高校「情報Ⅰ」単語帳 - 日本文教「情報Ⅰ」 - 情報通信ネットワークの仕組みと役割

一定の大きさに分割されたデータのことを「パケット」(packet：小包)という。パケットには送りたいデータ本体(ペイロード)の他に、送信元や宛先の所在を表すアドレスなどの制御情報が付加される。

送信側の機器は送りたいデータを通信規格などで定められた長さごとに分割し、制御情報を付加して順番に送信する。通信経路上の中継機器は受け取ったパケットをいったん自身の記憶装置に格納し、次の中継装置へ順次送り出す。

これを繰り返して受信側の機器までパケット群を届け、受信側ではパケットからデータ取り出して順番に連結し、元のデータに復元する。このような伝送方式は「蓄積交換」(store and forward：ストアアンドフォワード)とも呼ばれる。

一方、回線網上の二地点間を結ぶ経路を交換機で中継し、両端の機器が通信中はこれを独占的に利用する通信方式を「回線交換方式」(circuit switching)という。歴史的には通信システムはアナログ電話回線など回線交換方式から発展したが、コンピュータネットワークやデータ通信の普及とともにパケット交換方式が一般的になっている。

主な特徴

パケット交換方式は回線交換のように通信中に伝送経路上の資源を占有しないため、中継機器などの設備、通信回線・電波などの伝送媒体を効率よく利用できる。中継時にデータを通信機器内に蓄積してから送り出すため、異なる通信速度や通信方式の機器間を接続しやすい。

制御情報に誤り検出符号や誤り訂正符号を付加して、伝送途上で生じたデータの破損・欠落を受信側で検知して修復したり、送信側へ再送要求を送ることもできる。制御情報で優先度を指定して、音声通話などリアルタイム性の高いデータを優先的に転送するといった制御もできる。

複数の経路から一つを選択したり別の経路に変更することも容易で、障害発生時に問題箇所を迂回して通信を続行するといった制御を行いやすい。経路の途中で混雑する機器や回線があると通信が遅延したり中断することがあり、通信速度や遅延時間の保証などは行いにくい。

応用

1960年代にインターネットの原型となる研究用コンピュータネットワークの通信方式として考案された。1990年代に構内ネットワーク(LAN)やインターネットが普及すると、コンピュータを始めとするデジタル機器の通信方式として浸透した。

一方、電話網などは伝統的に回線交換方式で運用されてきており、携帯電話では同じ無線ネットワークを用いて音声通話を回線交換、データ通信を蓄積交換で提供していた。このため、携帯電話では「パケット交換方式」という用語を(音声通話と対比して)データ通信を指す用語として用いる。

現代では、回線交換方式の通信網や通信方式は徐々に廃止され、音声通話などもパケット交換方式で実現するようになっている。例えば、メタル回線によるアナログ電話は光ファイバー回線によるIP電話(光電話)に、スマートフォンの通話機能は回線交換からVoLTEのようなパケット通信方式に移行が進んでいる。

一つのパケットは制御情報が記述された先頭のヘッダ部(header)と、それに続く送りたいデータ本体であるペイロード部(payload)で構成される。大きなデータを送信する場合は一定の大きさごとに分割され、それぞれにヘッダ部が付加されて複数のパケットとして独立に伝送される。末尾にも制御情報やデータ長を調整するための埋め草データ(パディング)が連結されることがある。

大きなデータを複数のパケットに分解して送受信することで、一本の回線や伝送路を複数の通信主体で共有して効率よく利用することができる。パケットを利用した通信方式を「パケット通信」(packet communication)、パケットが流通する通信ネットワークを「パケット交換網」「パケット通信網」という。現代のコンピュータネットワークや通信サービスはほぼすべてパケット交換方式で実装されている。

また、狭義には、様々な通信方式で定められるデータの送受信単位(PDU：Protocol Data Unit)のうち、末端から末端(大本の送信元から最終的な宛先)まで送り届けられるものをパケットと呼ぶ場合がある。

途中の通信経路が複数の伝送媒体やネットワークにまたがる場合でも、中継機器によって転送を繰り返し、時にはより小さい伝送単位へ分解・再統合されながら相手先まで送り届けられる。インターネット上をIP(Internet Protocol)や上位のプロトコルで伝送されるデータなどが該当する。

より狭義には、末端から末端まで配送される伝送単位のうち、エラー検出と再送制御による確実な伝送、データ受信順の保証(送信順による並べ替え)などが行われる信頼性の高い通信プロトコルのPDUをパケットとする立場もある。これらが保証されないIPやUDPと対比した場合のTCPなどである。

規格上の呼称としてはIPとUDPは「データグラム」(datagram)、TCPは「セグメント」(segment)、より上位層のプロトコル(HTTPなど)では「メッセージ」(message)あるいは「リクエスト」(request)および「レスポンス」(response)などが正式あるいは一般的で、「パケット」はこれらの総称あるいは通称として用いられることが多い。

一方、下位のデータリンク層(リンク層)では、イーサネット(Ethernet)やWi-Fi(無線LAN)、PPPなどは「フレーム」(frame)、ATMなどでは「セル」(cell)などのPDUが用いられる。

各国で免許不要で使用できるよう開放されている2.4GHz(ギガヘルツ)帯の電波を利用し、10m程度の範囲にある機器を相互に結んでデジタル通信を行うことができる。赤外線を用いる同種の技術と異なり小出力の電波を利用するため、互いに見通せない位置にある機器間でも電波が届く範囲ならば接続することができる。電波を送受信するトランシーバーは1cm角程度であり、小型軽量で消費電力も少なく安価に製造できるため、小さな電子機器にも容易に実装できる。

マウスやキーボードなど、パソコンと入出力機器との接続をワイヤレス化したり、スマートフォンなどの携帯機器とイヤホンやスピーカーなどを繋ぐ用途に普及している。初期の仕様では通信速度は最高1Mbps(メガビット毎秒)だったが、現在では最高24Mbpsまで可能となっている。IoT機器などでの利用を見越して従来の1/3の電力で動作するBLE(Bluetooth Low Energy)と呼ばれる派生仕様も追加された。

Bluetoothプロファイル

様々な機器や用途での利用を想定し、いくつかの機器の類型について実装すべき機能や通信規約(プロトコル)などの標準仕様を定め「Bluetoothプロファイル」として公表している。

製品によって接続仕様がバラバラだとコンピュータ側に個別にデバイスドライバを導入するなど使用できるようするための準備に手間がかかるが、各製品がプロファイルに準拠した実装を行うことで、標準的な機能についてはすぐに利用できるようになっている。USBの「USBデバイスクラス」と似た仕組みといええる。

主なプロファイルとして、マウスやキーボードなどの入出力機器を扱う「HID」(Human Interface Device)、イヤホンマイク(ヘッドセット)を扱う「HSP」(Headset Profile)、汎用的な無線ネットワークを構築する「PAN」(Personal Area Network)、プリンタを扱う「BPP」(Basic Printer Profile)などがある。

歴史

Bluetooth 1.0は主にEricsson社が開発し、1999年に同社を中心に設立された業界団体Bluetooth SIGから正式に発表された。通信速度は1Mbpsで、後にBR(Basic Rate)と呼ばれる通信モードである。

2004年には最高3MbpsのEDR(Enhanced Data Rate)モードを追加したBluetooth 2.0が発表され、続く2007年の2.1でNFC(Near Field Communication)対応やスリープ(一時停止)動作時に消費電力を低減する仕様が追加された。EDR対応はオプションであるため、対応している場合は「Bluetooth 2.0+EDR」のように表記される。

2009年のBluetooth 3.0では、無線LAN(Wi-Fi)用の装置(および物理層・MAC層の仕様)をBluetoothによる通信に流用することで最高24Mbpsでの通信を実現するHS(High Speed)モードが追加された。HSモードもオプションであるため、「Bluetooth 3.0+HS」のように表記される。

2010年のBluetooth 4.0では、従来型の約1/3の省電力で動作する新たな通信方式として「Bluetooth Low Energy」(BLE)が追加された。通信速度は1Mbpsと低速で、送受信されるデータ単位も小さいが、これはセンサーなど間欠的に通信する極小型のIoT機器などでの利用を想定している。BLE対応の場合には「Bluetooth 4.0+LE」などと表記する。

2016年のBluetooth 5.0では、BLEの最高速度が2Mbpsに拡張されたほか、通信速度をあえて低速に抑える代わりに伝達距離を伸ばす仕様が盛り込まれた。Bluetooth機器同士がネットワークを形成し、バケツリレー式にデータを離れた機器まで転送することもできるようになった。

何がユニバーサルサービスとみなされるかは国や時代によって異なるが、例えば現代の先進国なら電気やガス、上下水道、電気通信(電話やインターネット)、郵便、放送などが該当する。日本の保健医療や介護など、医療やヘルスケアの一部もユニバーサルサービスとすることが多い。

ユニバーサルサービスは公平性が重視され、地域などによらずどこでも、職業や収入・財産、家庭環境などによらず誰でも、均一な負担で、均一なサービスを受けられる必要がある。公平性を担保するために公的な資金で利用者や事業者を補助する制度が設けられる場合もある。

サービスの提供主体は国や自治体など公的な機関であることが多いが、先進国では経済の成熟が進むに連れ、事業主体が民営化されたり、市場が民間に開放され企業などが参入する例が増えている。民間が事業主体となる場合には、営利のために地域や顧客層によってサービス内容や価格に著しい格差が生じないよう、特別な法律により一定の規制が行われることが多い。

日本でも、旧電電公社の民営化や郵政民営化に際し、ユニバーサルサービスの維持に関する議論が大きく注目された。通信業界ではNTT地域会社の過疎地域でのサービス維持のために他社へ応分の負担を求める「ユニバーサルサービス基金制度」が創設・運用されている。

ユニバーサルサービス料 (ユニバーサルサービス基金制度)

NTT地域会社(東日本・西日本)が全国一律の電話サービスを維持するため、過疎地など採算性の低い地域で生じる赤字を他の通信事業者が拠出した資金で賄う仕組み。正式名称は「基礎的電気通信役務基金制度」。2002年6月に導入され、2006年に初めてNTT東西が制度の利用を申請した。

加入電話、公衆電話、110番や119番などの緊急通報の3つの基本的な通信サービスは「ユニバーサルサービス」(全国民が同じ条件で利用できるようにすべき公共的なサービス)と位置付けられ、NTT東日本と西日本は日本全国で均一の条件でこれを提供することが義務付けられている。

これまではNTT東西の負担によってこれを維持してきたが、通信自由化や新しい通信サービスの登場、主に都市部における競争の激化などにより、不採算地域でのユニバーサルサービスの維持が難しくなる懸念が出てきた。このため、不採算地域でのこれらサービス維持のためのコストをすべての電話会社で応分に負担するために基金制度が創設された。

基金への負担金を拠出する電話会社は、NTT東西の電話網と接続している会社で、前年度の電話事業の収益が10億円以上あり、総務省から電話番号の割り当てを受けて利用者にこれを使わせている事業者である。

負担金の額は、2007年1月から電話番号1つにつき月額7円と決まった。料金は毎年見直され、2021年には同3円となっている。これら負担金は「基礎的電気通信役務支援機関」に指定された社団法人電気通信事業者協会(TCA)を通じて、NTT東日本・西日本に支払われる。

携帯電話は最初に実用化されたアナログ方式を「1G」(第1世代)、その次に登場したPDCやGSMなどのデジタル方式を「2G」(第2世代)、21世紀に入り普及したW-CDMAやCDMA2000など高速なデータ通信が可能な方式を「3G」(第3世代)と言う。

「4G」はこれをさらに発展させた第4世代の方式で、LAN(Wi-Fi/Ethernet)や光ファイバー網に劣らない数百Mbps(メガビット毎秒)に及ぶ高速なデータ通信を、場所を問わず高速移動中でも利用できる点が大きな特徴である。主にスマートフォンやタブレット端末、モバイルルータなどで利用される。

日本ではLTE方式の4G移動体通信サービスとして、NTTドコモが「Xi」(クロッシィ)、au(KDDI/沖縄セルラー)が「au 4G LTE」、ソフトバンクが「Softbank 4G LTE」をそれぞれ提供している。

また、NTTドコモはLTE-Advanced方式を「PREMIUM 4G」の名称で、ソフトバンクはAXGP(TD-LTE)方式を「Softbank 4G」の名称で、KDDIグループのUQコミュニケーションズはWiMAX 2方式を「WiMAX 2+」の名称で、それぞれ提供している。

「4G」の名称

無線通信の国際標準化機関であるITU-R(国際電気通信連合・無線通信部門)では当初、4G標準に「IMT-Advanced」の名称を与え、3GPPの策定した「LTE-Advanced」とIEEEの策定した「WiMAX 2」(IEEE 802.16m)がこれに適合すると発表した。

ところが、4Gへの期待感が高まると一部の通信機器メーカーや通信事業者が、俗に「第3.5世代」と呼ばれていたHSPA+方式や「第3.9世代」のLTE方式を4G方式と宣伝し始めたため、ITU-Rが混乱を避けるためこれを追認し、2010年12月にこうした高度化3G規格も4Gと呼称してよいとする声明を発表した。

以後、なし崩し的に次々にLTEを4Gと呼ぶ事業者が相次ぎ、現在ではLTEが4G、LTE-Advancedが4Gと5Gの間を埋める「繋ぎ」のような位置付けになってしまった。

日本では2010年に最も早くLTEサービス「Xi」を開始したNTTドコモはこれを4Gと呼ばなかったが、2012年にLTEサービスを開始したau(KDDI/沖縄セルラー)は「au 4G LTE」、ソフトバンクは「Softbank 4G LTE」といったサービス名を採用した。

ドコモは2015年にLTE-Advanced方式の「PREMIUM 4G」を開始し、あくまでLTE-Advancedを4Gに位置付けていたが、翌2016年にはXiを「4G」、PREMIUM 4Gを「4G+」と表記するよう改め、事実上LTE-Advancedを4Gとすることを認める形となった。

2000年代に普及した第3世代(3G)、2010年代に普及が進んだ第4世代(4G)の後継にあたる通信方式である。3GのW-CDMAとCDMA2000、4GのLTEとWiMAX 2のように、これまでは当該世代の技術要件を満たす複数の規格が併存していたが、第5世代では完全に標準規格が一本化され、「5G」が世代名かつ規格名として扱われる。

主な特徴として、高速に大量のデータを送受信できる「高速大容量」(eMBB：enhanced Mobile Broadband)、途切れにくく遅延が短い「高信頼低遅延」(Ultra-Reliable and Low Latency Communications)、単一の基地局が大量の端末を収容できる「多数端末接続」(mMTC：massive Machine Type Communication)が挙げられる。

eMBB (enhanced Mobile Broadband)

前世代の4Gでは無線区間の通信速度が下り(基地局→端末)数百Mbps(メガビット毎秒)、上り(端末→基地局)数十Mbps程度が一般的だったが、5Gでは下り2Gbps(ギガビット毎秒)以上、上り100Mbps以上と大幅に高速化される。

これは光ファイバーによる加入者回線網(FTTH)に匹敵するか凌駕するほどの大容量であり、4Kクラスに及ぶ高精細な動画のリアルタイム伝送やこれを応用した各種のサービス(テレビ会議やクラウドゲーミングなど)を場所を選ばずに利用できる可能性を秘めている。

URLLC (Ultra-Reliable and Low Latency Communications)

5Gでは従来の移動体無線通信の大きな弱点であった伝送遅延(発信したデータが相手先に到達するのにかかる伝送時間)の大幅な短縮を目指している。

具体的には、無線区間(端末-基地局間)の遅延を1ミリ秒以下に短縮し、伝送符号やアンテナに冗長性を持たせることにより99.999%以上のパケット受信成功率を可能にしている。信頼性が向上し欠落したデータの再送が不要になる効果も合わせ、通信のリアルタイム性が大幅に向上した。

遠隔地間で遅延なく大容量の通信が可能になることで、自動運転や機械の遠隔操作、遠隔手術、クラウドゲーミング、テレイグジスタンスといった従来の移動体通信では遅延が大きく難しかった用途への展望が開けると考えられている。

mMTC (massive Machine Type Communication)

5Gでは、機器やセンサーなどをネットワークに大量に接続して遠隔からの制御や計測の自動化を図るIoT(Internet of Things：モノのインターネット)での利用を想定し、基地局が同時に接続可能な機器数を飛躍的に増加させ、機器側の消費電力を削減する仕様が盛り込まれる。

同じ周波数帯で複数の端末が同時に通信できるようにするマルチアクセス(多元接続)技術を高度化し、単一の基地局が数千や数万に及ぶ多数の機器を同時にカバーすることを目指している。スマートフォンのような人間の操作する端末だけでなく機器の遠隔制御装置や監視装置など多種多様な装置を5G通信網に収容できる。

周波数帯

5Gでは特性の異なる二種類の電波を利用する。一つは「サブ6」と通称される従来の移動体通信に近い6GHz以下の周波数帯で、主に3.5GHz帯や4.5GHz帯が用いられる。もう一つは「ミリ波」に近い極めて高周波の28GHz帯で、これまで通信に本格的には用いられてこなかった周波数帯である。

サブ6は従来の無線通信用の電波と特性が近いが、4G携帯電話などで主流の2GHz前後よりも高い周波数帯を使用する。伝送速度を高速化しやすいが端末の消費電力は増大しやすく、基地局のカバーする範囲も狭い。従来よりも高い密度で基地局を設置する必要がある。

一方、28GHz帯は性質が可視光に近く、直進性が強く減衰が大きいため基地局が直接見通せるくらいの近距離でなければ安定した通信は難しい。サブ6に比べ極めて高速な通信が可能で、一つの基地局が多数の端末と同時に通信することも可能なため、駅や繁華街、イベント会場といった多くの人が集まる場所で局所的に用いることが想定されている。

4Gからの移行

5Gでは既存の4G基地局に5Gの無線通信方式(5G NR：5G New Radio)を追加し、通信制御やバックボーンに4G用の資源を流用するNSA(non-standalone)方式と、新たに単体の5G基地局を導入するSA(standalone)方式がある。

当面の導入期には端末が4G/5G両対応であり、通信事業者が保有する既存の4Gネットワーク資源を活用して徐々にエリアを拡大するためNSA方式での展開が基本となる。いずれ5Gへの完全移行を見越してSAでの展開が進むと見られている。

ローカル5G

5Gは広域に展開する移動体通信事業者(携帯キャリア)による公衆網の他に、大学のキャンパス内や工場の敷地内といった狭い範囲で施設の管理者などが展開することができる「ローカル5G」の仕組みが提供される。

現在のWi-Fi通信網のように、施設の所有者などが施設内での通信のために5G基地局を敷設し、内部ネットワークでの相互の通信やインターネットへの接続などに利用することができる。5Gに割り当てられた周波数帯は無線免許が必要なため、専門の通信事業者以外が取得しやすい免許の枠組みが整備されている。

歴史と展望

5Gの技術規格の標準化は国際的な標準化団体の3GPPが担当しており、段階的に標準仕様を発行している。第1段階の5G Phase 1(フェーズ1)は2017年末に主要な仕様が策定され(標準化完了は2018年6月)、対応機器の開発や通信事業者による導入の準備が活発化した。

Phase 1はeMBBの実現を主眼としており、URLLCやmMTCの実現は2020年策定のPhase 2や2020年標準化開始のPhase 3で詳細に検討される予定となっている。

2018年末に米ベライゾン(Verizon)社や韓国の複数の大手通信会社(KTなど)が限定的な5Gサービスを開始したと発表し、2019年春にはこれらの事業者が相次いで一般向けサービスの開始を宣言した。日本では2020年3月末に携帯大手3社(NTTドコモ/KDDI・沖縄セルラー/ソフトバンク)がほぼ同時に5Gサービスを開始した。

規模や通信範囲の違いによって、WAN(Wide Area Network：広域ネットワーク)やLAN(Local Area Network：構内ネットワーク)に分類される。MAN(Metropolitan Area Network)やCAN(Campus Area Network)、PAN(Personal Area Network)など、より詳細な分類が用いられることもある。

また、伝送媒体や通信規格、通信規約(プロトコル)など技術的な仕様の違いに着目して分類することもある。イーサネット(Ethernet)、無線LAN(Wi-Fi)、光ファイバー(FTTH)、移動体データ通信(モバイルデータ通信)などである。

現代では世界中の様々な異なる主体の運営するネットワークを同一の通信規約(IP：Internet Protocol)に基づいて相互接続した「インターネット」(the Internet)が普及しており、これと対比して組織内のネットワークを「ローカルネットワーク」「プライベートネットワーク」「イントラネット」などと呼ぶこともある。

また、通信事業者の回線網を通じて複数の拠点間のLANを相互に結び、全体として一つの大きなネットワークとした企業内ネットワークのことをWANと呼ぶこともある。

文脈によっては、世界の通信事業者、企業、各種組織などのネットワークを相互に結んだものという意味合いから、インターネットのことをWANと呼ぶ場合もある。

MAN (Metropolitan Area Network)

広域的な回線網のうち、一つの都市や市街地の内部を繋ぐ高速・高密度な回線網をMAN(マン/Metropolitan Area Network：メトロポリタンエリアネットワーク)と呼ぶことがある。

WANとLANの中間規模のネットワークの類型の一つで、通信拠点や施設間を光ファイバー回線などで結ぶ中長距離の高速な通信ネットワークと、建物内で末端のコンピュータや通信機器を結ぶLANを組み合わせて構築される。前者の拠点間ネットワークのみを指す場合もある。

CAN (Campus Area Network)

企業の大規模拠点や工場、大学、基地などで、広大な敷地内の建物や施設をまたいで敷設される構内ネットワークをCAN(キャン/Campus Area Network：キャンパスエリアネットワーク)と呼ぶことがある。

WANとLANの中間規模のネットワークの類型の一つで、複数の施設内のLANを地中などに敷設した高速な光ファイバー回線などで相互接続し、一体的に運用したものを指す。

概ね、単一の主体が所有・管理する地理的に連続した用地に敷設されたコンピュータネットワークをこのように呼ぶが、MANとの区別は必ずしも明確ではない。一つの街のように広大なアメリカの総合大学や大企業本社などでは構内ネットワークをMANと呼ぶ例も見られる。

コンピュータ内部で回路や装置の間で信号を送受信する際や、通信回線やネットワークを介してコンピュータや通信機器がデータを送受信する際に、それぞれの分野で定められたプロトコルを用いて通信を行う。英語しか使えない人と日本語しか使えない人では会話ができないように、対応しているプロトコルが異なると通信することができない。

機器やソフトウェアの開発元が独自に仕様を策定し、自社製品のみで使用されるクローズドなプロトコルと、業界団体や標準化機関などが仕様を標準化して公開し、異なる開発主体の製品間で横断的に使用できるオープンなプロトコルがある。インターネットなどで用いられるプロトコルの多くは、IETF(Internet Engineering Task Force)などが公開している標準プロトコルである。

プロトコルの階層化

人間同士が意思疎通を行う場合に、どの言語を使うか(日本語か英語か)、どんな媒体を使って伝達するか(電話か手紙か)、というように伝達の仕方をいくつかの異なる階層に分けて考えることができるが、コンピュータ通信においても、プロトコルの役割を複数の階層に分けて考える。

階層化することによって、上位のプロトコル(を実装したソフトウェア)は自分のすぐ下のプロトコルの使い方(インターフェース)さえ知っていれば、それより下で何が起きているかを気にせずに通信を行うことができる。電話機の操作法さえ知っていれば、地中の通信ケーブルや通信会社の施設で何が起きているか知らなくても通話できるのに似ている。

各階層のプロトコル群の機能や役割の範囲はモデル化して整理することがある。現在広く普及しているのはインターネット通信などで一般的な「TCP/IP階層モデル」(DARPAモデル)で、物理的な装置や伝送媒体に近い側から順に「リンク層」「インターネット層」「トランスポート層」「アプリケーション層」の4階層に分類している。

サーバはシステムで利用されるデータを保存・管理したり、接続された周辺機器などのハードウェアを管理したり、何らかのデータ処理機能を有するコンピュータやその上で動作するソフトウェアで、これらの機能や情報などをネットワークを通じて外部に提供することができる。

クライアントはサーバから機能や情報の提供を受ける機器やソフトウェアで、利用者が手元で操作し、画面表示や入力の受付などを担当する。クライアントはネットワークを通じてサーバに様々な要求を送り、サーバがこれに応えて処理を行い、応答を返す。

狭義には、企業などの情報システムの実装形態の一つで、機能や情報を提供するサーバソフトウェアと、これに対応する専用のクライアントソフトウェアにより役割を分担して処理を進める方式のことをクライアントサーバシステムと呼ぶことがある。

この文脈では、クライアントとしてWebブラウザなど汎用の製品を用いる「Webアプリケーション」(Web系システム)などは区別・対比される。広義には(あるいは、原理的には)、Webもクライアント-サーバ型のモデルで実現されるシステムであるため注意が必要である。

他の方式との違い

1980年代頃から普及し始めたシステム形態で、それ以前はメインフレームなどの大型コンピュータ(ホスト)などに通信回線を通じて入出力端末(ターミナル)を接続し、ホストが集中的に処理を行う方式が一般的だった。

クライアントサーバシステムと比べると、ホストとサーバ、ターミナルとクライアントの役割はそれぞれ似ているが、ターミナルにコンピュータとしての機能がなく表示や操作に単純な方式しか利用できない一方、クライアントは独立した一台のコンピュータやデジタル機器であり、サーバから受信したデータを用いて複雑な処理や表示、操作などを利用者に提供することができる。

ちなみに、サーバとクライアントのように非対称に役割を分担するのではなく、対等な機能や立場のコンピュータやソフトウェアがネットワークを通じて相互に要求や応答を送り合って一つの機能を実現する形態もあり、「ピアツーピアシステム」(Peer to Peer system、P2Pシステム)などと呼ばれる。

従来はデータ全体の受信(ダウンロード)を完了してから再生する方式が一般的だったが、ストリーミングではデータをある程度受信した時点で再生を開始し、受信処理と再生処理を並行して進めることにより、利用者は短い待ち時間で視聴を開始することができる。

ストリーミングにより、ダウンロード型では実現が難しい、始まりや終わりの決まっていない放送局型の配信サービスを実現することができる。テレビ放送やラジオ放送の生放送・生中継のように、撮影や録音を行いながら同時に配信・視聴できる配信方式のことは「ライブストリーミング」(live streaming)という。

技術的には、専用のデータ形式や通信方式(プロトコル)を用い、受信したデータが視聴者側でファイルとして残らない方式をストリーミングと呼ぶことが多く、動画ファイルなどをダウンロードしながら同時に再生する方式(利用者の使用感はほとんどストリーミングと変わらない)は「プログレッシブダウンロード」(progressive download)という。

ライブストリーミング (live streaming)

通信ネットワークを通じて映像・音声を配信する手法の一つで、撮影・録音しながら同時にデータを圧縮・変換して視聴者へ配信する方式。いわばネットワークを通じた「生放送」。

視聴者側が末尾まで受信の完了を待たずに受信しながら同時に再生することをストリーミング(再生)というが、ライブストリーミングではこれに加え、配信側も撮影・録音とデータ送信を並行して行い、収録したものをわずかなタイムラグでリアルタイムに配信する。テレビやラジオの生放送・生中継に相当する配信方式である。

インターネット上で大規模にライブストリーミングできる動画サービスも普及しており、開催中のイベントやスポーツの試合の様子をリアルタイムに伝えたり、視聴者とリアルタイムにやり取りしながら進行する生放送番組などが人気を博している。

ストリーミングサーバ (streaming server)

映像や音声のストリーミング配信を行うコンピュータをストリーミングサーバという。そのような機能を提供するソフトウェアのことを指すこともある。多数のクライアントからの接続を受け付け、同時にストリーミング方式のマルチメディアデータを配信する。

ストリーミング方式のデータは通常のWebサーバから配信することも可能だが、サーバや回線への負担が大きいため、ストリーミングサーバを利用するのが一般的である。また、録画した映像をリアルタイムに配信(ライブストリーミング)するような作業は、専用のストリーミングサーバでなければ行えない。

以前は専用のソフトウェアと高性能なハードウェアが必要とされていたが、パソコンの高性能化や光ファイバーなどの高速回線の普及によって、小規模なストリーミングサーバは個人でも構築できるようになった。

プログレッシブダウンロード (progressive download)

動画や音声などのファイルをダウンロードしながら、全体の受信完了を待たずに同時に再生(を開始)すること。

データを受信しながら同時に再生するストリーミング視聴に似ているが、技術的にはストリーミングとは異なり、あくまでファイルのダウンロードであるため、事前に再生時間を決めずに連続的に視聴することはできず、サーバ側に任意の位置からの再生(送信)開始を指示することもできない。

また、通信エラーなどでデータの一部が損なわれた際、ストリーミングではそのデータを飛ばして次のデータを送信し、再生時間が遅延しないよう制御するが、プログレッシブダウンロードではデータを再送して完全なデータが揃えようとするため、再生が一時停止することがある。

ストリーミングで視聴したデータは再生後すぐに破棄されるのが一般的だが、プログレッシブダウンロードの場合はキャッシュファイルの形で記憶装置に永続的に保管され、次に同じものを再生する際にそこから再生することができる。

銅線や光ファイバーなどを用いた通信ケーブルで機器間を接続するものを「有線LAN」(wired LAN)、電波などを用いた無線通信で接続するものを「無線LAN」(wireless LAN)という。

有線LANの通信方式としては「イーサネット」(Ethernet/IEEE 802.3)系諸規格が、無線LANの通信方式としては「Wi-Fi」(ワイファイ/IEEE 802.11)系諸規格がそれぞれ標準として普及しており、単にLANといった場合はこれらの方式を用いたネットワークを指すことが多い。他にも建物内に電気を供給するために張り巡らされた電力線を流用して通信する方式などがある。

主な用途

1980年代頃から企業や公的機関、大学、研究機関などで普及し始め、施設内にあるコンピュータを相互に接続し、高機能・高性能なサーバコンピュータでファイルなどの情報資源を一元的に管理したり、プリンタなどの機器を複数のコンピュータで共有するのに用いられてきた。

インターネットの一般への普及が始まると、構内の機器を外部への回線に接続する中継手段としても広く用いられるようになった。近年では一般家庭でもパソコンやスマートフォン、デジタル家電などを相互に接続したり、インターネットに接続するための通信ネットワークとして「家庭内LAN」が普及している。

他の分類

これに対し、通信事業者の回線網などを通じて地理的に離れた機器や施設間を広域的に結ぶネットワークを「WAN」(Wide Area Network：広域通信網、ワイドエリアネットワーク)と呼び、LANの対義語として用いられる。

LANとWANの中間規模のネットワークとして、一都市内などに収まる範囲の「MAN」(Metropolitan Area Network：メトロポリタンエリアネットワーク)や、大学のキャンパスや工場などで敷地内の複数の建物のLANを一つのネットワークに結んだ「CAN」(Campus Area Network：キャンパスエリアネットワーク)などの概念を用いることもある。

また、LANに似た概念として、個人の所有・利用するコンピュータや携帯機器、周辺機器などを無線通信などで相互に結ぶネットワークを「PAN」(Personal Area Network：パーソナルエリアネットワーク)、自動車などの(大型の)機器の内部で装置間を結ぶネットワークを「CAN」(Controller Area Network：コントローラエリアネットワーク)、これらをLANの一種に分類することもある。

構内に通信ケーブルを配線し、コンピュータや通信機器、電子機器などを繋いで相互に通信を行う。大きく分けて、銅線などでできたメタルケーブルに電気信号を流す方式と、ガラスや透明なプラスチックでできた光ファイバーに光信号を流す方式がある。

1980年代頃までは様々な方式が開発され機種や用途により使い分けられていたが、現在では概ね「イーサネット」(Ethernet)と総称される規格が事実上の標準として広く普及している。

中でもRJ45コネクタのUTPケーブル(非シールドより対線ケーブル)を用いて100Mbps(メガビット毎秒)で通信できる100BASE-TX(Fast Ethernet)や1Gbps(ギガビット毎秒)で通信できる1000BASE-T(Gigabit Ethernet)などの規格が有名で、単に有線LANと言えばこれらの方式を指すことが多い。

一方、電波による無線通信でネットワークを構築する方式は「無線LAN」(wireless LAN)という。有線LANは配線の手間がかかり機器の配置や移動の自由度は低いが、機密性を確保しやすく同一空間内での機器や回線の密度を高めやすいという特徴があり、同じ世代の技術で比較すると通信速度が高速である。

パソコンやスマートフォンなどにWi-Fi接続が広く浸透した現在でも、施設内に固定的に設置されるサーバコンピュータや通信機器などは有線LANで接続するのが一般的である。

電気通信や光通信では、機器間をケーブルで結んで通信する際に、複数のケーブルを接続して相互に通信できるようにする集線装置、中継装置のことをハブという。用途や通信方式の違いにより「イーサネットハブ」「USBハブ」など様々な種類がある。

ネットワークハブ

有線LAN(構内ネットワーク)の標準であるイーサネット(Ethernet)では、各機器からケーブルをハブに接続し、ハブが信号の中継・転送を行うことによって機器間の通信を行う。このような接続形態を「スター型ネットワーク」という。

ハブには銅線ケーブル(UTPケーブル)を差し込むためのRJ45ポートや光ファイバーケーブルを差し込むための光ポートが並んでおり、各機器から通じるケーブルを接続する。あるケーブルから流れてきた信号を他のケーブルに流すことで相互に通信できるようにする。

単純に受信したすべての信号を増幅してすべてのケーブルに再送出するハブを「リピータハブ」(repeater hub)、信号からイーサネットフレームを復元し、宛先のMACアドレスを解析して関係するケーブルにだけ選択的に転送するハブを「スイッチングハブ」(switching hub)という。

現在ではスイッチングハブが一般的になったため、ハブと呼ばずに「ネットワークスイッチ」(network switch)「イーサネットスイッチ」(Ethernet switch)「LANスイッチ」(LAN switch)「L2スイッチ」(Layer 2 switch)あるいは単にスイッチと呼ぶことが多い。

USBハブ

コンピュータと周辺機器や携帯機器の接続に用いられるUSBでは、複数の機器からの接続を受け入れてコンピュータ側に一つのUSBケーブルで接続する集線装置を「USBハブ」という。コンピュータ側は一つのUSBポートで複数の機器を接続することができる。

コンピュータ側のUSBポートに接続するためのUSBケーブルと、数個のUSBポートを備えた小型の機器で、ポートの数だけUSB機器を接続し、コンピュータへ信号を中継する。液晶ディスプレイなどにUSBハブの機能が埋め込まれて提供される場合もある。

データハブ

情報システムやソフトウェアの分野では、システム間でやり取りするデータを集積・中継する専門のシステムを「データハブ」あるいは単にハブと呼ぶことがある。SOA(サービス指向アーキテクチャ)などで用いられるミドルウェアで、データの出し手からデータを受け取って保管し、そのデータを必要とする受け手へ引き渡す役割を果たす。

簡易なコンピュータ本体にハードディスクやSSDなどの記憶装置と、ネットワークインターフェース、OS、管理用ソフトウェアなどを内蔵したファイルサーバ専用機で、記憶装置をネットワークに直に接続したように扱うことができることからこのように呼ばれる。

ネットワークに接続されたほかのコンピュータなどからは通常のファイルサーバと同様に複数のコンピュータ・利用者間の共有ディスクとして使用することができる。ファイルシステムやネットワーク通信機能は最初から内蔵されているため、システムへの導入や追加が容易で、異なる種類の複数のサーバからのデータの共有も楽に行うことができる。高級機になると、複数のディスクを備え、RAID機能やホットスワップ機能を持ったものもある。

DAS (Direct-Attached Storage)

コンピュータに直接接続された記憶装置(ストレージ)のことをDAS(Direct-Attached Storage)ということがある。コンピュータの筐体に内蔵、あるいはケーブルにより外付けされている、ハードディスクやSSD、光学ドライブ、テープドライブなどが該当する。

ストレージを何らかのネットワークを介してコンピュータに接続するNAS(Network-Attached Storage)やSAN(Storage Area Network)と対比して、もとからある旧来のストレージ形態を区別するために後から考案されたレトロニム(retronym)である。

LAN(Local Area Network)は室内や建物内、あるいはそれに準じる屋外の比較的狭い範囲内の機器を相互に接続するコンピュータネットワークで、機器間を通信ケーブルで繋いで電気信号や光信号を伝送するものを「有線LAN」(wired LAN)、直接繋がっていない機器間で電波などをやり取りするものを無線LANという。

通信ケーブルの取り回しがないことが最大のメリットで、同世代の技術や製品で比較すると有線LANに比べ通信速度や安定性、機密性などで劣ることが多いが、オフィスや家庭での日常的なネットワーク利用には十分な性能があるため、急速に普及が進んでいる。

単に無線LANと言えばほとんどの場合にIEEE 802.11シリーズの標準規格に準拠した機器で構成されるネットワークを指し、業界団体の推進する「Wi-Fi」の名称で普及している。広義にはBluetoothやZigBeeなど他方式によるネットワークを含むが、これらはWi-Fiよりも狭い範囲の通信が主な用途であるため無線PAN(Wireless Personal Area Network)と呼ばれることもある。

一方、同じ無線通信網でも通信事業者などが運用する広域的なネットワークは無線WAN(Wide Area Network)という。携帯電話網やそれを応用した移動体データ通信網などが該当する。スマートフォンは無線LANと無線WANの両方に対応しているのが一般的で、環境に応じて切り替えたり、両ネットワーク間を中継(テザリング/モバイルルータ)することができる。

LAN(Local Area Network)は室内や建物内、あるいは屋外でそれに準じる数十メートル程度までの比較的狭い範囲内の機器を相互に接続するコンピュータネットワークで、屋内のコンピュータとインターネットの接続、オフィス内のコンピュータ間の接続、家庭内のデジタル機器間の接続などで広く普及している。

従来は集線装置を介して各機器を通信ケーブルで接続するイーサネット(Ethernet)などの有線LANが主流だったが、同じ機能を無線通信で実現する無縁LANが登場し、ケーブルを取り回す必要のない手軽さから広く受け入れられた。また、スマートフォンやタブレット端末など携帯型の情報機器のネットワーク接続手段の一つとしても標準的に用いられている。

無線LANの標準規格としてIEEE 802.11および後継の諸規格が発行されているが、機器の相互運用性を確保・保証するため、業界団体の「Wi-Fi Allianceワイファイアライアンス」が接続試験を行い、認定された機器に「Wi-Fi」ブランドの利用を許可している。「Wi-Fi CERTIFIED」マークのある機器はメーカーが異なっても相互に通信することができる。

接続形態

Wi-Fiの通信は「アクセスポイント」(AP：Access Point)と呼ばれる据え置き型の中継装置を中心に各機器が接続され、機器間の通信はAPを介して行う接続形態が一般的となっている。これを「インフラストラクチャーモード」という。

無線はケーブル接続と異なり送受信対象を物理的に指定したり制限することが難しいため、周囲の機器は各APに設定されたSSIDと呼ばれる固有の識別名を用いてAPを識別する。利用者は近隣にあるAPのSSIDの一覧の中から適切なものを選択して(あるいはSSIDを直接入力・指定して)接続を申請する。

また、APが無くても少数の機器(通常は二台)間であれば相対で通信することができる「アドホックモード」および、改良版の「Wi-Fi Direct」も用意されており、携帯機器と周辺機器の接続などで用いられることがある。

屋内設置用のAPはWi-Fi通信機能の他にイーサネットケーブルの差込口(ポート)を持っているものもあり、インターネットなどに有線で接続することができる。APにルータ機能を統合した「Wi-Fiルータ」もあり、家庭用やモバイル回線中継用(モバイルルータ)としてよく用いられる。

伝送規格

無線によるデータ伝送の方式を規定した伝送規格には、標準化団体IEEEの802.11委員会が策定した規格が用いられている。これまで数年おきにより高速な新しい規格が発表されてきた。

1997年に発表された最初のIEEE 802.11標準は、2.4GHz(ギガヘルツ)帯の電波で2Mbps(メガビット毎秒)をデータ通信が可能だったが、本格的な普及が始まったのは1999年に発表されたIEEE 802.11a(5GHz/54Mbps)およびIEEE 802.11b(2.4GHz/11Mbps)からである。

2003年にはIEEE 802.11g(2.4GHz/54Mbps)、2009年にはIEEE 802.11n(2.4および5GHz/600Mbps)、2014年にはIEEE 802.11ac(5GHz/6.93Gbps)、2019年にはIEEE 802.11ax(2.4および5GHz/9.6Gbps)が策定され、近年は急激に通信速度が向上している。

実際の機器はこれらのうち前後数世代に対応しているものが主流で、製品パッケージの「Wi-Fi CERTIFIED」ロゴに「a/b」「b/g」「a/b/g/n」のように対応規格が記載されている。「ac」規格からは番号が導入され、「ac」が「Wi-Fi 5」、一世代前の「n」が「Wi-Fi 4」、一世代後の「ax」が「Wi-Fi 6」などとなっている。

セキュリティ

機器や回線に物理的に接触する必要がある有線通信と異なり、無線では電波が壁を透過するなどして利用場所の外にまで広がり、それを誰が受信しているか直接知る手段は無いため、一般的な使用法でも傍受や不正接続への備えが不可欠となる。

Wi-Fiでは利用者の認証や通信の暗号化についての技術仕様として「WPA」(Wi-Fi Protected Access)および後継の「WPA2」「WPA3」を定めており、多くの機器が標準で対応している。家庭など小規模環境向けの「WPA-Personal」と、企業や学校など大規模環境向けの「WPA-Enterprise」がある。

接続時の認証方式としては、事前にAPと機器の間で同じパスフレーズ(長いパスワード)を設定して照合する「WPA-PSK」(Pre-Shared Key)方式がよく用いられるが、WPA-EnterpriseではIEEE 802.1X標準に基づくRADIUS認証サーバを利用する方式なども選択できる。通信の暗号化には共通鍵暗号の有力な標準規格である「AES」(Advanced Encryption Standard)を採用し、一定の通信量ごとに暗号鍵を切り替えるなどして盗聴を防止する。

「無線LAN」と「Wi-Fi」

一般に利用されている無線LANのほとんどはWi-Fiだが、本来「無線LAN」とは無線通信を用いて構築されたLANの総称であり、Wi-Fi以外にもBluetoothやZigBeeなど他方式により構築されたネットワークも形式的には含まれると考えることもできる。

また、本来「Wi-Fi」は無線LAN機器がIEEE 802.11シリーズ規格に準拠していることを示すブランド名で、Wi-Fi Allianceの登録商標だが、一般には「無線LAN」「IEEE 802.11シリーズ規格」「Wi-Fi」はほとんど同義語のように捉えられている。

なお、IEEE 802.11シリーズの仕様を採用していてもWi-Fi Allianceによる認定を受けていない機器もあり、規格の完全な準拠や他メーカー製品との相互接続などは保証されない。著名な例では任天堂の携帯ゲーム機「ニンテンドーDS」などが知られる。

電気・電子・通信技術の国際的な標準化団体であるIEEE(Institute of Electrical and Electronic Engineers)でLAN(Local Area Network：構内通信網)技術の標準化を担当する802委員会に設置された11番目の作業部会(ワーキンググループ)で、その名称がそのまま規格名として用いられている。802委員会では他に有線LANの標準であるイーサネット(Ethernet)を取り扱う802.3やBluetoothなどを扱う802.15がよく知られる。

最初のIEEE 802.11規格

802.11委員会が1997年に策定した最初の無線伝送方式の標準で、2.4GHz帯の電波か赤外線を用いて最高2Mbpsのデータ伝送を行うことができる。

スペクトラム拡散(SS：Spectrum Spread)の方式についてはDSSS(直接拡散方式)またはFHSS(周波数ホッピング方式)の両方について規定がある。アクセス制御方式にはCSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)が採用され、送信前に他の端末が同じチャンネルで信号を発していないか確認することで信号の衝突を回避している。

IEEE 802.11規格群

当初のIEEE 802.11を第1世代として、これまで6世代の伝送規格が策定されている。他に通信の暗号化などのセキュリティ関連や各国法規への対応、ネットワーク間の接続に関するものなど様々な規格が策定されており、現在までに30以上の規格が制定されている。

各規格は末尾のアルファベットで区別され、小委員会の設置順にa～z→aa～az→ba～bzのように符号が与えられている。番号や他の文字と紛らわしいなどの理由で使われない文字もあるため、aからzまですべての文字に対応する規格があるわけではない。

主な伝送規格としては、1999年に策定された第2世代のIEEE 802.11a(5GHz帯/最高54Mbps)およびIEEE 802.11b(2.4GHz帯/同11Mbps)、2003～2004年に策定された第3世代のIEEE 802.11g(2.4GHz帯/同54Mbps)およびIEEE 802.11j(5GHz帯/同54Mbps/日本のみ)、2009年に策定された第4世代のIEEE 802.11n(2.4GHz帯・5GHz帯/同600Mbps)、2013～2014年に策定された第5世代のIEEE 802.11ac(5GHz帯/同6.93Gbps)およびIEEE 802.11ad(60GHz帯/同6.8Gbps)、標準化作業中の第6世代IEEE 802.11ax(2.4GHz帯・5GHz帯/同9.6Gbps)が知られる。

無線LANアクセスポイント

無線LAN(Wi-Fi)を構成する機器の一種で、ネットワーク内の機器間の通信を中継したり、有線ネットワークや有線通信の機器へ接続するための装置を無線LANアクセスポイント(無線アクセスポイント/Wi-Fiアクセスポイント)という。現代では単にアクセスポイントといった場合はこれを指すことが多い。

Wi-Fiの通常の通信モードでは、ネットワーク内の各機器はアクセスポイントと一対一で通信し、他の機器への通信はアクセスポイントが中継・転送する形で行われる。また、アクセスポイントにはイーサネット(Ethernet)や光ファイバーなどの通信ケーブルの接続口があり、これを通じて他のネットワークやインターネットなどに通信を中継することができる。

通信サービスのアクセスポイント

通信サービス事業者などが運用する施設や設備で、契約者が公衆回線などを通じて事業者のネットワークへ接続するための中継拠点のことをアクセスポイントという。00年代前半頃まではアクセスポイントといえばこれを指していた。

特に、インターネットサービスプロバイダ(ISP)やパソコン通信ネットワークに電話回線やISDN回線を通じてダイヤルアップ接続を行なう際、ダイヤル先の通信拠点のことをこのように呼んだ。

アクセスポイントにはパソコン通信のホストコンピュータやインターネットと常時接続された回線が用意されており、利用者からの接続を受け付けて通信サービスを提供する窓口となっていた。常時接続が一般的になった今日では利用者が機器に最寄りのアクセスポイントの設定などをする必要がなくなり、意識されることもなくなった。

データの暗号化に鍵長128ビットのAES(Advanced Encryption Standard)方式を、暗号利用モードとしてカウンターモード(Counter mode)にメッセージ認証コードのCBC-MAC(Cipher Block Chaining Message Authentication Code)を組み合わせたCCMモード(Counter with CBC-MAC)を用いる。

AESによるデータ本体の強力な暗号化と共に、メッセージ認証(送り手が本物であることの確認)を組み合わせており、高い安全性を実現している。実際の製品の仕様などでは「CCMP」ではなく暗号化方式の名前をとって「AES」と記載されることも多い。

Wi-Fiのセキュリティ標準のWPA/WPA2/WPA3では、既に脆弱性が発見されている「WEP」(Wireless Equivalent Privacy)や、WEPを改良した「TKIP」(Temporal Key Integrity Protocol)が存在するが、CCMPはこれらより安全性が高く、新しい規格に対応した製品では有効にすることが推奨される。

TKIPは端末と無線アクセスポイント(AP)の間で暗号通信を行う際の暗号鍵の生成方式を規定しており、暗号化自体はこの鍵を用いてストリーム暗号の一種であるRC4により行う。

TKIPでは、WEPと同じように事前に共有された暗号鍵とともに初期化ベクトル(IV：Initialization Vector)と呼ばれる一定の手順で算出され毎回異なる値を加えて実際の暗号化に用いる鍵を生成する。WEPで24ビットだったIVの長さを48ビットに伸ばし、より解読されにくくなっている。

また、鍵生成の算出には一定の送受信回数ごとに切り替わる128ビットの一時鍵(TK：Temporal Key)や、端末ごとに固有のMACアドレス(48ビット)を加えるため、鍵は端末ごとに異なり、時間の経過によっても変化する。攻撃者は短時間で解読を行わなければ、仮に鍵を割り出せたとしても通信の傍受はできない。

WEPと仕組みは似ており、特に実際の暗号化はRC4という共通の方式で行うため、古いWEP対応機器の中にはソフトウェアやファームウェアの更新によりTKIPに新たに対応できるケースがあった。

WPAの後継であるWPA2規格では、暗号化にAESを、暗号化プロトコルにCCMP(Counter mode with CBC-MAC Protocol)を採用したより安全なWPA2-AESが用意されており、TKIPからの移行が推奨されている。

Wi-Fiの利用者を認証し、通信を暗号化するWPA/WPA2/WPA3の各規格では、個人や家庭、小規模事業所など小さなネットワークで使用するパーソナルモードという動作モードが用意されている。

このモードでは「PSK」(Pre-Shared Key：事前共有鍵)と呼ばれる秘密の符号を利用者や管理者が設定し、アクセスポイントは接続を申し出た端末が正しくPSKを答えられれば接続を受け付け(認証)、PSKを元に暗号鍵を生成して以降の通信を暗号化する。

アクセスポイントやWi-Fi端末の設定では、アクセスポイントの識別に用いるSSIDとセットで設定する。「暗号化キー」という名称だが、実際の暗号化処理に用いる暗号鍵は暗号化キーと他のデータを組み合わせて一定の手順で算出したものを一定時間ごとに次々切り替えて使用するため、厳密にはこれ自体が暗号化に用いる鍵というわけではない。

Wi-Fi通信機能を持ったノートパソコンやスマートフォン、携帯ゲーム機で利用でき、街中や旅先で通信料金を気にせず高速なネット接続を享受することができる。

携帯電話網の移動体データ通信とは異なり、Wi-Fiアクセスポイント設備の電波の届く範囲内でしか通信できないため、その場から移動して離れると通信が切断される。

駅や空港、小売店舗、飲食店、宿泊施設、公共施設などで提供され、施設の管理者が独自に提供している場合と、通信事業者やインターネットサービスプロバイダ(ISP)などが契約者向けに提供している場合がある。

前者はその施設の利用者や顧客なら誰でも無料で自由に使用できるサービスが多く、利用者認証なども不要な場合が多い。後者は事業者が自社の顧客に限定して接続を許可するもので、契約者特典として無償で提供される場合と、別途料金が必要な場合がある。

「ホットスポット」の名称

英語圏では “Wi-Fi hotspot” あるいは単に “hotspot” と呼ぶのが一般的だが、日本では「ホットスポット」の名称をNTTコミュニケーションズが商標登録し2002年から自社サービス名として使用したため、一般名としては「Wi-Fiスポット」が定着した。

なお、この商標登録は2008年に無効審決が確定し同社の権利は失効しているほか、同社の「ホットスポット」サービスも2012年に終了(OCN会員向けの「OCNホットスポット」に一本化)している。

通信規約(プロトコル)の「IP」(Internet Protocol)と関連技術を用いて、様々な組織の運用するネットワークや機器を互いに接続した地球規模のネットワークシステムである。個人や企業、公的機関など様々な主体が利用する、国の枠を超えた人類共通の通信インフラ・情報インフラとして広く普及している。

機能

インターネット上では様々な機能、サービス、システムが構築、提供されている。膨大な文書を相互に関連付けたWeb(ウェブ)や、手紙のように利用者間でメッセージを送受信できる電子メール(e-mail)、利用者間の交流を促進するSNS、テレビのように映像を流す動画配信サービスなどはその一例である。

今日ではインターネットにおける情報やサービスの多くはWebを通じて提供されるため、日常的にはWebのことを指してインターネットあるいはネットと呼ぶことも多いが、厳密にはWebはインターネット上の機能・サービスの一つに過ぎない。モバイルアプリのようにソフトウェアやサービスの運用基盤としてインターネットが用いられることも多く、人々は意識せずに様々な場面でインターネットの恩恵を受けている。

構成・運用

インターネット全体を管理・運営する単一の主体というものはなく、様々な組織の運営するネットワークが相互に接続された分散型のネットワークとなっている。ただし、IPアドレスやドメイン名、ポート番号、通信プロトコルの仕様など、インターネット全体で共有される識別情報や技術規格などについては、管理・統括する国際的な民間非営利団体(ICANN、IETF、W3Cなど)が存在する。

組織内の構内ネットワーク(LAN)などをインターネットに接続するには、すでにインターネットに参加しているネットワークへ接続する必要がある。通信事業者の光ファイバー回線などを敷設・契約して、通信事業者自身や他の主体(企業や官公庁、大学など)が運営する既存のネットワークへ接続する。

個人や家庭などでインターネットを利用するには、接続を仲介する専門の事業者「インターネットサービスプロバイダ」(ISP：Internet Service Provider)と契約し、通信会社の回線を経由して接続することが多い。モバイル回線では移動体通信事業者(携帯キャリア)がISPの機能も兼ねており、回線が開通すればすぐに端末からインターネットに接続できる。

歴史

インターネットの起源は1969年に米国防総省が中心となってアメリカの大学や研究所などを通信回線で相互に結んだ「ARPANET」とされ、学術機関を結ぶ情報ネットワークとして発展した。1986年に大学間の相互接続ネットワークは全米科学財団が主催する「NSFNet」に移り、初期のインターネットのバックボーンネットワークとなった。

1989年に米国でNSFNetと民間事業者ネットワークの相互接続が始まり、商用インターネット利用が開始された。日本では1984年の「JUNET」が起源となって大学や研究機関からNSFNetに接続できるようになり、1992年に当時のAT&T JensとIIJが一般向けISP事業を開始した。

当初は電話回線でISPの通信拠点(アクセスポイント)に接続し、データを電話の音声信号に変換して送受信する「ダイヤルアップ接続」が用いられたが、1999年には電話回線に音声と異なる周波数でデジタル信号を流す「ADSL」方式で常時接続サービスが開始され、2000年代以降は光ファイバー回線に置き換わっていった。

日本で広く一般にインターネットが認知され普及し始めたのはWindows 95が発売された1995年頃で、WindowsパソコンやMacintosh(現在のMac)でWeb(当時はWWW：World Wide Webと呼ばれた)を閲覧したり電子メールを送受信するという使い方が主流だった。

同時期に携帯電話の爆発的な普及が始まり、1990年代末には携帯電話端末からのインターネット電子メールの送受信、NTTドコモの「iモード」などネット技術を利用した情報サービスなどが普及した。2007年に「iPhone」「Android」が登場するとスマートフォンやタブレット端末が普及し、個人のネット利用の主流はパソコンからこれらの携帯端末に移っていった。

大容量の通信回線でインターネットに接続された拠点施設を運用しており、サービス地域内の個人・法人と契約を結んでインターネットへの接続を請け負う。顧客との間の通信には通信会社が敷設・運用する光ファイバー回線や無線基地局などを利用する。

通信会社系や電機メーカー系などの全国をカバーする大手事業者と、特定の地域でのみ営業している地域系ISP(専業の小規模事業者やケーブルテレビ局、電力系通信会社など)がある。サービス提供は有償の場合がほとんどであり、月額固定料金制を採用している事業者が多い。

回線事業者との役割分担

ISP専業の事業者の場合、加入者宅への接続回線(アクセス回線)にはNTT東日本・西日本の「フレッツ」光ファイバー回線など、通信会社の通信サービスを利用する。契約者は通信会社との回線契約とISPとのインターネット接続契約をそれぞれ別に結ぶ必要がある。

これに対し、携帯電話事業者(移動体通信事業者)やケーブルテレビ事業者のように、回線事業者とISPを兼ね、音声通話(電話)や映像配信などと組み合わせた総合的な通信サービスの一環としてインターネット接続を提供している事業者もある。

付加サービス

多くのISP事業者は接続サービス以外にも会員向けに様々な付加サービスを提供している。例えば、専用の電子メールアドレス、Webサイトを開設できるサーバ上の専用スペース、コンピュータウイルスや迷惑メールの防除、映像や音楽などの配信サービス、オンライン決済サービス、ドメイン名の登録受付、法人向けの拠点間接続(VPN)、パソコンの接続設定などの出張代行サービス、独自のポータルサイトなどである。

こうした付加サービスには、電子メールのように接続サービスとセットで契約者全員に提供されるものと、申込制で追加料金を徴収するものがある。ポータルサイトなどはインターネットを通じて会員以外にも開放している事業者が多い。

自前の回線網や中継機器などの設備を保有・運営してサービスを提供する事業者と、設備を持たずに通信サービスを提供する事業者がある。単に通信キャリアという場合は前者を指す場合が多く、特に「キャリア」(carrier)と呼ぶ場合は前者を指すのが一般的である。

後者にはインターネットサービスプロバイダ(ISP：Internet Service Provider)や、キャリアの回線網を借り受けて携帯電話サービスを提供するMVNO(Mobile Virtual Network Operator)などが含まれる。かつては前者を「第一種通信事業者」、後者を「第二種通信事業者」と呼ぶ法律上の区別があった。

国内で自前の設備を保有するキャリアには、NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモ、KDDI、沖縄セルラー電話、UQコミュニケーションズ、ソフトバンク、スカパーJSAT、電力系通信事業者、ケーブルテレビ事業者などがある。

インターネットが一般に普及し始めた1990年代末頃、それまでのアナログ電話回線(～56kbps)、ISDN(～128kbps)、第2世代携帯電話(～9600bps)等の低速な通信回線と区別して、普及し始めたより高速な通信環境を指す用語として広まった。

日本では概ね500kbps程度かそれ以上の通信速度を持つ方式を指すことが多く、ADSLなどのxDSLや、CATVインターネット、光ファイバー回線(FTTH)、3G(W-CDMA/CDMA2000)、4G(LTE/LTE-Advanced)以降の携帯電話および移動体データ通信、無線LAN(Wi-Fi)などが該当する。

ブロードバンド回線は旧来の方式に比べ通信容量が大きいというだけでなく、明示的に回線の接続や切断を指示しなくても常時接続しておける点や様々な通信サービスの多重化が可能といった特徴もある。

これを活用して、音声をデータ化して送受信するIP電話(ケーブルテレフォニ、光IP電話、VoLTE等)や、放送信号の伝送による多チャンネルテレビ視聴などのサービスが提供されており、インターネット接続に限らず通話や放送などを統合した総合情報インフラとして普及している。

2010年代になると日本を含む先進国で従来方式がほぼ姿を消し、高速・常時接続のデータ通信に適した回線が広まったため、高速回線を区別する必要性が薄くなりブロードバンドという用語は以前ほど使われなくなった。

また、平均的な通信速度の向上に伴って、1.5Mbpsといった初期のADSL方式などを除外した定義を用いる国・機関も現れている(米連邦通信委員会など)。OECD(経済協力開発機構)の国際的な統計では下り(加入者側へダウンロード)256kbps以上という基準を採用している。

ナローバンド (狭帯域)

電波や電気信号、光信号などの周波数の帯域幅が相対的に狭いことをナローバンド(narrowband)という。また、そのような限られた帯域を利用した低速な通信回線や通信環境を指すこともあり、一般的にはこちらの用法が多い。

概ね128kbps程度までの低速な回線を指し、20世紀まで一般的だった、アナログ電話回線やISDN(INSネット)、第2世代までの携帯電話、PHS、一部のデジタル専用線やパケット交換サービスなどが含まれる。

新たに登場した500kbps以上の高速回線と対比する文脈で用いられる用語で、ブロードバンド普及の初期には、相対的に低速という特徴以外に、普及率が高く安価で利用でき、機器の構造が単純といった特性もあった。

従来、公衆交換回線網(PSTN)では銅線を用いたアナログ電話回線で主に音声通話サービスが提供されてきたが、これを通信局から加入者宅までの全区間(ラストワンマイル)で光ファイバー回線に置き換え、高速なデータ通信サービスをFTTHという。

高速な常時接続のデータ通信サービス(ブロードバンド)としては、電話回線で高周波の電気信号を送受信するxDSL方式(ADSLなど)や、ケーブルテレビ(CATV)回線を利用したもの、携帯電話回線を利用した無線データ通信サービスなども提供されているが、光ファイバーを用いるFTTHは最も高速で品質が安定している。

日本では2001年にNTT東日本・NTT西日本がFTTHサービス「Bフレッツ」、現在の「フレッツ光」を開始し、本格的に光ファイバー網への置き換えが始まった。通信速度も当初の10Mbpsから100Mbps、1Gbpsへ増強され、10Gbpsのサービス品目も登場している。NTTグループでは従来のメタル回線をすべて光ファイバー回線で置き換える計画を進めており、2025年初頭に切り替えが完了する予定となっている。

一般的なネットワークシステムでは、データや機能の提供側と利用側に役割が分割されたクライアントサーバ方式がよく用いられる。利用者が操作するクライアントからの要求に基づいてサーバがデータや機能を提供する形態で、実装や運用が容易なため広く普及している。

P2P方式はこれと対比され、クライアントやサーバといった役割の違いがなく、同等の機能が実装されたソフトウェア同士が接続を結び、互いにデータや機能を提供し合う。三台以上の端末が互いに通信する場合、これをP2Pネットワークという。

通信や処理が特定のサーバに集中するクライアントサーバ方式に比べ、拡張性(スケーラビリティ)や耐障害性が高く、低コストで運用できる。また、用途や実装方式によっては通信の匿名性を高める効果が期待できる場合もある。

ただし、一元的なデータや状態の記録や管理が必要な用途には向かず、性能の安定性や処理の確実性、データの真正性なども期待しにくい。適用可能な用途であってもシステムの実装は困難で、システム全体の制御や動作確認、セキュリティの確保なども容易ではない。

ピュアP2PとハイブリッドP2P

すべての端末の機能や役割が完全に同一な、本来の意味でのP2Pシステムのことを特に「ピュアP2P」(pure P2P)ということがある。同じソフトウェアを導入したコンピュータが複数集まれば利用できるため運用しやすいが、すべての情報が各端末に分散しているため通信効率は低い。

一方、一部の端末にデータの所在や端末の接続状態などの情報を集め、データや端末を効率的に探索・接続できるようにした方式を「ハイブリッドP2P」(hybrid P2P)という。ある種のサーバに情報を集中して通信効率を高めた方式で、運用のためには性能や回線容量の大きなサーバ用の端末を誰かが常に用意しなければならない。

歴史

2000年代初頭に、不特定多数の利用者がインターネット上でパソコン上のファイルを共有・交換できるP2P方式のソフトウェアが多数登場し、P2Pという用語及び概念が浸透した。そうしたファイル共有ソフトを指して「P2Pソフト」と呼ぶこともあった。

電話のようにメッセージを交換する通信方式としても用いられ、一部のIP電話システムやメッセンジャーなどは利用者間の接続の仲介(呼び出し)を中央サーバが行い、メッセージの交換自体はP2P方式で行うハイブリッドP2Pとして実装されている。

音声や動画などの大容量のデータを多数の利用者に効率よく配信する通信方式としても期待され、端末間でバケツリレー式にデータを運んでいく放送型の動画・音声配信サービスなども登場した。

2010年代になると、台帳などの記録情報を不特定多数の端末間で改ざん不可能な状態で交換・共有するブロックチェーン技術が発明され、仮想通貨(暗号通貨)の技術的な基盤としてP2P方式が再び注目を集めるようになった。

当初は米国内の4つの大学や研究機関(カルフォルニア大学ロサンゼルス校、スタンフォード研究所、カルフォルニア大学サンタバーバラ校、ユタ大学)を繋いで開通し、その後徐々に接続拠点を増やしていった。

データを一定の長さに区切って制御情報を付してそれぞれ独立に伝送するパケット通信方式や、異なるネットワークを共通のアドレス体系や通信方式で結び、拠点間・機器間でバケツリレー式に転送を繰り返して宛先まで届ける仕組み(IPやルーティングに相当)、データの受信確認や再送制御により伝送の確実性を確保するコネクションの仕組み(TCPに相当)など、現在では当たり前に利用されている多くの技術の開発や実装、検証に用いられた。

1983年に米軍関係機関のネットワークがMILNETとして分離され、1986年には全米科学財団(NSF)が学術機関向けにNSFNETを開設、大学や研究機関などはそちらに移っていった。ARPANETからは徐々に接続拠点数が減っていき、1990年に正式に廃止された。

目的を巡る議論

ARPANETの目的について、「主要拠点が核攻撃を受けても全体が停止しない堅牢な分散型通信ネットワークを米軍が必要としていた」とする説明がよく行われるが、当時の関係者の多くは、当時の限られた大型コンピュータを地理的に離れた研究者も利用できるようにするためで核戦争に備える目的は無かったと証言している。

このような誤解が生まれたのは、当時のARPAの上級管理者の中に同趣旨の説明をする者がいたことや、ARPANETプロジェクトの直前に米軍事系シンクタンクのランド研究所がこの目的で研究を行い、ARPANETに似たパケット通信による分散ネットワークを提唱していたためとされる(ARPANET関係者は同プロジェクトとの関連を否定している)。

DARPA (ARPA)

DARPA(Defence Advanced Research Projects Agency/国防高等研究計画局)は米連邦政府機関の一つで、国防総省の傘下で軍事技術や軍事に役立つ可能性のある科学技術の研究・開発を行う機関である。

自前の研究施設などは持たず、大学や企業、研究機関などへの委託や助成、研究プロジェクトの公募、先端技術を応用した競技会の開催などが主な事業となる。陸海空軍、海兵隊など軍そのものからは独立しており、各軍の利害や戦略などに囚われず軍事転用可能な先端的な科学技術の研究・開発を推進している。

IT分野では、現在のインターネットの原型となる広域的なパケット通信ネットワークであるARPANETでよく知られ、その名残りはネットワーク制御用データの交換に用いられる「.arpa」ドメインなどに残っている。

1958年に設立された際の名称は「ARPA」(Advanced Research Projects Agency、アーパ)だったが、1972年にDARPA(ダーパ)に改称、1993年にARPAに戻り、1996年に再びDARPAに改称され現在に至る。

IPは複数のネットワークを繋ぎ合わせて同じ識別番号の体系(IPアドレス)により相互に通信可能にするプロトコルで、これを用いて世界的に様々な組織の管理するネットワークを相互接続してできたオープンなネットワークを「インターネット」(Internet)と呼んでいる。

プロトコル階層

IPではプロトコル群を役割に応じて階層化して整理しており、下位プロトコルのデータ送受信単位(パケットやフレーム、データグラムなど)の中に上位プロトコルの送受信単位を入れ子状に埋め込んで運ぶ仕組み(カプセル化という)になっている。

例えば、HTTPメッセージはTCPセグメントに格納されて運搬され、TCPセグメントはIPデータグラムに格納されて運搬され、IPデータグラムはイーサネットフレームやPPPフレームなどに格納されて運搬される。上位プロトコルは下位プロトコルに運搬を依頼するだけでよく、下層で何が起きているか詳細を知る必要がない。

階層は物理的な装置や回線に近い側からリンク層、インターネット層、トランスポート層、アプリケーション層となっており、IPはインターネット層、TCPはトランスポート層のプロトコルである。リンク層はIPの関連規格群では規定せず、イーサネットやWi-Fiなど各機器が対応している通信手段を利用する。

アプリケーション層は用途やシステムの種類ごとに多種多様なプロトコルが定義されている。例えば、Webコンテンツの伝送にはHTTP(Hypertext Transfer Protocol)、電子メールの送受信にはSMTP(Simple Mail Transfer Protocol)やPOP3(Post Office Protocol)、IMAP4(Internet Mail Access Protocol)などが用いられる。

総称としての「TCP/IP」

IPネットワーク上ではIPと組み合わせてTCPではなくUDP(User Datagram Protocol)や他のプロトコルを用いることもあるが、「TCP/IP」という呼称はTCPとそれ以外を区別するという意味合いは薄く(UDPを使う場合を「UDP/IP」とはあまり呼ばない)、「IPを中心とする標準的な通信プロトコルの総称」を表すことが多い。

歴史的な経緯からそのような意味合いが定着しているが、今日ではそのような総称的な意味は「インターネットプロトコルスイート」(Internet Protocol Suite)のような用語で表すか、「IP接続」「IPネットワーク」のように単に「IP」一語で代表させるようになってきている。

IPアドレス

IPではネットワークに接続された個々のネットワークやホスト(機器)に固有の識別番号である「IPアドレス」(IP address)を割り当て、これを宛先や送信元に指定して通信を行う。現在普及しているIPv4(IP version 4)では32ビットのアドレスが用いられ、最大で約42億台の機器が同じネットワークに参加できる。

同じネットワーク上ではアドレスに重複があってはならないため、インターネットで用いられるグローバルIPアドレスについては管理団体が申請に基づいて発行する形を取っている。これとは別に組織内ネットワークのみで使用されるプライベートIPアドレス(ローカルIPアドレス)用のアドレス領域が定められており、構内ネットワーク(LAN)などで自由に使うことができる。

IPデータグラム

IPで送受信するデータは一定の大きさに分割され、先頭に宛先アドレスや送信元アドレスなどの制御情報(IPヘッダと呼ばれる)を付加した「IPデータグラム」(IP datagram)と呼ばれる送受信単位で伝送される。このような伝送方式をパケット交換方式という。

IPデータグラム内の運ぶべきデータの部分(ペイロード)には通常、他の通信プロトコルのパケットなどが埋め込まれ、異なる種類や目的のデータをIPにより一つの機器や回線に混載して運ぶことができる。パケットは何段階も入れ子構造に埋め込むことができ、Webとメールなど通信の種類によって使い分けたり、到達保証や暗号化など下位のプロトコルにない様々な機能を付加したりすることができる。

TCPとUDP

IPの一段階上位(トランスポート層と呼ばれる)のプロトコルには「TCP」(Transmission Contorol Protocol)あるいは「UDP」(User Datagram Protocol)が用いられることが多く、より上位(アプリケーション層)の個別の用途向けのプロトコルのほとんどはこのいずれかによって通信の相手方まで伝送される。

TCPは通信を行う二者間で仮想的な伝送路(コネクション)を確立し、データを送信順に並べ替えたり、受信確認や再送制御などを行って信頼性の高い通信を行うことができる。UDPはこうした制御を行わない代わりに低遅延で高効率な通信を行うことができる。

ルータとルーティング

IPでは管理主体の異なる複数の(インターネットの場合は極めて多数の)ネットワークが対等な立場で連携し、中央集権的な管理システムがなくても任意の送信元から任意の宛先へデータを送り届ける仕組みが整備されている。

データの中継・転送は「ルータ」(router)と呼ばれる機器によって行い、各ネットワークのルータが隣接するルータへバケツリレー式に次々データを転送することで宛先まで運ばれていく。各ルータは自分の知る周囲の通信経路の情報を「ルーティングプロトコル」(routing protocol)と呼ばれる通信規約で頻繁に交換し、宛先アドレスまでの適切な通信経路の選択・指定ができるようになっている。

IPv4とIPv6

インターネットの普及期に用いられ、現在も広く利用されているのは「IPv4」(IPバージョン4)で、32ビットのアドレス(IPv4アドレス)を用いる。インターネットの急拡大に伴いアドレス数が逼迫しているため、IPの新しい規格である「IPv6」(IPバージョン6)が策定され、IPv4からの置き換えが模索されている。

IPv6では128ビットのIPv6アドレスにより約3.40×10³⁸個のアドレスが利用でき、セキュリティ機能や転送効率なども改善されている。しかし、IPv4との直接的な互換性はなく、経路途上のすべてのネットワークやルータが対応していなければIPv6で通信できないため、一事業者内の閉じたネットワークでの採用事例はあるものの、インターネット上で本格的に普及するには至っていない。

ネットワークに参加する機器などに固有の番号(IPアドレス)を割り当てて一意に識別し、複数のネットワークを経由して末端から末端までデータを送り届ける方法を定義している。データは一定の大きさのパケットと呼ばれる単位(正確にはIPデータグラムという)に分割されて送信され、受信側で再び元のデータに組み立てられる。

IPデータグラムは制御情報を記載したIPヘッダと呼ばれる先頭部分と、運びたいデータ本体であるペイロードからなる。ヘッダには送信元と宛先のIPアドレスや、積載しているデータのプロトコル番号、転送回数の上限を表す生存時間(TTL)、長いデータを複数のデータグラムに分割した際の通し番号(フラグメントオフセット)などが記載されている。

IPv4アドレス

IPv4ではアドレスを32ビットのデータとして表現し、「192.168.1.1」というように8ビットずつ4つの値に区切って「.」(ドット/ピリオド)を挟んで表記する。「0.0.0.0」から「255.255.255.255」まで約42億(2³²)個のアドレスが利用できる。

アドレス空間の中には各組織が個別に運用する構内ネットワーク(LAN)などの内部でのみ使用可能なプライベートIPアドレス用の領域もあり、インターネット上のアドレス(グローバルIPアドレス)とは独立に割り振られて使用されている。

32ビットのアドレスはインターネットが普及し始めた当初は十分な数に思われたが、急激な普及により数が逼迫し、2010年代後半には世界的に未割り当ての「在庫」アドレスが枯渇する事態となってしまった。

歴史

初期のIPは1970年代に当時のARPANET(現在のインターネットの原型となる広域ネットワーク)で開発された。バージョン0から3は試験的な仕様で、1980年に規格化(RFC 760)されたIPv4が本格的に実用に供された最初のIP仕様となった。現在広く知られているのは1981年の改訂版(RFC 791)である。

その後、特殊なストリーミング用途向けのバージョンとして試験的にIPv5が、IPv4の後継候補としてIPv6～IPv9が考案されたが、これらの仕様を勘案してIPv6が正式に後継規格として推進されることになった。最大の特徴は128ビットに拡張されたIPv6アドレスで、逼迫するIPv4アドレスからの移行が展望されたが、現在も一般に広く普及する状況には至っていない。

インターネットやこれに接続する組織内ネットワーク(LAN)などでは、「IP」(Internet Protocol/インターネットプロトコル)と呼ばれる共通のプロトコル規格に基づいて機器の識別やデータの送受信、ネットワーク間のデータの配送などを行っている。

IPv4とアドレス枯渇問題

インターネットが本格的に普及し始めた1990年代末には、1981年に策定された「IPv4」(IPバージョン4)規格が用いられ、現在も多くのネットワークで標準的に利用されている。これは機器を識別する「IPアドレス」を32ビットで表現する仕組みで、最大で約42億台の機器を単一のネットワークに収容できる。

これは規格制定時には十分過ぎるほど広大なアドレス空間だと考えられていたが、想定を超えるインターネットの爆発的な普及により2000年代半ば頃には新規に割り当てるIPv4アドレスが逼迫する事態となり、より多くのアドレスを利用できるIPv6への本格移行が模索された。

IPv6の主な特徴

IPv6の最大の特徴は、IPアドレスを従来の32ビットから128ビットに大幅に拡張したことである。従来のIPv4アドレスと区別するため「IPv6アドレス」と呼ばれ、2¹²⁸個、すなわち、約340澗(かん)、約3.40×10³⁸個のアドレスを同一ネットワーク内で利用できる。

各機器へのアドレスの割り当てやネットワークをまたいだデータの転送(ルーティング)、大きなデータを一定の長さの送信単位(データグラム)に分割する仕組みなど、基本的な機能はIPv4までと変わらないが、アドレス設定の自動化やセキュリティ機能の強化、転送効率の向上などの改善が行われている。

IPv4からの移行

一本の通信回線や単一のネットワークなどの単位ではIPv4とIPv6のデータを混在させることは可能だが、アドレス体系やデータ形式がIPv4と異なり直接的な相互運用性がないため、複数のネットワークを接続するにはそれぞれ個別に転送処理を行う必要がある。

また、IPv6を使用する場合でも、既存のインターネット上のIPv4アドレスの機器と通信できなければ利便性が大きく損なわれるため、何らかの中継システムを用意してアドレスの相互変換やデータの転送、相互乗り入れの仕組みを用意する必要がある。

通信事業者にとってはIPv6への移行期にはどうしてもIPv4と両対応せざるを得ず、コスト負担や運用の煩雑化が敬遠され、利用者にとっても目に見える利点に乏しいことから、00年代まではIPv6の利用は実験的な閉じたネットワークでのサービス提供などに留まっていた。

2010年代に入るとIPv4アドレスの未割り当ての領域が完全に枯渇する(以降はネットワーク廃止で返却されるアドレスの再割り当てで対応)といった事態が生じる一方、寡占化の進んだIT大手が本格的にIPv6アドレスでのサービス提供に乗り出すなど環境に変化が生じ、世界的に少しずつ普及が進み始めた。

日本では2011年にNTT東日本・NTT西日本によるフレッツ網がIPv6 IPoE接続(ネイティブ方式)に対応し、2017年に大手移動体通信事業者が端末に割り当てるアドレスをIPv6化するなど環境の整備が進展しており、ISPなども通常のサービスメニューとしてIPv6によるインターネット接続を提供するようになっている。

ネットワーク層(インターネット層)のIPと、HTTPなど各用途ごとに固有のアプリケーション層のプロトコルの橋渡しをするもので、ポート番号という識別番号を用いて、各IPデータグラムが運んでいるデータがどの上位プロトコルのものであるかを識別し、担当のソフトウェアに振り分けることができる。

TCPはコネクション型のプロトコルで、接続相手との通信の開始時に「スリーウェイハンドシェイク」と呼ばれる3段階から成る制御情報のやり取りを行い、通信相手の状況を確認して仮想的な伝送路(TCPコネクション)を確立する。一連のデータ伝送が終わると伝送路を切断して通信を終了する。

二者間で制御情報を双方向にやり取りすることで、送信したデータが受信側に到着したかどうかを確かめる「確認応答」、受信側が伝送途上でのデータの欠落や破損を検知して送信側に再送を要求する「再送制御」、送信時に通し番号を割り当てて到着順が入れ替わっても受信側で本来の順序に並べ直す「順序制御」などの機能が利用できる。

IP上で用いられるトランスポート層の有力なプロトコルには「UDP」(User Datagram Protocol)もあり、こちらは細かな制御はせず「送りっぱなし」にするシンプルな仕様となっている。TCPはUDPに比べる伝送の信頼性が高くアプリケーション層に対して確実にデータを送り届けることができるが、通信効率は低く性能は高めにくい。

また、品質の低い通信経路(回線など)では確実性を高めるための仕様が足かせとなり極端に性能が低下したり、接続が頻繁に途絶えることがある。信頼性や確実性が必要な通信にはTCPを、転送効率や即時性が必要な用途や通信環境が悪くても断片的にデータが届けば良い用途ではUDPを、というように使い分けられる。

ネットワーク層のIPと、DHCPなど各用途ごとに固有のアプリケーション層のプロトコルとの橋渡しをするもので、「ポート番号」という識別番号を用いて、各IPデータグラムが運んでいるデータがどの上位プロトコルのものであるかを識別し、担当のソフトウェアに振り分ける。

UDPは仮想的な伝送路の確立(ハンドシェイク)を行わないコネクションレス型のプロトコルで、送信先が確実にデータを受領したかを確認したり、データの欠落を検知して再送したり、受信データを送信順に組み立て直すといった制御を行わず、データを「送りっぱなし」にする。

このため、UDP自体はデータの配達に関して特に信頼性を保証しないが、このような制御を行わない分だけ転送効率が高く、遅延が発生しにくい。データに多少の損失が生じても高速性や即時性(リアルタイム性)を重視する用途(通話、放送など)、信頼性はアプリケーション層で確保するためとにかくシンプルにデータを伝送してほしい用途などで用いられる。

UDPでのデータの送信単位は「データグラム」(UDPデータグラム)で、前半8バイトが制御情報を記したヘッダ、残りの後半部分が伝送するデータ本体(アプリケーション層から伝送を依頼されたデータ)であるペイロードとなる。ヘッダ構造は極めてシンプルで、先頭から2バイトずつ送信元ポート番号、宛先ポート番号、(データグラム全体の)データ長、チェックサム(誤り検出符号)となっている。

UDPはインターネット開発の初期に考案され、1980年にRFC 768として標準化された。高信頼性のTCP(Transmission Control Protocol)と共に主要なトランスポート層プロトコルとして広く普及している。標準的なアプリケーション層プロトコルはTCPを利用するものが多いが、DNSやSNMP、DHCP、NTPなどがUDPを利用することでよく知られる。動画や音声のストリーミング配信などはUDPを用いることが多い。

インターネットなどのネットワークでは機器間の通信をIP(Internet Protocol)と呼ばれる共通のプロトコル(通信規約)によって行う。IPアドレスはこのIPネットワークにおける個々の機器を識別するための番号で、データの宛先の指定や送信元の特定などに用いられる。

現在インターネットなどで広く普及しているIPは「IPv4」(IPバージョン4)で、アドレスを32ビットの値として表す。書き表す場合には先頭から順に8ビットごとに区切り、それぞれを十進数の値として「.」(ピリオド/ドット)で区切って表記する。例えば、「11000110 00110011 01100100 00000001」というアドレスは「198.51.100.1」のように表記する。

IPアドレスとドメイン名

IPアドレス自体は数字の羅列で人間には覚えたり書き表したりしにくく、読み間違いや入力ミスも起こりやすいため、「www.example.com」のようにアルファベットや記号を組み合わせた分かりやすい識別名をつけられる仕組みが考案された。

これをDNS(Domain Name System)と呼び、IPアドレスの代わりとしてネットワーク上で用いることができる識別名をドメイン名という。ドメイン名には特定のIPアドレスに対応し、個別の機器を指し示す完全修飾ドメイン名(FQDN：Fully Qualified Domain Name)あるいはホスト名(host name)と、複数の機器や領域を包含する領域の識別名がある。

IPアドレスとドメイン名の対応関係は各組織が設置・運用するDNSサーバによって管理・提供される。人間が指定したドメイン名の指し示す機器に接続するにはDNSサーバへ問い合わせて対応するIPアドレスを得る必要があり、通常はソフトウェアが内部的にこの処理を行う。

機器が通信処理を行うのに必須なのはIPアドレスのみであるため、すべてのIPアドレスに対応するドメイン名が設定されているわけではない。通常必要なのはドメイン名からIPアドレスへの変換(正引き)であるため、逆にIPアドレスから対応するドメイン名を割り出す変換(逆引き)は常に可能とは限らない。また、IPアドレスとドメイン名は常に一対一に対応している必要はなく、一つのIPアドレスに複数(場合によっては多数)のドメイン名が対応付けられていることもある。

グローバルIPアドレス

インターネット上で使用するアドレスをグローバルIPアドレス(global IP address)、特定の組織内ネットワークのみで通用するアドレスをプライベートIPアドレス(private IP address)あるいはローカルIPアドレス(local IP address)という。

グローバルアドレスはインターネット全体で一意に特定できなければならず、複数の組織や端末で重複があってはならないため、勝手に設定して名乗ることはできず、アドレス発行組織に申請を行って割り当てを受けなければならない。

インターネット上のIPアドレスについて全世界で一元的に割り当ての調整を行う機関としてICANN(Internet Corporation for Assigned Names and Numbers)が設置されている。そこから世界を5つに分けた各地域を管轄するRIR(Regional Internet Registry)に大きなアドレスブロック単位で割り当てが行われ、RIRから域内の各国・地域をそれぞれ管轄するNIR(National Internet Registry)へ小さなブロック単位で割り当て行われる。

インターネットへの接続を希望する各組織・個人からの申請を受けてアドレスを割り当てるのはNIRの担当となる。日本を管轄するRIRはAPNIC(Asia Pacific Network Information Centre)、NIRはJPNIC(Japan Network Information Center)である。

プライベートIPアドレス

プライベートアドレスは各組織ごとに設置・運用されているLAN(構内ネットワーク)などのネットワーク上で用いられるアドレスで、申請などは不要で自由に機器に設定して使用してよい。ただし、各アドレスがそのネットワークの内部で重複してはならない点はグローバルアドレスと変わらない。

プライベートアドレスしか持たない機器はインターネットに直接接続して通信することはできないため、ネットワーク境界にゲートウェイやルータ、プロキシサーバなどを設置してアドレス変換やデータの中継などを行い、一定の制約(インターネット側から接続を開始できないなど)の元で通信できるようにすることが多い。

IPv4アドレスではプライベートアドレス用の領域として、10.0.0.0～10.255.255.255(最大約1677万台)、172.16.0.0～172.31.255.255(最大65535台)、192.168.0.0～192.168.255.255(最大255台×256ネットワーク)の3つが予約されており、ネットワークの規模に応じていずれかを使用することができる。これらはグローバルアドレスとしては割り当てられないことが決まっている。

IPv4アドレスの枯渇

現在インターネットで用いられるIPv4アドレスは32ビットの値であるため、2の32乗の42億9496万7296個のアドレスしか使用することができず、インターネットの爆発的に普及に伴い2000年代後半頃からは逼迫するようになった。

これは、IPv4が設計された1980年頃にはインターネットに限られた機関しか接続されておらず、現在のような爆発的な普及を想定していなかったためこのアドレス数で十分であると考えられていたのと、当時の通信回線が低速で伝送容量が限られており、少しでも通信制御用のデータを短くしたかったという事情がある。

2015年までには各地域のRIRおよび各国のNIRが確保・用意しているIPv4アドレスブロックの「在庫」は枯渇してしまい、既存の割り当て先から接続廃止で返却されてくる分以外には、まとまった数のアドレスを新規に発行することはできなくなってしまっている。

IPv6アドレス

IPv4の後継として設計されたIPv6(IPバージョン6)では、IPアドレスが128ビットの値となり、2の128乗=約3.40×10³⁸、すなわち、340澗2823溝6692穣0938𥝱4634垓6337京4607兆4317億6821万1456個の広大なアドレス空間を使用できるようになった。

IPv4と同じ表記法だと長過ぎるため、16ビットずつ「:」(コロン)で区切って16進数で表記し、0が連続する区間は省略するという記法を採用している。例えば、「2001 : 0db8 : 0000 : 0000 : 0000 : 0123 : 0000 : 00ab」は「2001 : db8 :: 123 : 0 : ab」のように表記する。

IPv6アドレスのグローバルでの割り当ても始まっており、一部の通信事業者やインターネットサービスプロバイダ(ISP)などがIPv6によるインターネット接続に対応しているが、既存のIPv4と共存しつつ移行するのは様々な事情が重なって難しく、なかなかIPv6の普及が進まない状況が10年以上続いている。

ルータはプロトコル階層のうちネットワーク層(インターネット層、第3層)の情報を解析してデータの転送の可否や転送先の決定などを行う機器で、主にインターネットなどのTCP/IPネットワークにおける主要な中継機器として用いられる。

接続先から受信したデータ(パケット)を解析し、IP(Internet Protocol)の制御情報を元に様々な転送制御を行う。中でも最も重要な処理は「ルーティング」(routing)で、パケットの宛先IPアドレスから適切な転送経路を選択し、隣接する機器の中から次に転送すべき相手を決定してパケットを送信する。

インターネットなど大規模なネットワークでは、ルータ間でこのような転送をバケツリレー式に繰り返し、送信元から宛先へ複数のネットワークを通過してパケットが運ばれていく。

ルータが経路選択を行う際には一般に、「ルーティングテーブル」(routing table、経路表)と呼ばれるデータ集合が参照される。宛先のネットワーク(のアドレス)ごとにどの機器に中継を依頼すべきかが列挙されており、宛先アドレスに対応する転送先を見つけてその機器にパケットを転送する。

静的ルーティングと動的ルーティング

小規模なネットワークでは、ルータのルーティングテーブルを管理者などが固定的に入力・設定する「スタティックルーティング」(static routing：静的ルーティング)が用いられることが多い。

一方、異なる管理主体のネットワーク間の接続や、大規模なネットワーク、頻繁に構成が変更されるネットワークなどでは、ルータ間で定期的に経路情報を交換してルーティングテーブルを作成・更新する「ダイナミックルーティング」(dynamic routing：動的ルーティング)が用いられる。

ルーティングプロトコル

ルータ間の経路情報の交換には専用の通信規約(プロトコル)が用いられ、これを「ルーティングプロトコル」(routing protocol)という。

同一の管理主体の運営するネットワーク(AS：Autonomous System、自律システム)内で用いられるルーティングプロトコルをIGP(Interior Gateway Protocol)と呼び、RIPやOSPF、IGRP、EIGRPなどが用いられる。一方、異なるAS間の接続ではEGP(Exterior Gateway Protocol)と呼ばれるルーティングプロトコルが用いられ、インターネット上では一般にBGPが用いられる。

他の機能

ルータは経路制御だけでなく、アドレス体系の異なるネットワーク間(WANとLAN、プライベートネットワークとインターネットなど)でアドレス変換を行って相互に通信できるようにするNAT/NAPT機能や、ネットワークに新たに接続した機器にDHCPなどで自動的にIPアドレスを割り当てる機能、指定されたルールに従って接続や中継の許可や拒否を行うパケットフィルタリング機能、通信の種類ごとに転送の優先度に差をつけたり、上限の帯域幅を超えないよう制御するQoS制御機能など、様々な機能を持っていることが多い。

他の中継機器

プロトコル階層のうちデータリンク層(リンク層、第2層)の情報を元に転送制御を行う機器にはブリッジ(bridge)やネットワークスイッチ(network switch、単にスイッチとも)、スイッチングハブ(switching hub)などがあり、ルータはこれらの機能も内包している。

また、転送制御を行わず物理層(第1層)の単純な中継のみを行う機器にはリピータ(repeater)やリピータハブ(repeater hub)などがある。こうした様々な機器をルータと組み合わせてネットワークが構築される。

コアルータとエッジルータ

ルータの役割や製品分類で、主に通信事業者などの基幹ネットワークの中心部で用いられるものを「コアルータ」(core router)という。

広域回線網の主要拠点間を繋ぐコアネットワーク(バックボーンネットワーク)などの大規模ネットワーク内部の転送・中継に用いられるルータ製品で、高い性能や信頼性、多数の回線を収容する拡張性、筐体や回線の高密度化が容易なデザインなどが求められる。

一方、基幹ネットワーク末端で外部の回線やネットワークとの接続に用いられるルータは「エッジルータ」(edge router)と呼ばれる。広域回線網の終端などに設置され、大規模ネットワークの末端部と小規模でローカルなネットワーク(特定の拠点の構内ネットワークなど)の接続・中継に用いられる。

遠距離回線を挟んで中心側と末端側の両方の装置をエッジルータと呼ぶ場合と、中心側を「センタールータ」(center router)と呼び、末端側のみをエッジルータと呼ぶ場合がある。また、VPNサービスなどで中心側が通信事業者、末端側が加入者の場合には、中心側を「PEルータ」(Provider Edge router)、末端側を「CEルータ」(Customer Edge router)と呼ぶ場合がある。

インターネットなどの大規模なネットワークは、複数の小さなネットワークがルータなどの中継機器によって結ばれた構造になっている。送信元の機器が遠く離れたネットワーク上の相手にデータを送りたいときは、自らのネットワーク内のいずれかの中継機器に転送を依頼する。

中継機器は受け取ったパケットの宛先を見て、自らに直接つながった別の中継機器のいずれかにさらに転送を依頼し、これを繰り返してバケツリレー式にデータが運ばれていく。その際、各機器がパケットに記された宛先を元に最適な転送先を決定する処理のことをルーティングという。

ルーティングテーブル

機器がルーティングを行う際には、一般に「ルーティングテーブル」(routing table：経路表)と呼ばれるリストが参照される。これには、宛先のネットワーク(のアドレス)ごとに、どの隣接ルータに中継を依頼すべきかが列挙されている。

ルータはテーブルを参照し、宛先アドレスに対応する転送先を見つけて、その機器にパケットを転送する。宛先がテーブルの中に見つからない場合は、経路を知っている可能性の高い、外部ネットワークとの境界にある中継機器などが選択される。このような経路不明の際に頼る機器のことを「デフォルトゲートウェイ」(default gateway)という。

小規模なネットワーク内のルーティングでは、ルーティングテーブルを管理者がルータなどに手動で記述・設定していく手法が用いられる。これを「スタティックルーティング」(static routing：静的ルーティング)という。

一方、インターネットのような異なる管理主体のネットワークをまたぐ接続や、大規模なネットワーク、頻繁に構成が変更されるネットワークなどでは、ルータ間で経路情報を交換して自動的にルーティングテーブルを作成・更新する仕組みが利用される。これを「ダイナミックルーティング」(dynamic routing、動的ルーティング)という。

ルーティングプロトコル

ルータ間の経路情報の交換には専用の通信規約(プロトコル)が用いられ、これを「ルーティングプロトコル」(routing protocol)という。単に情報を交換するためのデータ形式や伝送手順を定義しているだけでなく、経路の選択手順(アルゴリズム)もセットで規定されている。

ルーティングプロトコルのうち、同一の管理主体の運営するネットワーク(AS：Autonomous System/自律システム)内で用いられるものを「IGP」(Interior Gateway Protocol)と呼び、RIPやOSPF、IGRP、EIGRPなどが用いられる。

一方、インターネット上で異なるAS間を接続する際には、「EGP」(Exterior Gateway Protocol)と呼ばれるルーティングプロトコルが用いられる。現在のインターネット上ではEGPとして「BGP」(Border Gateway Protocol)のバージョン4(BGP-4)が用いられる。

大規模なネットワークでは、パケットを中継機器が次々に転送し、送信元から宛先までバケツリレー式に運ばれていく。ルータは中継機器の一種で、ネットワークの繋がり具合に関する情報を収集し、パケットの伝送経路を決定する機能を持っている。

ルーティングテーブルはルータがパケットの宛先を見て適切な転送先の判断を行う際に参照される経路表で、周囲のルータから得た経路情報を集積して作成される。ルータ同士が経路情報を交換するプロトコル(通信規約)を「ルーティングプロトコル」(routing protocol)という。

テーブルの内容

記載されるデータの種類や形式は機種やルーティングプロトコルによって異なるが、基本的な情報として、宛先として指定される目的地のネットワークアドレスおよびサブネットマスクと、そこへパケットを送りたい場合に次に転送すべき隣接ルータのアドレスである「ネクストホップ」、その経路を利用する場合にかかるコスト(途中で中継する機器の台数など)を表す「メトリック」が記載される。

これに加えて、その経路がどのように設定されたか表す識別符号(経路の情報源)、複数の情報源から同じ宛先への経路が示されている場合に比較するための信頼度(AD値：アドミニストレーティブディスタンス)、複数のネットワークインターフェースを搭載している場合にパケットを送信するインターフェースの指定、経路情報が設定されてからの経過時間などの情報が記載されることもある。

ルーティングテーブルに記録された経路のうち、ルータと直に接続している(隣接)ネットワークへの経路を「コネクテッドルート」(connected route)あるいは「ダイレクトルート」(direct route)、管理者が固定的に指定したものを「スタティックルート」(static route/静的ルート)、隣接ルータなどと情報を交換しあって機器が動的に経路情報を生成・更新するものを「ダイナミックルート」(dynamic route/動的ルート)という。

IPネットワークでは「IPアドレス」と呼ばれる数値列で個々のコンピュータやネットワークを識別するが、DNSを使えば人間にとって親しみやすい文字や記号を組み合わせて「ドメイン名」(domain name)と呼ばれる別名をつけることができる。ドメイン名が単一の機器を指し示す場合は「ホスト名」(host name)とも呼ばれる。

各ドメイン名について、ホスト名とIPアドレスの対応関係や管理情報などを記録し、一定の通信手順に基づいてどこからでも容易に参照できるようにした世界規模の分散型データベースがDNSである。そのための通信規約(プロトコル)や交換データ形式などの仕様を定めた標準規格のこともDNSという。

IPアドレスとドメイン名

例えば、ある企業が「198.51.100.1」というIPアドレスの割り当てを受けてWebサーバと電子メールサーバを運用する場合、WebサイトのURLは「https://198.51.100.1/」のように、代表メールアドレスは「info@198.51.100.1」のような表記になる。

これは人間にとっては覚えたり伝達したり入力したりしにくく、接続事業者を切り替えるなどしてIPアドレスが替わるとこれらのアドレスもすべて変更となり、記録物を書き直したり関係者に改めて通知・告知しなおさなければならなくなってしまう。

そこで、「example.co.jp」というドメイン名を取得し、ホスト名として「www.example.co.jp」を「198.51.100.1」に、「～@example.co.jp」のメールアドレスを管理するメールサーバのアドレスを「198.51.100.1」に対応付けておけば、Webサイトを「https://www.example.co.jp/」のように、メールアドレスを「info@example.co.jp」のように表記することができるようになる。

DNSサーバとクライアント

ドメイン名の情報を管理し、外部からの問い合わせに応答するコンピュータやソフトウェアのことを「DNSサーバ」(DNS server)、サーバへの問い合わせを行いDNS情報を参照・利用する側のコンピュータやソフトウェアを「DNSクライアント」(DNS client)あるいは「DNSリゾルバ」(DNS resolver)という。

ドメイン名とIPアドレスの対応関係をサーバへの問い合わせによって明らかにすることを「名前解決」(name resolution)と呼び、ドメイン名から対応するIPアドレスを求めることを「正引き」(forward lookup)、逆にIPアドレスからドメイン名を割り出すことを「逆引き」(reverse lookup)という。

ドメイン名の階層構造

ドメイン名は実世界の住所表示のように広い領域を指す名前から順に範囲を狭めていく階層構造になっており、「www.example.co.jp」のように各階層の識別名を「.」(ドット)で区切って表記する。あるドメイン名の配下に設けられた下位のドメイン名を「サブドメイン」(subdomain)という。

上の例の「jp」のように一番右が最上位階層の「トップレベルドメイン」(TLD)で、以下、左に向かって「co」を「セカンドレベルドメイン」(SLD：Second Level Domain)、「example」を「サードレベルドメイン」(3LD：Third Level Domain)のように呼び、順に指し示す範囲が狭くなっていく。

権威DNSサーバと権限委譲

あるドメイン名についての情報を管理するDNSサーバを「権威DNSサーバ」あるいは「DNSコンテンツサーバ」という。権威サーバはそのドメイン名についての情報の発信元で、外部からの問い合わせに応答してホスト名に対応するIPアドレスなどを回答する。

上位ドメインの権威サーバは配下のすべてのドメイン名の情報を一元管理しているわけではなく、下位ドメインの権威サーバに管理権限を委譲し、自身はその所在(IPアドレス)のみを把握している。下位ドメインについての問い合わせには「このアドレスのサーバに聞くように」という回答を返す。

再帰問い合わせによる名前解決

「www.example.co.jp」の名前解決を行うためには、まず全世界に十数か所あるDNS全体を統括する「ルートサーバ」(root server)に「jp」ドメインの権威サーバの所在を訪ね、そのサーバに「co.jp」ドメインの権威サーバの所在を訪ね、そのサーバに「example.co.jp」の権威サーバの所在を…という具合に左端のホスト名が解決されるまで問い合わせを再帰的に繰り返す必要がある。

この問い合わせ手順を末端のDNSクライアントが毎回行っていたのではサーバとクライアント、途中のネットワークの負荷や無駄が大きすぎるため、通常はインターネット接続事業者(ISP)などが用意した「DNSキャッシュサーバ」が各クライアントからの問い合わせを代行し、結果を一定期間保存して同じ問い合わせに代理で応答するという運用が行われる。

一般の利用者がコンピュータのネットワーク設定などで指定する「DNSサーバ」(プライマリDNSサーバ、セカンダリDNSサーバ)は、各ドメイン名を管理している権威サーバではなく、このDNSキャッシュサーバである。なお、キャッシュサーバに頼らずクライアントソフトが自ら再帰問い合わせを行って名前解決することも差し支えなく、ネットワーク管理者などが調査のために行うことがある。

インターネット上の機器やネットワークを一意に識別するため、重複が生じないよう全世界的に一元的に発行する体制が構築されている。登録される識別名はアルファベットと数字、ハイフン「-」の組み合わせだが、近年では、日本語など各国独自の言語・文字でドメイン名を登録できる「国際化ドメイン名」(IDN：Internationalized Domain Name)も利用できるようになっている。

IPアドレスとDNS(Domain Name System)

インターネットなどIP(Internet Protocol)で接続されたネットワークでは機器同士は「IPアドレス」という番号によってお互いを識別し、相手方の所在を知ることができる。数字の羅列であるIPアドレスは人間にとっては扱いにくいため、別名としてドメイン名を運用するようになった。

ドメイン名とIPアドレスを対応させるシステムは「DNS」(Domain Name System：ドメインネームシステム)と呼ばれ、全世界のDNSサーバが連携して運用されている。一つのドメイン名に複数のIPアドレスを対応させたり、一つのIPアドレスに複数のドメイン名を対応させることもできる。

ドメインの階層構造

ドメイン名は実世界の住所表示のように広い領域を指す名前から順に範囲を狭めていく階層構造になっており、「www.example.com」のように各階層のラベルを「.」で区切って表記する。あるドメインの配下に設けられた下位のドメイン名を「サブドメイン」(subdomain)という。

一番右のラベルが最上位階層の「トップレベルドメイン」(TLD)で、以下、左に向かって「セカンドレベルドメイン」(SLD：Second Level Domain)、「サードレベルドメイン」(3LD：Third Level Domain)…と指し示す範囲が狭くなっていく。

左端で個別の機器を指し示すラベルのことを「ホスト名」という。トップレベルからホスト名まで省略せずにすべて書き下したドメイン名表記のことを「FQDN」(Fully Qualified Domain Name：完全修飾ドメイン名)と呼ぶことがある。

トップレベルドメインには、日本を表す「.jp」のように世界の国・地域ごとに割り当てられる「ccTLD」(country code TLD)と、商用を表す「.com」のように地理的範囲とは無関係に全世界から登録を受け付ける「gTLD」(generic TLD)、国際機関向けの「.int」など他の特殊なTLDがある。

ドメイン名の衝突を防ぐため、「ICANN」(Internet Corporation for Assigned Names and Numbers)という国際機関がTLDを一元管理しており、ICANNから委任を受けた各TLDの管理団体(「レジストリ」と呼ばれる)が、そのTLDにおける識別名のデータベースの管理、登録の受付を行っている。例えば、日本のccTLDである.jpドメインはJPRS(日本レジストリサービス)が管理している。

広義には、電子的な手段でメッセージを交換するシステムやサービス、ソフトウェア全般を指し、携帯電話のSMSや、各種のネットサービスやアプリ内で提供される利用者間のメッセージ交換機能などを含む。

狭義には、SMTPやPOP3、IMAP4、MIMEなどインターネット標準の様々なプロトコル(通信規約)やデータ形式を組み合わせて構築されたメッセージ交換システムを指し、現代では単に電子メールといえば一般にこちらを表すことが多い。

メールアドレス

電子メールの送信元や宛先は住所や氏名の代わりに「メールアドレス」(email address)と呼ばれる統一された書式の文字列が用いられる。これは「JohnDoe@example.com」のように「アカウント名@ドメイン名」の形式で表され、ドメイン名の部分が利用者が所属・加入している組織の管理するネットワークの識別名を表し、アカウント名がその中での個人の識別名となる。

企業や行政機関、大学などがメールサーバを運用して所属者にメールアドレスを発行しているほか、インターネットサービスプロバイダ(ISP)や携帯電話事業者などがインターネット接続サービスの一環として加入者にメールアドレスを発行している。

また、ネットサービス事業者などが誰でも自由に無料でメールアドレスを取得して利用できる「フリーメール」(free email)サービスを提供している。一人の人物が立場ごとに複数のアドレスを使い分けたり、企業の代表アドレスのように特定の個人に紐付けられず組織や集団などで共有されるアドレスもある。

メールサーバとメールクライアント

インターネットに接続されたネットワークには「メールサーバ」(mail server)と呼ばれるコンピュータが設置され、利用者からの要請により外部のネットワークに向けてメールを送信したり、外部から利用者に宛てて送られてきたメールを受信し、本人の使うコンピュータに送り届ける。利用者や他のサーバに対する窓口であり、郵便制度における郵便局のような役割を果たす。

メールサーバ内には利用者ごとに私書箱に相当する受信メールの保管領域(メールボックス)が用意され、外部から着信したメールを一時的に保管する。利用者が手元で操作するメールソフト(メールクライアント、メーラーなどと呼ばれる)は通信回線を介してメールサーバに問い合わせ、メールボックス内のメールを受信して画面に表示する。

Webメール

利用者の操作画面をWebアプリケーションとして実装し、Webブラウザからアクセスしてメールの作成や送信、受信、閲覧、添付ファイルのダウンロードなどをできるようにしたシステムを「Webメール」(webmail)という。

フリーメールサービスの多くは標準の操作画面をWebメールの形で提供しており、メールクライアントなどを導入・設定しなくてもWebブラウザのみでメールの送受信を行うことができるようになっている。企業などの組織で運用されるメールシステムでもWebメールを提供する場合があり、自宅や出先のコンピュータなどからアクセスできるようになっている。

メッセージの形式

電子メールには原則として文字(テキスト)データのみを記載することができる。特別な記法や書式を用いずに素の状態の文字データのみが記されたメールを「テキストメール」という。WebページのようにHTMLやCSSなどの言語を用いて書式や装飾、レイアウトなどの指定が埋め込まれたものは「HTMLメール」という。

また、画像や音声、動画、データファイル、プログラムファイルなどテキスト形式ではないデータ(バイナリデータ)を一定の手順でテキストデータに変換して文字メッセージと一緒に送ることができる。こうしたデータをメッセージ中に埋め込む方式の標準として「MIME」(Multipurpose Internet Mail Extension/マイム)が規定されており、これを利用してメールに埋め込んだファイルを「添付ファイル」(attachment file)という。

電子メールの普及と応用

電子メールはWeb(WWW)と共にインターネットの主要な応用サービスとして広く普及し、情報機器間でメッセージを伝達する社会インフラとして機能している。現在ではパソコンやスマートフォン、タブレット端末などのオペレーティングシステム(OS)の多くは標準でメールクライアントを内蔵しており、誰でもすぐに利用できるようになっている。

電子メールシステムでは一通のメールを複数の宛先へ同時に送信する同報送信・一斉配信も容易なため、グループ共通のアドレスを用意してメンバー間の連絡や議論などに用いる「メーリングリスト」(mailing list)や、発行者が購読者に定期的にメールで情報を届ける「メールマガジン」(mail magazine)などの応用システムも活発に利用されている。

一方、広告メールを多数のメールアドレスに宛て無差別に送信する「スパムメール」(spam mail)や、添付ファイルの仕組みをコンピュータウイルスの感染経路に悪用する「ウイルスメール」(virus mail)、送信元を偽って受信者を騙し秘密の情報を詐取する「フィッシング」(phishing)など、電子メールを悪用した迷惑行為や犯罪なども起きており、社会問題ともなっている。

SMTP(Simple Mail Transfer Protocol)は利用者の電子メールクライアントから電子メールサーバに送信メールをアップロードしたり、メールサーバ間でメッセージを転送する際に用いられる標準的なプロトコルの一つで、設計が古くそれ自体には通信内容を暗号化する機能がない。

SMTPSではSMTPによる接続前にSSL(Secure Socket Layer)/TLS(Transport Layer Security)による仮想的な通信路を形成する。通常のSMTPとは異なる専用のポート番号(一般的には465番)を用いて当初からSSL/TLSにより通信を開始する方式と、通常のSMTPで通信を開始し、「STARTTLS」と呼ばれる手順で双方がSSL/TLSに対応しているか確認し、対応していればSSL/TLSで再接続する方式の2つがあり、現在では後者が定着している。

これにより、メール本体や添付ファイルなどを暗号化することができ、SMTP認証を利用する場合はアカウント名やパスワードなどの認証情報も保護することができる。通信経路上の機器による送受信情報の「覗き見」によるプライバシーや機密情報の漏洩、認証情報の詐取によるアカウントの乗っ取りなどを防止することができる。

POP3(Post Office Protocol)は電子メールサーバから利用者の電子メールクライアントに受信メールをダウンロードする際に用いられる標準的なプロトコルの一つで、設計が古くそれ自体には通信内容を暗号化する機能がない。

POPSではPOP3による接続前にサーバとクライアントの間でSSL(Secure Socket Layer)/TLS(Transport Layer Security)による仮想的な通信路を形成する。通常のPOP3接続ではTCPの110番ポートを利用するが、POPSでは標準ではTCPの995番ポートを使用する。

これにより、アカウント名やパスワードなどの認証情報、メール本体や添付ファイルなどを暗号化して送受信することができる。通信経路上の機器による送受信情報の「覗き見」によるプライバシーや機密情報の漏洩、認証情報の詐取によるアカウントの乗っ取りなどを防止することができる。

IMAP4(Internet Message Access Protocol)は電子メールサーバから利用者の電子メールクライアントに受信メールをダウンロードする際に用いられる標準的なプロトコルの一つで、設計が古くそれ自体には通信内容を暗号化する機能がない。

IMAPSではIMAPによる接続前にサーバとクライアントの間でSSL(Secure Socket Layer)/TLS(Transport Layer Security)による仮想的な通信路を形成する。通常のIMSP接続ではTCPの143番ポートを利用するが、IMAPSでは標準ではTCPの993番ポートを使用する。

これにより、アカウント名やパスワードなどの認証情報、メール本体や添付ファイルなどを暗号化して送受信することができる。通信経路上の機器による送受信情報の「覗き見」によるプライバシーや機密情報の漏洩、認証情報の詐取によるアカウントの乗っ取りなどを防止することができる。

HTTPはクライアントから要求(HTTPリクエスト)を送り、サーバが応答(HTTPレスポンス)を返すプル型(リクエスト/レスポンス型)の通信を基本としており、WebブラウザやWebクローラなどのクライアントから送信する要求の形式や、Webサーバからの応答の形式などを定めている。

HTTPリクエストおよびレスポンスは要求や返答の内容、資源の種類や形式などの情報、および関連する情報を記述した「ヘッダ部」(header)と、送受信する資源(ファイルなど)の本体である「ボディ部」(body)で構成される。ボディは基本的にはレスポンスに存在するが、クライアント側からデータを送信する際にはリクエストにも付加される。

HTTPは下位(トランスポート層)のプロトコルとして標準ではTCPを利用することが多いが、SSL/TLSを用いて暗号化されて伝送されることもある。この通信手順は「HTTP over SSL/TLS」と呼ばれ、URL/URIのスキーム名として通常の「http:」に代えて「https:」を用いる。

Cookieによるセッション管理

HTTPそのものは複数回の通信をまたぐ状態の保存・管理を行わないステートレス型のシンプルなプロトコルだが、「Cookie」(クッキー)と呼ばれる拡張仕様により状態管理ができるようになっている。

Cookieはサーバがレスポンスヘッダの一部としてクライアントに送付する短い文字データで、クライアントはこれをストレージなどに恒久的(ただし有効期限が切れると消滅する)に保存する。次回サーバへリクエストを送付する際にはヘッダに前回受信したCookieの内容を書き入れて送信する。

サーバはCookieを参照することで個々のクライアントを識別・同定することができる。サーバとクライアントの間で何往復も繰り返しやり取りが必要な複雑な処理(セッション)を容易に実装することができ、間が空いてから再アクセスしてもサーバは相手がどのクライアントなのか見分けることができる。

認証方式

HTTPではクライアントを用いてアクセスしてきた利用者を識別・認証し、アクセス権限に応じたサービスを提供するため、認証手順(HTTP認証)についても定めている。当初規定されたのは単純にユーザー名とパスワードをやり取りする「基本認証」(BASIC認証)だが、パスワードが通信途上で盗聴される危険性に対処するためにチャレンジ/レスポンス認証の一種である「ダイジェスト認証」(Digest認証)が追加された。

現在では利用者の認証が必要な用途ではHTTP通信自体を丸ごと暗号化するSSL/TLSを用いるのが一般的となっており、認証機能もアプリケーション側で実装するようになったため、HTTP自体の認証機能はあまり使われなくなっている。

歴史

HTTPの最初のバージョン(HTTP/0.9)は、Webを考案したティム・バーナーズ・リー(Timothy J. Berners-Lee)氏らによって1991年に公表された。その後、インターネット関連技術の標準化を推進するIETF(Internet Engineering Task Force)によって標準化が進められ、1996年にHTTP/1.0(RFC 1945)が、1997年に改良版のHTTP/1.1(RFC 2068)が発行された。

現在最も普及しているのはこのHTTP/1.1で、2014年にRFC 7230～7235として改訂された。2015年には互換性を維持しつつ大幅な機能強化を図ったHTTP/2が、2022年にはトランスポート層にQUICを統合したHTTP/3が標準化され、一部の仕様が大きく変更されている。

様々な資源の所在地にあたる情報の記述の仕方を定めたもので、資源の取得方法(種類)や、ネット上での当該資源の存在するコンピュータの識別名や識別番号、コンピュータ内部での資源の位置などで構成される。

先頭には「http:」「ftp:」のように必ず資源の取得方法を記述する決まりで、これを「スキーム名」という。スキーム名はデータの送受信を行うプロトコル(通信規約)名であることが多いが、ローカルファイルの所在を記述する「file:」のようなスキーム名もある。

スキーム名に続く識別情報の記述形式はスキーム毎に異なるが、プロトコル系のスキームではサーバのドメイン名(ホスト名)やIPアドレス、ポート番号、ディレクトリ名、ファイル名を区切り記号を挟んで順番に記述する形式が一般的である。

Web上の資源を表すhttpスキームでは「http://e-words.jp:80/w/URL.html」のような構成となり、「http:」がスキーム名、「e-words.jp」がコンピュータのドメイン名、「:80」が通信に用いるポート番号、「/w/」がWebサーバ上での目的のディレクトリ、「URL.html」が取得したいファイル名である。

URLの標準規格は1994年にIETFによってRFC 1738として策定された。その後、1998年に資源の(所在から独立した)識別名の記法である「URN」(Universal Resource Name)を含む、より汎用的な規格として「URI」(Universal Resource Identifier)が策定された。現在は正式にはURLはURI仕様の一部となっている。

伝達・保存したいデータそのものである「平文」(cleartext)と、これとは別に用意された短い秘密の符号である「暗号鍵」(cipher key)を組み合わせ、あらかじめ定められた手順によりデータの演算、加工を行い、一見すると意味が分からない符号の羅列である「暗号文」(ciphertext/cryptogram)に置き換える操作を指す。

暗号文を正規の暗号鍵を用いて平文に戻す処理を「復号」(decipher/decryption)という。正規の鍵が分からない状態で暗号鍵または平文を割り出そうとすることを「攻撃」(attack)、実際に割り出すことを「解読」(crack)という。

共通鍵暗号と公開鍵暗号

暗号化と復号に同じ暗号鍵を用いる暗号方式を「共通鍵暗号」(common key cryptosystem)「共有鍵暗号」あるいは「秘密鍵暗号」(secret key cryptosystem)という。公開鍵暗号が発明される以前はこの方式しかなかった。

一方、対(ペア)になる二つの鍵を用いて、片方で暗号化、もう一方で復号を行う方式を「公開鍵暗号」(public key cryptosystem)という。鍵ペアのうち片方は公開し、片方は秘匿した状態で運用される。暗号化に用いた鍵では復号できず、一方の鍵からもう一方を割り出すことも困難という性質があり、デジタル署名などにも応用される。

慣用的な用法

厳密には暗号化とは言えないが、目的や手法が似ているために慣用的に暗号化と呼ばれることがある変換手法がいくつかある。例えば、原文から一定の計算手順で特徴的な固定長のデータを算出する「ハッシュ関数」(hash function)および「ハッシュ化」(hashing)は、計算後のハッシュ値から元のデータに戻すことは原理的にできないため暗号化とは区別されるが、原文を秘匿する目的に使われることがあるため、そのような文脈では分かりやすさを優先して慣用的に暗号化と呼ばれることがある。

また、暗号鍵に相当する秘密の情報を用いずにデータを一定の手順で乱雑化する「スクランブル化」(scrambling)や、コンピュータプログラムのソースコードなどをコンピュータが解釈・実行できる状態を保ったまま人が容易に読み下せない形式に変換する「難読化」(obfuscation)なども、慣用的に暗号化と呼ばれることがある。

データや信号などを、何らかの目的のために符号化(encode)することがある。盗聴を防ぐための暗号化やデータ量を削減するための圧縮、伝送中の信号の誤りに備えた誤り訂正符号の付与などである。

このように元の状態から変換された符号列から、符号化とは逆方向の変換処理を行い、元のデータに復元する処理や工程を復号という。暗号の場合には、暗号化に用いた秘密の情報(暗号鍵)を用いて元のデータを得ることを意味し、これを用いずに元の情報を復元することは「解読」という。

「暗号」が暗号文の意味を持ち、変換過程のことを「暗号化」というため、同じように「復号化」と表記する例も見られるが、一般には符号の逆変換工程のことを「復号」と呼び、得られたデータを「復号」とは呼ばないため、復号化という表記は誤りであるとみなされることが多い。

英語では “decode” (動詞) “decoding” (名詞)というが、特に暗号の復号のことは “decrypt” / “decryption” あるいは “decipher” ということが多い。(暗号鍵を用いない)解読のことは “attack” “break” “crack” などのように表現することが多い。

「文」(text)という語が充てられ、「パスワードを平文で送る」といったように、実際、多くの場面で文字(テキスト)を指すが、暗号化されていないデータ全般を含む概念であり、文脈によっては画像、音声、動画、実行形式のコンピュータプログラムなどのバイナリ形式のデータを指す場合もある。

平文のことを「プレーンテキスト」(plaintext)と呼ぶこともあるが、これは暗号以外の分野ではバイナリデータの対義語(文字コードに規定された符号のみからなる、文字列として入出力可能なデータ列)であり、必ずしも「暗号化されていない」という意味とは限らない。

慣用的に「ひらぶん」と湯桶読みすることが多いが、例えばJIS規格(JIS X 0008 情報処理用語)では「ひらぶん」と「へいぶん」が併記されており、「へいぶん」が誤りというわけではない。

平文認証 (クリアテキスト認証/プレーンテキスト認証)

利用者認証などで、認証に必要な情報を暗号化などせずにそのままの形で送受信することを平文認証、プレーンテキスト認証(plaintext authentication)、クリアテキスト認証(cleartext authentication)などという。

認証情報の伝送方式として最も単純なもので、データの暗号化やハッシュ化などを行わず、利用者などの識別子(ID、ユーザ名など)や本人であることを確認する秘密の情報(パスワード、パスコード、パスフレーズ、暗証番号など)をそのままやり取りする。

通信回線やネットワークを介して認証を行う際に、信用できない通信経路上で平文認証を行うと途中で悪意の第三者による盗聴や改竄、なりすましなどの被害にあう危険性があるため、暗号化などに対応した認証方式を用いる必要がある。

暗号化の対象となる平文と、単一の暗号鍵を用いて、特定の計算手順(暗号アルゴリズム)により暗号文を得る。平文と鍵のいずれかが異なれば暗号文も異なる。暗号文を元の平文に戻すには、暗号化に用いた鍵によって暗号化時と逆方向の変換を行う。

古代より換字表を鍵としたものなど様々な方式が利用されてきたが、現代では、数十から数百ビット程度の規則性のないデータを鍵として、任意の長さの平文をコンピュータによる計算により暗号化する方式が普及している。アルゴリズムは公開を原則とし、暗号鍵の推測しにくさ(特に、鍵の長さ)によって安全性を確保する。

暗号化を行うデータの区切り方の違いにより、一定の長さごとのブロック単位で暗号化を行うものを「ブロック暗号」(block cipher)、1ビット単位で処理するものを「ストリーム暗号」(stream cipher)という。ブロック暗号は64ビットや128ビット、長いものでは256ビットなどの単位ごとにデータを区切り、それぞれの塊ごとに暗号化と復号を行う。

鍵が分かれば暗号文を平文に戻すことができるため、送信者と受信者の間で鍵を安全に受け渡して共有する必要がある。多数の相手との間で暗号を利用する場合、全員に同じ鍵を渡せば漏洩の危険が高まり、すべて別の鍵にすれば鍵の生成や受け渡し、暗号化のコストが増大するというジレンマがある。

代表的な共通鍵暗号方式方式として、1977年に米IBM社が開発し米政府標準に採用された「DES」(Data Encryption Standard)や、その後継として2000年に米政府標準となった「AES」(Advanced Encryption Standard/暗号アルゴリズムとしてはRijndaelラインダール)、ストリーム暗号の標準的な方式として広く普及している「RC4」(ARCFOUR)などがよく知られる。

公開鍵暗号との違い

一方、対になる2つの鍵ペアを生成し、一方で暗号化を、もう一方で復号を行う暗号方式を「公開鍵暗号」(public key encryption)という。片方の鍵は共通鍵暗号方式の鍵のように第三者に知られないよう秘匿する秘密鍵だが、相手方に送る方の鍵は人に知られてもよいため「公開鍵」と呼ばれる。

1970年代に公開鍵暗号が考案されるまでは暗号といえば共通鍵暗号方式のことだった。現代でも、暗号化や復号の処理速度は共通鍵暗号方式の方が優れているため、両方式を組み合わせ、共通鍵暗号方式の鍵交換のために公開鍵暗号を用い、データ本体は共通鍵暗号方式で暗号化する「ハイブリッド暗号」がSSL/TLSなどの形で広く利用されている。

1976年にウィットフィールド・ディフィー(Whitfield Diffie)氏とマーティン・ヘルマン(Martin E. Hellman)氏によって基本原理が考案された。具体的な暗号方式として世界で初めて公表されたのは、1977年にロナルド・リベスト(Ronald L. Rivest)氏、アディ・シャミア(Adi Shamir)氏、レオナルド・エーデルマン(Leonard M. Adleman)氏が考案したRSA暗号である。

暗号化に用いる暗号鍵は誰に知られてもよいため公開鍵(public key)と呼ばれ、復号に用いる鍵は本人しか知らないよう管理する必要があるため秘密鍵(secret key)と呼ばれる。ある相手に暗号文を渡したいときにはその人の公開鍵を入手して暗号化することで、秘密鍵を知る本人しか復号できない暗号文を得ることができる。

最もよく知られるRSA暗号ではこれとは逆に、秘密鍵で暗号化して公開鍵で復号することも可能だが、これはほとんどの公開鍵暗号方式方式ではできない珍しい性質で、一般的な特徴ではない。

共有鍵暗号と公開鍵暗号

公開鍵暗号方式が発明される以前の暗号は単一の暗号鍵で暗号化と復号の両方を行うものしかなかったが、現在ではこのような暗号は「共通鍵暗号」(共有鍵暗号/秘密鍵暗号/対称鍵暗号)と呼ばれる。

公開鍵暗号方式は復号のための鍵を完全に秘匿したまま運用でき、共有鍵で必要となる鍵を安全に相手に配送するために高コストの手段(人が訪ねて手渡しする等)を用意する必要がなく、配送途上で盗み取られて解読される危険もないという利点がある。

一方、共有鍵暗号より暗号化や復号の処理が複雑で、同程度の暗号強度を得るのにより多くの計算資源や計算時間を必要とする。両者の特徴を組み合わせ、通信データの暗号化自体は共有鍵暗号を利用し、共有鍵を安全に受け渡す手段として公開鍵暗号方式を利用する「ハイブリッド暗号」もよく用いられる。

秘密鍵解読の困難性

秘密鍵と公開鍵の鍵ペアを生成するのは容易な一方、公開鍵から秘密鍵を推測したり割り出したりするのはコンピュータによる解析でも極めて困難になるよう設計されている。

この困難さは数学上の問題を背景にしており、例えばRSA暗号は数十桁もある巨大な2つの素数をかけ合わせた数を素因数分解する効率的な手法は発見されていないことを利用する。素数を元に秘密鍵を、素数の積を元に公開鍵を生成すれば、現代の技術では現実的な計算資源や時間で効率よく公開鍵から秘密鍵を割り出すことはできない。

同様に、ElGamal暗号やDiffie-Hellman鍵交換、DSA(デジタル署名アルゴリズム)では離散対数問題と呼ばれる数学上の問題を、楕円曲線暗号では楕円曲線上の離散対数問題と呼ばれる問題を秘密鍵解読の困難性の担保としている。

公開鍵暗号とデジタル署名

公開鍵暗号方式の原理(必ずしも公開鍵暗号方式そのものとは限らない)と暗号学的ハッシュ関数を組み合わせ、文書やメッセージにすり替えや改竄が行われていないことや、確かに作成者・送信者本人のものであると証明する短いデータを生成することができる。文書データの末尾などに添付され、サインや印鑑のような働きをするため「デジタル署名」(digital signature)と呼ばれる。

メッセージの送信者は本人しか知らない秘密鍵と本文を元に一定の手順で算出した固定長の暗号データをメッセージに添付し、相手方に送る。受信者は受け取った本文と、送信者の公開鍵などを用いて一定の手順で同様のデータの算出を試み、添付されたものと照合する。両者が一致すれば、メッセージが確かに送信者本人のものであり、かつ伝送途上で第三者による改竄やすり替えが行われていないことが確認できる。

公開鍵証明書とPKI

公開鍵暗号方式は共有鍵のように復号のための鍵を盗み取られる危険は少ないが、暗号化のために相手の公開鍵を入手する際、信用できない経路を用いることで悪意のある第三者によって偽物にすり替えられる別の危険性がある。

確実に相手の公開鍵を入手するには共有鍵のように安全な別の経路で共有するのも一つの手段だが、それでは結局同じように高いコストがかかってしまう。危険な経路でも安全に鍵を受け渡すため、公開鍵に信頼できる第三者がデジタル署名した「デジタル証明書」(公開鍵証明書)を渡し、鍵の真正性を確認できるようにするという方式が考案された。

証明書を検証するには発行者(認証局という)の公開鍵が必要となるため、受信者は送信者が利用する認証局の公開鍵を安全に入手しなければならない。しかし、世の中のすべての認証局の公開鍵をあらかじめ揃えておくことは現実的ではない。

このため、実際にはWebブラウザなど公開鍵暗号方式を利用するソフトウェアには世界的に有力な大手商用認証局や政府機関の認証局の公開鍵が安全な方法であらかじめ組み込まれており、各認証局は自らの公開鍵をそれら最上位の認証局(ルート認証局)が発行した証明書として提供している。このように、インターネットのみで公開鍵暗号方式を安全に運用できるようにするために築かれた社会的基盤のことをPKI(Public Key Infrastructure：公開鍵基盤)という。

公開鍵暗号では一対の対応関係にある暗号鍵のペアを用い、公開鍵で暗号化した暗号文は秘密鍵でしか復号できないという仕組みになっている。通信を暗号化する場合は相手の公開鍵を入手して送信データを暗号化することにより、対になる秘密鍵を知る相手本人しか復号できないようにする。

代表的な公開鍵暗号のRSA方式ではこの逆も可能で、秘密鍵で暗号化(に相当する変換処理)を行い、対になる公開鍵で復号する、といった使い方もできる。このような対称性を持つ方式は珍しく、公開鍵暗号一般に見られる性質ではない。

また、メッセージを送信する際に、本文をハッシュ関数で要約した短いデータと秘密鍵、公開鍵を元に一定の手順で計算したデジタル署名を添付することにより、受信側が送信元を確認したり、改竄やすり替えを検知することができる。

公開鍵暗号を利用するには事前に相手方の公開鍵を入手しておく必要があるが、実用上は相手方との間にインターネットなど必ずしも信用できない経路を含む伝送手段しかない場合が多く、攻撃者によるすり替えなどの危険がある。

このため、送信者と受信者の双方が信頼する第三者が電子署名した特殊なメッセージによって公開鍵を運び、受信者が送信元や鍵の真正性の確認を行うことができるようにすることが多い。この公開鍵を含む署名されたメッセージをデジタル証明書(電子証明書/公開鍵証明書)と呼ぶ。

公開鍵暗号では一対の対応関係にある暗号鍵のペアを用い、公開鍵で暗号化した暗号文は秘密鍵でしか復号できないという仕組みになっている。代表的な公開鍵暗号のRSAではこの逆も可能で、秘密鍵で暗号化(に相当する変換処理)を行い、対になる公開鍵で復号する、といった使い方もできる(このような対称性を持つ公開鍵暗号は珍しい)。

通信を暗号化する場合は相手の公開鍵を入手して送信データを暗号化することにより、対になる秘密鍵を知る相手本人しか復号できないようにすることができる。また、メッセージを送信する際に、本文をハッシュ関数で要約した短いデータと秘密鍵、公開鍵を元に一定の手順で計算したデジタル署名を添付することにより、受信側が送信元を確認したり、改竄やすり替えを検知することができる。

秘密鍵が漏洩すると自分宛ての暗号文を攻撃者に解読されたり、攻撃者が自分になりすまして署名したりできるようになってしまう。このため、秘密鍵が漏洩したり漏洩の疑いがある場合には対になる公開鍵と共にこれを失効させ、新たな鍵ペアを生成して使用する。

また、稀に秘密鍵暗号(共通鍵暗号)で暗号化と復号の両方に用いられる単一の暗号鍵を秘密鍵と呼ぶこともあるが、一つしかないため一般的には単に暗号鍵と呼ぶことが多い。

SSL/TLSは公開鍵暗号を応用したデジタル証明書による通信相手の認証(一般的にはサーバの認証)と、共通鍵暗号(秘密鍵暗号)による通信の暗号化、ハッシュ関数による改竄検知などの機能を提供する。Webアクセスに使われるHTTPと組み合わせ、Webサイトで認証情報や個人情報、決済情報などの送受信を安全に行う手段として広く普及している。

認証局と証明書

SSL/TLSでは、一対の秘密鍵と公開鍵を組み合わせて用いる「公開鍵暗号」により通信相手の確認や通信の暗号化に用いる暗号鍵の交換を行う。そのためには相手方(クライアント側ソフトウェアにとってサーバ側)の公開鍵をすり替えや改竄ができない方法で入手する必要がある。

SSL/TLSを利用するクライアント(Webブラウザなど)が、アクセス先のすべてのサーバの公開鍵を個別に安全に入手することは現実的ではないため、信頼できる「認証局」(CA：Certificate Authority)と呼ばれる機関が発行したデジタル証明書によって公開鍵の受け渡しを行う。

Webブラウザなどには著名な大手CAの公開鍵が記録された「ルート証明書」があらかじめ格納されており、これを用いてサーバから送られてきた証明書を検証することにより、途中ですり替えや改竄が行われていないことを確認することができる。この仕組みを「PKI」(Public Key Infrastructure：公開鍵基盤)という。

サーバ側ではSSL/TLSに対応するために大手CAやその認証を受けた下位CAの発行(通常は販売)する証明書を導入する必要がある。仕組みの上ではCAなど外部機関の認証を受けず自らが発行した証明書を使うこともできるが、クライアント側では「発行元の検証ができない」警告メッセージが表示される。

プロトコルとポート番号

SSL/TLSはプロトコル階層ではIP(Internet Protocol)の一段階上位で、TCPやUDPと同じトランスポート層のプロトコルである。TCPの代替として利用することができるため、HTTPに限らず様々な上位層(アプリケーション層)のプロトコルと組み合わせて使用され、インターネットにおける汎用的な通信の暗号化方式として定着している。

組み合わせるプロトコル応じて「○○ over SSL」(○○S)という名称で呼ばれ、HTTPであれば「HTTPS」、SMTPであれば「SMTPS」、POP3であれば「POP3S」などと呼ばれる。これらは元のプロトコルとは別に標準のポート番号が与えられており、HTTPは標準ではTCPの80番を使用するが、HTTPSは443番を使う。同様にSMTPSは465番(SMTPは25番)、POP3Sは995番(POP3は110番)が割り当てられている。

SSLとTLS

初期のSSL/TLSの仕様は1990年代半ばに当時のWebブラウザ大手、米ネットスケープ・コミュニケーションズ(Netscape Communications)社が開発した。SSL/TLS 1.0は欠陥が見つかったため公式発表前に破棄され、最初に公開されたのは1994年のSSL/TLS 2.0である。翌1995年にSSL/TLS 3.0が発表された。これらは現在では深刻な脆弱性が発見されており、利用を中止して後継版へ移行することが推奨されている。

SSL/TLS 3.0の次のバージョンから名称が「TLS」(Transport Layer Security)に変更されたため、現在広く利用されているのは正確にはTLSの方だが、「SSL/TLS」という名称が既に広く定着していたため、実際にはTLSを指していてもSSLと表記したり、「SSL/TLS」「TLS/SSL」などと両者を併記することが多い。

相手が本物か確かめるという相手認証の他に、メッセージ認証のようにデータが改竄されていないか確かめたり、時刻認証のようにデータの属性が真正であることを確認することを指す場合もある。

二者間認証/相手認証 (authentication/オーセンティケーション)

二者が相対で相手方の真正性などを確かめることを「相手認証」あるいは「二者間認証」と呼び、英語では “authentication” (オーセンティケーション、動詞は “authenticate” )という。

例えば、ある利用者がコンピュータに自分のアカウント名を名乗り、そのアカウント名の正しいパスワードを入力できれば、確かにその利用者がアカウント名の本人であることが確認できる。日常的にも、金融機関のATM(現金自動預け払い機)などで、キャッシュカードを提示したのが本人であることを確認するために暗証番号を入力させる、といった場面で利用されている。

三者間認証/第三者認証 (certification/サーティフィケーション)

第三者に問い合わせて相手方の正当性を確かめることを「三者間認証」あるいは「第三者認証」と呼び、英語では “certification” (サーティフィケーション、動詞は “certify” )という。

例えば、通信経路を暗号化する際などに、相手方から提示されたデジタル証明書を発行元(認証局/CA：Certificate Authority)に照会すれば、身元を確認することができる。日常的には、資格や行政機関の認証制度、クレジットカードを使用する際に加盟店が発行元に信用照会する仕組みなどが該当する。

認証方法の分類 (WYK/WYH/WYA)

認証を行う二者の間で事前に秘密の情報を共有し、認証時に正しく入力できれば本人であるとみなす方式をWYK(What You Know)認証という。パスワードやパスフレーズ、暗証番号などが該当する。何らかの方法で本人から詐取したり、入力時の覗き見や通信時の盗み見などで秘密の情報を入手されると、認証が突破され第三者によるなりすましが可能となる。

認証元が本人に発行した物理的なモノを提示・接続することにより本人であることを確認する方式をWYH(What You Have)認証という。セキュリティトークン(USBトークンなど)や暗号鍵などを格納したICカードを手元の機器の端子に接続したり、本人に発行した乱数表の指定位置の文字・数字を入力させるといった手法が知られる。モノを盗まれるとなりすましの危険がある。

認証元に登録された本人の身体に固有のパターンにより本人確認する方式をWYA(What You Are)認証あるいは生体認証(バイオメトリクス認証/biometrics authentication)という。指紋認証や静脈認証(掌の静脈のパターンを用いる)、虹彩認証(瞳の黒目部分にある虹彩の模様を用いる)、声紋認証、顔認証などが知られる。

他の方式より他人による(特定の個人への故意の)なりすましは最も難しいとされるが、方式によってはパターン識別システムの認識精度を100%にすることは難しく、本人を拒否してしまったり、他人と取り違えてしまうといった誤検知の問題がある。

認証と認可

認証済みの利用者に対し、アクセス権の設定などを参照して本人に与えられた適切な権限による操作を許可する(権限外の利用を拒否する)ことを「認可」と呼び、英語では “authorization” (オーソライゼーション、動詞は “authorize” )という。

認証の次の段階で行われる権限の付与のことを指すが、単純なシステムでは認証と同時に認可も済んでしまうことも多く、字面も似ており、日常的な語彙としては似た意味合いであるため、しばしば混同される。認証向けの技術を認可に用いるといった不適切な事例も起きている。

英語でも “authentication” と “authorization” は日常語彙としては意味も綴りも似ており、日本語の場合と事情は近い。さらに、方式名や製品名に使用する際などに、どちらも “auth” と略されることがあるため、余計に混同しやすいという事情があり、近年では認証を “authn” 、認可を “authz” として別の略号を用いることが提唱されている。

古来より指紋は本人固有の生体的特徴として利用されてきたが、コンピュータによる指紋認証ではセンサーで表面の模様を読み取って一定の手順で図形的な特徴を符号化し、記録された本人のものと照合する。

指紋以外にも、眼球の黒目部分の皺の模様を用いる虹彩認証や、手のひらや指先の静脈の形状を赤外線センサーなどで読み取る静脈認証、声の特徴を用いる音声認証(声紋認証/声認証)、顔の特徴を用いる顔認証などが実用化されている。ペン型の入力機器で署名させ、その形状や筆圧、速度の変化などを符号化して照合する電子サインも生体認証の一種と言える。

パスワードなど単純な文字列や数字の比較に比べ、センサーを備えた特殊な機器が必要だったり、画像処理などで大量の計算をしなければならないなど仕組みが大掛かりなため、出入国管理や金融機関など業務用の機器やシステムから普及が始まった。

2010年代には装置の小型化やコンピュータの性能向上などが進み、スマートフォンやノートパソコンなどの携帯情報端末での利用者認証などにも利用が広がっている。パスワードなどと組み合わせて二段階認証を構成し、より高いセキュリティを実現する用途にも用いられる。

アカウントのUID

システムやサービスに利用者登録(アカウント作成)を行う際に設定する利用者名(ユーザー名/アカウント名)のことをユーザーIDということがある。氏名やメールアドレス、ニックネーム、本人が任意に設定する英数字の組み合わせなどが使われることが多い。

UNIXのUID

UNIX系OSで登録利用者を一意に識別するために割り振られた識別番号をUIDあるいは「ユーザー識別子」という。16ビットあるいは32ビットの整数値が用いられ、0は必ずスーパーユーザー(rootユーザー)を表し、1から100(OSによって異なる)はシステムによって予約されている。

携帯電話のUID

携帯電話事業者が個々の契約者に割り当てた契約者固有識別子や、個々の端末に割り当てた端末固有識別子などをUIDということがある。

文脈により、SIMカードなどに記録された契約者ごとに固有の識別番号(端末が変わっても引き継がれる)などを指す場合と、端末内部に記録された個体ごとに固有の製造番号(利用者が変わっても引き継がれる)などを指す場合がある。

利用者の登録・識別を必要とするシステムでは、利用者の登録(アカウント作成など)の際に識別名(ユーザーID/アカウント名)とセットでパスワードを登録する。その識別名を名乗る利用者が使用開始(ログイン)を申請すると、システムはパスワードの入力を求め、登録されたものと一致すれば本人とみなして使用を許可する。

利用できる文字の種類や長さは個々のシステムによって定められているが、(半角の)ラテンアルファベット(大文字・小文字の区別あり)、数字、一部の記号の組み合わせで8文字以上と規定されている場合が多い。

パスワードと同じ秘密の情報を入力させる仕組みのものには、数桁の数字を入力させる暗証番号(PIN：Personal Identification Number)や、いくつかの単語の組み合わせを入力させるパスフレーズ(passphrase)などがある。

パスワードの割り出し

パスワードを他人に知られてしまうと自分になりすましてシステムを利用されてしまうため、誰にも知らせてはならない。ただし、攻撃者が不正にシステムを利用するためにパスワードの割り出しを試みる場合があり、直接知られなくても入手されてしまうことがある。

パスワードへの攻撃は、何らかの手法で候補を大量に生成し、実際にログインを試みることにより行われることが多い。主な手法として、すべての文字の組み合わせを片っ端から試す「総当たり攻撃」(ブルートフォースアタック)や、人間が覚えやすい既存の単語や文字の並びのリストを作り、それらを組み合わせて候補を作成する「辞書攻撃」(ディクショナリアタック)などがある。

これらの攻撃手法では短く覚えやすいものほど割り出しやすいため、パスワードは覚えられる範囲でなるべく長く、様々な文字種(大文字・小文字・数字・記号)を組み合わせて作成し、意味のある単語や覚えやすい単純な文字の並び(「password」「123456」など)などは避けるべきとされる。

また、本人や家族の氏名、生年月日、電話番号、居住地、出身地など、何らかの方法で入手した本人についての様々な情報から候補を作成する手法もあるため、自分や家族に関連する単語や番号などは含めないことが望ましい。

何に対するどんな権限を設定できるかはシステムの種類によって様々だが、単にアクセス権といった場合はOSのアカウント管理システムやファイルシステムなどを通じて設定される、ストレージ(外部記憶装置)内のファイルやフォルダ、周辺機器などに対する利用権限を指すことが多い。

多くのOSでは、ファイルやフォルダに対しては「読み込み」「書き込み」「作成」「削除」などの動作について、また、実行可能ファイルはこれに加えて「実行」について可否を設定できるようになっている。

アクセス権は特定のユーザーアカウントやアカウントのグループを単位に設定するようになっていることが多いが、「管理者」「全員」「システム」「作成者」など特別な組み込みアカウントやグループを指名できる場合もある。

アクセス権を変更する権限を持つのは一般に管理者や管理者グループに属するユーザーで、一般の利用者は与えられたアクセス権に従って資源を使用するのみになっていることが多い。

対になる2つの暗号鍵を用いる公開鍵暗号の原理と暗号学的ハッシュ関数を組み合わせた仕組みで、メッセージの送信者は本人しか知らない秘密鍵と本文を元に一定の手順で算出した固定長の符号をメッセージに添付し、相手方に送る。

受信者は受け取った本文と、秘密鍵と対になる送信者の公開鍵などを用いて一定の手順で同様の符号の算出を試み、添付されたものと照合する。両者が一致すれば、メッセージが確かに送信者本人のものであり、かつ伝送途上で第三者による改竄やすり替えが行われていないことが確認できる。

電子署名はインターネットなど信頼できない経路を通じたメッセージの送受信でよく用いられるが、文書の安全な保管などにも用いられる。作成者が後になって自分が作成したことを否定するのを防ぐ(否認防止)証拠として用いられる場合もある。

公開鍵証明書とPKI

受信者が署名を検証するには送信者の公開鍵が必要だが、インターネットなど信頼できない経路で伝送すると攻撃者によるすり替えの危険があるため、公開鍵データに送信者と受信者の双方が信用する第三者のデジタル署名を添付するという手法が考案された。これをデジタル証明書(公開鍵証明書)と呼び、信頼できる第三者を認証局(CA：Certificate Authority)という。

証明書の真正性を確認するには認証局の公開鍵が必要であり、これは上位の認証局によって署名されたデジタル証明書によって配布される。このような信頼の連鎖の起点となる最上位の認証局はルート認証局(Root CA)と呼ばれ、実用上は送信者と受信者が同じルート認証局の証明書(ルート証明書)を持っていれば、それに連なる任意の認証局の証明書を用いて鍵を配送することができる。

このような安全な公開鍵配送のための社会的なインフラのことをPKI(Public Key Infrastructure)と呼び、インターネットなどで電子署名を利用するソフトウェアにはあらかじめ世界的に有力なルート認証局の証明書が組み込まれている。

電子署名とデジタル署名の違い

「電子署名」(electoronic signature)とは本来、紙の文書における押印やサインに相当する証明手段を電子的な手段で実現したもの全般を表す総称であり、「デジタル署名」(digital signature)は公開鍵暗号の原理に基づく電子署名の一方式である。

電子署名の方式としては他に、ペン型の入力機器で文書にサインを書き入れる電子サインなどがあるが、最も有力で普及しているデジタル署名を電子署名の同義語のように用いることが多い。

電子署名法

電子署名と認証業務に関する規定を定め、電子署名が手書き署名や押印と同等に通用することを定めた日本の法律。2000(平成12)年5月成立、2001年4月施行。正式名称は「電子署名及び認証業務に関する法律」。

有効な電子署名について一定の要件を定め、これを満たす電子署名が付された電子データに対して紙の文書に署名・捺印されたものと同等の法的な証拠性を認めている。具体的な技術要件は総務省・経済産業省・法務省が共同で告示しており、1024ビットRSAや1024ビットDSA、160ビットECDSAが挙げられている。このうちRSAについては危殆化の懸念から2019年までに2048ビットへの移行が予定され、同時にこれらの署名方式に用いるハッシュ関数もSHA-1からSHA-2へ移行される。

また、署名が本人のものであることを証明する認証業務について、一定の基準を満たした認証局がデジタル証明書を発行する業務を特定認証業務としている。その中で、さらに厳しい基準を満たし、国や指定検査機関の審査を経て認定された認証局の業務を認定認証業務という。認定認証局は全国で十社程度が認定されている。

ルート認証局は上位の認証局による認証を受けず、自分の正当性を自ら証明する。他の認証局に対してデジタル証明書を発行し、認証局に対する信頼の拠り所となる。ルート証明書の信頼性は、厳しい監査を受けることや、認証業務運用規程(CPS)を公開すること、運用実績や知名度など、デジタル証明書以外の方法で示される。

ルート認証局以外の認証局が中間認証局で、上位の認証局からデジタル証明書を発行してもらうことで、自らの正当性を証明する。中間認証局の多くは一般にデジタル証明書を販売する事業者で、Webサーバに導入するSSLサーバ証明書などはここから購入する。

通常、Webブラウザなどデジタル証明書を利用するソフトウェアには、ソフトウェアの発行元や利用者が信頼できるルート認証局の証明書が同梱されている。Webサイトなどに接続した時に、相手の提示した証明書が信用できるかどうかは、発行元の認証局を調べ、さらにその認証局を認証している上位局を調べ…といった具合に辿っていき、最終的に自分の手元にあるルート証明書に一致するルート認証局にたどり着けば、信用できると確認できる。

なお、商用認証局から証明書の交付を受けるには費用がかかるため、Webサイトなどの中には、自らがルート認証局となって証明書を発行し、暗号化通信などを利用するサイトもある。そのようなサイトの場合、あらかじめ同梱されたルート認証局の認証は受けていないことになるため、Webブラウザなどがその旨警告するようになっている。

登録局 (RA：Registration Authority)

デジタル証明書の発行申請を受け付け、本人確認を行い、認証局(CA：Certificate Authority)に発行を申請する機関を登録局(RA：Registration Authority)という。主に大規模なPKI(公開鍵認証基盤)で設置されるもので、自らは証明書を発行する機能・権限はなく、末端の利用者に対して発行や失効の手続きを受け付ける窓口となる機関である。

登録局から申請に応じて証明書を発行するのはCAの役割だが、登録局からの要請に基いて(自らは本人確認など登録局が行う業務は行わず)証明書の発行のみを行うCAのことを発行局(IA：Issuing Authority)ということがある。

検証局 (VA：Validation Authority)

デジタル証明書の失効リスト(CRL)を集中管理して、証明書の有効性をチェックする機関を検証局(VA：Validation Authority)という。認証局(CA)と違い、デジタル証明書の発行は行わず、検証機能に特化しているためこのように呼ばれる。クライアントからの問い合わせに応じて、CAの公開鍵で署名の正当性を検証したり、証明書の有効期限を確認したりする。

公開鍵暗号では一対の暗号鍵の組を用い、一方は自分しか知らない秘密鍵として、もう一方は通信の相手方に渡して使ってもらう公開鍵として用いる。相手と安全な受け渡し手段がある場合は事前に公開鍵を渡しておくことができるが、そうでない場合はインターネットなど信用できない経路を含む通信手段で鍵を配送しなければならない。

そこで、公開鍵が通信途上で攻撃者による改竄・すり替えに遭っておらず、確かに送信者本人のものであると受信者が確認できるようにするために、公開鍵データに送信者と受信者の双方が信用する第三者(認証局)のデジタル署名を添付するという手法が考案された。

送信者は認証局に自らの識別(身元)情報や公開鍵を申請し、認証局の秘密鍵でデジタル署名された電子証明書を作成してもらい、これを受信者に渡す。受信者は証明書から公開鍵を取り出し署名を検証することで、認証局がその公開鍵が送信者本人のものであると主張していることを確かめることができる。

現在広く普及している電子証明書の規格はITU-Tの定めたX.509で、公開鍵自体の他に、証明書発行者(認証局など)の識別情報、証明書の識別情報(シリアル番号など)、証明書の有効期間(開始日・終了日)、鍵の所有者の識別情報、公開鍵の暗号アルゴリズムの種類、発行者によるデジタル署名などの情報が記載される。

認証局の鍵配送問題とルート認証局

証明書のデジタル署名を検証するには認証局の公開鍵が必要となるため、受信者は送信者が利用する認証局の公開鍵を安全に入手しなければならない。しかし、世の中のすべての認証局の公開鍵をあらかじめ揃えておくことは現実的ではなく、また、インターネットなどで公開鍵をそのまま配送するのは送信者の鍵を送る場合と同じ危険がある。

この問題を回避するため、Webブラウザなど公開鍵暗号を利用するソフトウェアには世界的に有力な少数の認証局の公開鍵が安全な方法であらかじめ組み込まれており、そのような認証局をルート認証局(ルートCA)という。

各認証局は自らの公開鍵を上位の認証局に署名してもらって公開し、上位認証局はさらに上位の認証局に署名してもらって鍵を公開し…というプロセスを繰り返し、最終的にルート認証局の署名が得られれば、利用者は安全に各認証局の公開鍵を入手することができる。ルート認証局は利用者側でも追加できるようになっているため、必ずしも著名な機関を頂点とする証明書しか使用できないわけではない。

ハッシュ値は元のデータの長さによらず一定の長さとなっており、同じデータからは必ず同じハッシュ値が得られる。実用上は数バイトから数十バイト程度の長さとすることが多い。計算過程で情報の欠損が起きる不可逆な変換が含まれ、ハッシュ値から元のデータを復元することはできない。

ハッシュ値は元のデータの特徴を表す短い符号として利用することができ、データの比較や検索を高速化することができる。例えば、大きな容量のファイルの内容が同一であるかを比較する際に端から順にすべてのデータを照合すれば時間が掛かるが、それぞれハッシュ値を計算しておいて比較すれば一致するかどうかは一瞬で判別することができる。

ハッシュ関数のうち、暗号などに適した性質を持つものを「暗号学的ハッシュ関数」という。このような関数から得られたハッシュ値は、入力値との間に規則性がなく、入力値が少しでも異なればまったく異なるハッシュ値となる。

また、ある特定のハッシュ値が得られるような入力値を効率よく求めることはできず(弱衝突耐性)、同じハッシュ値となる別の入力値も容易には見つけられない(強衝突耐性)。

このようなハッシュ関数は非常に有用であり、暗号化や認証、デジタル署名など様々なセキュリティ技術の基礎的な要素技術として応用されている。算出法についての標準規格も定められ、古くはMD5やSHA-1などが広く普及したが、これらは現在では十分安全でないことが知られ、SHA-2(SHA-256など)への置き換えが進んでいる。