぎらない」
最後に、もう1個注意点お伝えしておきます。
何かというと、SSL通信は「これが絶対に安全とは限らない」ということなのです。
SSLを使った通信だったとしても、その接続した相手のウェブサーバー、これに悪意がないとは限らないからです。
SSLは導入されているが、そのウェブサイトが個人情報とかそういった大事な情報を悪用する、そういったリスクは0にはならないということなのです。
なので、大事なデータを送る時には、相手先のサイトが信用できるかどうか、その判断を自分の目でする必要があるということになります。
よくわからない怪しいサイトには、そういったデータを送らないようにするというのが懸命かなとは思います。
自分のリテラシーで情報を守る
インターネットで色々やるということを考えた時に、個人情報や大事なデータを抜かれる、そういった危険があります。
しかし、こういった技術、仕組みがあることによって、我々のウェブ利用が守られているということがわかりましたね。
ただし、そこに関しては全くの知識がなく、お任せでいいかというとそうとも限らないということもお伝えしました。
このような仕組みが大概の場合は守ってくれるですが、しかし、全てを完璧に守ってくれるわけではないので、最後は自分のリテラシーも必要になってくるということです。
ぜひこのことを忘れずにおいていただければと思います。
こういったセキュリティ関連に関しては、みなさん関心が高いところかなと思います。
「こういった時はどうなの」みたいなのがあれば、ぜひコメントなどで質問いただければお答えしますので、遠慮なくお送りいただければと思います。
まとめ
ということで、今日はVoicy「スキルアップラジオ」の放送から『今さら聞いてもいいIT用語 #12: 「SSL」』をお届けしました。
タカハシのVoicyの放送はこちらからお聴きいただけます。
チャンネルのフォロー、コメント、SNSでのシェアなどなど、楽しみにお待ちしております。
では、また。
