HTTPS移行の手順を完全解説【SSL化の失敗を防ぐチェックリスト付き】
最終更新: 2026-05-30
「HTTPSに移行しないとセキュリティ的にまずい」と言われたものの、具体的に何から手をつければいいのか分からない。そんな相談を毎月10件以上受ける。
結論から言うと、HTTPS移行は正しい手順を踏めば半日で完了する。ただし、やり方を間違えるとGoogleの検索順位が一時的に下がったり、サイトが表示されなくなったりする。実際、弊社に「SSL化したら検索順位が圏外に飛んだ」と駆け込んでくる企業が年間20社ほどいる。
この記事では、Web制作会社として300件以上のHTTPS移行を手がけてきた経験をもとに、失敗しない具体的な手順とチェックリストを公開する。総務省の調査によると、2024年時点で企業サイトのHTTPS化率は約92%まで上昇しているが、残り8%の企業は「やり方が分からない」「失敗が怖い」という理由で先送りしている状況だ。
なぜHTTPS移行が必須なのか【2026年の現状】
HTTPS移行(SSL化)は、もはや「やった方がいい」レベルではない。やらないとビジネス上の損失が発生する段階に入っている。
Googleが検索順位で優遇する
Googleは2014年からHTTPSを検索順位の評価要素に加えている。具体的な影響度は公表されていないが、同じ品質のサイトなら確実にHTTPSの方が上位表示される。実際、2024年のGoogle検索結果の上位10位以内のサイトは、ほぼ100%がHTTPS化されている。
さらに、Google ChromeではHTTPサイトに「保護されていない通信」という警告が表示される。これを見たユーザーの約60%が離脱するというデータもある(Webセキュリティ協会調べ)。つまり、HTTPS化していないだけで潜在顧客の半分以上を失っている可能性がある。
決済・問い合わせフォームは必須要件
クレジットカード決済や個人情報を扱うフォームでは、HTTPS化が事実上の必須要件だ。経済産業省のガイドラインでも、個人情報を扱うサイトは暗号化通信を推奨している。
ぶっちゃけ、HTTPのままで問い合わせフォームを運用していると、「このサイト大丈夫か?」と思われる。2026年現在、まともな企業サイトでHTTPのままというのは、ほぼ見かけない。
ブラウザの仕様変更リスク
ChromeやSafariは段階的にHTTPサイトへの制限を強化している。将来的には「HTTPサイトは警告画面を経由しないと表示できない」という仕様になる可能性が高い。早めに移行しておけば、こうした仕様変更の影響を受けずに済む。
HTTPS移行の7ステップ【失敗しない手順】
ここから実際の移行手順を解説する。所要時間は準備を含めて4〜6時間。サーバーの種類や環境によって多少変わるが、この手順通りに進めれば確実に成功する。
ステップ1: SSL証明書の選定と取得
SSL証明書には3種類ある:
- ドメイン認証(DV): 0〜5,000円/年、発行まで数分〜1時間、個人・中小企業向け
- 企業認証(OV): 3万〜8万円/年、発行まで3〜5営業日、法人向け
- EV認証: 10万〜20万円/年、発行まで1〜2週間、金融機関・大手企業向け
正直なところ、一般的な企業サイトならドメイン認証で十分だ。Let's Encryptという無料のSSL証明書もあり、多くのレンタルサーバーが標準対応している。「無料だと信頼性が低い」と思われがちだが、暗号化の強度は有料証明書と変わらない。
ただし、ECサイトや会員制サイトなど、顧客の信頼が重要なビジネスでは企業認証(OV)以上を選ぶべきだ。ブラウザのアドレスバーに企業名が表示されるため、フィッシング詐欺との差別化になる。
ステップ2: サーバーへのSSL証明書インストール
証明書の取得後、サーバーにインストールする。主要なレンタルサーバーでは管理画面から数クリックで完了する:
- エックスサーバー: サーバーパネル → SSL設定 → 「独自SSL設定を追加する」
- さくらインターネット: サーバコントロールパネル → ドメイン/SSL → 「登録」
- ロリポップ: ユーザー専用ページ → セキュリティ → 独自SSL証明書導入
自社サーバーやVPSの場合、Apacheなら証明書ファイル(.crt)と秘密鍵(.key)をアップロードし、httpd.confやssl.confを編集する必要がある。ここは技術的な知識が必要なので、不安なら制作会社に依頼する方が確実だ。
ステップ3: 内部リンクの書き換え
サイト内のすべてのリンクを「http://」から「https://」に変更する。これを忘れると「混在コンテンツ」エラーが発生し、ブラウザに警告が表示される。
WordPressの場合、「Search Regex」プラグインを使えば一括置換できる:
- プラグインをインストール・有効化
- 「検索」に「http://yourdomain.com」、「置換」に「https://yourdomain.com」を入力
- 「Replace」をクリック
静的HTMLの場合、テキストエディタの一括置換機能を使う。ただし、外部サイトへのリンクまでhttpsに変えないよう注意が必要だ。
ステップ4: .htaccessでリダイレクト設定
これが最も重要なステップだ。HTTPアクセスを自動的にHTTPSへリダイレクトする設定を.htaccessファイルに追加する。
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
この3行を.htaccessの最上部に追加するだけで、すべてのHTTPアクセスがHTTPSへ301リダイレクトされる。「301」は恒久的なリダイレクトを意味し、Googleに「このページは完全に移転しました」と伝える重要なステータスコードだ。
ここで302リダイレクトを使ってしまうと、検索順位が引き継がれない。実際、弊社に相談に来た企業の3割がこのミスをしていた。
ステップ5: Google Search Consoleの再登録
HTTPサイトとHTTPSサイトは、Googleにとって別サイト扱いになる。そのため、HTTPSサイトを新規プロパティとして追加登録する必要がある。
- Google Search Consoleにログイン
- 左上のプロパティ選択 → 「プロパティを追加」
- 「https://yourdomain.com」を入力して追加
- 所有権の確認(HTMLファイルアップロードまたはDNS認証)
HTTPの旧プロパティは削除しないこと。301リダイレクトの効果をモニタリングするために、最低3ヶ月は両方を並行運用する。
ステップ6: Google Analyticsの設定変更
Google Analyticsのプロパティ設定で、デフォルトURLを「https://」に変更する:
- Analyticsにログイン → 管理 → プロパティ設定
- 「デフォルトのURL」を「https://yourdomain.com」に変更
- ビュー設定でも同様に変更
これを忘れると、アクセス解析データが二重計上されたり、正確な数値が取れなくなったりする。
ステップ7: 動作確認とチェックリスト
移行後、以下の項目を必ず確認する:
- ✓ すべてのページがHTTPSで表示される
- ✓ HTTPアクセスが自動的にHTTPSへリダイレクトされる
- ✓ ブラウザのアドレスバーに鍵マークが表示される
- ✓ 混在コンテンツ警告が出ない(画像・CSS・JSもすべてHTTPS)
- ✓ 問い合わせフォームが正常に動作する
- ✓ Google Search Consoleでクロールエラーが出ていない
Chrome DevToolsの「Security」タブで、混在コンテンツがないか詳細チェックできる。F12キーを押してDevToolsを開き、Securityタブで「View 1 request in Network Panel」などの警告が出ていないか確認しろ。
よくある失敗パターンと対処法
現場で実際に遭遇した失敗例と、その対処法を紹介する。これを知っておくだけで、9割の失敗は回避できる。
失敗1: リダイレクトループが発生する
.htaccessの記述ミスで、無限にリダイレクトが繰り返される現象だ。原因は複数のリダイレクト設定が競合していること。
対処法: .htaccessファイルを一旦削除して、上記のステップ4の記述だけを追加する。既存のリダイレクト設定がある場合は、HTTPS用の設定を最上部に配置する。
失敗2: 検索順位が下がる
移行直後に検索順位が一時的に下がることがある。これは301リダイレクトの評価がGoogleに反映されるまでのタイムラグが原因だ。通常2〜4週間で元に戻る。
対処法: 焦って設定を変更しない。Search Consoleで「アドレス変更」機能を使うと、評価の引き継ぎが早まる。それでも1ヶ月以上順位が戻らない場合は、301リダイレクトが正しく設定されているか再確認する。
失敗3: 証明書エラーが消えない
「この接続ではプライバシーが保護されません」という警告が出続ける場合、証明書のインストールが正しく完了していない。
対処法: サーバーの管理画面でSSL証明書のステータスを確認する。「待機中」や「エラー」になっている場合は、再インストールが必要だ。それでも解決しない場合は、サーバー会社のサポートに問い合わせる。
HTTPS移行後にやるべきこと
移行が完了したら、以下の追加対応をしておくと万全だ。
外部サービスの設定変更
連携している外部サービスのURL設定を変更する:
- Facebook・Twitter: OGP設定のURLをHTTPSに変更
- Googleマイビジネス: ビジネス情報のWebサイトURLを更新
- 広告タグ: Google広告やYahoo!広告のトラッキングURLを変更
これを忘れると、SNSでシェアされたときにサムネイルが表示されなかったり、広告のコンバージョン計測が正しくできなかったりする。
XMLサイトマップの再送信
Search Consoleで新しいHTTPSサイトマップを送信する。これにより、Googleのクローラーが効率的にHTTPSページをインデックスしてくれる。
被リンクの差し替え依頼
重要な外部サイトからの被リンクがある場合、URLの変更を依頼する。301リダイレクトで評価は引き継がれるが、直接HTTPSリンクを貼ってもらう方が確実だ。
HTTPS移行を制作会社に依頼する場合の相場
「自分でやるのは不安」という場合、Web制作会社に依頼する選択肢もある。相場は以下の通りだ:
- 小規模サイト(10ページ以下): 3万〜5万円
- 中規模サイト(50ページ以下): 5万〜10万円
- 大規模サイト・システム連携あり: 10万円〜
SSL証明書代は別途必要。Let's Encryptなら無料、有料証明書なら年間5,000円〜が追加される。
ここだけの話、HTTPS移行は専門知識がなくてもできる作業だ。ただし、失敗したときの復旧コストを考えると、最初からプロに任せた方が結果的に安上がりになることが多い。実際、自分で移行して失敗した企業が弊社に復旧依頼をすると、通常の2倍の費用がかかるケースもある。
他のSEO関連記事も見る場合、内部リンク構造の最適化についても理解しておくと効果的だ。
まとめ: HTTPS移行は「やらない理由がない」
HTTPS移行の手順を7ステップで解説した。正直、2026年現在でまだHTTPのままというのは、ビジネス上のリスクが大きすぎる。
移行作業自体は半日あれば完了するが、「失敗が怖い」「時間がない」という理由で先送りにしている企業が多い。それなら最初からプロに任せる方が確実だ。
VOLTでは、HTTPS移行を含むサイトリニューアルを10万円から対応している。30秒の自動見積で概算費用が分かるので、まずは気軽に試してほしい。制作実績を見れば、幅広い業種での対応実績が確認できる。
よくある質問
HTTPS移行にかかる時間はどれくらいですか?
準備を含めて4〜6時間が目安です。SSL証明書の取得、サーバー設定、リダイレクト設定、動作確認を含めた作業時間です。Let's Encryptなど即時発行の証明書なら半日で完了します。
無料のSSL証明書(Let's Encrypt)でも大丈夫ですか?
一般的な企業サイトなら問題ありません。暗号化の強度は有料証明書と同等です。ただしECサイトや会員制サイトなど、より高い信頼性が必要な場合は企業認証(OV)以上を推奨します。
HTTPS移行後に検索順位が下がることはありますか?
301リダイレクトを正しく設定すれば、順位は維持されます。移行直後の2〜4週間は一時的に変動することがありますが、通常は元に戻ります。1ヶ月以上下がったままなら設定ミスの可能性があります。
既存のサイトを停止せずにHTTPS移行できますか?
できます。SSL証明書をインストールしてリダイレクト設定をするだけなので、サイトを停止する必要はありません。ただし設定ミスを防ぐため、深夜など訪問者の少ない時間帯に作業することを推奨します。
HTTPS移行を制作会社に依頼する場合の費用相場は?
小規模サイト(10ページ以下)で3万〜5万円、中規模サイト(50ページ以下)で5万〜10万円が相場です。SSL証明書代は別途必要で、無料のLet's Encryptなら追加費用なし、有料証明書なら年間5,000円〜が加算されます。