対象試験と出題頻度
SSL/TLSは、ITパスポートから応用情報技術者試験まで、すべてのIPA試験で出題される超重要用語です。
「HTTPS」「暗号化通信」「サーバ証明書」といったキーワードとセットで登場するため、仕組みをしっかり理解しておくと得点源になります。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
SSL/TLSとは、一言で言うと「インターネット上でデータを暗号化して安全に送受信するためのプロトコル(通信規約)」です。
イメージとしては、「手紙を封筒に入れて封をする」ようなものです。
📊 HTTP・HTTPS・SSL/TLSの関係
| 用語 | 役割 |
|---|---|
| HTTP | Webページを転送するためのプロトコル(暗号化なし) |
| SSL/TLS | 通信を暗号化するためのプロトコル |
| HTTPS | HTTP + SSL/TLS(暗号化されたHTTP通信) |
解説
オンラインバンキングやネットショッピングを利用するとき、ブラウザのアドレスバーに「https://」と表示され、鍵マークが付いているのを見たことがあるはずです。これがSSL/TLSによる暗号化通信が行われている証拠です。
SSL/TLSの3つの機能
SSL/TLSは、安全な通信を実現するために3つの機能を提供しています。
1つ目は暗号化(盗聴防止)で、通信内容を暗号化することで、第三者に盗み見られることを防ぎます。
2つ目は認証(なりすまし防止)で、サーバ証明書を使って「通信相手が本物かどうか」を確認します。
3つ目は改ざん検知で、メッセージ認証コード(MAC)を使って、通信内容が途中で書き換えられていないかを検証します。
💡 なぜHTTPSが必要なのか
HTTP通信は暗号化されていないため、パスワードやクレジットカード番号などの情報が平文(そのままの形)でネットワーク上を流れます。これでは盗聴されると一発でバレてしまいます。
HTTPS(HTTP over SSL/TLS)を使えば、通信内容が暗号化されるため、たとえ盗聴されても内容を解読されません。最近ではGoogleがHTTPSサイトを検索順位で優遇するなど、セキュリティだけでなくSEOの観点からも「常時SSL(常時HTTPS)」が標準になっています。
SSLとTLSの違い
SSLはNetscape社が1990年代に開発したプロトコルで、TLSはそれをIETF(インターネット技術標準化委員会)が標準化・改良したものです。
SSLには脆弱性が発見されたため、現在はすべてのバージョン(SSL 2.0、SSL 3.0)が非推奨となっています。
実際に使われているのはTLS 1.2やTLS 1.3ですが、「SSL証明書」「SSL通信」という言葉が定着しているため、TLSのことを指して「SSL」と呼ぶケースが多いです。
📊 SSL/TLSのバージョン一覧
| バージョン | 公開年 | 状態 |
|---|---|---|
| SSL 2.0 | 1995年 | 非推奨(使用禁止) |
| SSL 3.0 | 1996年 | 非推奨(使用禁止) |
| TLS 1.0 | 1999年 | 非推奨 |
| TLS 1.1 | 2006年 | 非推奨 |
| TLS 1.2 | 2008年 | 現在も利用可 |
| TLS 1.3 | 2018年 | 推奨(最新) |
SSL/TLS通信の流れ(ハンドシェイク)
HTTPS通信が始まるとき、クライアント(ブラウザ)とサーバーの間で「TLSハンドシェイク」と呼ばれるやり取りが行われます。簡単に流れを説明すると、まずクライアントがサーバーに「接続したい」と伝え、使用する暗号方式などを提案します。次にサーバーが「サーバ証明書」を送り、自分が本物であることを証明します。
クライアントは証明書を検証し、問題なければ暗号化に使う「共通鍵」の元となる情報を交換します。最後に、双方が同じ共通鍵を持った状態で、暗号化通信が始まります。
📌 試験ではここまででOK
ITパスポート・基本情報レベルでは、「SSL/TLS=通信を暗号化するプロトコル」「HTTPS=HTTP + SSL/TLS」という関係を押さえておけば十分です。応用情報以上では、TLSハンドシェイクの流れやサーバ証明書の役割まで理解しておくと安心です。
サーバ証明書の役割
SSL/TLS通信には「サーバ証明書」が必須です。サーバ証明書は認証局(CA:Certificate Authority)が発行するもので、「このサーバーは確かに〇〇株式会社のものです」という身分証明書のような役割を果たします。
ブラウザはサーバ証明書を検証することで、アクセス先が偽サイトではないことを確認できます。証明書には、サーバーの公開鍵、発行者(CA)の情報、有効期限、サーバーのFQDN(完全修飾ドメイン名)などが含まれています。
試験ではこう出る!
SSL/TLSは、すべてのIPA試験で繰り返し出題される最重要トピックです。「SSL/TLSの機能を問う問題」「HTTPSに必要なものを問う問題」「他のプロトコルとの違いを問う問題」など、出題パターンは多岐にわたります。
【押さえるべきキーワード】
- 暗号化通信(盗聴防止)
- サーバ証明書(なりすまし防止)
- 改ざん検知(MAC)
- HTTPS = HTTP + SSL/TLS
- ポート番号:443(HTTPS)
- TLS 1.2 / TLS 1.3が現在の推奨
試験問題で「WebサーバとWebブラウザ間でデータを暗号化して転送するプロトコル」という記述があれば、それは「SSL/TLS」を指しています。また、「SSL/TLSによる暗号化通信を実現するために必要なもの」と聞かれたら「サーバ証明書」と答えられるようにしましょう。
📊 SSL/TLSと紛らわしい用語(試験対策)
| 用語 | 説明 |
|---|---|
| SSL/TLS | アプリケーション層とトランスポート層の間で通信を暗号化 |
| IPsec | ネットワーク層(IP層)であらゆるパケットを暗号化 |
| S/MIME | 電子メールの暗号化・電子署名のための規格 |
| SSH | リモートログインを暗号化するプロトコル(ポート22) |
📝 過去問での出題例
ITパスポート(平成30年春期 問57)では「SSL/TLSによる通信内容の暗号化を実現させるために用いるもの」を問う問題が出題され、正解は「サーバ証明書」でした。
応用情報技術者試験(令和4年秋期 問38)や情報処理安全確保支援士試験でも、SSL/TLSの機能や仕組みに関する問題が繰り返し出題されています。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、試験形式のクイズで確認してみましょう。
Q. セキュリティプロトコルSSL/TLSの機能として、最も適切なものはどれでしょうか?
- A. ネットワーク層であらゆるIPパケットを暗号化し、VPN接続を実現する
- B. WebサーバとWebブラウザ間など、アプリケーション層とトランスポート層の間で通信を暗号化する
- C. 電子メールにデジタル署名を付与し、送信者の認証と改ざん検知を実現する
正解と解説を見る
正解:B
解説:
SSL/TLSは、アプリケーション層とトランスポート層(TCP)の間で動作し、WebサーバとWebブラウザ間などの通信を暗号化するプロトコルです。HTTPにSSL/TLSを組み合わせたものがHTTPSで、ポート番号443を使用します。SSL/TLSの主な機能は、暗号化(盗聴防止)、認証(なりすまし防止)、改ざん検知の3つです。暗号化通信を行うにはサーバ証明書が必要です。
選択肢AはIPsec(IP Security)の説明です。IPsecはネットワーク層であらゆるIPパケットを暗号化し、VPN(Virtual Private Network)でよく使われます。選択肢CはS/MIME(Secure/Multipurpose Internet Mail Extensions)の説明です。S/MIMEは電子メールの暗号化や電子署名のための規格です。
