2025.12.05

いまさら聞けない！ネットで安全に買い物できる理由その１

東京都サイバーセキュリティ対策事業を通じ、情報セキュリティ対策はわかりづらいというお悩みをいただきます。解決策の一つとして「情報セキュリティに限らずＩＴの基本的な事項を知る」事があります。

今回はネットで安全に買い物ができる理由その１をご紹介いたします。

※なお、本記事は分かりやすさを重視し、技術的な事項は大幅に要約して説明をいたします。技術的に正しい事項を理解する必要がある場合は、別途、専門書等でご確認をお願いいたします。

●鍵マークがあれば安心

インターネット上で買い物をする際、個人情報やクレジットカード番号などを入力してもなぜ安全なのか、皆さんはどう考えているでしょうか。鍵マークがあれば安心、という言葉を聞いたことがある人もいると思います。

　[鍵マークが出ている例（Microsoft Edgeブラウザ）]

　[鍵マークが出ていない例（Microsoft Edgeブラウザ）]

上記の表示から考えると鍵マークが出ていれば「セキュリティ保護“あり”」なのだと理解している方が多いと思います。

しかし、実は冷静に考えると、すごい事が起きています。

●鍵配送問題

遠くにいる相手に情報を送る（通信する）には、通信途中で盗聴を防ぐため暗号化が使われます。暗号化の簡単な例を挙げます

　UPLZP

　これは暗号化されています。暗号化ルールは「アルファベット順から1文字ずらす（A→B、B→C・・・Y→Z、Z→A）」です。

　事前に遠くにいる相手に暗号化ルールを伝え、相手は暗号化ルールの逆手順を行えばよい事がわかります。暗号化した情報を元に戻すことを復号化と言います、復号化を行うと上記は

　TOKYO

　となります。しかし、この暗号化ルールはシンプルで盗聴者に見抜かれそうです。それを防ぐには暗号化ルールを複雑する方法があります。例えば、あいうえお順にする、ある辞書のページ数にする（例えば“121”と書くと辞書の121ページに書かれた最初のアルファベット文字に変換する）、お互いしか知らない独自の変換表を使う、日時によって変換ルールを変更する等、暗号化ルールを複雑にする方法はたくさんあります。

　ここまでの話を読んで課題に気付いた方はいるでしょうか。この暗号化ルール（以後、“鍵”と記載）は相手にあらかじめ伝えなくてはいけません。鍵を通信すると盗聴されますし、鍵を暗号化して通信すると相手が復号化できないです。このような課題を鍵配送問題と言います。

　鍵配送問題は特に軍事上の通信で課題となっていました。「鍵を安全に相手に渡すのは、パソコンが上手くやっといてくれている」と思う方がいると思いますが、その通りです。現代の技術で解決済みです。

●公開鍵暗号方式

鍵配送問題を解決する手段として「公開鍵暗号方式」が1977年に発明され、インターネット上の安全な通信のため利用されています。仕組みをわかりやすく説明するため、例え話で説明します。

公開鍵暗号方式とは「南京錠を電子的に実現したもの」と考えるとわかりやすいです。南京錠は、誰でも開錠状態から施錠できる「錠前」と、開錠のための「鍵」で出来ています。

錠前（開錠状態）⇒誰でも手で施錠できる。

錠前（施錠状態）

錠前の鍵　⇒錠前を開錠状態にできる。

南京錠を例にインターネット上の安全な通信の流れを説明すると以下になります。

①オンラインショッピング事業者は、錠前を世界中に配る（公開する）。

②利用者は錠前を用いて個人情報やクレジットカード番号を暗号化し、オンラインショッピング側に　通信する。
③オンラインショッピング事業者は、自分しか保有していない錠前の鍵を使い、暗号化を解く（錠前を開錠する）。

ここで言う錠前を電子的に再現したものを「公開鍵」と言い、錠前を開錠できる鍵を「秘密鍵」と言います。

公開鍵はロック（暗号化）専用の鍵、秘密鍵は開錠専用の鍵と言えます。公開鍵から秘密鍵を特定することは技術的に困難です。

●暗号方式のいいとこ取りをしたTLS

実際のインターネット上の通信では、様々な暗号方式の特性を使い分けたTLS（Transport Layer Security）という仕組みを利用しています。

公開鍵暗号方式は鍵配送問題を解決できますが、実はコンピュータの処理が大変です（時間がかかります）。そのため、暗号化ルール（鍵）だけを公開鍵暗号方式で相手に送り、その後の通信は処理が楽な共通鍵暗号方式（暗号化も復号化も同じ鍵を利用する方式）で行います。

これがTLSの仕組みなのですが、TLSでは加えて「ハッシュ関数」という技術も用いています。技術的にかなり難しいので本記事では説明を割愛させていただきます。

今回はネットで安全に買い物できる理由を説明しました。しかし実は、今回の説明だけでは“安全”を説明するには不十分です。次回は「通信先が本当にその本人（実在する企業）なのか確認する技術」について説明したいと思います。

記事一覧に戻る