shikakuホームへ
経営情報システム / セキュリティセキ
セキュリティ 3/4 / 約5分

HTTPSと認証 — 錠前マークの裏側と、3つの本人確認

ブラウザのアドレス欄の錠前マーク——あれは「このサイトとの通信はHTTPS」の印です。中身はHTTP+TLS。前の2ユニットで揃えた道具(証明書・ハイブリッド暗号)が、ここで一斉に動きます。

そしてサイトの側があなたを確かめるのが認証——パスワードだけに頼らない「3つの本人確認」の組み合わせ方が、もう1つの的です。

この5分の問い

HTTPSはどんな手順で通信を守り、多要素認証は何を組み合わせているのでしょうか。

直感でつかむ

HTTPS=証明書を確認してから、共通鍵で高速に暗号化します

TLSの動作は3歩です。①クライアント(ブラウザ)がサーバー証明書を検証する——認証局(CA)の署名を確かめ、「本物のサイトか」をまず確認。②共通鍵(セッション鍵)を公開鍵暗号の仕組みで安全に共有する。③以後の通信は共通鍵で高速に暗号化——前ユニットのハイブリッド暗号そのものです。

今の標準はTLS 1.2/1.3で、SSLとTLS 1.0/1.1は脆弱性のため廃止済みです(名前の慣習で「SSL」と呼ばれ続けていますが、実体はTLS)。

HTTPSの合言葉HTTPS=HTTP+TLS——証明書を確認→共通鍵を交換→速い暗号で通信。認証は知識・所持・生体の2つ以上でMFA
厳密に見る

認証の3要素と、ポート番号の定番も1セットで持ち帰ります

認証の材料は3系統——知識(パスワード・暗証番号)・所持(スマートカード・スマホのワンタイムコード)・生体(指紋・顔)。多要素認証(MFA)異なる系統を2つ以上組み合わせることで、同じ系統を2つ(パスワード2個)ではMFAになりません。SSO(シングルサインオン)は1回の認証で複数サービスを使える仕組みで、実現の標準がSAML・OAuth・OpenID Connect(フェデレーション認証)です。

あわせてウェルノウンポート番号の定番を固定します——HTTP=80・HTTPS=443・DNS=53・SMTP=25・FTP=21(制御用。データ転送は20)。「HTTPSは443」はこの科目の頻出小問です。

結論が反転する分かれ目
MFA
認証を強くする
知識・所持・生体の異なる系統を2つ以上
SSO
認証を楽にする
1回の認証で複数サービス——SAML・OAuth等で実現
分かれ目 目的が違う道具です。「同じ系統2つでMFA」は定番の誤り肢。
ここで間違える

「同じ要素2つでMFA」と、SSL/TLSのバージョン現役誤認が的です

定番の誤り肢は「多要素認証は、パスワードと秘密の質問のように2つの認証を組み合わせればよい」——両方とも知識で系統が同じなのでMFAではありません。異なる系統が要件です。

「SSL 3.0やTLS 1.0は現在も標準的に使われている」も誤り——脆弱性のため廃止済みで、現役はTLS 1.2/1.3です。ポート番号は80と443の入れ替え(「HTTPは443番」)が的——「保護されたほうが443」で固定してください。

実務では

顧問先のサイトがブラウザに「保護されていない通信」と表示される——原因はHTTPS未対応(サーバー証明書の未導入)で、今どきは無償の証明書でも解消できます。もう1つ、費用対効果が最も高い助言がMFAの有効化——パスワード漏えいだけでは突破されなくなるため、ネットバンキングやクラウド会計にまず設定する。「スマホの確認コード=所持の要素を足す」と説明すれば一発で通じます。

確かめる — 予想してから答え合わせ
この5分のまとめ

冒頭の問いに答えます。HTTPSはHTTP+TLS——サーバー証明書の検証→セッション鍵の安全な共有→共通鍵での高速暗号化の3歩で通信を守ります(現役はTLS 1.2/1.3、SSL・TLS 1.0/1.1は廃止)。認証は知識・所持・生体の異なる系統を2つ以上組み合わせてMFA、1回の認証で複数サービスがSSO(SAML・OAuth・OpenID Connect)。ポートはHTTP=80・HTTPS=443。仕上げは、守る相手——攻撃の手口と盾の対応表へ。