第 3 章 読了 22 分

セキュリティ

HTTPS、TLS 1.3、公開鍵暗号、VPN、ゼロトラスト。
ネットワークの 守り方 を、攻撃と防御の両側から説明します。アドレスバーの 🔒 マークの裏で何が起きているかを、言葉で説明できるようになるのが目標です。

/ 01 · CIA TRIAD

攻撃者は何を 狙う のか

攻撃の目的は、整理すると大きく 3 つしかない。「機密性を破る」「完全性を破る」「可用性を破る」。この 3 つを総称して CIA トライアド と呼ぶ。ネットワーク防御はこの 3 つを同時に守る戦い。

CONFIDENTIALITY

機密性を破る

他人の通信を盗み見る。クレカ番号・パスワード・メール内容を取る。防御は 暗号化

INTEGRITY

完全性を破る

通信を改ざんする。「振込先口座を書き換える」「ダウンロードファイルを差し替える」。防御は 電子署名・ハッシュ

AVAILABILITY

可用性を破る

サービスを使えなくする。DDoS でサーバを落とす、ランサムウェアでデータを暗号化して身代金要求。防御は 冗長化と検知


/ 02 · PUBLIC-KEY

公開鍵暗号 ── 鍵が 2 つある

従来の暗号(共通鍵暗号)は、暗号化と復号で 同じ鍵 を使う。鍵を相手に渡すときに盗まれたら終わり。インターネット上で「事前に鍵を共有する」のは不可能に近い。

公開鍵暗号は、公開鍵秘密鍵 のペアを作る。公開鍵は世界中に配って良い。秘密鍵は本人だけが持つ。公開鍵で 暗号化 したものは、対応する秘密鍵でしか 復号 できない ── この非対称性が、インターネット上の安全な通信を可能にしている。

Alice 公開鍵 ○ 秘密鍵 ● Bob 公開鍵 ○ 秘密鍵 ● ① Bob の 公開鍵 で暗号化して送る ② Bob の 秘密鍵 でしか開けない 公開鍵で 鍵をかけ、秘密鍵で 鍵をあける
途中で盗み見されても、秘密鍵を持っていなければ復号できない。これが現代の暗号通信の土台。
代表的なアルゴリズム
RSA(鍵長 2048 / 4096 bit)と 楕円曲線暗号 ECC(短い鍵で同等の強度・モバイル向け)。TLS 1.3 では ECC ベースの X25519 が主流。RSA は古典、ECC は現代の標準。

/ 03 · TLS HANDSHAKE

TLS ハンドシェイク ── HTTPS の 裏側

ブラウザのアドレスバーに 🔒 が出ているとき、わずか 0.1 秒足らずで以下の儀式が完了している。

① クライアント → サーバ:ClientHello 「TLS 1.3 で話したい。これらの暗号スイートが使える」 ② サーバ → クライアント:ServerHello + 証明書 「TLS 1.3 OK。私の公開鍵 + 第三者の証明書を送る」 ③ クライアント:証明書を検証 「この証明書は CA(認証局)の署名がある?期限内?」 「ドメイン名は一致してる?」 ④ 鍵交換(Diffie-Hellman) 「セッション鍵をお互いに計算する。 途中盗聴されても再構築不可能」 ⑤ ここから先は暗号化された通信 GET / HTTP/1.1 Host: example.com ...
TLS 1.3 の進化
TLS 1.2 が 2 RTT(2 往復)必要だったのを TLS 1.3 は 1 RTT に短縮。さらに 0-RTT モードでは過去接続したサーバには即送信可能(ただし replay 攻撃の余地あり、慎重に使う)。

/ 04 · CERTIFICATE

証明書と CA ── 第三者 が保証する

「この公開鍵は本当に example.com のもの?」を保証するのが SSL 証明書。CA(Certificate Authority/認証局)が「うちが確認した」とデジタル署名する。

主な CA:DigiCert / GlobalSign / GMO / Let's Encrypt。Let's Encrypt は 無料・90 日有効・自動更新 という三点セットで、HTTPS 普及率を一気に押し上げた業界の革命児。

DV 証明書

ドメイン認証

ドメイン所有のみ確認。Let's Encrypt はこれ。個人ブログから上場企業まで、ほぼこれで十分。

OV 証明書

企業実在確認

登記簿などで企業実在を確認。法人サイトでブランドを示したいときに。

EV 証明書

厳格な実在確認

最も厳格な審査。銀行・金融系。かつてアドレスバーに緑色の会社名が出たが、最近は UI から消えた。


/ 05 · VPN

VPN ── 暗号化された トンネル

VPN(Virtual Private Network)は、インターネット上に 専用の暗号化トンネル を張る技術。物理的に専用線を引かなくても、論理的に「自分だけの道」を作れる。

用途:

  • ① 在宅勤務で会社のネットワークに繋ぐ
  • ② 公衆 Wi-Fi で盗聴を防ぐ
  • ③ 地理制限を回避する(合法性は要確認)
プロトコル特徴
OpenVPN古典的・実績豊富・設定がやや複雑
WireGuard新世代・シンプル・高速。2026 年の標準
IPsec企業 VPN 王道。L2TP/IPsec の組合せで使う
TailscaleWireGuard ベースの SaaS。設定の手間ゼロ

/ 06 · ZERO TRUST

ゼロトラスト ── 信用しない 前提

従来は「社内ネットは安全、社外は危険」だった。
ゼロトラストは「社内も社外も信用しない。すべての通信を、毎回、認証・認可する」。 — Zero Trust Doctrine

背景:リモートワーク・クラウド化・モバイル化で 「社内」の境界が消えた。VPN だけでは内部からの攻撃に弱いし、SaaS のデータを VPN で囲うこともできない。

ゼロトラストの 4 原則:

  • 暗黙の信頼を排除(社内 IP でも認証要求)
  • 最小権限(必要な分だけアクセス許可)
  • 継続的検証(毎リクエストごとに確認)
  • デバイスの健全性(マルウェア感染してないかチェック)
実装の代表例
Cloudflare Access / Google BeyondCorp / Zscaler / Tailscale。VPN の代替・上位互換として急速に普及中。「社内アプリへのアクセス=VPN 接続」というモデルが過去の物になりつつある。

/ 07 · ATTACKS

よくある攻撃と防御

ATTACK 01

MitM(中間者攻撃)

通信の途中に攻撃者が割り込んで傍受する。防御:HTTPS + 証明書検証。フリー Wi-Fi で大事な通信をするときは特に注意。

ATTACK 02

DDoS(大量リクエスト)

何千台もの bot から大量アクセスでサーバを潰す。防御:Cloudflare / AWS Shield / Akamai で吸収。

ATTACK 03

DNS スプーフィング

偽の DNS 応答で攻撃者のサーバへ誘導。防御:DNSSEC / DoH / DoT

ATTACK 04

SSL ストリッピング

攻撃者が HTTPS リダイレクトを邪魔して平文通信に降格させる。防御:HSTS ヘッダで「次回からも必ず HTTPS」を強制。