「HTTPとHTTPS、何が違うの?」——Webサイトを見るとき、アドレスバーに表示される「http://」と「https://」。この1文字の「s」が、あなたの個人情報やクレジットカード番号を守っているかどうかの分かれ目です。あなたは普段どちらのサイトを使っているか意識したことがあるでしょうか。
かつてはHTTPSはオンラインショッピングや銀行サイトだけのものでしたが、今や日本のWebサイトの約95%がHTTPS化されています(Google透明性レポート、2025年2月時点)。この記事では、HTTPとHTTPSの違いをセキュリティ・通信の仕組み・速度・SEO・コスト・導入方法の6軸で比較し、Web通信の基本をわかりやすく解説します。
結論ファースト:忙しい人向けに一言で言うと
HTTPは「暗号化なしの通信」、HTTPSは「SSL/TLSで暗号化された安全な通信」です。現在ではHTTPSが事実上の標準であり、HTTPのままのサイトはブラウザに「保護されていない通信」と警告が表示されます。
サイト運営者の方は、まだHTTPSに移行していないなら今すぐ対応すべきです。SEO、ユーザー信頼、セキュリティの3つの観点で、HTTPのまま運営するメリットは一つもありません。
HTTPとHTTPSの基本的な仕組みの違い
HTTPの仕組み
HTTP(HyperText Transfer Protocol)は、WebブラウザとWebサーバーの間でデータをやり取りするための通信プロトコル(ルール)です。1991年にティム・バーナーズ=リーが開発したHTTPは、Webの基盤となる技術ですが、通信内容は平文(暗号化されていない状態)でネットワーク上を流れます。
ではないでしょうか。これは「ハガキ」のようなものです。配達途中に誰でも中身を読める状態で情報が送られるため、パスワードやクレジットカード番号が第三者に盗み見られる(盗聴される)リスクがあります。
HTTPSの仕組み
HTTPS(HyperText Transfer Protocol Secure)は、HTTPの通信をSSL/TLSという暗号化技術で保護したプロトコルです。通信内容が暗号化されるため、たとえ通信を傍受されても内容を解読できません。
こちらは「封書」のようなものです。中身は封がされており、正当な受取人(サーバー)だけが開封できます。さらに、SSL/TLS証明書によって「このサイトは本物である」という身元証明もセットで行われます。
HTTP vs HTTPS:通信の流れ
HTTP(暗号化なし)
ブラウザ→[平文データ]→サーバー
途中で盗聴・改ざん可能
HTTPS(暗号化あり)
ブラウザ→[暗号化データ]→サーバー
盗聴されても解読不可
6項目で徹底比較:HTTP vs HTTPS
| 比較項目 | HTTP | HTTPS |
|---|---|---|
| 暗号化 | なし(平文通信) | あり(SSL/TLSで暗号化) |
| ポート番号 | 80番 | 443番 |
| SSL証明書 | 不要 | 必要(認証局から取得) |
| 通信速度 | 暗号化なしで若干速い | HTTP/2対応で実質的にHTTPより速い |
| SEO(Google評価) | ランキング不利 | ランキング優遇(2014年〜) |
| ブラウザ表示 | 「保護されていない通信」と警告 | 鍵アイコンが表示される |
| ※HTTP/2はHTTPSでの利用が前提。主要ブラウザはHTTP/2のHTTP接続をサポートしていない。 | ||
SSL/TLSの暗号化はどう機能しているのか
SSL/TLSの暗号化は3つの層で通信を保護しています:
SSL/TLSの3層セキュリティ
①暗号化
第三者が通信を傍受しても内容を解読不可
②認証
接続先が本物のサーバーであることを証明
③完全性
通信途中でデータが改ざんされていないことを検証
具体的な暗号化の流れ(TLSハンドシェイク)は以下のとおりです:
まず、ブラウザがサーバーに接続を要求すると、サーバーはSSL証明書と公開鍵を送ります。ブラウザは認証局(CA)の情報をもとに証明書が本物かを検証。検証OKなら、ブラウザが「セッション鍵」を生成し、公開鍵で暗号化してサーバーに送信。サーバーは秘密鍵でセッション鍵を復号し、以降の通信はこの共通のセッション鍵で暗号化されます。この一連のプロセスは通常数十ミリ秒で完了します。
「SSLとTLSは何が違うのか」——歴史的な経緯
厳密に言えば、SSLとTLSは別のプロトコルです。SSL(Secure Sockets Layer)はNetscape社が1990年代に開発した暗号化プロトコルで、SSL 3.0まで発展しましたが、深刻な脆弱性(POODLE攻撃など)が発見され、現在はすべてのSSLバージョンが非推奨です。
その後継として標準化されたのがTLS(Transport Layer Security)で、現在の主流はTLS 1.2とTLS 1.3です。TLS 1.3は2018年に策定され、ハンドシェイクの高速化(1-RTTまたは0-RTT)やより強力な暗号スイートを採用しています。ただし、一般的には「SSL/TLS」「SSL証明書」と呼ばれることが多く、名称としてのSSLは今も広く使われています。
HTTPSのメリット
通信の盗聴・改ざんを防止できる
パスワード、クレジットカード情報、個人情報——これらがHTTPで送信されると、同じネットワーク上の第三者に傍受される可能性があります。特にカフェやホテルの公衆Wi-Fiでは、中間者攻撃(Man-in-the-Middle Attack)のリスクが高まります。HTTPSならこれらの情報が暗号化されるため、盗聴されても解読は事実上不可能です。
SEOでGoogleから評価される
Googleは2014年にHTTPSをランキングシグナル(検索順位の評価要素)に追加しました。同じ品質のコンテンツであれば、HTTPSサイトがHTTPサイトより上位に表示されます。これはサイト運営者にとって、HTTPS化が「セキュリティ」だけでなく「集客」にも直結する重要な理由です。
HTTP/2による高速化が可能
ここが意外と見落としがちなポイントですが、HTTPSは「暗号化するから遅い」というのは過去の話です。現在の主要ブラウザはHTTP/2をHTTPS接続でのみサポートしており、HTTP/2は多重化・ヘッダー圧縮・サーバープッシュなどの機能でHTTP/1.1より大幅に高速です。つまり、HTTPSのほうがHTTPより速いという逆転現象が起きています。
HTTPSのデメリット・注意点
SSL証明書の取得・管理が必要
HTTPSにはSSL証明書が必須です。証明書の種類はDV(ドメイン認証)、OV(組織認証)、EV(拡張認証)の3段階があり、それぞれ認証レベルとコストが異なります。ただし、Let’s Encrypt(レッツ・エンクリプト)を使えばDV証明書を無料で取得でき、多くのレンタルサーバー(エックスサーバー、ConoHa WINGなど)が無料SSL機能を標準提供しています。
移行時にURLが変わるため設定変更が必要
HTTPからHTTPSに移行すると、サイトの全URLが「http://」から「https://」に変わります。リダイレクト設定(301リダイレクト)、内部リンクの修正、Googleサーチコンソールの再設定、アナリティクスのプロパティ変更など、一時的に手間がかかります。
Mixed Content(混在コンテンツ)問題
HTTPSページ内にHTTPの画像やスクリプトが残っていると「Mixed Content」エラーが発生し、ブラウザが警告を表示します。HTTPS移行時には、ページ内のすべてのリソース(画像・CSS・JavaScript)をHTTPSに統一する必要があります。
こんな場合はHTTPS化を最優先すべき / 注意が必要なケース
| 状況 | 優先度 | 理由 |
|---|---|---|
| ECサイト・決済機能がある | 最優先(必須) | クレジットカード情報の保護が法的にも求められる |
| 会員登録・ログイン機能がある | 最優先(必須) | パスワードの漏洩リスクを防止 |
| お問い合わせフォームがある | 高(強く推奨) | 個人情報(名前・メール・電話番号)を扱う |
| ブログ・メディアサイト | 高(SEO上必須) | Google評価と読者の信頼確保 |
| 社内向けツール(イントラネット) | 中(推奨) | 内部情報の保護、ゼロトラスト時代の基本 |
よくある誤解
誤解①「HTTPSは遅い」
TLSハンドシェイクのオーバーヘッドはTLS 1.3で大幅に削減され、HTTP/2の多重化によりページ全体の読み込みはHTTPSのほうが速くなるケースが多いです。GoogleのLighthouseでも、HTTPS+HTTP/2サイトのスコアがHTTPサイトを上回る結果が一般的です。
誤解②「SSL証明書は高い」
Let’s Encryptの登場により、DV証明書は完全無料で取得できるようになりました。エックスサーバー、ConoHa WING、ロリポップなどの主要レンタルサーバーは「無料独自SSL」をワンクリックで設定可能です。有料証明書が必要なのは、企業の実在性を証明したいOV/EVの場合に限られます。
誤解③「HTTPSにすればサイトは安全」
HTTPSは「通信経路」の暗号化であり、サーバー自体のセキュリティ(SQLインジェクション、XSS攻撃への対策など)やCMS(WordPressなど)の脆弱性対策とは別物です。HTTPSは安全なサイト運営の必要条件であって十分条件ではありません。
誤解④「HTTPSなら鍵マークが表示されるから詐欺サイトではない」
実は、フィッシングサイト(詐欺サイト)の約83%がHTTPSを使用しています(Anti-Phishing Working Group、2024年レポート)。Let’s Encryptの無料証明書は誰でも取得できるため、「鍵マーク=信頼できるサイト」とは限りません。URLのドメイン名をしっかり確認することが重要です。あなた自身の防衛意識がセキュリティの最後の砦です。
Web開発者・サーバー管理者の視点
個人利用者だけでなく、Webサイトを構築・運営する開発者・管理者にも押さえてほしいポイントがあります。
まず、SSL証明書の自動更新の仕組み(Let’s Encryptのcertbot等)を必ず設定しましょう。証明書の有効期限は通常90日(Let’s Encrypt)で、期限切れになるとサイト全体がブラウザの警告画面で遮断されます。
また、HSTS(HTTP Strict Transport Security)ヘッダーの設定も推奨されます。これは「このサイトには常にHTTPSでアクセスしてください」とブラウザに指示するヘッダーで、HTTP→HTTPSのリダイレクト時に起こりうるダウングレード攻撃を防ぎます。大手企業のサイトではHSTSプリロードリスト(Googleが管理)への登録も進んでいます。あなたの管理するサイトでも検討してみてはいかがでしょうか。
まとめ:HTTPとHTTPSの違い、押さえるべきポイント
- HTTPは暗号化なし(ハガキ)、HTTPSはSSL/TLSで暗号化(封書)
- HTTPSは「暗号化」「認証」「完全性」の3層でセキュリティを確保
- 日本のHTTPS普及率は約95%。HTTPのまま運営するメリットはもうない
- GoogleはHTTPSをSEOのランキング要素に採用(2014年〜)
- HTTP/2の恩恵を受けるにはHTTPSが必須→「HTTPSのほうが速い」時代
- Let’s Encryptで無料SSL証明書を取得可能。コストはもはや導入しない理由にならない
- ただしHTTPS=安全ではない。フィッシングサイトの約83%もHTTPSを使用しているため、URLのドメイン確認が重要
📚 参考文献・出典
- ・Cloudflare「Why is HTTP not secure? HTTP vs. HTTPS」 https://www.cloudflare.com/learning/ssl/why-is-http-not-secure/
- ・Google透明性レポート「ウェブ上でのHTTPS暗号化」
- ・Anti-Phishing Working Group「Phishing Activity Trends Report 2024」
- ・Let’s Encrypt公式サイト https://letsencrypt.org/
