Webサイトのアドレスバーに「http://」と表示されるサイトと、「https://」と表示されるサイトがあるのに気づいたことはありませんか?
あるいは、会社のセキュリティ研修で「httpのサイトには注意してください」と言われた経験がある方もいるかもしれません。
でも、「sがあるかないかで具体的に何が違うの?」と聞かれると、うまく説明できない人が大半ではないでしょうか。
この記事では、HTTPとHTTPSの違いを業務でWebを使うビジネスパーソン向けに、できるだけ身近なたとえを使いながら解説していきます。
SSL/TLSの仕組みも含めて、この1本で「なるほど、そういうことだったのか」と腹落ちできる内容を目指します。
そもそもHTTPって何?── Webページが表示される裏側
HTTPは「HyperText Transfer Protocol」の略で、
Webページのデータをやり取りするための通信ルール(プロトコル)のことです。
普段意識することはないですが、ブラウザでWebサイトを見るとき、裏側ではこんなことが起きています。
- ブラウザが「このページのデータをください」とWebサーバーにリクエストを送る
- Webサーバーが「はい、どうぞ」とHTMLや画像などのデータを返す
- ブラウザが受け取ったデータを画面に表示する
このやり取りの「ルール」がHTTPです。いわば、ブラウザとサーバーが会話するときの共通言語のようなものだと思ってください。
たとえるなら、レストランの注文の仕組みに似ています。お客さん(ブラウザ)がメニューを指さして「これください」と伝え、厨房(サーバー)が料理を作って運んでくる。この「注文の仕方」のルールがHTTPにあたります。
HTTPは1991年に登場して以来、Webの基盤として使われ続けています。ただしHTTPには、通信が暗号化されていないという弱点がありました。
HTTPSの「S」はSecure ── 何をどう守っているのか
HTTPSは「HyperText Transfer Protocol Secure」の略です。
名前の通り、HTTPにセキュリティの仕組みを加えたものです。
HTTPの場合、ブラウザとサーバーの間でやり取りされるデータは丸見えの状態です。途中の通信経路で誰かが覗き見れば、入力したパスワードやクレジットカード番号がそのまま読み取れてしまいます。
これをたとえると、ハガキで手紙を送るようなものです。配達の途中で誰でも内容が読めてしまいます。
HTTPSはこの問題を解決します。
通信内容をSSL/TLSという技術で暗号化することで、たとえ途中で通信を傍受されても、中身を解読できないようにしています。
つまり、ハガキから封をした手紙に変わるイメージです。さらにその手紙には「差出人が本人であることを証明する印鑑」まで押されている、というのがHTTPSの仕組みです。
HTTPとHTTPSの違いをシンプルにまとめると、こうなります。
| 項目 | HTTP | HTTPS |
|---|---|---|
| 通信の暗号化 | なし | あり(SSL/TLS) |
| データの盗聴リスク | 高い | 大幅に低い |
| 改ざんの検知 | できない | できる |
| サーバーの本人確認 | できない | できる(SSL証明書) |
| URLの先頭 | http:// | https:// |
| ブラウザの表示 | 「保護されていない通信」 | 鍵マーク表示 |
SSL/TLSの仕組みを3つのポイントで理解する
HTTPSのセキュリティを支えているのが、SSL/TLSという技術です。
「SSL」と「TLS」は厳密には別のものですが(SSLが古い規格で、TLSがその後継)、実務上は「SSL」という呼び方がいまだに広く使われています。この記事でも、わかりやすさを優先して「SSL」と表記します。
SSLがやっていることは、大きく分けて3つです。
暗号化 ── 通信内容を第三者に読めなくする
ブラウザとサーバーの間でやり取りされるデータを、暗号化によって第三者には解読できない状態にします。
ネットショッピングでクレジットカード番号を入力するときを想像してみてください。
HTTPの場合、その番号は平文(暗号化されていないそのままの文字列)で送信されます。
HTTPSなら、暗号化された状態で送信されるため、通信経路上で盗み見られても数字の羅列としては解読できません。
認証 ── 接続先が本物のサーバーかどうか確認する
HTTPSでは、SSL証明書というデジタル証明書を使って、「このサーバーは本当にこのドメインの持ち主が運営しているものです」ということを証明します。
これがないと、偽サイト(フィッシングサイト)に接続してしまっても、ユーザーは気づけません。SSL証明書は、第三者機関(認証局)が審査して発行するため、一定の信頼性が担保されています。
改ざん検知 ── データが途中で書き換えられていないか確認する
通信中にデータが第三者によって書き換えられた場合、SSLの仕組みで改ざんが検知されます。
たとえば、銀行の振込画面で「10,000円を送金」というデータを送ったのに、途中で誰かが「1,000,000円」に書き換えた、ということが起きても検知できるようになっています。
この3つの仕組みを、前回のVPN記事のフォーマットに合わせてまとめると、以下の通りです。
| 仕組み | 役割 | たとえるなら |
|---|---|---|
| 暗号化 | 通信内容を第三者に読めなくする | 手紙を暗号文で書く |
| 認証 | 接続先が本物か確認する | 差出人の身分証明書を確認する |
| 改ざん検知 | データが途中で書き換えられていないか確認する | 封筒に開封防止シールを貼る |
ブラウザの「鍵マーク」と「保護されていない通信」の意味
ここまでの内容がわかると、普段ブラウザで見かけるあの表示の意味もクリアになります。
鍵マーク(🔒)が表示されている場合
そのサイトはHTTPSで通信しており、SSL証明書が有効な状態です。
通信内容は暗号化されているので、入力した情報が第三者に盗み見られるリスクは低いです。
「保護されていない通信」と表示されている場合
そのサイトはHTTPで通信しており、暗号化されていません。
個人情報やパスワードを入力するのは避けたほうが安全です。
2026年現在、主要なブラウザ(Chrome、Edge、Firefoxなど)はHTTPのサイトに対して警告を表示するようになっています。Chromeに至っては、HTTPSへの自動アップグレードを試みる仕様にまで進んでおり、HTTPのままのサイトは事実上「アクセスしにくい」状態になりつつあります。
業務中にWebサイトを閲覧する際は、アドレスバーの鍵マークを一度確認する癖をつけておくと、セキュリティ意識がぐっと上がります。
HTTPSにするとSEOにも有利?── Googleの評価との関係
Web制作やサイト運営に関わる方にとって気になるのが、SEO(検索エンジン最適化)との関係です。
結論から言うと、GoogleはHTTPSのサイトをHTTPよりもわずかに検索順位で優遇しています。
Googleは2014年の時点で「HTTPSをランキングシグナル(検索順位を決める要素のひとつ)に使う」と公式に発表しています。
ただし、ここで大事なのは「わずかに」という部分です。
検索順位を決めるもっとも大きな要素はコンテンツの質であることに変わりはありません。
HTTPSにしたからといって、中身の薄い記事が急に1位になるわけではありません。
とはいえ、同じくらいの品質のサイトが2つあった場合、HTTPSのほうが有利になるのは確かです。
サイトを長期的に運営していくなら、HTTPS化は「やっておいて損はない」基本対応と言えます。
現在は多くのレンタルサーバーで無料のSSL証明書(Let’s Encryptなど)が利用できるため、コスト面のハードルもかなり下がっています。
「HTTPSなら100%安全」ではない ── よくある誤解
ここまで読むと「HTTPSのサイトなら安心」と思いたくなりますが、これはよくある誤解です。
HTTPSはあくまで通信経路のセキュリティを守る技術です。サイトの中身が安全かどうかとは別の話です。
具体的にはこういうケースがあります。
フィッシングサイト(偽サイト)もHTTPSを使える
SSL証明書の中でも「ドメイン認証(DV)」タイプは、ドメインの所有者であれば誰でも取得できます。つまり、詐欺目的のサイトでもHTTPSに対応することは可能です。「鍵マークがあるから安全」と盲信せず、URLのドメイン自体が正しいかを確認する習慣が大切です。
サイト自体にマルウェアが仕込まれている場合
HTTPSは通信を暗号化するだけなので、サイト自体が悪意のあるコードを含んでいれば、HTTPSであっても被害を受ける可能性があります。
SSL証明書の期限が切れている場合
証明書には有効期限があり、更新を忘れると「この接続ではプライバシーが保護されません」という警告が表示されます。業務でこの画面に遭遇した場合は、そのまま進まずにIT部門に相談しましょう。
まとめると、HTTPSは「通信の安全性を高める重要な技術」ではあるものの、それだけですべてが安全になるわけではないということです。セキュリティは複数の対策を組み合わせて初めて成り立ちます。
よくある質問
HTTPのサイトで個人情報を入力しても大丈夫?
避けたほうが安全です。HTTPの通信は暗号化されていないため、入力内容が第三者に盗み見られるリスクがあります。特にパスワードやクレジットカード番号など、機密性の高い情報は、HTTPSのサイトでのみ入力するようにしましょう。
SSL証明書は有料?個人サイトでも必要?
SSL証明書には有料のものと無料のものがあります。Let’s Encryptという認証局が提供する証明書は無料で取得でき、多くのレンタルサーバーが標準対応しています。個人サイトであっても、2026年現在はHTTPS化が事実上の標準なので、対応しておくことをおすすめします。
「SSL」と「TLS」は何が違う?
SSLはTLSの前身にあたる古い規格です。現在実際に使われているのはTLS(最新はTLS 1.3)ですが、名称としては「SSL」のほうが浸透しているため、「SSL」や「SSL/TLS」と表記されることが多いです。意味としてはほぼ同じだと考えて問題ありません。
HTTPSのサイトにアクセスしたら「この接続は安全ではありません」と出た。どうすればいい?
SSL証明書の期限切れや設定ミスの可能性があります。業務中に遭遇した場合は、無理にアクセスせず、IT部門やサイト管理者に確認してください。個人のブラウジングであれば、そのサイトの利用を一旦控えるのが安全です。
まとめ
HTTPはWebページのデータをやり取りするための通信ルールで、HTTPSはそのHTTPにSSL/TLSによるセキュリティを加えたものです。
両者の違いを一言でいえば、通信が暗号化されているかいないか。HTTPSでは暗号化・認証・改ざん検知の3つの仕組みによって、通信の安全性が大幅に高まります。
ブラウザの鍵マークはHTTPS通信の目印で、「保護されていない通信」はHTTPであることを意味します。ただし、HTTPSだからといって100%安全というわけではなく、URLのドメイン確認など、基本的なセキュリティ意識も忘れずに。
「httpとhttpsって何が違うの?」と聞かれたら、「通信が暗号化されているかどうかの違いで、httpsのほうが安全だよ」と答えれば、まず間違いありません。
