Web Crypto APIとは何ですか？

ブラウザ上で暗号化・復号・署名・鍵生成などの暗号処理をJavaScriptから直接行えるWeb標準APIです。外部ライブラリを使わずにセキュアな暗号処理が実装できます。

Web Crypto APIのポイントは？

ブラウザ組み込みの暗号API。外部ライブラリ不要でAES・RSA・ECDSA等が使える。window.crypto.subtle 経由で呼び出す。すべての処理が非同期（Promise）。HTTPS環境（またはlocalhost）でのみ利用可能。平文HTTP上では動作しない。鍵のエクスポート制御（extractable: false）でJSから生鍵を取り出せないようにできる

【ウェブクリプトエーピーアイ】

Web Crypto API とは？

💡 ブラウザ内に備わった「金庫室の鍵職人」

📌 このページのポイント

ブラウザ組み込みの暗号API。外部ライブラリ不要でAES・RSA・ECDSA等が使える
window.crypto.subtle 経由で呼び出す。すべての処理が非同期（Promise）
HTTPS環境（またはlocalhost）でのみ利用可能。平文 HTTP上では動作しない
鍵のエクスポート制御（extractable: false）でJSから生鍵を取り出せないようにできる

Web Crypto API：ブラウザ内蔵の暗号エンジンをJSから直接呼び出すイメージ

ひよこ

Webアプリって暗号化のためにライブラリを入れないといけないの？

ペンギン先生

実は最近のブラウザにはWeb Crypto APIという暗号機能が最初から組み込まれているんだよ。わざわざ外部ライブラリを使わなくてもAESやRSAなどの暗号処理がJSだけでできるんだ。

ひよこ

へぇ、どうやって使うの？

ペンギン先生

`window.crypto.subtle` というオブジェクトを通じて呼び出すよ。subtle（繊細・巧みな）という名前は、暗号の正しい使い方には専門知識が要ることを示す警告でもあるんだ。すべての処理はPromiseを返す非同期設計だよ。

ひよこ

どんなことができるの？

ペンギン先生

鍵の生成・暗号化・復号・デジタル署名・署名検証・ハッシュ計算などができるよ。対応アルゴリズムはAES-GCM、RSA-OAEP、ECDSA、SHA-256など主要なものが揃っているんだ。

ひよこ

使うときに何か制限はあるの？

ペンギン先生

HTTPS環境（またはlocalhost）でのみ動作するよ。平文 HTTPのページでは使えない設計になっているんだ。これはセキュアな文脈でしか暗号処理を行わせないための仕様だよ。

ひよこ

鍵が盗まれる心配はないの？

ペンギン先生

鍵を生成するとき `extractable: false` を指定すると、生成した鍵をJavaScriptコードから生のバイト列として取り出せなくなるよ。鍵はブラウザ内部にのみ存在し、悪意あるスクリプトに漏れにくくなるんだ。パスワードマネージャーやE2E暗号化チャットなどに活用されているよ。

ひよこ

ライブラリと比べてどちらが速いの？

ペンギン先生

ブラウザネイティブの実装を直接使うためJS ライブラリより高速なことが多いよ。さらにハードウェア暗号アクセラレータを活用しているブラウザもあるんだ。ただしAPIが低レベルで扱いにくいため、Web Crypto APIのラッパーライブラリ（SubtleCryptoラッパーなど）を使うケースも多いよ。

まとめ：ざっくりこれだけ覚えればOK！

「Web Crypto API」って出てきたら「ブラウザ内蔵の暗号機能」と思えればだいたいOK！

📖 おまけ：英語の意味

「Web Cryptography API」＝ウェブ暗号化API

💬 W3Cが策定したWeb標準で、OSやブラウザが持つネイティブ暗号エンジンをJS経由で利用できるようにした仕様だよ。2017年にW3C勧告となり、現在すべてのモダンブラウザに実装されているよ。

← 用語集にもどる