常時SSL化はなかなか進みませんね。http なサイトは今でも結構沢山見ます。もう2018年を迎えようというのにどうしたものか。

何ごとも改善するには、また、改善されたことを把握するには、何か指標が必要だろうということで、国内の全上場企業サイトの常時SSL対応状況を調べてみました。半自動+目視です。頑張った(笑)

で、その結果を本日プレス発表した次第です。プレスはこちらで、詳細なレポートページはこちらです。

20171222_report

日本は常時SSL化レベル最下位?

日本のWebサイトにおける常時SSL化対応状況が余り芳しくないことは、Googleが定期的に発表している統計にも現れています。Chromeユーザのhttpsリクエストベースの統計なんですが、

20171222_googlechrome
(米Google HTTPS encryption on the web より)

Chromeユーザが多い主用10カ国でほぼ常に最下位なんですよね。Chromeに偏っているとは言えhttpsリクエスト数が少ないってことは、日本で常時SSL化に対応してないサイトが少ないことを物語っている訳です。

…じゃぁ、実際どの程度少ないのだろう?と思ったのが本調査のきっかけでした。

上場企業のWebサイトの傾向が日本のWebサイト全体の傾向とイコールである筈もないですが、一つの指標にはなると思います。詳細はプレスリリースレポートページを確認して頂けると嬉しいのですが、

20171222_ssltable

こんな感じ。実に47.2%。少ない…。

2015年頃から常時SSL化の声が高まり始めてることを鑑みると、2年が経過した今でも上場会社の半分も未対応というのはちょっと残念ではあります。

上場企業だからこそサイトを常時SSL化することは面倒で大変な筈ですが、でも見方を変えるとサイト閲覧者の通信を守るというセキュリティの優先度がずっと上がってこなかった証拠ですから、CSRという観点でも余り宜しくはないと思う次第です。

 

調査から気がついたこと

やはり業種ごとに傾向が現れます。以下は17業種コードで常時SSL化対応とその証明書種別の割合を並べたものです。

20171222_ssltable_categories17

ある程度の想像はしていましたが、いわゆるIT企業(17業種コードで「情報通信・サービス」)は対応比率が高かったです。高かったと言っても55%なのでまだまだ伸びしろがあるという意味では他業種と余り変わりませんが。他に目についたのは金融系企業のEV証明書採用率。当然っちゃ当然なのですが、他業種を圧倒するEV証明書率が特徴です。

個人的には、CSRの観点から上場企業は全部EV証明書にしましょうよ…と思ってます。

逆の視点では、既にEV証明書を取り入れている企業は、経営者やWeb関係者、あるいは制作担当会社のセキュリティ意識が高いということを表しているといえるでしょう。

 

目指すは上場企業の全サイト常時SSL化

Web全体の常時SSL化が進むかどうかは、一社の努力だけでどうこうなるものではありません。でも今回の調査を通して、自分は常時SSL化をもっと啓蒙していく必要があることを再確認できました。上場企業の半分以上がまだ対応できてないのですから。

20171222_https

今回の指標が多くの人に共有されて、関係者が常時SSL化への一歩を踏み出すきっかけになってれたら嬉しいなと思います。安心・安全なWebの未来の為に。

ちなみにプレスリリースにも書いたのですが、上場企業の常時SSL対応状況調査は、定期的に実施して結果を公表していく予定です。