ご挨拶
皆さん、ご無沙汰しております、とむです!
最近は投稿がピタッと止まってしまっていました。
AIエージェントの使用もやめてしまって、このQiitaの投稿の使い方を迷っていました。
そこで、次に大きな試験として情報処理安全確保支援士の受験をするので、その為の備忘録的なものを投稿していきます!
所々間違えているところもありませんが、皆さんとアウトプットできればと思います!!
はじめに
情報処理安全確保支援士の勉強中、「ドメイン」や「オリジン」といった似た用語の使い分けが曖昧になっていることに気づきました。特に、フィッシング対策を理解する上でこれらの正確な区別は不可欠です。
この機会に、URL、FQDN、ドメイン、オリジンという4つの関連用語の関係性を備忘録としてまとめます。
基本用語の関係性 住所に例える
まず、これらの用語を大きなものから順に、住所に例えて整理します。
-
URL: 宛名や部屋番号まで含む詳細な住所全体
https://www.example.com:443/path/to/file?query=hello
-
オリジン: 建物の特定の入口までを指定した住所
https://www.example.com:443
-
FQDN: 建物そのものの住所
www.example.com
-
ドメイン: 地域や区画の名前
example.com
各用語の解説
ドメイン (Domain) 📜
ドメインは、example.comのように、特定の組織や個人が管理するインターネット上の**区画(名前空間)**を指します。人間が覚えやすいようにIPアドレスに付けられた「名前」の核となる部分です。
FQDN (Fully Qualified Domain Name) 🏢
FQDNは、ドメイン内で特定のコンピューター(ホスト)を指し示すための、完全な名前です。www.example.comのように、ホスト名(www)とドメイン名(example.com)を組み合わせたものです。
URL (Uniform Resource Locator) 📄
URLは、インターネット上の特定のリソース(ファイルやページ)の場所を示すための、完全なアドレス文字列です。プロトコルやパス、クエリパラメータなど、リソースにたどり着くための全ての情報を含みます。
オリジン (Origin) 🔑
オリジンは、ブラウザがセキュリティを判断するために使う、技術的で厳密な「住所」です。以下の3つの要素がすべて揃って初めて「同じ」だと判断されます。
-
スキーム (プロトコル):
http://やhttps:// -
ホスト (FQDN):
www.example.comなど -
ポート番号:
80や443など
なぜ「オリジン」が重要なのか? 🛡️
ブラウザには**「同一オリジンポリシー」**という重要なセキュリティルールがあります。これにより、悪意のあるサイト(あるオリジン)が、別のタブで開いている銀行のサイト(別のオリジン)の情報を勝手に盗み見ることを防いでいます。
WebAuthnがフィッシングに強いのも、認証情報に「どのオリジンで操作されたか」という情報がオリジンバインディングによって紐づけられるためです。これにより、たとえ偽サイトで認証しても、オリジンが異なるため本物のサイトではその認証は無効と判断されます。
この違いを意識することで、Webの仕組みとセキュリティへの理解が一段と深まりました。