Google Chrome、2026年10月からHTTPSをデフォルトに ~公開サイトのHTTP初回アクセスに警告表示、ウェブ全体の安全性向上へ
はじめに
2025年10月末、Googleは「Google Chrome」ブラウザのセキュリティ機能を大きく変革する方針を正式発表しました。
具体的には、2026年10月にリリース予定のChromeバージョン154から、HTTPS(通信内容を暗号化する安全なプロトコル)をデフォルト接続方式とし、公開ウェブサイトに対する最初のHTTP(暗号化されていない通信)アクセス時には、警告ダイアログが表示されるようになります。
ユーザー体験やウェブ開発者、インターネットの未来に大きな影響を与えるこの動きについて、詳細をわかりやすく解説します。
なぜ今「HTTPSデフォルト化」なのか
-
通信データの安全性・プライバシー保護
従来のHTTP経由での通信は、第三者による盗聴やなりすまし、データ改ざんなど多くのリスクがありました。
HTTPSでは通信内容が暗号化されるため、傍受されても内容が漏れません。 -
HTTPS普及率の飛躍的向上
Googleの「HTTPS透明性レポート」よれば、2015年頃は30~45%だったHTTPS利用率が、2020年には95~99%へと急伸。
現代のWebの大半がすでに「安全な接続」を導入済みであり、今こそ残存するHTTP移動のリスクを徹底的に減らす段階です。 -
マルウェア・フィッシング脅威への対応
HTTPサイト経由では、悪意のある第三者が介入しやすく、マルウェアの配布やフィッシング詐欺、ナビゲーションの乗っ取りなどが発生しやすい状況にありました。
今回の変更は、残るごくわずかなリスクにも実効的な対策を施す意味があります。
「常に安全な接続を使用する」新しい仕組みの概要
-
ChromeがまずHTTPS接続を試行
ユーザーがウェブサイトURL(http://~)にアクセスしようとすると、Chromeは自動でhttps://~を試します。
サイトがHTTPSに対応していればそのまま安全な通信が成立します。 -
HTTPのみ対応の公開サイトには警告ダイアログ
アクセス先のサイトがHTTPS未対応の場合、最初のアクセス時に「このサイトは安全な接続ではありません。続行しますか?」といった警告が表示されます。
ユーザーは明示的に同意しないとそのサイトを閲覧できません。 -
プライベートネットワークは対象外
ホームルータ(例:192.168.0.1)や社内ネットワーク内の内部サイト、単一ラベルのホスト名に対するHTTPアクセスは、今回の警告対象ではありません。
これは、これらのローカル環境には本質的に外部からの攻撃リスクが低いためです。 -
ユーザーの利便性への配慮
頻繁に訪れる特定のHTTPサイトについては、繰り返し警告が表示されない設計となっており、ユーザー体験への過度な支障は極力回避されます。
段階的な導入スケジュール
Googleは、すべてのChromeユーザーに急に影響が及ばないよう段階的な導入計画を発表しています。
-
2026年4月:
Chromeバージョン147リリースと同時に、「セーフブラウジング」の「保護強化機能」(Enhanced Safe Browsing)を選択しているユーザー(世界で10億人超が利用)に対し、まず先行的に「常に安全な接続を使用する」が有効化されます。 -
2026年10月:
最新版のChrome 154で、全ユーザー・全公開サイトに対しデフォルトで機能が適用、HTTP初回アクセス時に警告が出されるようになります。 -
設定による無効化も可能
本機能はユーザー自身でchrome://settings/securityから無効化できるオプションも残されます。
ただし、よりセキュアなWeb体験には有効化のまま推奨されます。
今回の施策がウェブ全体に与える影響
-
サイト管理者・開発者への呼びかけ
これまでHTTPS非対応だった公開サイトは、アクセスへの障壁が発生するため、早急なSSL(TLS)化が求められます。
特に、企業・組織の公式Webや公的機関サイトは準備が必須です。 -
SEOやトラフィックへの影響
ユーザー側で警告が出ることで、「危険」「信頼できない」と認識され、HTTPサイトのアクセスは激減する可能性があります。
これは検索エンジンの評価や他Webサービス連携にも悪影響を及ぼすでしょう。 -
エンドユーザーの安全向上
攻撃者やフィッシング詐欺の温床となりやすいHTTPサイト経由のリスクが大きく減少します。
また、個人情報・決済情報・認証情報などの保護レベルが圧倒的に高まります。
ローカルネットワークサイトや例外パターン
家庭内ルータの設定ページや、閉域網で運用される社内イントラネット向けサイトは、同じネットワーク上に攻撃者がいなければ被害の現実性が低く、今回は警告表示の対象外です。
Googleは、ローカル環境との連携性も配慮しつつ、将来的にはHTTPSベースでローカルデバイスに安全にアクセスできる「ローカルネットワークアクセス許可」の仕組みをChromeに導入しています。
設定変更方法やユーザー側の選択肢
-
デフォルトで「常に安全な接続」ON
普段意識することなく、安全な通信が使われるようになります。 -
設定から無効化可能
ユーザーが特別な理由でHTTPサイトを使い続けたい場合、chrome://settings/security(セキュリティ設定画面)から機能をOFFにできます。
ただし、無効化は推奨されません。
今後のWeb開発やインターネット利用で意識すべきこと
-
全ての公開WebサイトはHTTPS/TLS化が必須
Let’s Encrypt等を利用すれば、無料かつ簡単に証明書を発行できるため、個人ブログ等も準備が可能です。 -
ブラウザアップデートへの注意
2026年に向けて、利用端末のブラウザを最新版に保ちつつ、セキュリティ意識を高めることが重要です。 -
HTTPサイト利用は例外的対応に
趣味・学習用途のページや、旧来型のアーカイブなどでHTTPのみ対応の場合もあります。極力閲覧時は正規公式ルートや信頼できる接続を選びましょう。
よくある質問と注意点
-
Q:HTTPサイト全てが完全閲覧不可になるの?
A:警告+許可選択によって閲覧は可能。だたし、ユーザーによる手順が必要です。 -
Q:すでにHTTPS化済みなら何か作業は必要?
A:特段の追加作業は不要ですが、証明書有効期限切れなどの管理には引き続き注意しましょう。 -
Q:会社や学校のイントラネットは影響を受けますか?
A:いいえ。ローカルネットワーク向けサイトは警告の対象外です。
まとめ ~ Chromeのセキュリティ強化がもたらす未来
Google Chromeの「HTTPSデフォルト化」は、ネット利用者全体の安全意識・環境を次の段階へ引き上げる大改革となります。
開発者・運営者・一般ユーザーそれぞれで、これまで以上に「安全な接続」「信頼できるサイト」への意識が求められます。
安全なWeb体験の普及によって、より安心してインターネットを楽しめる社会実現が期待されています。
この機会に、ご自身のウェブ利用やサイト運営環境を見直してみましょう。
