HTTPとHTTPSの違いとは？セキュリティ上の意味を分かりやすく解説

「HTTPとHTTPSの違いや、HTTPSがSEOにどんな効果があるかわからない……」とお悩みではないでしょうか。実は、Webサイト制作で極めて重要なポイントなのです。

そもそも「HTTP」とは、Webサイトを表示するために必要な情報を送受信するための「通信規則」のこと。これまで主流だったHTTPの後継として、新たに登場した規格が「HTTPS」です。HTTPSはセキュリティが強化されていることが、その特長です。

WebサイトをHTTPS化すれば、SEO評価が高まります。つまりWebサイトのHTTPS化は、「SEOに強いサイト」を作るために最適な施策だということ。ただし、HTTPS化を実現するためには正しい知識と手順が重要です。

本記事ではHTTPとHTTPSの違いやHTTPS化するメリット、実際にHTTPSを実装する手順について詳しく解説します。この記事を読むことで、HTTPSがSEOで重要な理由と実装方法がわかり、Webサイトのドメインパワーを強化できるでしょう。
ドメインパワーとは？SEOでのドメイン評価の重要性と上げ方を解説

監修者

石田 哲也

Twitter：@te2319
株式会社ニュートラルワークス 取締役CMO。1984年生まれ。高校卒業後にISD株式会社を起業。その後、株式会社オプトでWebマーケティングを学び、株式会社メタップスなど複数のベンチャー企業にて事業立ち上げを経験。前職はワンダープラネット株式会社でゲームプロデューサーとしてスマホゲームアプリの制作に従事。2018年に地元の神奈川へ戻り、ニュートラルワークスに入社。SEO/Web広告運用/サイト分析・改善など、Webサイトの運用改善～ゲームアプリ制作や数十万フォロワーのSNSアカウントの運用経験などWebビジネス全般を守備範囲とする。

■経歴
2003年　ISD株式会社/起業
2009年　株式会社オプト/SEMコンサルタント
2011年　株式会社メタップス/シニアディレクター
2013年　ライブエイド株式会社/執行役
2016年　ワンダープラネット株式会社/プロデューサー・BizDev
2018年　株式会社ニュートラルワークス/取締役CMO

■得意領域
Webサイト改善
SEO対策
コンテンツマーケティング
リスティング広告

■保有資格
Google アナリティクス認定資格（GAIQ）
Google 広告検索認定資格
Google 広告ディスプレイ認定資格
Google 広告モバイル認定資格

執筆者

株式会社ニュートラルワークス

QUERYY(クエリー)編集部

QUERYY(クエリー)は、株式会社ニュートラルワークスが運営するデジタルマーケティング情報メディアです。

HTTPとは？

「HTTP（Hypertext Transfer Protocol）」とは、サーバとクライアント間でWeb情報を送受信するための「プロトコル（通信規則）」です。いくつかの専門用語が出たので、少しわかりづらいかもしれませんね。ひとつずつ丁寧に見ていきましょう。

「サーバ」とは、Webサイトのデータをユーザーに提供するコンピューターシステムです。一方で、「クライアント」はWebサイトを利用する側、すなわちユーザーを指します。クライアント側が「Webサイトを見たい」と要求し、サーバが必要な情報を提供するのです。一連の手順や決まりごとを定めたものが、今回紹介するプロトコル。

このプロトコルは国際的に「標準化」されていて、どの地域でも同じものが採用されています。だからこそ、場所やデバイスの種類を問わず、どこでもWebサイトを閲覧できるのです。HTTPは私たちの生活を支えている、極めて重要な概念だといえるでしょう。

なお、従来のHTTPを今でも採用し続けているWebサイトは、URL（アドレス）が「http://」から始まります。一方で、後述する「HTTPS」へ移行したWebサイトは「https://」から始まるので、プロトコルの種類を見分けるのは簡単です。

HTTPとHTTPSの違い

これまで全世界のインターネットで主流だったHTTPですが、ひとつ大きな問題がありました。それは安全性です。

詳細は後述しますが、さまざまな技術を駆使してHTTPのセキュリティ強度を飛躍的に高めたのが「HTTPS」というプロトコル。ここではまず、HTTPとHTTPSの違いについて、概要を確認しておきましょう。

簡単に言うと、HTTPは従来の古いWebサイト、HTTPSは新しいWebサイトで採用されているプロトコルです。

HTTPSは「安全性」が高いため、ECサイトやクレジットカート決済などの、機密性の高い情報をやり取りする目的で活用されています。これらの点をふまえて、下記4つの観点からHTTPとHTTPSの違いを掘り下げていきましょう。

• HTTPが安全ではない理由
• HTTPSは暗号化されており安全性が高い
• 日本はHTTPSの導入割合が他国より低い
• HTTPSでも100％安全とは限らない

HTTPが安全ではない理由

従来のHTTPは安全ではありません。HTTPでやり取りされる情報は、簡単に盗み取られてしまうからです。インターネットが私たちの生活に浸透するにつれて、個人情報や機密情報など、重要な情報を送受信する機会が増えました。しかし、悪意のある人が大切な情報を悪用して、被害を受ける人が出始めたのです。

HTTPを使用している古いWebサイトでは、通信が「暗号化」されていません。暗号化とは、当事者同士でなければ理解できないように情報を改変する技術。HTTPは暗号化されていないので、他者がその情報を容易に盗み取ることができます。

たとえば、ECサイト（ショッピングサイト）の決済をクレジットカードで行うケースを考えてみましょう。決済システムが従来のHTTPを採用していると、ユーザーのクレジットカード情報は外部に「筒抜け」の状態になります。その結果、ユーザーがクレジットカードの不正利用の被害を受けるかもしれません。

HTTPSは暗号化通信で安全性が高い

HTTPは暗号化されておらず、危険なプロトコルであることがわかりました。こうした問題を解決するために、暗号化技術を導入して通信の安全性を飛躍的に向上させたのが、新たに登場した「HTTPS（Hypertext Transfer Protocol Secure）」です。

HTTPSには、「SSL（Secure Sockets Layer）」と「TLS（Transport Layer Security)）」という、2つの大きな暗号化技術が採用されています。HTTPSを採用したWebサイトでは、あらゆる通信が高度に暗号化されるので、他者が盗み取ることは極めて困難です。

さらに、HTTPSを利用するためには「SSLサーバ証明書」も必要となります。これは、通信の「改ざん」の検知や、接続先サーバの存在の検証を行う機能です。こうしたさまざまな改良により、HTTPSはHTTPのシンプルさや利便性を継承して、セキュリティを強化することに成功しました。

日本はHTTPSの導入割合が他国より低い

従来のHTTPと比べて飛躍的にセキュリティが向上したHTTPSですが、世界的には、HTTPSの導入はまだまだ進んでいないのが現状です。とくに、日本は諸外国と比べて、HTTPSの導入割合が半分程度しかありません。下記のグラフを確認してみましょう。

引用元：インプレス ビジネスメディア

2016年時点での世界的な平均値では、50%程度のWebサイトがHTTPSを導入しています。一方で、日本は25%程度しかHTTPSを導入していません。HTTPSの導入コストが高いことや、Webサイトの運営者がHTTPSの重要性を正しく理解できていないことが、主な原因だと考えられています。

言い換えれば、日本国内のWebサイトの4分の3前後が、「安全ではない」可能性が高いということ。HTTPSへ移行すると、競合メディアとの差別化を図るきっかけにもなるので、この機会にぜひHTTPSの導入を検討してみてください。

HTTPSでも100％安全とは限らない

HTTPSはHTTPと比べると、遥かに高いセキュリティ性を実現しています。しかし、HTTPSを導入しているWebサイトだからといって、「100%完全に安全」だとは限りません。インターネットを悪用するための技術が進歩しており、HTTPSのセキュリティが破られてしまうこともあるのです。

前述したように、HTTPSは「SSLサーバ証明書」を要求し、通信相手が本物かどうかを確認します。しかし、SSLサーバ証明書が偽造されていて、ユーザーが接続するWebサイトが「偽物」だった場合は、情報が盗み取られてしまうことに。

しかし、HTTPからHTTPSへ移行するメリットが相殺されるわけでは決してありません。HTTPSを導入することで、Webサイトの安全性は確実に高まるので、ユーザーからの信用を獲得することができます。

サイト全体をHTTPS化（常時SSL）するメリットと必要性

近年では、Webサイト全体をHTTPS化する「常時SSL」が主流になりつつあります。以前はHTTPSを導入しているWebサイトでも、問い合わせフォームや決済ページなどのような、重要情報を扱うページのみHTTPS化したものが大半でした。

しかし、一部のページをHTTPS化するだけではセキュリティ面での問題があるので、すべてのページをHTTP化するケースが増えています。常時SSLにより、Webサイトの訪問者は常にSSLによって保護されることに。ユーザーにとって「安心できるWebサイト」になることが、常時SSLの魅力です。

本章では、Webサイト全体をHTTPS化する「常時SSL」で得られる、下記2つのメリットについて解説します。

• サイトのSEO評価を上げることができる
• HTTPのサイトはブラウザで警告が表示される

サイトのSEO評価を上げることができる

WebサイトにHTTPSを導入すると、Webサイト全体のSEO評価を上げられます。これはGoogleが公式ブログで下記のように明言していることから、確実なものであると考えていいでしょう。

こうした理由から、Google は過去数か月にわたり、暗号化された安全な接続をサイトで使用していることを検索のランキング アルゴリズムのシグナルとして考慮するテストを実施してきました。このテストで十分な結果が得られたので、Google はランキング シグナルとして HTTPS を使用することにしました。

引用元：Google

この背景にあるのはGoogleの理念です。Googleは常に「ユーザーファースト」なWebサイトを求めています。HTTPSを導入したWebサイトは、ユーザーの個人情報を守ることが可能。結果的にユーザーからの信頼性が高まり、Googleからの評価も上がるのです。

さらに、HTTPSを導入したWebサイトではユーザーがどこから訪れたかを示す「参照元」が記録されるので、Googleアナリティクスの評価も高まります。SEO評価が上がるだけではなく、効果測定や分析も行いやすくなるので、HTTPSはまさに一石二鳥ですね。

HTTPのサイトはブラウザで警告が表示される

URLが「http」のままのWebサイト、すなわちHTTPSを導入していないWebサイトでは、Google ChromeやMicrosoft Edgeなどのブラウザで下記のような警告が常時表示されます。

このようなWebサイトを訪れると、ユーザーは不安を感じます。例えば情報提供型のオウンドメディアの場合、「このサイトは信頼できるのだろうか」と疑問を感じるかもしれません。

オウンドメディアにお問い合わせフォームがあったとしても、「個人情報を盗まれるかもしれない」と危険を感じ、入力を避けるユーザーは少なくないでしょう。

オウンドメディアがHTTPS化していない場合は、訪問者数やコンバージョン率に悪影響が出る可能性もあります。ユーザーが安心できるメディア、ユーザーに信頼してもらえるメディアを作るためにも、HTTPSをぜひとも導入すべきなのです。

HTTPS化（常時SSL）にする方法を7ステップで解説

自社のWebサイトをHTTPS化、常時SSL化するためには、さまざまな手順が必要になります。本章では、安全かつSEOに強いWebサイトを構築するための手順を、下記7つのステップごとに見ていきましょう。

• 1.サーバの状況を確認
• 2.CSR（証明書署名要求）の作成
• 3.SSLサーバ証明書を申請・取得
• 4.SSLサーバ証明書をインストール
• 5.リンクを「https://」へ置換
• 6.HTTPをHTTPSにリダイレクト設定
• 7.各種ツールの設定変更

1.サーバの状況を確認

HTTPS導入で最初に行うべきことが、現在利用しているサーバの確認です。サーバがHTTPSに対応していなければ、WebサイトをHTTPS化することはできません。

近年では、ほとんどのサーバがHTTPSを利用可能ですが、安価なレンタルサーバのなかには利用できないものもあります。また、HTTPS化に対応していても、常時SSL化に対応できないものもあるので注意が必要です。自社のWebサイトで利用しているサーバの仕様を確認し、HTTPS化と常時SSL化が実現できるか検討しましょう。

一般的には、自社で専門的に構築したオンプレミスサーバであれば、とくに心配する必要はないといえます。また、公開前のWebサイトをテストするための「テストサーバ」を利用している場合、そちらも忘れずHTTPS化・常時SSL化を行ってください。

2.CSR（証明書署名要求）の作成

自社で利用しているサーバが、HTTPS化と常時SSL化に対応できることがわかったら、「CSR（証明書署名要求）」を作成しましょう。前述したように、WebサイトをHTTPS化するためには「SSLサーバ証明書」が欠かせません。CSRはSSLサーバ証明書を取得するための、いわば申し込みの必要書類のようなものです。

CSRを作成する際は、「ディスティングイッシュネーム」の入力が求められます。これはWebサイトおよびWebサイトの運営者を識別するための情報なので、間違えないように入力しましょう。なお、CSRの作成手順自体は利用中のサーバごとに大きく異なります。詳細はサーバの運営企業や、自社の担当者に問い合わせてみてください。

3.SSLサーバ証明書を申請・取得

CSRを取得したらSSLサーバ証明書の取得が可能です。まずは、SSLの「認証局（CA）」にSSLサーバ証明書を申請しましょう。SSLサーバ証明書には、「共有SSL」と「独自SSL」の2種類のものがあります。

共有SSLは複数ユーザーで共有するために、サーバの運営企業が取得するもの。独自SSLは自社サイトで占有するために、Webサイト運営者が取得するタイプです。HTTPS化には独自SSLが必須なので、誤って共有SSLを取得しないように注意してください。

さらに、独自SSLは下記3種類のものに分けられます。どれを取得するかによって、常時SSL化の品質や「信頼性」が大きく異なることがポイントです。

• ドメイン認証SSL（DV）
• 企業認証SSL（OV）
• EV認証SSL（EV）

ドメイン認証SSLは個人向けで、最も容易に取得できるタイプです。企業認証SSLとEV認証SSLはいずれも企業向けですが、EV認証SSLは取得のための手間がかかる最も厳格なタイプ。ただし、EV認証SSLは取得費用が高額になるので、自社のWebサイトに適したものを選ぶことが大切です。

今回は、EV認証SSLでSSLサーバ証明書を取得する手順を解説します。まずは、下記の必要書類を準備しましょう。

• CSRの生成
• 登記事項証明書（登記簿謄本）または履歴事項全部証明書
• WHOISデータベース
• 第三者データベース

「WHOISデータベース」と「第三者データベース」は、有価証券報告書や職員録などのような、企業の物理的実在性を確認できる書類もしくはデータです。以上の必要書類が揃ったら、下記の手順でSSLサーバ証明書を取得しましょう。

• 1.申し込み
• 2.書類提出
• 3.法的実在性確認
• 4.ドメイン所有者情報照合
• 5.物理的実在性確認
• 6.電話での本人確認
• 7.証明書発行
• 8.支払い

支払い手続きが完了した段階で、SSLサーバ証明書を取得できます。EV認証SSLの取得には複雑な手順が必要なので、不明点がある場合はサーバの運営者・担当者にお問い合わせください。

4.SSLサーバ証明書をインストール

SSLサーバ証明書を取得できたら、サーバにインストールします。ただし、サーバへのインストール手順は、利用しているサーバによって大きく異なるので、詳細はサーバの運営者に問い合わせてみてください。

レンタルサーバを利用している場合は、自動的にSSLサーバ証明書がインストールされるケースもあるようです。これまでの手順が完了したら、WebサイトのHTTPS化の手順はすべて完了しています。

5.リンクを「https://」へ置換

サーバにSSLサーバ証明書をインストールしたとしても、Webサイトの各ページはまだHTTPS化されていません。Webサイトに張り巡らされているリンクのURLアドレスは、すべてHTTPのままです。それらをHTTPSに置換する作業が必要になります。

ただし、この作業はそれほど手間がかかるものではありません。コードエディターに搭載されている「一斉置換機能」で、「http」の部分を「https」に置換すればいいだけだからです。なお、置換作業はすべてのURLを記載する「絶対パス」の部分のみ行います。現在のディレクトリからの場所を記載する「相対パス」は、置換する必要がありません。

コードエディターで一斉置換する方法については、使用するコードエディターによって異なります。詳細はコードエディターのドキュメントを確認してみましょう。

6.HTTPをHTTPSにリダイレクト設定

Webサイト全体をHTTPS化・常時SSL化したあとも、まだ作業は残っています。なぜなら、既存ユーザーの「お気に入り」に登録されているURLや、ほかのWebサイトから獲得した「外部リンク」のURLは、すべてHTTPのままだからです。

既存URLへのリンクを、新しいHTTPSのURLへ遷移する必要があります。この「301リダイレクト」を行わなければ、多くのユーザーが「リンク切れ」のWebページにアクセスすることになり、ユーザーの流入機会が失われてしまうことに。

また、301リダイレクトを行うことにより、HTTP時代のSEO評価が引き継がれます。301リダイレクトはSEO評価の観点からも重要なので、必ず行うようにしてください。

リダイレクトとは？危険性、警告の対処法をわかりやすく解説

7.各種ツールの設定変更

最後にWebサイトで利用している、各種ツールの設定を変更しましょう。運用中のWebサイトは、アクセス解析ツールのようなサービスとの連携を行っているはずです。それらの設定にHTTPS化と常時SSL化を反映させなければ、効果測定やSEO対策が正常に行えなくなってしまいます。

各種ツールの設定を変更する方法については、利用中のツールのドキュメントなどで確認してください。以上の作業がすべて完了すると、Webサイトを完全にHTTPS化・常時SSL化することができます。

さまざまな作業が求められるため大変ではありますが、それだけ多くのメリットを享受できることでしょう。

HTTPからHTTPSに移行する際の注意点

HTTPからHTTPSに移行する際は、下記4つのポイントに注意しましょう。WebサイトをHTTPS化する前に、ぜひ確認しておいてください。

• HTTPS化にはコストが発生する
• 301リダイレクト設定を必ず行うこと
• canonical（カノニカル）タグについてもhttpsに変更
• 内部リンクの更新

内部リンクとは？SEO効果と内部リンクの設置方法を解説

HTTPS化にはコストが発生する

前述したように、WebサイトのHTTPS化には一定のコストがかかります。具体的には、Webサイトで利用しているサーバや、SSLサーバ証明書の種類によって異なりますが、おおむね年間1万～10万円前後です。これは決して「安い」といえるものではないでしょう。

Webサイトのセキュリティを万全にするために「EV認証SSL」を選んだ場合は、年間10万円以上のコストがかかることもあります。SSLサーバ証明書の取得費用は、Webサイトの「信頼性」を担保するためのものです。下記のように3種類のものがあり、高額なものほどユーザーからの「信頼性」が高くなります。

SSLサーバ証明書が高度になるほど、ユーザーからの信頼性も高まります。ただし、SSLサーバ証明書の信頼性は、Webサイト自体のセキュリティ強度とは関係ありません。いくらSSLサーバ証明書が高度であっても、Webサイトのセキュリティ対策が脆弱であれば、ユーザーの個人情報が流出する恐れがあるので注意してください。

301リダイレクト設定を必ず行うこと

WebサイトをHTTPS化・常時SSL化したあとは、必ず以前のHTTP時代のURLをHTTPSにリダイレクトしてください。この「301リダイレクト」は、ユーザーがそのURLにアクセスしたときに、新しいURLへ誘導するためのもの。301リダイレクトを行うことで、ユーザビリティはもちろん、SEO評価の向上にもつながるのです。

HTTPSに対応したWebサイトは、Googleに「新しいWebサイト」と認識されます。つまり、HTTP時代のSEO評価が引き継がれず、検索結果の表示順位が低下する可能性があるということ。301リダイレクトを適切に行えば、HTTPS化したWebサイトに継承されるので、SEOについて心配する必要はありません。

canonical（カノニカル）タグについてもhttpsに変更

Webサイトで「canonical（カノニカル）タグ」を使用している部分についても、URLをHTTPSのものへ更新しておきましょう。canonicalタグは、重複URLをひとつに正規化するためのもの。近年では、さまざまなデバイスにWebサイトを対応させるために、同じWebサイトを複数のURLで表現することが増えています。

しかし、重複URLをそのままにしておくと、Googleから「重複コンテンツ」と判定されてSEO評価で不利になります。そこで役立つのが、代表となるURLを設定できるcanonicalタグですが、これがHTTPのままだと正常に機能しません。前述したように、コードエディターの一斉置換機能で更新することをおすすめします。

canonicalタグとは？URL正規化やcanonicalタグの正しい記述方法を解説 少しSEOに詳しい人ならcanonicalタグについて聞いたことがあるでしょう。では、どんな時に設定すべきかを正確に説明できるでしょうか？理解しているようでイマイチわからないcanonical属性について解説します。

内部リンクの更新

Webサイト内のWebページ同士をつなぐ「内部リンク」も、忘れずにHTTPからHTTPSへ更新することが大切です。そのままではリンク切れの状態となるので、ユーザビリティ・SEO評価の双方にとって悪影響があります。こちらもコードエディターで一斉置換できるので、大きな手間にはならないでしょう。

httpとhttpsの違いのまとめ

HTTPとHTTPSは、いずれもWebサイトのデータ通信を行うためのプロトコルです。HTTPにはセキュリティ上の脆弱性があったため、SSL/TLSによる暗号化通信を導入したHTTPSが登場しました。WebサイトをHTTPS化・常時SSL化することで、ユーザーからの信頼性とSEO評価の双方が高まります。

ただし、WebサイトをHTTPS化・常時SSL化するためには、手間とコストがかかることが難点。自社サイトにとって適切なレベルのSSLサーバ証明書を取得し、URLリンクのHTTPS化や301リダイレクトを忘れずに行うことが大切です。WebサイトをHTTPS化・常時SSL化し、ドメインパワーを強化しましょう。

「株式会社ニュートラルワークス」では、HTTPS化・常時SSL化を含めた「Webサイト改善コンサルティング」サービスを提供しています。HTTPS化・常時SSL化やWebサイトのセキュリティについてお悩みの場合は、ぜひ弊社にご相談ください。