対象試験と出題頻度
HTTPSは、ITパスポートから応用情報技術者試験まで、すべてのIPA試験で出題される超重要用語です。
「暗号化通信」「ポート番号443」「SSL/TLS」といったキーワードとセットで登場するため、HTTPとの違いをしっかり理解しておくことが得点のカギになります。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
HTTPS(HTTP over TLS)とは、一言で言うと「SSL/TLSで暗号化された安全なHTTP通信」のことです。
イメージとしては、「はがきと封書の違い」に似ています。HTTP通信は「はがき」のようなもので、内容が丸見えです。一方、HTTPS通信は「封書」のようなもので、封を開けない限り中身を見ることができません。WebサイトのURLが「https://」で始まり、ブラウザに鍵マークが表示されていれば、その通信はHTTPSで保護されています。
情報処理試験を勉強していると、「HTTPとHTTPSの違いは?」「SSL/TLSとの関係は?」と混乱しがちです。結論から言えば、HTTPSは「HTTP + SSL/TLS」の組み合わせで、HTTP通信をSSL/TLSで暗号化したものです。厳密に言えば、HTTPS自体はプロトコルではなく、「SSL/TLSの上でHTTP通信を行う方式」を指します。
📊 HTTPとHTTPSの違い
| 比較項目 | HTTP | HTTPS |
|---|---|---|
| 正式名称 | Hypertext Transfer Protocol | HTTP over TLS(またはSSL) |
| 暗号化 | なし(平文で通信) | あり(SSL/TLSで暗号化) |
| ポート番号 | 80 | 443 |
| URLの形式 | http://〜 | https://〜 |
| 証明書 | 不要 | サーバ証明書が必要 |
解説
オンラインバンキングやネットショッピングでクレジットカード情報を入力するとき、画面の上にあるアドレスバーを見てください。URLが「https://」で始まり、鍵マークが表示されているはずです。これがHTTPS通信で保護されている証拠です。
HTTPSが必要な理由
HTTP通信は暗号化されていないため、通信内容が「平文」のままネットワーク上を流れます。これは、郵便で言えば「はがき」と同じ状態です。悪意のある第三者が通信を盗聴すれば、パスワードやクレジットカード番号がそのまま見えてしまいます。
HTTPS通信では、SSL/TLSによって通信内容が暗号化されます。たとえ通信を盗聴されても、暗号化されているため内容を解読することは極めて困難です。さらに、サーバ証明書によって「接続先が本物のサイトかどうか」を確認でき、なりすまし(フィッシングサイトなど)を見抜くことができます。
💡 HTTPSが提供する3つの保護
① 暗号化(盗聴防止):通信内容を暗号化し、第三者に見られることを防ぐ
② 認証(なりすまし防止):サーバ証明書により、接続先が正規のサイトであることを確認
③ 改ざん検知:メッセージ認証コード(MAC)により、通信途中でデータが書き換えられていないかを検証
常時SSL(常時HTTPS)とは
「常時SSL」とは、WebサイトのすべてのページをHTTPSで提供することを指します。以前は、ログインページや決済ページなど「重要なページだけHTTPS」というサイトも多かったのですが、現在はサイト全体をHTTPS化する「常時SSL」が標準になっています。
Googleは2014年に「HTTPSをランキングシグナル(検索順位の評価要素)にする」と発表しました。つまり、HTTPS対応しているサイトは検索順位で有利になります。また、Google Chromeなどのブラウザは、HTTP接続のサイトに「保護されていない通信」という警告を表示するようになりました。セキュリティだけでなく、SEOやユーザーの信頼性の観点からも、常時SSLは必須と言えます。
📌 試験ではここまででOK
ITパスポート・基本情報レベルでは、「HTTPS=HTTP + SSL/TLS」「ポート番号は443」「暗号化通信で盗聴・なりすまし・改ざんを防ぐ」という基本を押さえておけば十分です。応用情報以上では、サーバ証明書の役割やTLSハンドシェイクの流れまで理解しておくと安心です。
HTTPSの通信の流れ
HTTPS通信が始まるとき、まずクライアント(ブラウザ)とサーバーの間でTLSハンドシェイクが行われます。簡単に流れを説明すると、ブラウザがサーバーのポート443に接続し、使用する暗号方式などを提案します。サーバーはサーバ証明書を送り、自分が本物であることを証明します。ブラウザは証明書を検証し、問題なければ暗号化に使う共通鍵の元となる情報を交換します。その後、双方が同じ共通鍵を持った状態で、暗号化されたHTTP通信が始まります。
HTTPSに関する注意点
HTTPSは通信を保護する技術ですが、万能ではありません。HTTPSは「ブラウザとサーバー間の通信」を暗号化するだけで、サーバー内部のデータベースや、サーバーからさらに先の通信は保護しません。また、HTTPSに対応しているからといって、そのサイト自体が信頼できるとは限りません。フィッシングサイトでも無料のサーバ証明書を取得してHTTPS化している場合があるため、URLのドメイン名をしっかり確認することが大切です。
試験ではこう出る!
HTTPSは、すべてのIPA試験で繰り返し出題される最重要トピックです。「HTTPとHTTPSの違い」「ポート番号」「サーバ証明書の役割」など、基本的な知識を問う問題が多く出題されます。
【押さえるべきキーワード】
- HTTP + SSL/TLS = HTTPS
- ポート番号:443(HTTPは80)
- 暗号化・認証・改ざん検知
- サーバ証明書が必要
- URLが「https://」で始まる
- ブラウザに鍵マークが表示される
試験問題で「WebサーバとWebブラウザ間の通信を暗号化して安全に送受信する方式」という記述があれば、それは「HTTPS」を指しています。また、「ポート番号443を使用する通信」と聞かれたら「HTTPS」と答えられるようにしましょう。
📊 よく出るポート番号(試験対策)
| プロトコル | ポート番号 | 用途 |
|---|---|---|
| HTTP | 80 | Webページの閲覧(暗号化なし) |
| HTTPS | 443 | Webページの閲覧(暗号化あり) |
| FTP | 20, 21 | ファイル転送 |
| SSH | 22 | リモートログイン(暗号化あり) |
| SMTP | 25 | メール送信 |
| DNS | 53 | 名前解決 |
📝 過去問での出題例
ITパスポート試験では、HTTPSに関する問題が繰り返し出題されています(平成24年春期 問80、平成25年春期 問74、平成27年春期 問55など)。
典型的な問題は「HTTPSの説明として適切なものはどれか」という形式で、「SSL/TLSを使って通信を暗号化する」という選択肢が正解になります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、試験形式のクイズで確認してみましょう。
Q. HTTPSに関する説明として、最も適切なものはどれでしょうか?
- A. HTTP通信をIPsecで暗号化し、ネットワーク層であらゆるIPパケットを保護する方式
- B. HTTP通信を高速化するために、データを圧縮して転送する方式
- C. HTTP通信をSSL/TLSで暗号化し、盗聴やなりすましから通信を保護する方式
正解と解説を見る
正解:C
解説:
HTTPS(HTTP over TLS)は、SSL/TLSプロトコルによって暗号化された安全な接続の上でHTTP通信を行う方式です。HTTPSを使用することで、通信内容の暗号化(盗聴防止)、サーバ認証(なりすまし防止)、改ざん検知の3つの保護が提供されます。HTTPSのポート番号は443で、URLは「https://」で始まります。暗号化通信を行うにはサーバ証明書が必要です。
選択肢AのIPsecはネットワーク層(IP層)で動作するプロトコルで、VPNなどで使用されますが、HTTPSとは異なります。選択肢Bはデータ圧縮の説明で、これはHTTP/2の特徴の一つであり、HTTPSの本質的な機能ではありません。
