WebSocketの基礎から応用まで徹底解説

1. はじめに

現代のウェブアプリケーションは、単にサーバーから情報を受け取るだけでなく、リアルタイムに情報を更新し、ユーザー間のインタラクションをスムーズに行うことが求められています。チャット、オンラインゲーム、ライブ配信、共同編集ツール、株価やスポーツのリアルタイム更新など、多くのサービスが「即時性」を重要な要素としています。

従来、このようなリアルタイムな通信を実現するために、HTTPプロトコル上で様々な工夫が行われてきました。代表的な手法としては、Polling（ポーリング）やLong Polling（ロングポーリング）があります。

Polling: クライアントが一定間隔でサーバーに新しい情報がないか問い合わせる方法です。実装は容易ですが、頻繁なリクエストはサーバーに負荷をかけ、データがなくても通信が発生するため非効率です。また、情報の遅延が発生しやすいという欠点もあります。
Long Polling: クライアントはサーバーにリクエストを送信しますが、サーバーは新しい情報が発生するまでレスポンスを保留します。情報が発生次第レスポンスを返し、クライアントはすぐに次のリクエストを送信します。Pollingよりは効率的ですが、サーバー側で多数の接続を保留する必要があり、クライアント側でも情報受信後にすぐに再接続する必要があります。また、HTTPのヘッダーオーバーヘッドが通信ごとに発生するという問題も残ります。

これらの手法は、HTTPの「リクエスト・レスポンス」モデルに依存しており、本質的にクライアントからの要求があって初めてサーバーが応答するという単方向、あるいは擬似的な双方向通信にとどまります。サーバー側から能動的にクライアントへ情報をプッシュすることは困難でした。

こうした背景から、より効率的で真の双方向かつリアルタイムな通信を実現するための新しい技術が必要とされました。そこで登場したのが WebSocket です。

WebSocketは、単一のTCPコネクション上で全二重通信を可能にするプロトコルです。一度接続が確立されると、クライアントとサーバーはいつでも互いにデータを送り合うことができます。これにより、HTTPベースのPollingやLong Pollingにつきまとったオーバーヘッドや遅延といった問題を解消し、真にリアルタイムなアプリケーション開発を強力に後押しします。

本記事では、WebSocketのプロトコルの基礎から始まり、クライアント・サーバー双方での実装方法、セキュリティ、スケーラビリティといった応用的なトピック、そして多様な利用例までを徹底的に解説します。WebSocketを理解し、リアルタイム性の高いモダンなウェブアプリケーションを開発するための一助となれば幸いです。

2. WebSocketの基礎

2.1. WebSocketの概念

WebSocketは、Webブラウザとサーバー間で、単一のTCPコネクション上で全二重（Full-Duplex）の通信チャンネルを提供する技術です。

全二重通信: 送信側と受信側が同時に独立してデータを送受信できる状態を指します。電話のように、お互いが同時に話すことができるイメージです。これにより、サーバーとクライアントは互いの都合に関係なく、必要な時に必要なデータを送信できるようになります。
永続的な接続: WebSocketでは、一度接続を確立すると、その接続は明示的に閉じられるまで維持されます。HTTPのようにリクエストごとに接続を確立・切断する必要がありません。これにより、接続確立に伴うオーバーヘッド（TCPコネクションの確立、HTTPヘッダーの送受信など）を大幅に削減できます。

これらの特徴により、WebSocketは低遅延で効率的なリアルタイム通信を実現します。

2.2. WebSocketプロトコル

WebSocketは、HTTPの上位プロトコルとして設計されていますが、一度接続が確立されるとHTTPとは異なる独自のプロトコルで通信を行います。

2.2.1. プロトコル名 (URIスキーム)

WebSocket接続は、特定のURIスキームを使用して識別されます。

ws:: 通常のWebSocket接続（暗号化なし）
wss:: 暗号化されたWebSocket接続（TLS/SSLを使用）。HTTPSと同様に、セキュリティ保護のために推奨されます。

URIの例: ws://example.com/chat, wss://secure.example.com/data

2.2.2. ハンドシェイク処理

WebSocket接続は、クライアントがサーバーに対して「HTTPアップグレードリクエスト」を送信することで開始されます。サーバーがこのリクエストを受け入れ、適切なレスポンスを返すことで、HTTPプロトコルからWebSocketプロトコルへの切り替え（ハンドシェイク）が完了し、以降はWebSocketフレームによる通信が行われます。

クライアントからのHTTPアップグレードリクエスト例:

http GET /chat HTTP/1.1 Host: example.com Upgrade: websocket Connection: Upgrade Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ== Sec-WebSocket-Version: 13 Origin: http://example.com Sec-WebSocket-Protocol: chat, superchat

主なヘッダーの意味:

Upgrade: websocket: クライアントがWebSocketプロトコルへのアップグレードを要求していることを示します。
Connection: Upgrade: Upgrade ヘッダーの目的を強調します。HTTP/1.1のホップバイホップヘッダーです。
Sec-WebSocket-Key: クライアントが生成する16バイトのランダムなBASE64エンコードされた値です。サーバーはこれを用いて特定の応答を生成し、ハンドシェイクの正当性を検証します。
Sec-WebSocket-Version: 使用するWebSocketプロトコルのバージョンを指定します。現在の標準は13です。
Origin: リクエストを開始したWebページのオリジンを示します。サーバーはこの情報を用いて、不正なクロスオリジン接続を拒否することができます。
Sec-WebSocket-Protocol: クライアントがサポートするサブプロトコルのリストを指定します。アプリケーション層のプロトコル（例: chatプロトコル）をネゴシエートするために使用されます。

サーバーからのHTTPアップグレードレスポンス例:

http HTTP/1.1 101 Switching Protocols Upgrade: websocket Connection: Upgrade Sec-WebSocket-Accept: s3pPLMBiTxaQ9GroupOoXwroOR4s= Sec-WebSocket-Protocol: chat

主なヘッダーの意味:

101 Switching Protocols: サーバーがプロトコルの切り替えを受け入れたことを示すステータスコードです。
Upgrade: websocket: サーバーがWebSocketプロトコルへ切り替えることを示します。
Connection: Upgrade: 同上。
Sec-WebSocket-Accept: Sec-WebSocket-Keyと特定の文字列 (258EAFA5-E914-47DA-95CA-C5AB0DC85B11) を結合し、SHA-1ハッシュを計算し、BASE64エンコードした値です。クライアントはこれを確認することで、サーバーがWebSocket接続を理解していることを確認します。
Sec-WebSocket-Protocol: サーバーが選択したサブプロトコルです。クライアントが提示したリストの中から一つを選択するか、サブプロトコルを使用しない場合はこのヘッダーを含めません。

ハンドシェイクが成功すると、HTTPヘッダーの交換は終了し、以降はWebSocketプロトコルに基づいたデータフレームの交換が行われます。

2.2.3. データフレーム構造

WebSocketは、データを「フレーム」単位で送受信します。大きなメッセージは複数のフレームに分割して送信することも可能です。フレーム構造は、効率的なデータ転送とプロトコル制御のために設計されています。

基本的なフレーム構造のフィールド:

FIN (1 bit): これがメッセージの最終フレームであるかを示すフラグ。1なら最終フレーム、0なら後続フレームがある。
RSV1, RSV2, RSV3 (3 bits): 拡張機能用に予約されたビット。現在の標準では0でなければならない。
OPCODE (4 bits): ペイロードのタイプを示す。
- 0x0: 継続フレーム (Continuation Frame)
- 0x1: テキストフレーム (Text Frame)
- 0x2: バイナリフレーム (Binary Frame)
- 0x8: 閉鎖フレーム (Connection Close Frame)
- 0x9: Pingフレーム (Ping Frame)
- 0xA: Pongフレーム (Pong Frame)
- 0x3 - 0x7, 0xB - 0xF: 予約済み
MASK (1 bit): ペイロードデータがマスキングされているかを示すフラグ。クライアントからサーバーへのフレームは常に1、サーバーからクライアントへのフレームは常に0。
Payload length (7, 7+16, or 7+64 bits): ペイロードデータの長さを示す。
- 0-125: このフィールド自体がペイロード長。
- 126: 後続の2バイト（ビッグエンディアン）がペイロード長。
- 127: 後続の8バイト（ビッグエンディアン）がペイロード長。
Masking-Key (0 or 32 bits): MASKフラグが1の場合に存在する、ペイロードのアンマスキングに使用する32ビットの値。
Payload Data (variable length): 実際に送受信されるデータ。テキストデータの場合はUTF-8でエンコードされた文字列、バイナリデータの場合は生のバイト列。クライアントから送信される場合はMasking-KeyでXOR演算によりマスキングされている。

OPCODEについて:

テキスト/バイナリフレーム: ユーザーデータを送信するために使用されます。大きなデータは複数のフレームに分割（フラグメンテーション）して送信でき、最初のフレームをテキスト/バイナリフレーム、後続のフレームを継続フレームとします。
制御フレーム (Close, Ping, Pong): プロトコルレベルの制御に使用されます。制御フレームはフラグメンテーションされず、Payload lengthは125バイトを超えることはありません。
- Closeフレーム: 接続を閉じたい場合に送信されます。ペイロードにはオプションでクローズコードと理由を含むことができます。
- Pingフレーム: 相手が生きているかを確認するために送信されます。サーバー/クライアントどちらからでも送信できます。
- Pongフレーム: Pingフレームを受信した際の応答として送信されます。受信したPingフレームのペイロードをそのままコピーして送信します。Ping/Pongフレームは、アイドル状態の接続が中間ネットワーク機器によって切断されるのを防いだり、接続の遅延を測定したりするために使用されます。

マスキングについて:

クライアントからサーバーへ送信される全てのデータフレームのペイロードは、ランダムに生成された32ビットのMasking-Keyを用いてマスキング（XOR演算）されなければなりません。サーバーは受信したフレームのMasking-Keyを用いてペイロードをアンマスキングします。これは、クライアント側で実行される悪意のあるJavaScriptコードが、サーバーに対する中間者攻撃（Man-in-the-Middle attack）のような挙動を悪用するのを防ぐためのセキュリティ対策です。サーバーからクライアントへのフレームはマスキングされません。

2.2.4. 接続の確立、データの送受信、接続の切断プロセス

確立: クライアントがサーバーにHTTPアップグレードリクエストを送信。サーバーが101レスポンスを返す。ハンドシェイク成功後、プロトコルがWebSocketに切り替わる。
送受信: クライアントとサーバーは互いにデータフレーム（テキストまたはバイナリ）を自由に送受信する。制御フレーム（Ping/Pong）も定期的に交換されることがある。
切断: どちらかのエンドポイントがCloseフレームを送信する。受信側はCloseフレームで応答し、その後TCPコネクションを閉じる。相手からのCloseフレームを受信せずTCPコネクションが切断された場合も、プロトコルレベルでは接続終了とみなされる。

2.3. WebSocketとHTTPの比較

特徴	HTTP/1.1 (旧来のウェブ通信)	WebSocket (リアルタイム通信)
通信モデル	リクエスト/レスポンス (クライアントが要求し、サーバーが応答)	全二重通信 (クライアントとサーバーが独立してデータ送受信可能)
接続	基本的にステートレス。通常、リクエストごとに新しいTCP接続を確立・切断（Keep-Aliveで再利用も可能だが基本は要求駆動）。	ステートフル。一度確立したTCP接続を維持し、複数のメッセージを送受信。
方向	基本的にクライアントからサーバーへの単方向リクエスト、サーバーからクライアントへの単方向レスポンス。	双方向。サーバーからクライアントへの能動的なプッシュが可能。
オーバーヘッド	リクエスト/レスポンスごとにHTTPヘッダーが付加され、オーバーヘッドが大きい。	ハンドシェイク時のみHTTPヘッダー。以降はフレームヘッダーが小さく効率的。
効率	リアルタイム性のためにPolling/Long Pollingを行うと非効率になりやすい。	接続維持により低遅延で効率的なリアルタイム通信が可能。
用途	静的なコンテンツの取得、API呼び出し、フォーム送信など。	リアルタイムなデータ配信、チャット、オンラインゲーム、ライブアップデートなど。
実装	比較的シンプル。ステートレスなためサーバーサイドのスケーリングが容易。	サーバー側で接続状態を管理する必要があり、実装が複雑になる場合がある。
インフラ	多くの既存のファイアウォールやプロキシで問題なく動作する。	一部のファイアウォールやプロキシがWebSocket接続をブロックすることがある。

WebSocketは、HTTPが苦手とするリアルタイムかつ双方向の通信に特化したプロトコルです。用途に応じてHTTPとWebSocketを適切に使い分けることが重要です。多くの場合、初期のページロードやAPI呼び出しはHTTPで行い、リアルタイムな更新が必要な部分にWebSocketを使用するというハイブリッドな構成になります。

3. WebSocketのメリット・デメリット

WebSocketを導入する際には、その利点と欠点を十分に理解しておく必要があります。

3.1. メリット

リアルタイム性: 全二重通信と永続的な接続により、サーバーとクライアント間で低遅延でのリアルタイムなデータ交換が可能です。新しい情報が発生した際に、サーバーから即座にクライアントへプッシュできます。
効率的な通信:
- オーバーヘッドの削減: ハンドシェイク後のフレームヘッダーはHTTPヘッダーに比べて非常に小さいため、多数の小さなメッセージを頻繁にやり取りする場合のオーバーヘッドを大幅に削減できます。
- 接続回数の削減: 接続の確立・切断が一度だけで済むため、TCPコネクション確立に伴う3ウェイハンドシェイクやTLSハンドシェイクのコストを削減できます。
双方向通信: クライアントとサーバーのどちらからでも、独立してメッセージを送信できます。これにより、サーバープッシュが容易になります。
サーバープッシュ: サーバー側で何らかのイベントが発生した際に、その情報を接続しているクライアントに即座に通知できます。これはPollingやLong Pollingでは実現が難しいWebSocketの大きな強みです。
複雑なアプリケーションへの対応: リアルタイムなデータ共有や複数ユーザー間の同期が必要な、チャット、オンラインゲーム、共同編集ツールなどのアプリケーション開発に適しています。

3.2. デメリット

既存インフラとの互換性問題: 一部の古いプロキシサーバーやファイアウォールはWebSocketプロトコルを正しく扱えず、接続をブロックしたり、通信を妨害したりする可能性があります。HTTPS上の wss であれば、多くの場合はポート443を使用するため通過しやすいですが、全ての環境で保証されるわけではありません。
サーバー側の実装複雑性: HTTPのようなステートレスなリクエスト/レスポンスモデルとは異なり、WebSocketではサーバーが個々のクライアント接続の状態（誰が接続しているか、どのチャネルに参加しているかなど）を管理する必要があります。接続数が増えると、その管理とリソース消費が増大し、複雑な実装やスケーリング戦略が必要になります。
ステートフルな接続管理: サーバーは各クライアントとの接続状態を保持するため、サーバープロセスがクラッシュしたり再起動したりした場合、そのプロセスが扱っていた全てのWebSocket接続が失われます。耐障害性や可用性を考慮した設計が必要です。
フォールバック戦略の必要性: クライアントの環境（ブラウザバージョンやネットワーク環境）によってはWebSocketがサポートされていない、または正常に機能しない場合があります。この場合、Long PollingやServer-Sent Events (SSE) といった代替手段に自動的に切り替えるフォールバック戦略が必要となることがあります。Socket.IOのようなライブラリは、このようなフォールバック機能を内蔵しています。
テキスト/バイナリデータの選択: WebSocketはテキストまたはバイナリデータを送信できますが、クライアントとサーバー間でどちらの形式でやり取りするか、およびデータの構造（JSON, Protobufなど）について事前に合意しておく必要があります。

これらのメリット・デメリットを踏まえ、開発するアプリケーションの特性や要件（リアルタイム性のレベル、ユーザー数、運用環境など）を考慮して、WebSocketの採用を検討することが重要です。

4. WebSocketの実装（クライアント・サーバー）

WebSocketの実装は、クライアント側（主にWebブラウザ上のJavaScript）とサーバー側の両方で行う必要があります。ここでは、基本的な実装方法を解説します。

4.1. クライアント側 (JavaScript – Webブラウザ)

最新のWebブラウザは標準でWebSocket APIをサポートしています。JavaScriptを使用して簡単にWebSocket接続を確立し、データを送受信できます。

主要なAPI: WebSocket オブジェクト

“`javascript
// WebSocketサーバーのURLを指定してWebSocketオブジェクトを作成
// wss:// はSSL/TLSで暗号化された接続 (推奨)
const websocketUrl = ‘wss://example.com/websocket’;
let websocket = null;

function connectWebSocket() {
if (websocket && websocket.readyState !== WebSocket.CLOSED) {
console.log(‘WebSocket is already connected or connecting.’);
return;
}

websocket = new WebSocket(websocketUrl);

// 接続が確立されたときのイベントハンドラ
websocket.onopen = function(event) {
    console.log('WebSocket connection opened:', event);
    // 接続成功後にメッセージを送信する例
    websocket.send('Hello, Server!');
};

// メッセージを受信したときのイベントハンドラ
websocket.onmessage = function(event) {
    console.log('Message from server:', event.data);
    // event.data には受信したデータが入ります (テキストまたはBlob)
    // バイナリデータの場合は ArrayBuffer として受信したい場合もあります
    // websocket.binaryType = 'arraybuffer'; // 事前に設定
};

// エラーが発生したときのイベントハンドラ
websocket.onerror = function(event) {
    console.error('WebSocket error observed:', event);
};

// 接続が閉じられたときのイベントハンドラ
websocket.onclose = function(event) {
    console.log('WebSocket connection closed:', event);
    console.log('Code:', event.code, 'Reason:', event.reason, 'Clean:', event.wasClean);

    // 再接続を試みる (アプリケーションの要件による)
    // 例: 5秒後に再接続を試みる
    setTimeout(connectWebSocket, 5000);
};

}

// 接続開始
connectWebSocket();

// サーバーにメッセージを送信する関数
function sendMessage(message) {
if (websocket && websocket.readyState === WebSocket.OPEN) {
websocket.send(message);
console.log(‘Sent message:’, message);
} else {
console.warn(‘WebSocket is not connected.’);
// 必要に応じて接続を試みる、あるいはメッセージをキューイングする
}
}

// 接続を明示的に閉じる関数
function closeWebSocket() {
if (websocket && websocket.readyState === WebSocket.OPEN) {
websocket.close();
console.log(‘Closing WebSocket connection…’);
}
}

// WebSocket接続の状態を確認するためのプロパティ
// websocket.readyState
// Constants: WebSocket.CONNECTING (0), WebSocket.OPEN (1), WebSocket.CLOSING (2), WebSocket.CLOSED (3)
“`

new WebSocket(url, protocols): WebSocketオブジェクトを作成します。第一引数にサーバーのURL、第二引数（省略可能）に要求するサブプロトコルの配列または文字列を指定します。
onopen: 接続が確立されたときに発生します。
onmessage: サーバーからメッセージを受信したときに発生します。event.data には受信したデータが含まれます。
onerror: エラーが発生したときに発生します。接続中にエラーが発生した場合、通常はこのイベントの後に onclose イベントが発生します。
onclose: 接続が閉じられたときに発生します。event.code、event.reason、event.wasClean などの情報が含まれます。これらの情報はサーバーから送信されたCloseフレームに含まれるデータに基づきます。
send(data): サーバーにデータを送信します。data は文字列、Blob、ArrayBuffer のいずれかです。
close([code, reason]): 接続を閉じます。オプションでクローズコードと理由を指定できます。
readyState: 接続の状態を示す数値（0: CONNECTING, 1: OPEN, 2: CLOSING, 3: CLOSED）。

エラーハンドリングと再接続ロジックは、ロバストなアプリケーションには不可欠です。ネットワークの問題やサーバー側の再起動などで接続は予期せず切断される可能性があるため、 onclose イベント内で適切な再接続処理を実装することが推奨されます。

4.2. サーバー側

サーバー側の実装は、使用するプログラミング言語やフレームワークによって大きく異なります。ここでは、Node.jsと人気の高い ws ライブラリを使用した基本的な例を紹介します。

Node.js + ws ライブラリ

ws はシンプルで高速なWebSocketサーバー/クライアントライブラリです。

まず、ライブラリをインストールします。
bash npm install ws

基本的なサーバーコード例:

“`javascript
const WebSocket = require(‘ws’);

// WebSocketサーバーを起動
const wss = new WebSocket.Server({ port: 8080 });

// サーバー起動時のイベント
wss.on(‘listening’, () => {
console.log(WebSocket server started on port ${wss.options.port});
});

// クライアントからの接続があったときのイベント
wss.on(‘connection’, (ws, req) => {
console.log(‘Client connected:’, req.socket.remoteAddress);

// 接続してきたクライアント（wsオブジェクト）に対してイベントハンドラを設定

// クライアントからメッセージを受信したときのイベント
ws.on('message', (message) => {
    // message はデフォルトで Buffer です
    console.log(`Received message from client: ${message}`);

    // 受信したメッセージをそのままクライアントに返す（エコーサーバーの例）
    ws.send(`Echo: ${message}`);

    // 全ての接続済みクライアントにメッセージをブロードキャストする例
    // wss.clients は Set オブジェクト
    wss.clients.forEach((client) => {
        if (client.readyState === WebSocket.OPEN) { // 接続が開いているクライアントのみ
            client.send(`Broadcast: ${message}`);
        }
    });
});

// クライアントとの接続が閉じられたときのイベント
ws.on('close', (code, reason) => {
    console.log(`Client disconnected: Code ${code}, Reason ${reason}`);
});

// エラーが発生したときのイベント
ws.on('error', (error) => {
    console.error('WebSocket error:', error);
});

// 接続確立直後にクライアントにメッセージを送信
ws.send('Welcome to the WebSocket server!');

});

// サーバーのエラーハンドリング
wss.on(‘error’, (error) => {
console.error(‘WebSocket server error:’, error);
});

// サーバーが終了するときのイベント
wss.on(‘close’, () => {
console.log(‘WebSocket server stopped.’);
});
“`

new WebSocket.Server({ port: ... }): 指定したポートでWebSocketサーバーを起動します。既存のHTTPサーバーにアタッチすることも可能です。
wss.on('connection', (ws, req) => { ... }): 新しいクライアントが接続したときに発生します。引数 ws は新しく接続したクライアントを表す WebSocket オブジェクト、req はオリジナルのHTTPリクエストオブジェクトです。
ws.on('message', (message) => { ... }): クライアントからメッセージを受信したときに発生します。message は受信したデータです（デフォルトはBuffer）。
ws.on('close', (code, reason) => { ... }): クライアントとの接続が閉じられたときに発生します。クローズコードと理由が提供されます。
ws.on('error', (error) => { ... }): クライアントとの接続でエラーが発生したときに発生します。
ws.send(data): そのクライアントにデータを送信します。data は文字列、Buffer、TypedArray、DataView、Blob のいずれかです。
ws.readyState: クライアント接続の状態（WebSocket.OPENなど）。
wss.clients: 接続中の全クライアントを表す Set コレクション。ブロードキャストなどに使用します。

他の言語/フレームワークでのライブラリ例:

Python: websockets, aiohttp, Flask-SocketIO, Django Channels
Java: Java API for WebSocket (JSR 356), Spring Boot (Spring-WebSockets)
Ruby: Action Cable (Rails 5+)
Go: gorilla/websocket
.NET: Microsoft.AspNetCore.WebSockets

サーバー側の実装では、多数の同時接続を効率的に扱うための非同期処理やイベントドリブンアーキテクチャが重要になります。Node.jsのように元々非同期処理に強い言語はWebSocketサーバーの実装に適しています。

5. WebSocketの高度なトピック

5.1. サブプロトコル

WebSocketプロトコルは、データフレームの構造や制御メッセージ（Ping, Pong, Close）といった低レベルな通信方法を定義していますが、その上でどのようなアプリケーションレベルのメッセージをやり取りするかは規定していません。これを定義するのが「サブプロトコル」です。

ハンドシェイク時に Sec-WebSocket-Protocol ヘッダーを使って、クライアントがサポートするサブプロトコルのリストをサーバーに提示できます。サーバーはその中から一つを選択し、レスポンスの Sec-WebSocket-Protocol ヘッダーで返します。これにより、クライアントとサーバー間で合意されたアプリケーション層のプロトコルで通信を行うことができます。

例: チャットアプリケーションであれば、特定のメッセージフォーマット（例: JSON）や、ユーザー参加/退出、メッセージ送信といったイベントの種類を定義した「チャットプロトコル」をサブプロトコルとして使用することが考えられます。

主要なサブプロトコル規格の例:

STOMP over WebSocket: STOMP (Simple Text Oriented Messaging Protocol) は、メッセージブローカーとの通信に適したテキストベースのメッセージングプロトコルです。WebSocket上でSTOMPを使用することで、publish/subscribeパターンの実装などが容易になります。
GraphQL over WebSocket: GraphQLのリアルタイム購読機能（Subscriptions）をWebSocket上で実現するためのプロトコルです。

サブプロトコルを使用することで、アプリケーションのメッセージング層をより構造化し、複数のクライアントやサーバー間で共通のプロトコル定義を共有できます。

5.2. 拡張機能

WebSocketプロトコルは、Sec-WebSocket-Extensions ヘッダーを用いて拡張機能をネゴシエートする仕組みを提供しています。ハンドシェイク時にクライアントがサポートする拡張機能のリストを提示し、サーバーが使用する拡張機能を選択して応答します。

最も一般的な拡張機能は Permessage-Deflate (permessage-deflate) です。これは、WebSocketフレームのペイロードデータをDeflateアルゴリズムで圧縮する機能です。テキストベースのメッセージ（特にJSONなど構造化されたデータ）を頻繁にやり取りする場合に、通信量を大幅に削減できます。

クライアントからのリクエスト例:
http Upgrade: websocket Connection: Upgrade Sec-WebSocket-Extensions: permessage-deflate; client_max_window_bits, permessage-deflate; server_max_window_bits=10

サーバーからのレスポンス例:
http 101 Switching Protocols Upgrade: websocket Connection: Upgrade Sec-WebSocket-Extensions: permessage-deflate

多くのWebSocketライブラリはPermessage-Deflateをサポートしており、設定を有効にするだけで利用できます。通信効率を高める上で非常に有用な拡張機能です。

5.3. セキュリティ

WebSocketのセキュリティは、主に以下の点に注意が必要です。

wss: プロトコル (TLS/SSL): HTTPSと同様に、WebSocket接続も wss: スキームを使用してTLS/SSLで暗号化するべきです。これにより、通信経路上の盗聴や改ざんを防ぐことができます。特に機密情報を含むデータを送受信する場合は必須です。中間者攻撃 (Man-in-the-Middle attack) に対する最も基本的な対策です。
オリジンチェック: クライアントからのハンドシェイクに含まれる Origin ヘッダーをサーバー側で検証し、許可されたオリジンからの接続のみを受け入れるようにします。これにより、悪意のあるWebサイトからWebSocketサーバーへの不正な接続（WebSocketハイジャックやクロスサイトWebSocket攻撃）を防ぐことができます。Webブラウザからの接続では Origin ヘッダーは自動的に付与されますが、ネイティブアプリケーションなどから接続する場合は適切に設定する必要があります。
認証と認可: 接続してきたクライアントが正当なユーザーであることを確認する「認証」と、そのユーザーがどの操作（例: どのチャットルームに参加できるか）を許可されているかを確認する「認可」をサーバー側で実装する必要があります。ハンドシェイク時にCookieやクエリパラメータ、カスタムヘッダーなどで認証情報を渡し、サーバー側で検証するのが一般的な方法です。接続確立後も、メッセージの送信時にユーザーの権限を確認するなどの認可処理が必要です。
DoS攻撃対策: 多数の不正な接続や、非常に大きなペイロードを持つメッセージ、あるいは異常に高いレートでのメッセージ送信によってサーバーが過負荷に陥るサービス妨害 (DoS) 攻撃のリスクがあります。対策として、以下の点が挙げられます。
- 接続数の制限: 1つのIPアドレスや特定の条件からの接続数を制限する。
- メッセージレート制限: 1つの接続から単位時間あたりに送信できるメッセージ数やデータ量に制限を設ける。
- ペイロードサイズの制限: 受信できるメッセージの最大サイズを制限する。
- ファイアウォール/WAF: WebSocketトラフィックに対応したファイアウォールやWAF (Web Application Firewall) を導入する。
入力値の検証: クライアントから受信したメッセージは常に信頼できないものとして扱い、サーバー側で入力値のサニタイズや検証を厳格に行う必要があります。これにより、クロスサイトスクリプティング (XSS) やSQLインジェクションなどの脆弱性を防ぎます。

5.4. スケーラビリティ

WebSocketサーバーはステートフルであるため、接続数が増加するとサーバーのリソース消費（メモリ、CPU、ネットワーク帯域）が増大し、スケーリングが課題となります。

スケーリングのための一般的なアプローチ:

垂直スケーリング: より高性能なサーバーインスタンスを使用する。手軽ですが、限界があります。
水平スケーリング: 複数のサーバーインスタンスに負荷を分散する。WebSocketでは、ステートフルな接続管理がこれを複雑にします。

水平スケーリングにおける課題と解決策:

ロードバランシング: 複数のWebSocketサーバーインスタンスの前にロードバランサーを配置します。しかし、一般的なラウンドロビンなどのロードバランシングアルゴリズムでは、同じクライアントからの再接続や、特定のクライアントへメッセージを送り返す際に、前と同じサーバーインスタンスに接続される保証がありません。
Sticky Sessions (セッション維持): ロードバランサーがクライアントのIPアドレスやCookieなどを基に、特定のクライアントからの接続を常に同じサーバーインスタンスに振り分ける方式です。これにより、個々のWebSocket接続は特定のサーバーインスタンスに固定されます。比較的容易に実装できますが、特定のサーバーインスタンスへの負荷が集中したり、サーバーがダウンした場合にそのサーバー上の全ての接続が失われたりするという欠点があります。
Publish/Subscribeパターン (サーバー間通信): 最も一般的なスケーリング手法です。WebSocketサーバーインスタンスは、それ自身が担当するクライアント接続を管理しますが、クライアント間で共有されるべきメッセージ（例: あるチャットルームのメッセージ）は、Redis Pub/SubやKafka、RabbitMQのようなメッセージキュー/ブローカーを経由してやり取りします。
- クライアントがメッセージを送信 → そのクライアントを扱うWebSocketサーバーインスタンスがメッセージブローカーにメッセージを発行 (Publish)
- メッセージブローカーに接続している全WebSocketサーバーインスタンスがそのメッセージを受信 (Subscribe)
- メッセージを受信した各サーバーインスタンスが、自身の管理下にある関係するクライアント（例: 同じチャットルームに参加しているクライアント）にメッセージを送信

このPub/Subパターンにより、各WebSocketサーバーインスタンスは自身の管理下の接続数に応じてスケールアウトでき、メッセージ共有はメッセージブローカーが担当するため、サーバーインスタンス間で直接状態を持つ必要がなくなります（ほぼステートレスに振る舞える）。これにより、高可用性とスケーラビリティを実現しやすくなります。

マイクロサービスアーキテクチャでは、WebSocketゲートウェイとして機能するサービスを独立させ、他のバックエンドサービスとはメッセージキューを介して通信するという設計が一般的です。

5.5. エラーハンドリングと再接続戦略

WebSocket接続はネットワークの状態やサーバーの状況によって予期せず切断される可能性があります。クライアント側、サーバー側の両方で適切なエラーハンドリングと再接続戦略を実装することが、ロバストなアプリケーションには不可欠です。

クライアント側:

onclose イベントで切断を検知します。event.code はサーバーから送られたクローズコード（後述）、event.reason は理由を示す文字列です。
意図しない切断（特定のクローズコード以外）の場合、一定時間待ってから再接続を試みます。
単にすぐに再接続を繰り返すとサーバーに負荷をかける可能性があるため、再接続間隔を指数関数的に長くしていく「指数関数的バックオフ (Exponential Backoff)」戦略が推奨されます。例: 最初の再接続は1秒後、次は2秒後、次は4秒後…のように間隔を長くし、最大待機時間を設定します。
再接続の試行回数に上限を設けることも検討します。

サーバー側:

ws.on('error', ...) や ws.on('close', ...) イベントでクライアントとの接続に関するエラーや切断を検知します。
エラーの原因をログに記録し、問題の特定に役立てます。
接続が予期せず閉じられた場合（例: クライアント側のネットワーク問題やブラウザの終了）、サーバーは自動的にその接続をクリーンアップする必要があります。WebSocketライブラリの多くはこれを自動で行います。
サーバー自体の障害による接続断に備え、前述のPub/Subパターンなどを利用して、個々のサーバープロセスがステートレスに振る舞えるように設計することで、サーバーの再起動やスケールアウトが容易になります。

WebSocket クローズコード:

WebSocketプロトコルでは、Closeフレームのペイロードに16ビットの整数でクローズコードを含めることができます。これは、接続が閉じられた理由を示す標準化されたコードです。

代表的なクローズコード (RFC 6455より):

1000: Normal Closure (正常終了) – アプリケーションによって意図的に閉じられた場合。
1001: Going Away – エンドポイントがサービスから離脱している、またはブラウザがページを離脱している場合。
1002: Protocol Error – プロトコルエラー（不正なフレームなど）が発生した場合。
1003: Unsupported Data – エンドポイントが受け付けられないデータタイプを受信した場合（例: テキストエンドポイントがバイナリデータを受信）。
1005: No Status Rcvd – クローズフレームにステータスコードが含まれていなかった場合。異常な終了を示すことが多い。
1006: Abnormal Closure (異常終了) – プロトコルレベルで明確なクローズフレーム交換なしにTCP接続が閉じられた場合。ネットワーク障害など。
1007: Invalid frame payload data – テキストフレームのペイロードが有効なUTF-8でない場合など。
1008: Policy Violation – アプリケーションレベルのポリシーに違反した場合。
1009: Message Too Big – メッセージが大きすぎて処理できない場合。
1010: Mandatory Ext. – クライアントがサーバーが要求した拡張機能の一つ以上をネゴシエートできなかった場合。
1011: Internal Error – サーバーで予期しないエラーが発生し、接続を閉じている場合。
1012: Service Restart – サーバーがサービスを再起動している場合。
1013: Try Again Later – サーバーが一時的に過負荷で接続を拒否している場合。
1015: TLS Handshake – TLSハンドシェイクに失敗した場合。

これらのコードを適切に使用・解釈することで、切断の原因を把握し、デバッグや再接続戦略の判断に役立てることができます。クライアント側では onclose イベントの event.code で確認できます。

5.6. ハートビート

WebSocket接続が長時間アイドル状態が続くと、中間にあるネットワーク機器（ファイアウォールやロードバランサーなど）がその接続を未使用と判断し、切断してしまうことがあります。これを防ぐために、定期的に小さなメッセージを交換して接続を維持する「ハートビート」が必要です。

WebSocketプロトコルには、このための Pingフレーム と Pongフレーム が定義されています。

Pingフレーム: 送信側が接続相手の応答を確認したい場合に送信します。ペイロードには任意のデータを含めることができます（通常は空またはタイムスタンプ）。
Pongフレーム: Pingフレームを受信した側は、できるだけ早く対応するPongフレームを返さなければなりません。Pongフレームのペイロードは、受信したPingフレームのペイロードと同じにする必要があります。

通常、サーバー側から定期的にPingフレームを送信し、クライアントからのPongフレームの応答があるかを確認します。一定時間内にPongフレームが返ってこない場合は、そのクライアントとの接続が失われたと判断し、サーバー側から接続を閉じます。これにより、サーバーが多数の無効な接続を保持し続けることを防ぎ、リソースを節約できます。

多くのWebSocketライブラリは、このPing/Pongによるハートビート機能を設定で有効にしたり、自動的に処理したりする機能を備えています。独自に実装する場合は、タイマーを使って定期的にPingフレームを送信し、Pongフレームの受信を追跡するロジックを記述する必要があります。

5.7. バイナリデータの扱い

WebSocketはテキストデータ（UTF-8エンコードされた文字列）とバイナリデータ（任意のバイト列）の両方をサポートしています。

テキストデータ: 主にJSONやXMLなど、人間が読める形式の構造化されたデータを送受信する場合に使用します。クライアント側JavaScriptでは文字列として扱われます。
バイナリデータ: 画像、音声、ビデオなどのメディアデータや、Protocol Buffers, MessagePackなどのコンパクトなシリアライゼーションフォーマットでエンコードされた構造化データを送受信する場合に適しています。テキストデータに比べて効率的に大量のデータを転送できます。

クライアント側 (JavaScript):

send() メソッドは、文字列、Blob オブジェクト、ArrayBuffer オブジェクト、TypedArray オブジェクトを受け付けます。
onmessage イベントで受信するデータの形式は、websocket.binaryType プロパティで設定できます。デフォルトは 'blob' ですが、 'arraybuffer' に設定することも可能です。

“`javascript
const ws = new WebSocket(‘wss://example.com/websocket’);
ws.binaryType = ‘arraybuffer’; // 受信するバイナリデータを ArrayBuffer として扱う

ws.onopen = () => {
// バイナリデータを送信する例 (ArrayBuffer)
const data = new Uint8Array([1, 2, 3, 4, 5]);
ws.send(data.buffer); // ArrayBufferを送信

// Blobデータを送信する例
const blobData = new Blob(['binary data'], { type: 'application/octet-stream' });
ws.send(blobData); // Blobを送信

};

ws.onmessage = (event) => {
if (event.data instanceof ArrayBuffer) {
console.log(‘Received binary data (ArrayBuffer):’, new Uint8Array(event.data));
} else if (event.data instanceof Blob) {
console.log(‘Received binary data (Blob):’, event.data);
// Blobからデータを読み出すには FileReader などを使用
const reader = new FileReader();
reader.onload = () => {
console.log(‘Blob content:’, reader.result);
};
reader.readAsText(event.data); // または readAsArrayBuffer()
} else {
console.log(‘Received text data:’, event.data);
}
};
“`

サーバー側 (Node.js + ws):

ws.on('message', (message) => { ... }) イベントハンドラで受信する message 引数は、デフォルトでは Buffer オブジェクトです。テキストメッセージの場合はBufferを toString() すれば文字列になります。バイナリメッセージの場合はBufferとしてそのまま扱います。
ws.send(data) メソッドは、文字列やBuffer、TypedArrayなどを引数に取ることができます。BufferやTypedArrayを渡せばバイナリフレームとして送信されます。

バイナリデータの扱いには、データの構造やシリアライゼーション・デシリアライゼーションの方法をクライアント・サーバー間で合意しておくことが重要です。

5.8. ライブラリとフレームワーク

WebSocketの実装をゼロから行うのは複雑なため、多くの場合は既存のライブラリやフレームワークを利用します。

生WebSocket API: Webブラウザの WebSocket オブジェクトや、サーバー側ライブラリの低レベルAPIを直接使用する方法です。最も基本的ですが、再接続、フォールバック、スケーリング、ルーム機能などの複雑な機能は自前で実装する必要があります。
Socket.IO: WebSocketの上に構築された人気の高いライブラリです。WebSocketが利用できない環境でのHTTP Long Pollingなどへの自動フォールバック機能を持ちます。また、ルーム（特定のグループにメッセージを送信）、ブロードキャスト、自動再接続、イベントベースの通信など、リアルタイムアプリケーション開発に便利な高レベルな機能を提供します。クライアント側JavaScriptライブラリとサーバー側（Node.js, Python, Javaなど）ライブラリがあります。機能豊富である一方、標準のWebSocketプロトコルとは互換性がない（Socket.IO独自のプロトコルを使用する）点には注意が必要です。
SockJS: Socket.IOと同様に、WebSocketが利用できない場合のフォールバック機能（iframe, xhr-pollingなど多様なトランスポート）を提供します。標準のWebSocket APIに近い使い勝手を目指しています。
各言語/フレームワークの組み込み機能またはライブラリ: 前述の ws (Node.js), websockets (Python), Spring WebSockets (Java), Action Cable (Rails) など、それぞれの開発スタックに合わせたWebSocketサポートが提供されています。これらは通常、標準のWebSocketプロトコルに準拠しており、既存のフレームワークのアーキテクチャ（MVCなど）に組み込みやすいという利点があります。

どのライブラリを選択するかは、アプリケーションの要件（必要な機能、リアルタイム性のレベル、対応ブラウザ/環境、使用する開発言語・フレームワークなど）によって判断します。フォールバックが必要か、豊富な高レベル機能が必要か、標準プロトコルへの準拠が重要か、といった点が考慮点となります。

6. WebSocketの応用例

WebSocketはそのリアルタイム性、双方向性、効率性から、様々なアプリケーションで活用されています。

リアルタイムチャットアプリケーション: 最も代表的な例です。ユーザーがメッセージを送信すると、サーバーはそのメッセージを受信し、WebSocket経由で同じチャットルームに参加している他の全ユーザーに即座に配信します。既読通知や入力中の表示などもリアルタイムに実現できます。
オンラインゲーム: プレイヤー間の位置情報やアクションの同期、ゲーム状態のリアルタイム更新にWebSocketが使用されます。低遅延が要求されるゲーム（特にマルチプレイヤーゲーム）において重要な技術です。
ライブアップデート: 株価、暗号通貨価格、スポーツのスコア、ニュース速報、オークションの入札状況など、頻繁に更新される情報をクライアントへリアルタイムにプッシュ配信します。Pollingに比べてサーバー負荷を大幅に軽減できます。
共同編集ツール: Google Docsのような複数ユーザーによるドキュメントの共同編集では、他のユーザーの変更内容がリアルタイムに自分の画面に反映される必要があります。WebSocketは、各ユーザーの操作イベントをサーバーに送信し、それを他の共同編集者全員に配信するために使用されます。
IoTデバイスとの通信: サーバーが多数のIoTデバイスの状態を監視したり、デバイスにコマンドを送信したりする場合にWebSocketが使用されることがあります。デバイスからサーバーへのデータ送信や、サーバーからのリアルタイム制御が可能です。
プッシュ通知: ウェブサイトからユーザーに対して、新しいイベント（例: 新着メッセージ、タスクの割り当て）をリアルタイムに通知する場合に使用されます。ブラウザのPush APIと連携することもあります。
監視・モニタリングシステム: サーバーやアプリケーション、ネットワーク機器などの状態を示すメトリクスやログを、管理画面のダッシュボードにリアルタイムに表示するためにWebSocketが使われます。これにより、システムの異常を即座に検知できます。
位置情報共有サービス: ユーザーや車両の現在位置をリアルタイムにサーバーに送信し、地図上に表示したり、他のユーザーと共有したりするサービスで使用されます。
ホワイトボード/図形描画ツール: 共同で一つのキャンバス上に描画を行うようなツールで、他のユーザーの描画内容をリアルタイムに共有するためにWebSocketが利用されます。

これらの例からもわかるように、WebSocketはユーザー体験の向上、サーバーリソースの効率化、そして従来は難しかった機能の実装を可能にする強力な技術です。

7. まとめ

本記事では、WebSocketの基礎から応用までを幅広く解説しました。

WebSocketは、単一のTCPコネクション上で全二重の永続的な通信路を確立することで、真のリアルタイム通信を実現するプロトコルです。HTTPの「リクエスト・レスポンス」モデルに限界があったリアルタイムアプリケーション開発において、WebSocketはPollingやLong Pollingといった従来の擬似的な手法につきまとった非効率性や遅延といった問題を解決します。

プロトコルの観点では、HTTPアップグレードによるハンドシェイク、そしてテキストやバイナリデータ、制御メッセージを運ぶ効率的なフレーム構造がWebSocketの核となります。この仕組みにより、小さなオーバーヘッドで頻繁なメッセージ交換が可能になります。

実装においては、WebブラウザのJavaScript標準APIや、Node.js, Python, Javaなど様々な言語で提供されている豊富なサーバーサイドライブラリが利用できます。これらのライブラリを活用することで、比較的容易にWebSocket通信を組み込むことができます。

さらに応用的なトピックとして、アプリケーションレベルの合意のためのサブプロトコル、通信効率を高める拡張機能（Permessage-Deflate）、安全な通信のためのセキュリティ対策（wss, オリジンチェック, 認証・認可, DoS対策）、多数の同時接続を捌くためのスケーラビリティ戦略（Pub/Subパターン）、そして予期せぬ切断に備えるエラーハンドリングと再接続ロジック、接続維持のためのハートビート（Ping/Pong）など、プロダクション環境でWebSocketを使用する上で考慮すべき重要な要素を解説しました。

チャット、ゲーム、ライブアップデート、共同編集など、WebSocketは現代の多様なリアルタイムアプリケーションを支える基盤技術です。今後も、よりインタラクティブで即時性の高いウェブサービスの需要は高まる一方であり、WebSocketの重要性は増していくでしょう。

WebSocketの学習においては、まず基本的な接続確立とメッセージ送受信を理解し、次にセキュリティ、エラーハンドリング、そしてスケーラビリティといった応用的な課題に取り組んでいくのが良いでしょう。また、Socket.IOのような高レベルライブラリが提供する便利な機能を理解することも、開発効率を高める上で役立ちます。

この記事が、WebSocketの理解を深め、あなたのリアルタイムアプリケーション開発の成功に貢献できれば幸いです。