Webでの集客や営業を支援するマーケティング情報メディア

httpsとは?SEOにも欠かせないSSLについて解説

「httpsってサイトを見るときよく聞くけど、何だろう?」、「SSLって難しそう」と思っている方は多いと思います。

ブラウザでサイトを開く際に入力するURLの冒頭の文字列は「http」ですよね。ですが、最近「https」というものを見かけることが増えたと思いませんか?

この「https」や「http」はサイトのファイルを受け渡しする際に必要な通信プロトコル(規格)のことを指します。「https」は「http」通信をより安全な規格で実行する規格といえますが「s」が付いただけの違いですし、実際にどのような違いがあるのかを明確に理解するのは難しく感じるかもしれません。

本記事ではこの通信プロトコルについて、このページでは集客や営業を支援するマーケティング情報メディアであるBowned(ボウンド)の編集部が以下の点を解説していきます。

  • httpsとは何か
  • httpsとhttpの違い
  • httpsのメリットと注意点
  • 導入の手順

ウェブサイトを通して個人情報を提供するユーザーも、その情報を受け取る運営者側も、不正アクセスを防ぐことが重要であり、誰もが理解すべき仕組みでもあります。

この記事を最後までご覧いただくことで、今まで曖昧だったhttpsとhttpの違いを理解することができ、サイトを閲覧する際などのセキュリティを意識し、より安全にお使いいただくことができるようになります。

また、サイトを運営する側も、ユーザーとサイトの安全を守るために大切な対策になり、SEOの観点においても有利に働く可能性があります。ぜひ最後までご覧ください。

内容を簡単にまとめると・・・

  • httpsとはウェブサイトの通信が暗号化されているということを意味している
  • httpsとhttpの違いはウェブサイトの安全性や速さ
  • httpsは安全な反面、導入が大変

httpsとは

「https」で始まるページは通信が暗号化されているということを意味しています。つまりは外部から通信の内容を覗き見ることが難しいということなので、安全性が高いページであることをしめしています。「http」とは見た目的には「s」が付いているか、いないかの小さな違いなのですが、内容を詳しく知ると大きな違いがあります。

この「s」は「Secure(セキュア)」という言葉の略で、IT業界用語では「セキュリティがしっかりしている」という意味で使用されています。

一般的に通信を暗号化する規格は「SSL」「TLS」が使われます。

近年、公衆無線LAN(カフェやホテルにあるWi-Fiですね)を使用する人が大幅に増加しましたが、暗号化されていない規格で通信をした場合、第三者にその通信を覗き見されるリスクがあります。このためサイト自体がhttpsの暗号化通信に対応することで、ユーザーを守ることができるのです。

httpsに対応したサイトを開いた場合、「httpの情報伝達をセキュアに行う」という命令がブラウザからサーバーに届くことになります。サーバー側もこれに応え、暗号化された情報のやりとりを行うことができます。

SSL保護の対象になっているサイトの場合は、ブラウザのURLが表示される部分に「保護された通信」と表示されたり、鍵などの保護アイコンが表示されたりしますので、これを確認することでhttpsに対応しているサイトかどうかを一瞬で見分けることができます。

表示はブラウザによって変わります

逆に対応していないサイトを開く場合、「保護されていない通信」などと赤文字で表示されることがあり、ユーザーの不安を煽ることもあります。これは各種ブラウザがhttpsの導入を推奨するために明示的に表示しているようです。

現在、自分で運営しているサイトがhttpsに対応していないサイトの場合は、安全面の不安からユーザーが離れる可能性もありますので、出来るだけ対策ですることをおすすめします。

この表示もブラウザによって違いがあります

https化のメリット

https化するメリットは、ただ単に通信を暗号化できるという以外にもあります。

  • 暗号化され安全に通信できる
  • SEO対策になる
  • ユーザーに安全性をアピールできる
  • 通信速度が速くなる

暗号化され安全に通信できる

サイトの閲覧をする際に、通信が暗号化されるため、通信内容の覗き見や、盗聴、改ざんなどの第三者からの攻撃を防ぐことができます。たとえ覗き見をされたとしても、内容が暗号化されているため、詳細をわかるように解読するのは難しく、情報漏洩がしにくいという点でも通信上では安全と言えます。

またSSLを使用するために証明書を発行する必要があるため、運営者が実在することを証明することができます。証明書はSSL認証局という第三者機関を通して審査する必要があるので、信頼性が高くなります。

SEO対策になる

Googleでは、httpsの導入を推進しています。おそらくユーザーが保護されていないサイトを利用して危険にあうリスクを減らしたいという思惑があるものと思われます。

そのために、httpsを使用しているサイトを優遇することを2014年8月に公式にブログにて発表しました。

Google ウェブマスター向け公式ブログ

これにより、httpを使用しているサイトより検索エンジンでの表示順位が上がる可能性があるということになります。

ただし、https化しただけで順位が上がるということではないことは理解しておきましょう。あくまで「httpサイトより優先される」という条件の1つですので、他の面でのSEO対策もしっかり行いましょう。

この他にも、「警告」や「保護されていない通信」という表示が出ないことで、サイトの安全性をユーザーにアピールすることができます。こういった面での信頼度が高いサイトの閲覧意欲は高くなりますよね。

また、httpの通信方式は1.1というバージョンですが、http2という特殊な通信方式に対応すると、通信速度、表示速度が速くなります。このhttp2通信を使用する条件の一つがhttps化なので、httpから移行することで速度を早くすることも可能です。また、速度が早くなるということは、ユーザビリティの向上に繋がり、結果的にSEO対策に繋がります。

https化のデメリット

良いことばかりのように感じるhttps化ですが、今あるhttpサイトをhttpsに移行させる場合には、デメリットと呼べる部分もあります。

https化のデメリット

  • https化するための作業に手間がかかる
  • 証明書の取得と維持に費用がかかるものもある
  • SNSのシェア数などの記録がリセットされる

当然のことですが、https化するためにはサイトとサーバーでの作業を行い、対応させる必要があります。その作業にはある程度知識が必要で手間がかかる可能性があります。

証明書の発行にかかる費用はサーバーによって大きく異なります。

無料の証明書に対応するサーバーも増えていますが、企業などの法人や信用第一の業種などの場合は、証明の効力がしっかりしている有料のものを使用する選択肢もあります。有料のものは、発行企業の名称が表示されるため、信用度が上がるというメリットがありますが、技術的には無料の証明書と性能に変わりはありません。目的に応じてどの証明書を使用するか検討する必要がありますが、通常のサイトでは無料の証明書で充分と言えるでしょう。

また、SNSのシェア数などはサイトのURLと結びついているため、httpからhttpsに変わった時点で別サイトと判断され、引き継ぐことができませんのでこの点は注意が必要です。ただ、https化はもはやスタンダードとなりつつあり、今後のサイトとユーザーの安全を考えると、httpのまま実績を積むよりも早めにhttpsに移行して新たなシェアを獲得するほうが現実的かつ将来性があると言えます。

httpsとhttpは何が違う?

通信の内容が暗号化されているか否かという部分が大きな違いと言えますが、使用方法や役割は基本的には同じです。

「https」は通信の内容が暗号化されるため、第三者に通信のやり取りを覗き見される可能性が低く、したがって安全といえます。

「http」は第三者が覗き見たり、内容を書き変えるなどの行為を行うことも可能な状態ですので、危険にさらされている状態で、安全ではないと言えます。

httpとは

「Hyper Text Transfer Protocol(ハイパーテキストトランスファープロトコル)」の略で、ブラウザとサイトの間でファイルを移動させるための約束事です。この「http」という規格を使うことで、的確にサイトの情報を呼び出すことができる仕組みになっています。

インターネットを使う環境は、パソコンやスマートフォンなどさまざまあります。OSもバラバラということも多いですが、どれを利用しても同じサイトをスムーズに利用できるように、データのやり取りの方法を定めた通信規約が存在します。それがhttpということになります。

しかし、この「http」には暗号化の機能がないために、第三者に簡単に覗かれたり、書き換えられたりしてしまうという問題があります。

httpだと安全ではない理由

「http」は暗号化されていないため、まっすぐにそのまま情報のやり取りを行うことになります。はがきのように開封する必要もなく簡単に内容を見ることができてしまう、と考えるとイメージしやすいかもしれません。

このような状態で考えられるリスクは主に以下の通りです。

  • 通信を第三者に覗かれる可能性
  • 情報を途中で改ざんされる可能性

暗号化されていない通信を行っていると、やり取りを行っている相手との間に、第三者が入り込むことが容易にできてしまうのです。

多くの人がインターネットを使用する時代ですのでネットを使った犯罪も少なくありません。この中には暗号化されていない通信を傍受(ぼうじゅ)したり、情報を書き換えることによって行う方法も存在します。

最近では特別な知識がない初心者でも、ハッキングの知識を得ることが簡単になり、個人情報を守るためには最低限、暗号化された安全な環境でインターネットを使用するのが望ましいのです。

個人情報のやりとりをしないサイトなら問題はないように感じますが、どんな部分で攻撃を仕掛けられるかもわからないほどネット犯罪は進化し身近になってきていますので、全ての通信を暗号化した上で通信を行うことが推奨されています。

郵便を利用する場合、はがきだと配達途中で情報を盗み見られたり、何かを書き加えるなんてことは簡単だと想像できると思います。それを防ぐために、個人情報などの場合は封書にしたり、カバーで保護できる方法を使ってやりとりしていると思います。

インターネット上でのやりとりでも、同じようなリスクがあることを理解し、対策をしておくことが必要です。

httpsでも必ずしも安全だとは限らない

暗号化されているという意味では「https」のサイトは安全と言えるでしょう。

しかし、それはやり取りを行う相手が本物であることが前提になります。

例えば、通信をしている相手が「正しい会社」を装った偽物だった場合、情報はそのまま偽物の相手に渡ってしまうことになりますよね。

通信の相手を確認するために「SSLサーバ証明書」が利用できるようになっていますので、それを確認するのが一番なのですが、実際にはその証明書さえもうまく利用し、サイトを偽造される場合があります。

証明書はそのドメインの所有者が個人か企業かなど、関係なく誰でも取得することができます。

個人で使用する場合などは発行するに費用がかからないものも多く、目的などの確認も必要ないため、ネット犯罪や不正を行っている人がサイトを所有している場合でも、証明書は取得できてしまうことになります。

通信に限れば、安全な「https」対応のサイトですが、接続するサイト自体が安全であるかどうかの最終判断は、個人で行うことになります。

最近では大手通販サイトや、宅配業者などを装って、偽のサイトに誘導し詐欺行為が行われる被害も多くなっています。

注意すべきサイトの特徴

  • URLが一部違うなど改変されたものではないか
  • メールアドレスのドメインがフリーメールのものでないか
  • 連絡先が携帯電話など固定電話以外でないか
  • 振込先口座名が個人名でないか

接続するサイトのURLが一部違うなどの改変をされていないかは、大きな判断基準となります。

サイト自体も本物に似せて作られていて、よく見なければ気付かないほどというものもありますが、偽のサイトなら必ず本物と違う部分があるはずです。個人情報を入力する必要のあるサイトを利用する場合は、特に注意してください。

連絡先が携帯電話であったり、フリーメール(@gmail.comや@yahoo.co.jpなどの誰でも無料で取得できるアドレス)になっていないかも確認しましょう。振込先名に法人や事業名がなく、個人という場合も、違法に入手した個人口座を利用している可能性もありますし、気を付けるに越したことはありません。個人が運営しているサイトの場合、運営者の情報とその他の情報が同じであるかという部分もポイントになるでしょう。

また、証明書には期限があり、更新されていない場合は証明書に問題があるという内容の表示がされます。時々そのようなサイトを見かけることがありますが、こういったサイトは使い捨てにされいてる可能性もありますので、注意した方がいいでしょう。不正に取得した証明書を使用しているなどの場合も同じ表示が出ますので、何かしら不審な警告などが出るサイトの利用は慎重に行うことがベストです。

日本におけるhttpsサイトの割合

日本でも確実にhttpsサイトは増えてきていますが、全てのサイトに占める割合はまだ6割を超えた程度なのだそうです。(2020年執筆時点)これは世界でみても低い割合で、日本の危機意識の低さを表しているとも言えます。

Googleはhttpsサイトを当たり前の基準にするため、httpsサイトの検索を優先させるインセンティブを与えたり、httpサイトにブラウザ上に「警告」表示を出したりするなど、さまざまな対策を実施してきました。その成果もあって、海外でのhttpsサイトの割合はかなり増えているそうです。

httpsサイトは大手の企業サイトや、個人情報の受け渡しをするサイトだけで行えばいいと考えている人もいるかもしれませんが、それはもう過去の話ともいえます。どのサイトを開く場合でも、httpsサイトでなければ警告が表示されるわけですし、安心して通信するためには、どのサイトもhttps化をするべきなのです。

https化するための方法は、手間こそかかりますが基本的には簡単です。

利用しているサーバーなどによっても違いがありますが、手順の1例を以下で解説します。

httpsサイトに移行する手順

  1. サーバーでSSL証明書を取得する
  2. SSL化を実行する(WordPressならプラグインが存在します)
  3. サイトURLのhttp部分を「https」に書き換えて接続し、正常に表示されるかを確認する
  4. 画像や内部リンクが正常に表示されることを確認する

万が一にデータが飛んでしまわないとも限りませんので、実行する前に必ずバックアップを取っておきましょう。

SSL証明書の発行は、使用しているサーバーによって、取得方法や費用が違います。無料サーバーを使用している場合、無料でしかもスピーディーに証明書を発行できる場合がありますが、企業向けの有料サービスの場合は証明書の発行に費用のほかにも手間と時間がかかる場合がありますので、きちんと調査・検討し計画的にhttps化を実行することをおすすめします。

サイトの内部リンクや画像は、URLのすべてが一致しなければ表示しない「絶対パス」を使用している場合があります。その場合、httpからhttpsに変わったことで表示ができなくなってしまいます。そのような場合は、全てのサイトのURLを変更する必要が出てきますし、かなりの手間がかかることになります。

また、https化するとURL自体が一部とはいえ、変わることになるので検索の順位が一時的に下がる可能性もあります。(多くの場合は時間の経過と共に検索順位も回復します)SEO対策の一環としてhttps化しようとしている場合、なぜ?と思ってしまうかもしれませんが、URL=サイトの住所が変わるということは、いろんな面で混乱が生じるものなのです。

この点を考慮すると、これからサイトを解説しようと思っている場合は、最初からhttpsに対応させた形でスタートさせるほうが安全面や集客の面でも有利となるので積極的にhttpsを採用していきましょう。

まとめ:httpsとは

「https」と「http」はとても似ていますが、実は大きな違いがあるということを解説しましたが、いかがだっただしょうか。

このページの要点は以下になります。

  • httpsとはウェブサイトの通信が暗号化されているということを意味している
  • httpsとhttpの違いはウェブサイトの安全性や速さ
  • httpsは安全な反面、導入が大変

安全面を考慮すると、やはり「https」のサイトを使用することが良いということがお分かりいただけたかと思います。

自分には関係ないと思いがちなネット犯罪ですが、その手法は巧妙化しています。インターネットをあまり使わない人でも狙われてしまうことがあるくらい、今では身近なものだと理解し、httpsとhttpの違いからセキュリティを意識していただけたら幸いです。