Tag: https

VPNとhttpsの違い：技術を併用することは可能なのか

普段からインターネットをより安全に使用するためには、さまざまなオンラインセキュリティ対策が必要です。その中でもVPNやhttpsは基本的な対策として多くの人に認知されていますが、果たして両者はどのような特徴があり、技術を併用して利用することは可能なのでしょうか。今回は、オンライン上の脅威から個人情報やデバイスを保護する際のVPNとhttpsの関係性についてさまざまな側面から解説します。 VPNとhttpsの違い https（Hypertext Transfer Protocol Secure）は、その名の通りhttpsプロトコルの安全性を強化したものです。現在、優れたウェブサイトのほとんどがインターネットブラウザとウェブサイト間の暗号化通信を可能にするhttpsをサポートしていることからもわかる通り、インターネットセキュリティはここ10年間で急速な進化を遂げています。httpsの仕組みは、TLS暗号化を使用して、お使いのデバイスとユーザーが訪問するウェブサイト間のデータ転送を保護します。そのため、ウェブサイト上でパスワードを入力したとしても、そのウェブサイトは保護されているので、ユーザーとウェブサイト間のデータ通信はサイバー犯罪者などの第三者に見られる心配がありません。 一方、VPN（仮想プライベートネットワーク）は、お使いのデバイスからの全てのインターネット通信が各VPNサービスプロバイダーが保持するVPNサーバーを経由することで暗号化されて外部へ漏えいする心配がなくなります。 両者とも暗号化を兼ね備えていますが、httpsによる暗号化はブラウザとサーバーの間でしか機能しません。しかし、VPNの場合は特定の設定が有効かどうかにかかわらず、VPN接続を通過するあらゆるデータを暗号化します。このようにVPNとhttpsは、両方ともデータを暗号化する機能を兼ね備えていますが、VPNの方がより多くのデータを暗号化することができます。 VPNとhttpsの併用 VPNとhttpsの併用において注意しておきたいのが、httpsとVPNは互いに競い合うようなライバル関係というわけではないという点です。現在、存在するほとんどのウェブサイトはhttpsによって暗号化されているので、VPNを使用する必要はないと安易に考えてしまうのは、非常に危険です。これは、「ほとんどの家には泥棒が入る可能性がないので、玄関に鍵をかける必要もない」などという、ひと昔前の日本の性善説のようなものです。 オンライン上には、さまざまな脅威がうごめいており、常に私達を狙っています。少しでも気を抜いてしまうとサイバー犯罪者による罠に引っかかり、個人情報の漏えいなどの被害に遭ってしまいかねません。上記でも紹介したように当然、httpsだけでは安全なインターネット閲覧は実現できません。VPNとhttpsを併用することでインターネット上での安全性をより高めることができます。 httpsにできないこと httpsはオンライン上のセキュリティにおけるさまざまな問題の解決に貢献していますが、すべてを解決できるというわけではないことは上記でも述べました。以下では、httpsができないことについて解説します。 最初の接続を保護できない ブラウザが最初に暗号化されていないhttpバージョンのウェブサイトにアクセスし、その後暗号化されたhttpsバージョンに誘導される場合、中間者攻撃を受けてしまう可能性があります。よってサイバー犯罪者達は、暗号化されていない状態のインターネット接続を傍受し、悪意のあるウェブサイトにリダイレクトすることが可能となります。さらには、フィッシング攻撃やマルウェアによるデータの改ざんや詐取をするSQLインジェクションをはじめとする、さまざまな攻撃によって被害が拡大してしまう可能性があります。 このような攻撃を防ぐためにウェブサイトはhttpsと合わせて、暗号化されていないウェブサイトを読み込まないようにブラウザに通知する役割を担うHSTS（http Strict Transport Security）と呼ばれる特別なメカニズムを実装する必要があります。つまり、HSTSがあることでブラウザはhttpsバージョンのウェブサイトしか読み込まなくなります。しかし現在、存在するウェブサイトの上位100万件のうち、このHSTSを使用しているサイトはわずか11%で、読み込みの時間を短縮するために事前に読み込んでおくプリロードをしているのはわずか2.3%のみです。このようにトップクラスのウェブサイトの97.7%は、ユーザーの最初のリクエストを保護していないことがわかります。VPNに接続する場合は最初からすべてのトラフィックを暗号化することで、この問題を解決します。 {SHORTCODES.blogRelatedArticles} ワンクリックで暗号化できない 一般的にhttpsは、ブラウザ、ウェブサイト、ユーザーがそれぞれの役割を果たさなければ機能しません。 まず、ユーザーが暗号化されていないhttpのウェブサイトにアクセスした場合、ブラウザはその旨を通知するか、httpウェブサイトへのアクセスを完全に遮断しなければなりません。また、ウェブサイトはお使いのデバイスからのデータ転送を保護するためにTLS暗号化を実装している必要があります。そして当然、ユーザーはhttpsとhttpのウェブサイトの違いを理解しなければなりません。 ブラウザとウェブサイトの動き次第によって、httpsが十分機能するかどうかが決まります。しかし、全てのブラウザがウェブサイトのステータスを適切にユーザーに通知しておらず、全てのウェブサイトがサーバーとクライアント間のトラフィックを保護しているわけでもありません。httpsは、DNSリクエストを暗号化するプロトコルで使われることはあっても、暗号化されたDNSトラフィックの安全性を保証するものではありません。なので結局、ユーザーは信頼性の高いブラウザを見つけて、セキュリティ証明書を実装して定期的に更新可能なウェブサイトに頼らなければなりません。 しかし、信頼性の高いVPNを使用することでこれら手間のかかる作業を1つに集約することができ、全てのトラフィックを暗号化することができます。 フィッシング詐欺から保護できない 仮にhttpsが適応されていた場合でも、ウェブサイト自体が安全であるとは限らず、フィッシング詐欺の被害に遭う可能性があります。フィッシングとは、メールやSMSなどを使ってユーザーが興味のある内容のメールやメッセージを勝手に送りつけて偽のウェブサイトなどへ誘導し、マルウェアに感染させるなどして金融情報や個人情報等を盗む手口です。現在、フィッシングサイトの約83％がhttpsのウェブサイトです。よって、httpsだけではアクセスしようとしているウェブサイトが本物か偽物かどうかが見分けがつきにくいのが難点です。 最近のVPNは、データを暗号化する機能を提供するだけでなく、他にもさまざまなセキュリティ機能を提供しています。個人情報が漏えいした場合、すぐにユーザーに通知したり、フィルタリングによってURLを見分けて悪質なウェブサイトへのアクセスを防止したり、マルウェアをスキャンしてダウンロードを防ぐVPNもあります。 モバイルアプリのセキュリティは保証できない サイバー犯罪者達にとってモバイルアプリは格好の標的です。基本的にアプリの開発者には、ユーザーのデータを保護するために適切な手順を踏むことが推奨されています。しかし、アプリによっては自分達で勝手に変更を加えることが可能なものも存在します。もちろん、私達のほとんどはモバイルアプリが機密データをどのように転送しているのかを把握していたり、アプリ内部のセキュリティなどがしっかりしているかどうかを判断することができないので、サイバー犯罪者に簡単に傍受されてしまう可能性があります。 ただし、この問題の解決策として有効なのがVPNです。VPNに接続することでモバイルアプリを含む全てのインターネット通信を暗号化することができるため、接続前と比べてもセキュリティが強化されます。 セキュリティ対策の主流は「VPN」 これまで述べてきたとおり、httpsはオンライン上のトラフィックを暗号化してくれますが、それだけでは不十分で、VPNと併用することでセキュリティ対策の効果がより発揮されることがわかりました。もちろん、現在の市場にあるすべてのVPNやセキュリティ対策ソフトが信頼できるというわけではありませんが、各プロバイダーが積み重ねてきた実績や機能、ユーザーの口コミなどを参考にすることで最適なVPNプロバイダーを探すことは可能です。 なかでもNordVPNは、可能な限り最高品質のサービスを提供することを目指しているため、定期的に独立機関による監査を受けています。また、VPNサービス業界全体の品質基準を確立することを目的として設立されたVPN Trust Initiativeという組織の創立メンバーでもあることから、提供するサービスの品質に非常にこだわりを持っています。 ご存知の通り、オンライン上における急速なテクノロジーの進化とともにサイバー犯罪の手口も年々巧妙化しています。現代社会において、これらの被害に遭わないためにも各個人がしっかりとセキュリティ対策を講じることが必要不可欠です。 VPNは、専門的な知識がなくても、ワンクリックでセキュリティとプライバシーを保護できるなど、各個人のセキュリティを簡単に向上させることができます。そして、オンライン上に潜むさまざまな脅威から身を守るために最も簡単なセキュリティ対策です。 The post VPNとhttpsの違い：技術を併用することは可能なのか first appeared on NordVPN.