本文へ移動

httpsとは? httpとのちがいやセキュリティ上の意味を初心者向けに解説!

httpsとは? httpとの違いやセキュリティ上の意味を初心者向けに解説!
  • 「httpとhttpsのちがいがわからない…」
  • 「最近、URLがhttpのままのホームページはダメで、httpsにしないといけないと言われるのは何でなの?」
  • 「httpsのセキュリティ上の意味を知りたい…」

こんな疑問・お悩みはありませんか?

今回はインターネットを利用しているとかならず目にする「http」と「https」のちがいについて、初心者向けにわかりやすく解説します。

なぜhttpsだとセキュリティが高く、多くの企業ホームページでhttps化が進んでいるのかも紹介します。

目次

httpとは?

各インターネットユーザーの環境にかかわらず、問題なくWebページを表示するための通信規格がhttp

まずはhttpとは何かから確認していきましょう。

httpとは「Hyper Text Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)」の略で、ホームページ(Webサイト)を環境に依らず問題なく表示するための通信規格(プロトコル)のことです。

URLの最初の部分で「http://~」と記載されています。

ホームページを見るときのブラウザやパソコンのOSはユーザーによって異なる

現在、インターネットは世界中の人々に利用されていますが、その利用環境はユーザーによって大きく異なります。

パソコンでホームページを閲覧する際にも、WindowsやMacなどのOSの差異がありますし、ブラウザでもGoogle Chromeを利用している人もいれば、Microsoft Edgeを使っている人もいます。

※OS(オペレーティング・システム)…WindowsやMac、iOS、Androidなどの端末全体を管理しているシステムのこと。

※ブラウザ…インターネットを介してホームページ(Webサイト)をパソコンやスマートフォンで閲覧するためのソフトウェアのこと。Google ChromeやSafari、Internet Explorerなどが有名。

参考ページ:ブラウザとは? 意味と種類、どれがオススメかを初心者向けに解説

httpという共通のルールを設けることで、ブラウザ・OS・端末などの環境がちがっていても、ホームページを表示できる

httpという共通のルールを設けることで、ブラウザ・OS・端末などの環境がちがっていても、ホームページを表示できる
もちろんパソコンではなく、スマートフォンやiPadなどのタブレットでホームページへアクセスする人も大勢います。

このようにユーザーがインターネットやホームページを利用する環境は多種多様です。

そこでユーザーの環境ごとに、サーバーとホームページのデータをやり取りするときのルールが異なっていると、表示の不具合等が多発してしまいます。

そのような事態を防ぐためにhttpという共通のルールを定めることで、パソコンやスマートフォンなどの異なる環境でも同じ手順でホームページのデータをやり取りし、ブラウザ上で表示できるようになっているわけです。

httpsとは?

httpsとは?
httpsとは、「Hypertext Transfer Protocol Secure(ハイパーテキスト・トランスファー・プロトコル・セキュア)」の略で、SSL(暗号化通信)によってセキュリティを高めたhttpのことです。

httpsにすることで、通信経路での第三者による情報の盗聴や改ざんのリスクを防止できます。

httpとhttpsのちがいとは?

httpとhttpsのちがいとは?
つまりhttpとhttpsのちがいは、通信が暗号化されているかいないかのちがいということです。

現在はGoogleもSSLを推奨しているため、URLがhttps~のホームページが急速に増加しています。

逆にいえば、URLがhttpのままになっているホームページはSSL未導入ということです。

ぜひみなさんの会社のホームページのURLをチェックし、SSLが入っているか否かをチェックしてみてください。

もしhttpのままであれば早急なSSLの導入をオススメいたします。

なぜ現在、企業ホームページのSSL化が必須になりつつあるのか、SSLとはそもそもどんな技術なのかをこれから説明します。

SSLとは?

ホームページを閲覧する際は、インターネットを通してサーバー(データの保管庫)とのデータのやり取りがかならず発生する

ホームページを閲覧する際は、インターネットを通してサーバー(データの保管庫)とのデータのやり取りがかならず発生する
SSLとはSecure Sockets Layer(セキュア・ソケッツ・レイヤー)の略で、インターネット上の通信を暗号化する技術のことです

SSLについて詳しく知るまえに、まずはホームページを閲覧する仕組みをおさえておきましょう。

ユーザーがパソコンやスマートフォンなどのブラウザでホームページを閲覧する際には、インターネットを介してサーバーとのデータのやり取りが発生します。

サーバーとはWeb上のデータの保管庫のことです。
ユーザーはそこに格納されているホームページのデータにアクセスすることで、ブラウザを通してホームページの閲覧が可能になっているわけです。

ホームページを閲覧するときは、サーバーとのデータのやり取り時に悪意のある第三者から盗聴・改ざんされるリスクが存在する

ホームページを閲覧するときは、サーバーとのデータのやり取り時に悪意のある第三者から盗聴・改ざんされるリスクが存在する
このように、ユーザーがホームページを閲覧・利用する際にはかならずサーバーとのデータのやり取りが発生するのですが、httpでの通信、つまり暗号化されていない通信だとその途中で第三者が内容を盗聴したり改ざんしたりすることが可能です。

これを中間者攻撃と呼びます。

たとえば、URLがhttpのオンラインショップで買い物をする際に、クレジットカードの情報を入力した場合には、その情報が悪意のある第三者に盗まれてしまうリスクがあります。

また、オンラインショップではなく通常の企業のホームページでも、大半のサイトでは売上げにつなげるためお客さま向けのお問い合わせフォームが用意されていますし、採用応募のメールフォームも存在します。

それらのメールフォームでは会社名、氏名、電話番号やメールアドレスなどの入力が求められますから、それらの個人情報が盗まれてしまう可能性を払拭できません。

あるいは、詳しくは後述しますがブラウザに保存されているCookie(クッキー)という情報を抜き取られるケースもあります。

したがって通常の企業ホームページでも、httpの通信のままではお客さまや求職者の個人情報を守りきれないわけです。

SSLだと通信の中身が暗号化されるので、盗聴されても内容を把握できない

SSL化されているホームページ(URLがhttps)では、このブラウザとサーバー間のデータのやり取りが暗号化されます。

データが暗号化されていれば、悪意のある第三者がデータを仮に盗聴したとしても内容を解読できません。

これによってユーザー(ホームページへの訪問者)の安全性を確保するのが、SSLの主な仕組みです。
SSL 暗号化の仕組み

http=ハガキ、https=封書だと考えると感覚的にちがいを理解しやすい

httpとhttps(SSL化、暗号化通信)のちがいは、よく郵便物にたとえて説明されます。

httpはいわばハガキだと考えてください。
ハガキに書かれている内容はもちろん受取人に読んでもらうためのものですが、配達する途中やポストに投函されているうちに誰かにのぞき見されるかもしれません。

それに対して、httpsはきっちり糊付けされた封筒に入っている手紙のようなものです。

封筒を開けないかぎり中身を読むことはできず、受取人以外に内容は伝わりません。

「httpとhttpsのちがいがいまいちピンと来ない…」という方は、http=ハガキ、https=封書と考えると、感覚的に理解しやすくなります。
http=ハガキ、https=封書だと考えると感覚的にちがいを理解しやすい

従来はメジャーだった、共有SSLとは何か?

共有SSLのイメージ図
共有SSLのイメージ図
それでは、次にSSLの形式についてご説明します。

かつては個人情報の流出を防ぐため、注文やお問い合わせなどのメールフォームがあるページのみにSSLをかけて暗号化するという手法が多くの企業ホームページで採用されていました。

具体的にいえば、メールフォームのページのみ、SSLを導入しているサーバー会社の領域を間借りしてそこに設置するという手法です。
※この場合、メールフォームなどのページのみURLの頭がhttpsになり、他のページはhttpのままです。

これなら、自社専用のSSLサーバー証明書の発行契約をするわけではないので、比較的安価に訪問者の個人情報を守れます。

このような、サーバー会社のSSLで保護された領域を借りる形式の対応方法を、共有SSLもしくは共用SSLと呼びます。

複数の企業がサーバー会社のSSLを間借りして共有することから、この名が付きました。

近年主流の常時SSL(独自SSL)とは何か?

常時SSLのイメージ図
常時SSLのイメージ図
しかし、昨今はメールフォームなどのページのみSSL化する共有SSLではなく、そのホームページ専用のSSLを導入し、全ページを暗号化して保護する形式が主流になってきました。

メールフォームやログインページだけでなくすべてのページがSSL化されているので、訪問者にとってはどのページにいても常にSSL保護の恩恵があります。
※全ページのURLの頭がhttpsになります。

これを常時SSLと呼びます。

自社のドメイン専用のSSLサーバー証明書を用意するので独自SSLとも呼ばれます。

それではなぜ現在は常時SSLが求められるようになったのでしょうか?
具体的にその理由を説明していきます。

常時SSLの導入が進む背景にはWi-Fiの普及が影響している

現在は飲食店やショッピングモール、空港などでフリーWi-Fiが普及している

現在は飲食店やショッピングモール、空港などでフリーWi-Fiが普及している
常時SSL自体は昔から存在していた技術なのですが、とりわけ2010年代以降は急速に常時SSLの普及が進むようになりました。

その大きな理由のひとつに、Wi-Fiの普及が挙げられます。

現在、ファーストフード店やカフェ、ショッピングモール、空港などさまざまな場所において、無料で使えるWi-Fi(フリーWi-Fi)が提供されています。

フリーWi-Fiは通信量を気にせずにインターネットを利用できるので、スマートフォンやタブレット、パソコンにつないで日々活用している方も多いと思います。

フリーWi-Fiはセキュリティが弱かったり、攻撃者によって罠が仕掛けられたりしている場合がある

フリーWi-Fiはセキュリティが弱かったり、罠が仕掛けられたりしている場合がある
しかし、これらのフリーWi-Fiのなかにはセキュリティがしっかりしていないものや、個人情報を盗み取るために攻撃者が罠を仕掛けているものもあります。

具体的には以下のような手法です。

  • 同じWi-Fiに接続している他のユーザーのCookie情報を盗みとるツールを使う
  • 店舗が提供しているフリーWi-Fiに見せかけた「なりすましのアクセスポイント」を仕掛ける中間者攻撃・・・など

つまり、フリーWi-Fiの普及にともない、以前とくらべてCookieなどの情報を傍受されるリスクが急激に高まっているのです。

Cookie情報を盗まれると第三者が本人になりすましてログインできてしまう

Cookie(クッキー)とはホームページの情報をブラウザの機能を通じて、訪問者のパソコンやスマートフォンに保存する仕組みのことです。

たとえば、みなさんがFacebookやTwitter、Amazonなどのサービスを利用するときを思い出してみてください。

毎回IDやパスワードをいちいち入力しているでしょうか?
2回目以降にアクセスすると、すでにログイン状態になっていることも多いはずです。

これはCookieが各サービスのログイン情報を保存しているため、ID・パスワード入力の手間を省けているのです。

Cookieの情報が盗まれると、悪意を持った第三者がそのユーザーになりすまして各サービスにログインできてしまいます。
一度ログインさえしてしまえば、サービスによってはユーザーの名前や住所、電話番号などがアカウントに登録されているので、個人情報を盗むのは極めて簡単です。

ちなみに、他人のCookieを盗聴するツールはネット上で公開されており、無料で誰でもダウンロードできるのが現状なので、盗聴のリスクは相当高いといわざるをえないでしょう。

一部のページのみhttps化して保護する共有SSLでは、訪問者のCookieは守れない

確かに、注文フォームやお問い合わせフォームのみを暗号化して保護する共有SSLでも、訪問者が入力・送信した氏名や住所などの個人情報は守れます。

しかし、共有SSLではフォームが設置されていないページはURLがhttpとなり、SSLで保護されていませんから、訪問者が他のページを閲覧しているときにCookieの情報を盗聴されるリスクがあります。

つまり、共有SSLではSSL化していないhttpのページがセキュリティの穴となって、訪問者のCookie情報を盗まれてしまう可能性を払拭できません。

常時SSLなら全ページがhttpsになるので、Cookieの盗聴防止に効果的

常時SSLなら全ページがhttpsになるので、Cookieの盗聴を防げる
それに対し、常時SSLならホームページ内の全ページが保護されるので、セキュリティの穴がなくなります。

SSLの保護下なら、Cookieも含めてデータ通信が暗号化されるので第三者に盗聴されても、情報が読み取られません。

常時SSLの企業ホームページへの導入で、個人情報流出やなりすましログインのリスクを減らし、より安心して訪問者に企業ホームページへアクセスしてもらえます。

httpsのホームページやSSLについて初心者によくある勘違い

httpsやSSLについては、いくつか初心者が誤解しがちなポイントがあります。
みなさんがサイバー攻撃の被害に遭うリスクを減らすため、そちらも併せて解説します。

httpsによくある勘違い1.「URLがhttpsなら安全なサイトなはず」

httpsによくある勘違い1.「URLがhttpsなら安全なサイトなはず」
httpsやSSLについて、もっともよくある勘違いが「このホームページはURLがhttpsだから、安全なサイトなんだ」との誤解です。

すでに説明したとおり、SSLは通信を暗号化することで悪意のある第三者による中間者攻撃を防ぐためのものです。

ですからアクセスするホームページ自体が詐欺サイトや偽物のサイトだった場合には、効果がありません。

実際、SSLの種類によっては身分を詐称して導入が可能なので、URLがhttpsになっている詐欺サイト・偽物サイトも多数存在します。

「URLがhttpsになっているホームページは安全なはず」と思いこんだまま、クレジットカードの番号や個人情報を詐欺サイトに入力してしまうと、甚大な被害を受けてしまいますので、かならず他の情報で信頼できるサイトか否かを吟味するようにしましょう。

httpsによくある勘違い2.「httpsのホームページならハッキング(クラッキング)を防げる」

httpsによくある勘違い2.「httpsのホームページならハッキング(クラッキング)を防げる」
今度はホームページを利用する訪問者側の話ではなく、ホームページを管理している企業側が抱きがちな誤解です。

「SSLを導入してhttps化すれば、企業ホームページへのハッキング(クラッキング)を防げるんでしょ?」と認識している方もしばしばいるのですが、SSLはあくまで訪問者を暗号化通信で保護するためのシステムです。

そのため、ホームページ自体がハッキング(クラッキング)や不正アクセスの対象になった場合は、SSLでは保護ができません。

企業ホームページ自体をサイバー攻撃から守りたい場合は、WAF(Web Application Firewall、ウェブ・アプリケーション・ファイアーウォール、ワフ)などのSSLとは別のセキュリティ対策の導入が必要です。

※WAFについて詳しく知りたい方は、以下のページをご覧ください。
参考ページ:WAFとは? その意味と企業ホームページのセキュリティへのメリットを簡単に解説!

次は、SSLを企業ホームページなどに導入するメリットについてより深く掘り下げます。

httpsのホームページはGoogle・Yahoo!の検索順位が優遇される(SEO効果がある)

URLがhttpsのホームページを検索順位の計算時に優遇すると、Googleが公式発表

URLがhttpsのホームページを検索順位の計算時に優遇すると、Googleが公式発表
企業ホームページに常時SSLを導入して全ページをhttps化することで、よりGoogleやYahoo!からのアクセス数を増やしやすくなります。

インターネット全体の安全性を高めるため、Googleは現在ホームページの常時SSL化を推奨しています。

その一例が、httpsのサイトの検索順位での優遇です。

Googleは2014年に検索エンジンのアルゴリズムにおいて、ホームページがhttps化されているか否かを検索順位の判定要素の一部として導入すると発表しました。

参考ページ:HTTPS をランキング シグナルに使用します(Google ウェブマスター向け公式ブログ)

検索順位は相対的に決まるものですから、これは逆にいえばhttpのままのホームページは検索順位が下落してしまうリスクが高まることを意味します。

また、Yahoo!も現在はGoogleのアルゴリズムを利用しているため、httpかhttpsかによる順位の変動はGoogleとYahoo!の両方で発生することになります。

httpかhttpsかはコンテンツの質ほど大きな影響を検索順位に与えないが、長期的に見るとわずかな順位の差が莫大なアクセス数の差につながる

もちろん検索順位はSSLの有無だけで決まるわけではありません。

検索順位を決定するもっとも強い要素はそのページのコンテンツの質です。

参考ページ:Webコンテンツとは何か? 企業ホームぺージのコンテンツ作成を基礎から徹底解説!

つまり訪問者にとって有益な情報をわかりやすい文章で書いているかが一番重要ですから、https化されたからといって中身がスカスカのページが急に1位を獲得するのは難しいでしょう。

ですが、集客力を高めるためにページ数や文章量を増やせば増やすほど、そのホームページがヒットする検索キーワードの種類は増えていき、SSLの有無による一見わずかな検索順位の差が長期的に見ると莫大なアクセス数の差につながります。


参考ページ:SEO対策の初心者はページ数を増やすことから始めよう! ホームページの集客とページ数の関係とは?
参考ページ:文章をしっかり書けば検索順位が上がる! SEOと文字数の関係とは?

ホームページのhttps化による検索順位上昇効果(SEO効果)は、「かけっこのときに走りやすい靴を履くようなもの」と理解するとわかりやすい

ホームページのhttps化による検索順位上昇効果(SEO効果)は、「かけっこのときに走りやすい靴を履くようなもの」と理解するとわかりやすい
ホームページのSSL化による検索順位の上昇効果は、たとえるならば「かけっこのときに走りやすい靴を履くぐらいのもの」だと感覚的にとらえていれば問題ないでしょう。

かけっこの順位(検索順位)を決める一番の要素は、もちろん走る人の実力(コンテンツ)なのですが、速く走れる靴(https化)を履いたほうがタイムは伸びますし、上位に入れる確率も上がるということです。

企業ホームページのアクセス数をアップさせたい方は、ぜひSSLを導入してhttps化を検討してみてください。

※なお、GoogleやYahoo!などの検索エンジンからアクセスを集めるための手法のことを、SEO(Search Engine Optimization、検索エンジン最適化)対策と呼びます。

検索上位を獲れてアクセスを増やせるホームページを作りたい方は、以下をご覧ください。

参考ページ:SEO対策とは? 10年・20年と長期的に企業ホームページで集客できる基本を、初心者にもわかりやすく解説!
参考ページ:コンテンツSEOとは? メリットとデメリット、実施する際の具体的な手順をWebマーケティング初心者へ解説!
参考ページ:アクセス数を増やせる、良質なSEOコンテンツの作り方を徹底解説!
参考ページ:文章をしっかり書けば検索順位が上がる! SEOと文字数の関係とは?

https化されていないホームページは、Google Chromeなどのブラウザで警告が表示される

URLがhttpのままのホームページは、Google Chromeで警告マークと「保護されていない通信」という警告文が常時表示されるように!

URLがhttpのままのホームページは、Google Chromeで警告マークと「保護されていない通信」という警告文が常時表示されるように!
2017年以降、Googleはさらに各ホームページのhttps化を促進するため、ブラウザのGoogle Chrome(グーグルクローム)においてURLがhttpのままのページに対して警告を常時表示するように変更しました。

参考ページ:Chrome のセキュリティにとって大きな一歩: HTTP ページに「保護されていません」と表示されるようになります(Google ウェブマスター向け公式ブログ)

URLがhttpsではなくhttpのホームページには、URLの横の部分に三角形の警告マークとともに「保護されていない通信」という警告が常時表示されます。

お問い合わせフォームやログインフォームがあるページで入力をおこなうと、「保護されていない通信」警告が赤くなり目立ようになる

お問い合わせフォームやログインフォームがあるページで入力をおこなうと、「保護されていない通信」警告が赤くなり目立ようになる
さらに、メールフォームやログインフォームが設置されているページで情報の入力をおこなおうとすると、この警告が赤くなりより目立つように強調されます。

Google Chromeは現在ではInternet Explorer(インターネットエクスプローラー)を追い抜き、もっともシェアが大きく利用している人数が多いブラウザなので、この影響は非常に大きなものになります。

参考ページ:会社のホームページに、Google Chromeで「保護されていない通信」警告が出る理由と、解除する方法を解説!

httpのままの企業ホームページは信頼性が損なわれ、新規顧客からのお問い合わせ数・売上げも減少する

httpだと常に「保護されていない通信」警告が出るため、訪問者(お客さま)が不安に感じる

httpだと常に「保護されていない通信」警告が出るため、訪問者(お客さま)が不安に感じる
個人の趣味やサークルのホームページであれば、「保護されていない通信」警告が出てもそこまで問題はないかもしれませんが、企業ホームページの場合は深刻です。

その会社のホームページを訪問している間、常に「保護されていない通信」の警告が表示されるわけですから、訪問者(お客さま)が「この会社は実は怪しい会社なんじゃないの?」と誤解しても不思議ではありません。

また、企業ホームページ経由で売上げをアップさせる場合、お問い合わせフォームから訪問者に投稿してもらう必要がありますが、httpのメールフォーム設置ページは先述したとおり、赤い目立つ警告が表示されるため、訪問者が不安に感じてお問い合わせ数も少なくなります。

もし会社のホームページのURLがhttpのままのときは、早急にSSLを導入してhttps化すべき

もし会社のホームページのURLがhttpのままのときは、早急にSSLを導入してhttps化すべき
つまりhttpのままのサイトは、会社の信頼性を損なってしまい、お問い合わせや新規商談の獲得などのコンバージョン数も少なくなってしまうのです。

※コンバージョンについて詳しく知りたい方は、以下のページをご覧ください。

参考ページ:Webマーケティングの理解に不可欠な言葉、コンバージョンとは何か? ゴールを明確にすれば、ホームページの方針が決まる!

会社の信頼性低下やお問い合わせ数、売上げの減少を防ぐためには、早急な企業ホームページのhttps化(SSL導入)が必要です。

自社のホームページのURLがhttpになっている方は、できるだけ早くホームページ担当者やホームページ制作会社に「SSLを導入したいんだけど…」と相談してみてください。

SSL導入と同時に、企業ホームページをリニューアルしたい方は、おりこうブログで!

SSL導入が難しい方は、おりこうブログでの企業ホームページリニューアルをご検討ください!

SSL導入が難しい方は、おりこうブログでの企業ホームページリニューアルをご検討ください!
  • 「ホームページ制作会社に依頼してもSSL導入をしてくれなかった…」
  • 「会社のホームページを自作しているが、どうすればSSLを導入できるのかわからない…」
  • 「SSL以外にも、スマホ未対応だったり更新がしづらかったり、改善したい部分が多々ある…」

もし以上に当てはまりSSL導入が不安な方は、ぜひ一度弊社ディーエスブランドまでお声がけください。

中小企業・団体向けCMS・おりこうブログで、現在のホームページをリニューアルしたうえでSSL導入の作業も代行します。

また、企業ホームページを改ざんなどのサイバー攻撃から防ぐWAFなどの、SSL以外のセキュリティ対策も同時に導入します。

おりこうブログなら、スマートフォン対応で更新も簡単! 初回は担当者が訪問して操作方法をレクチャーします!

おりこうブログなら、スマートフォン対応で更新も簡単! 初回は担当者が訪問して操作方法をレクチャーします!
おりこうブログはもちろんスマートフォン閲覧対応で、初心者でも簡単に更新可能。
初回は担当者が日本全国に訪問して操作方法をレクチャーするので安心ですし、現在のサイトのページ内容を弊社側で移管するサービスもありますので手間もかかりません。

また、他のホームページ制作会社にはない特徴として、会社案内パンフレットや商品カタログなどを作成する機能も搭載。
ホームページの集客から、リアルの接客・商談ツールまで幅広く販売活動をサポートします。

ご興味のある方はぜひ以下の公式サイトから資料ダウンロード、無料体験版や無料相談(日本全国対応)にお申込みください。
みなさまからのご連絡をお待ちしております。

あわせて読みたい記事

TOPへ戻る