HTTPSとは?HTTPとの違いや確認方法・導入しないリスクを初心者向けに解説|サイバーセキュリティ.com

HTTPSとは?HTTPとの違いや確認方法・導入しないリスクを初心者向けに解説



HTTPHTTPSって何が違うの?」「自分のサイトをHTTPS化しないといけないと言われたけど何をすればいい?」そんな疑問を持つ方も多いのではないでしょうか。

HTTPSはWebサイトの通信を暗号化してユーザーの個人情報を守る仕組みで、対応していないサイトはブラウザに警告が表示されSEOにも悪影響が出ます。本記事ではHTTPSの基本から仕組み・確認方法・導入しないリスク・切り替え手順まで初心者向けに解説します。

HTTPSとは

HTTPSの定義

HTTPS(Hypertext Transfer Protocol Secure)とは、WebブラウザとWebサーバー間でデータをやり取りするための通信規格(プロトコル)に、暗号化の仕組みを加えたものです。

Webサイトを閲覧するとき、ブラウザはサーバーとデータのやり取りを行っています。このやり取りのルールを定めたのが「HTTP」で、そこにセキュリティ機能を追加したのが「HTTPS」です。URLの先頭が「https://」で始まっているサイトがHTTPSに対応しています。

名前の由来と「S」の意味

HTTPSの「S」は「Secure(セキュア=安全な)」の頭文字です。通信が暗号化されて保護されていることを示しています。

現在セキュリティの専門機関であるIPA(情報処理推進機構)も、すべてのWebサイトでHTTPS化(通信の暗号化)を推奨しています。Googleの透明性レポートによると、2025年時点でChromeで読み込まれるページの85%以上がHTTPS暗号化されており、HTTPSはWebサイトの標準仕様となっています。

HTTPSが使われるようになった背景

かつてはオンラインショッピングやログインページなど、個人情報を入力するページにのみHTTPSが使われていました。しかし2010年代以降、スマートフォンの普及やカフェ・空港などでのフリーWi-Fiの広がりにより、通信を盗み見られるリスクが急激に高まりました。

フリーWi-Fiの中にはセキュリティが脆弱なものや、攻撃者が罠を仕掛けた「なりすましアクセスポイント」が存在するケースもあります。こうした背景から、すべてのページをHTTPS化する「常時SSL」が主流となり、現在ではHTTPS化はWebサイト運営の基本となっています。

HTTPとHTTPSの違い

暗号化の有無

HTTPとHTTPSの最大の違いは、通信が暗号化されているかどうかです。

HTTPは通信内容が暗号化されていないため、データが「平文」のままインターネット上を流れます。悪意のある第三者がデータを傍受した場合、パスワードやクレジットカード情報などの内容をそのまま読み取ることができます。

一方HTTPSは、SSL/TLSという暗号化の仕組みを使ってデータを暗号化します。仮に通信内容が傍受されても、暗号化されているため内容を解読することができません。

HTTPとHTTPSの違いは、よく「ハガキ」と「封書」にたとえられます。ハガキ(HTTP)は誰でも中身を読めますが、封書(HTTPS)は封を開けない限り中身を読めません。

項目 HTTP HTTPS
暗号化 なし あり
安全性 低い 高い
ポート番号 80番 443番
ブラウザ表示 警告マーク 鍵マーク
SEOへの影響 不利 有利

使用するポート番号の違い

HTTPは80番ポート、HTTPSは443番ポートを使用します。ポートとはネットワーク通信の「窓口番号」のようなもので、通信の種類ごとに番号が決まっています。通常のサイト閲覧では意識する必要はありませんが、サーバーの設定やファイアウォールの管理を行う場合に関係してきます。

ブラウザでの表示の違い

HTTPSに対応しているサイトのURLには、ブラウザのアドレスバーに「鍵マーク」が表示されます。一方、HTTPのままのサイトにはGoogle Chromeなどのブラウザで「保護されていない通信」という警告が表示されます。

特にお問い合わせフォームやログインフォームで入力操作を行うと、この警告が赤く強調表示されます。訪問者に「このサイトは危険なのでは?」という印象を与えてしまうため、サイトの信頼性に大きく影響します。

SEO(検索順位)への影響の違い

Googleは2014年に、HTTPSかどうかを検索順位の判定要素として導入すると公式に発表しました。つまりHTTPSに対応しているサイトは検索順位で有利になり、HTTPのままのサイトは不利になる可能性があります。

Yahoo!もGoogleのアルゴリズムを使用しているため、影響はGoogleとYahoo!の両方に及びます。HTTPS化は直接的な順位上昇を保証するものではありませんが、長期的に見るとアクセス数の差につながります。

HTTPSの仕組み

SSL/TLSとは

SSL(Secure Sockets Layer)およびTLS(Transport Layer Security)は、インターネット上の通信を暗号化するためのプロトコル(規格)です。厳密にはSSLの後継規格としてTLSが使われていますが、現在も慣習的に「SSL」や「SSL/TLS」と呼ばれることが一般的です。

HTTPSはHTTPにこのSSL/TLSを組み合わせることで、通信の暗号化・改ざんの防止・なりすましの防止という3つのセキュリティ機能を実現しています。

公開鍵・秘密鍵・共通鍵の役割

HTTPSの暗号化には「公開鍵暗号方式」と「共通鍵暗号方式」を組み合わせた「ハイブリッド方式」が使われています。

公開鍵と秘密鍵は、ペアになっている2つの鍵です。公開鍵で暗号化したデータは秘密鍵でしか復号できず、秘密鍵はサーバーだけが保有します。誰でも取得できる公開鍵で暗号化するため、通信相手が増えても鍵の管理が複雑になりません。ただし処理速度が遅いというデメリットがあります。

共通鍵は、暗号化と復号の両方に同じ鍵を使う方式です。処理速度が速いのが特徴ですが、鍵の受け渡し時に盗まれるリスクがあります。

HTTPSでは、まず公開鍵暗号方式を使って共通鍵を安全に受け渡し、その後は処理速度の速い共通鍵暗号方式で通信を行うという2段構えの仕組みを採用しています。

SSL/TLSハンドシェイクの流れ

ブラウザとサーバーがHTTPS通信を始める前に「SSL/TLSハンドシェイク」と呼ばれる手続きが行われます。具体的な流れは以下の通りです。

  1. ブラウザがサーバーに接続を要求する
  2. サーバーがSSL/TLS証明書(公開鍵を含む)を送付する
  3. ブラウザが証明書の正当性を確認する
  4. ブラウザが共通鍵を生成し、公開鍵で暗号化してサーバーに送る
  5. サーバーが秘密鍵で共通鍵を復号し、鍵の共有が完了する
  6. 共通鍵を使った暗号化通信(HTTPS通信)が開始される

このハンドシェイクはほんの一瞬で完了するため、ユーザーが意識することはありません。

SSLサーバー証明書とは

SSLサーバー証明書とは、「このWebサイトは正規の運営者によって管理されている本物のサイトである」ことを証明する電子証明書です。認証局(CA)と呼ばれる第三者機関がサイト運営者の情報を審査して発行します。

証明書にはサイト運営者の情報と公開鍵が含まれており、ブラウザはこの証明書を確認することでなりすましサイトでないことを検証します。

証明書にはいくつかの種類があり、審査レベルによって「DV(ドメイン認証)」「OV(組織認証)」「EV(拡張認証)」に分けられます。EVは企業名がブラウザに表示されるため、金融機関など高い信頼性が求められるサイトで使われます。

自分のサイトがHTTPSか確認する方法

ブラウザのアドレスバーで確認する

最も簡単な確認方法は、ブラウザのアドレスバーを見ることです。

  • HTTPSに対応している場合:URLが「https://」で始まり、アドレスバーに鍵マークが表示される
  • HTTPのままの場合:URLが「http://」で始まり、「保護されていない通信」などの警告が表示される

鍵マークをクリックすると、SSL証明書の詳細情報(発行者・有効期限・運営組織など)を確認することができます。

Googleサーチコンソールで確認する

自分のWebサイト全体のHTTPS化状況を確認するには、Googleサーチコンソールが便利です。サーチコンソールの「URL検査」ツールで各ページのURLを入力すると、そのページがHTTPSで正しくインデックスされているかを確認できます。

またサーチコンソールに登録しているプロパティがHTTPとHTTPSで別々になっている場合、HTTPS版のプロパティが正しく登録されているかも確認しましょう。

サイト全体を一括確認する方法

ページ数が多いサイトの場合、「SSL Server Test」(Qualys SSL Labs)などの無料ツールを使うとサイト全体のSSL設定の状態をまとめて確認できます。証明書の有効期限・暗号化の強度・設定上の問題点なども診断してくれるため、定期的なチェックに活用できます。

また、Googleサーチコンソールの「カバレッジ」レポートでHTTPページとHTTPSページが混在していないかを確認する方法も有効です。

HTTPSを導入しないリスク

ブラウザに警告が表示される

Google Chromeをはじめとする主要ブラウザは、HTTPのサイトに対して「保護されていない通信」という警告を常時表示します。お問い合わせフォームやログインフォームで入力操作を行うと、警告が赤く強調されます。

Chromeは現在最もシェアの高いブラウザであるため、この警告が表示されると「怪しいサイトなのでは?」と訪問者が不安を感じ、サイトを離脱してしまうリスクが高まります。

通信内容が盗聴・改ざんされる

HTTPのままでは、ブラウザとサーバー間でやり取りされるデータが暗号化されていないため、悪意のある第三者に通信内容を盗み見られる「中間者攻撃」のリスクがあります。

特にフリーWi-Fiなどセキュリティが脆弱なネットワーク環境では、お問い合わせフォームに入力した氏名・電話番号・メールアドレスなどの個人情報が盗まれる可能性があります。また、HTTPSを使わないサイトではISP(インターネットサービスプロバイダー)などの第三者がWebページに広告を無断で挿入することも可能です。

SEOで検索順位が下がる

前述の通り、Googleは2014年からHTTPSかどうかを検索順位の判定要素として導入しています。競合サイトがHTTPS化しているにもかかわらず自社サイトがHTTPのままであれば、相対的に検索順位が下がるリスクがあります。

サイトのページ数が増えれば増えるほど、HTTPとHTTPSの差による検索順位の影響は大きくなります。長期的な集客力を維持するためにも、早急なHTTPS化が重要です。

サイトの信頼性・お問い合わせ数が低下する

ブラウザの警告表示によってサイトへの信頼性が損なわれると、お問い合わせや資料請求・商品購入といったコンバージョン(成果)の数が減少します。

特に企業のコーポレートサイトや採用サイトでは、「保護されていない通信」の警告が表示されたまま個人情報の入力を求めることになり、応募者や顧客から「セキュリティ意識が低い会社」という印象を持たれるリスクがあります。

HTTPをHTTPSに切り替えるには?

SSL/TLS証明書の種類を選ぶ

まずはどの種類のSSL/TLS証明書を使うかを選びます。主な種類は以下の3つです。

DV証明書(ドメイン認証):ドメインの所有権のみを確認する最もシンプルな証明書です。取得が簡単で無料のものも多く、一般的な企業サイトやブログに適しています。Let’s Encryptなどの無料サービスで取得できます。

OV証明書(組織認証):ドメインの所有権に加え、組織の実在性も審査される証明書です。DV証明書より信頼性が高く、企業サイトや公式サービスに向いています。

EV証明書(拡張認証):最も厳格な審査を経て発行される証明書です。ブラウザのアドレスバーに企業名が表示され、金融機関や大手ECサイトなど高い信頼性が求められるサイトで使われます。

SSL/TLS証明書を取得・インストールする

証明書の種類を決めたら、認証局またはホスティングサービスから証明書を取得してサーバーにインストールします。多くのレンタルサーバーではコントロールパネルから簡単にSSL証明書を設定できます。WordPressなどのCMSを使用している場合は、ホスティングサービスの管理画面でワンクリックでHTTPS化できるケースも多いです。

なお、証明書には有効期限があるため(通常1年)、期限切れにならないよう自動更新の設定をしておくことをおすすめします。

内部リンク・外部リンクをHTTPSに切り替える

証明書のインストール後は、サイト内のすべてのリンクをHTTPからHTTPSに変更します。画像・CSS・JavaScriptなどのリソースファイルのURLも「https://」に変更しないと、「混在コンテンツ(Mixed Content)」エラーが発生して鍵マークが正しく表示されないことがあります。

WordPressの場合は「Better Search Replace」などのプラグインを使うと、データベース内のURLを一括置換できます。

301リダイレクトを設定する

「http://」でアクセスしてきたユーザーを自動的に「https://」へ転送するために、301リダイレクトを設定します。これにより古いブックマークや外部サイトからのリンクでも、正しいHTTPSページへ案内することができます。

301リダイレクトを設定しないと、HTTPとHTTPSで同じコンテンツが重複して存在する状態になり、SEO上のマイナス評価につながることがあります。

Googleサーチコンソール・アナリティクスを更新する

HTTPS化後は、Googleサーチコンソールにhttps://から始まる新しいプロパティを追加し、サイトマップを再送信しましょう。GoogleアナリティクスはデフォルトのサイトURLをhttps://に変更します。

これらの設定を行わないと、HTTPSページのアクセス数が正しく計測されなかったり、検索パフォーマンスのデータが分断されたりすることがあります。

HTTPSに関するよくある勘違い

「HTTPSなら安全なサイトのはず」は間違い

HTTPSはブラウザとサーバー間の「通信」を暗号化するものであり、サイト自体の安全性を保証するものではありません。フィッシング詐欺サイトや偽物のサイトでも、SSL証明書を取得することは可能です。

実際にURLがhttpsで始まる詐欺サイトは多数存在します。「鍵マークがある=安全なサイト」という思い込みは危険です。サイトの信頼性はHTTPS化の有無だけでなく、ドメイン名・運営者情報・コンテンツの内容など複合的に判断しましょう。

「HTTPSにすればハッキングを防げる」は間違い

HTTPSはあくまでも「通信の暗号化」のための仕組みです。Webサイト自体への不正アクセスやハッキングを防ぐものではありません。

Webサイトをサイバー攻撃から守るためには、WAF(Web Application Firewall)の導入・CMSやプラグインの定期的なアップデート・強固なパスワードの設定など、HTTPSとは別のセキュリティ対策が必要です。

「HTTPSにすると表示速度が遅くなる」は間違い

かつてはHTTPS化による暗号化処理がサイトの表示速度を低下させるという懸念がありました。しかし現在はサーバーの処理能力の向上や、より効率的なTLS 1.3の普及により、速度への影響はほぼ無視できるレベルになっています。

むしろHTTPS化により利用できる「HTTP/2」という高速通信規格への対応が可能になるため、表示速度が改善されるケースもあります。

HTTPSに関するよくある質問

Q.鍵マークがついていれば絶対安全?

鍵マークは「通信が暗号化されている」ことを示すものであり、「サイト自体が安全である」ことを保証するものではありません。フィッシングサイトや詐欺サイトでも鍵マークを表示することは可能です。鍵マークの有無だけでなく、ドメイン名が正しいか・運営者情報が明記されているかなどを合わせて確認しましょう。

Q.HTTPSに変えたらURLが変わる?ブックマークや既存リンクはどうなる?

URLは「http://」から「https://」に変わります。ただし301リダイレクトを適切に設定すれば、古いhttp://のURLにアクセスしてきたユーザーは自動的にhttps://へ転送されます。そのため既存のブックマークや外部サイトからのリンクが無効になることはありません。

Q.WordPressなどのCMSでも簡単にHTTPS化できる?

多くのレンタルサーバーでは、管理画面からワンクリックでSSL証明書を設定できます。WordPressの場合は、サーバー側でSSLを有効にした後、WordPress管理画面の「設定>一般」でサイトURLをhttps://に変更するだけで基本的なHTTPS化が完了します。その後、内部リンクの修正や301リダイレクトの設定も忘れずに行いましょう。

Q.無料と有料のSSL証明書の違いは?

無料のSSL証明書(Let’s Encryptなど)はDV証明書のみで、ドメインの所有権確認のみを行います。一般的な企業サイトやブログには十分なセキュリティレベルです。有料の証明書はOV・EVなど組織の実在性を証明する証明書が取得でき、より高い信頼性が求められるサイトや金融機関・大手ECサイトに向いています。

Q.すべてのページをHTTPS化する必要がある?

はい、必要です。かつては個人情報を入力するフォームページのみHTTPS化する「共有SSL」という方式も使われていましたが、フォーム以外のページではCookie情報が盗聴されるリスクが残ります。現在はサイト全体をHTTPS化する「常時SSL」が標準であり、Googleもサイト全体のHTTPS化を推奨しています。

Q.HTTPSとVPNは何が違う?

HTTPSはWebサイトとブラウザ間の「特定の通信」を暗号化する仕組みです。一方VPN(Virtual Private Network)は、インターネット上のすべての通信を暗号化して保護する仕組みです。HTTPSはWebサイト運営者側が設定するもの、VPNはユーザー側が利用するものという違いもあります。フリーWi-Fi利用時などは、HTTPSとVPNを組み合わせることでより安全な通信が可能になります。

まとめ

HTTPSはWebサイトの通信を暗号化し個人情報を守る仕組みです。HTTPのままではブラウザに警告が表示され、盗聴・改ざんのリスクやSEOへの悪影響があります。

HTTPS化はSSL証明書の取得から301リダイレクトまで複数の手順が必要ですが、多くのレンタルサーバーでは管理画面から簡単に対応できます。「HTTPSなら絶対安全」という誤解には注意しながら、サイト全体のHTTPS化を進めましょう。

SNSでもご購読できます。