セキュリティ
2019.02.28 (Thu)

2019年2月のレポートをお送り致します。

オフィス引っ越しのドタバタにリソースを取られてしまい、すっかり遅れてしまいました。2月最終日だし(笑) これは、レポート作成作業を完全自動化するには至っていないのが原因ですね…。今後対処していきます。

さて、国内上場企業の常時SSL化対応状況ですが、2月はどうだったでしょうか。

20190228_sslreport201902
(最近は1%台の微増に落ち着いてきた)

こんな感じ。

先月から1.0ポイント上昇しています。「常時SSL化しないと大変なことになるよ!」と若干煽り感のあった2018年のようにはいきませんね。年末までこの調子の微増が続くのだと思います。

じれったさを感じるばかりではあるのですが、とはいえ対応企業7割の水準が見えてきましたので良しとしましょう。弊社ではこれからも粛々とレポートを作り続けてまいります。来月もまたレポートします。


2019.01.10 (Thu)

新年あけましておめでとうございます。今年も宜しくお願い致します。

2019年の事業抱負的なエントリを最初に持ってこようとしていたのですが、結局いつものレポートがあけおめエントリになるという…。事業抱負的なことはまた改めて書きたいと思います。

さて、2019年1月はどうだったでしょうか。

20190111_sslreport201901
(先月と変わらず微増)

2018年12月が66.1%で、今回が67.3%ですので1.2%の微増となりました。微増の程度は前回と同じ。

GoogleChromeの表示が変わるという昨年7月/10月などの常時SSL化界隈のイベントは過ぎ去ってしまい、今は凪が訪れ微増するだけのフェーズに突入した感じがあります。ここ2,3ヶ月がそうであるように、今後も1%ずつぐらいの微増でしょう。

何だか、劇的に成長する訳でもない、日本のGDP増加率を見てるみたいですね(笑)

 

常時SSL化界隈の2019年

今年は2018年のようなことは無いでしょう

常時SSL化が煽られるネタもなく、2019年は静かな1年になりそうです。対応サイトが少しずつ増えていくのだと思います。本レポートではその動きをしっかり数値的にとらえていきたいと思います。

ちなみに。

弊社は、WordPressサイトの静的化サービス espar ってのをやってますが、

  • 高速化
  • 堅牢化(攻撃無効化)
  • 常時SSL化

という3つの側面で訴求をしています。手間なくDNS変えるだけで3つともできますよ、みたいな。で、2018年初めは常時SSL化の文脈でのお話が多かったんですが、暮が近づくにつれてほぼなくなりました。

当初の予想通り、常時SSL化をしていなかったが為にPVやランキングが劇的に落ちた!みたいな事件があるはずもなく、一難すぎれば静かなもんです。残念ながらWebやITに限らず、セキュリティってそういう側面ありますね。

2019年、本レポートが調査対象としている株式市場は大変な激動期になるでしょう。が、我々は粛々と常時SSL化対応状況レポートを続けていくつもりです。

 

という訳で2019年1月のレポートでした。来月もレポート致します。


2018.12.11 (Tue)

今年最後の常時SSL化レポートになります。今回で13回目ですね。詳細は、2018年12月版の上場企業の常時SSL化レポート でご覧下さい。前回が64.9%でしたから、今月は微増です。

20181211_sslreport201812
(前回64.9%から今回66.1%へと3ヶ月ぶりの1%台前半の伸び)

余りコレという大きな変化は見られません。勢いはここ3ヶ月に比べるとわずかに鈍化した気がしないでもないですが、まぁ確実に少しずつ少しずつ増えているので良しとしましょう。来年度に突入する前、つまり3月のレポートでは何とか70%は越えて貰いたいところです。

 

レポートページを改修しました

レポートのアーカイブが見にくかったり、毎回調査方法を書いてて冗長だったりと、決して見易いとは言えない状態だったので常時SSL化レポートの掲載TOPページを少し更新しました。

20181211_sslreport-archive
(アーカイブのインデックスを独立させた)

こんな感じでアーカイブの一覧を独立させましたので、過去分に興味ある方は宜しければどうぞ。また、レポートの作成手順も独立させました。常時SSL化レポートのTOPページこちらからどうぞ。

ふと思いましたが、気がつけばもう1年以上のデータが貯まりましたので、

  • 月の増加率の変遷
  • 月の各証明書割合の変遷
  • EV証明書対応企業の増え方

など時間軸に着目した変遷を捉えるグラフがあっても良いかも知れませんね。来年に検討してみたいと思います。見てみたいレポートがあれば宜しければ弊社問い合わせページからご連絡下さい。

という訳で今年最後の常時SSL化レポートでした。

常時SSL化レポートをご覧頂いてきた皆さん、本年はありがとうございました。来年も続ける予定ですので引き続き宜しくお願い致します。一次情報として使って頂くケースも増えてきたので、ここまできたらもう100%になるまでレポート続けるしかないですね。上場企業の皆さん、早く対応して下さい(笑)

 

年末恒例の1年振り返りエントリは年末までに上げる予定です。


2018.11.19 (Mon)

恒例の常時SSL化レポートをお送りします。詳細は、2018年11月版の上場企業の常時SSL化レポート でご覧下さい。今月は上場企業が大幅増、3640社分を調べました。

20181119_sslreport201811
(先月と変わらず1.8ポイントの増加)

10月はChrome70がリリースされましたが特に大きなは変化は見られませんでした。先月と同様に今月も対応サイトが 1.8ポイント 増加して全体で 64.9% となりました。

昨今は1%後半から2%台ぐらいの増加になってるでしょうか。このままのペースでいくと年が明けて2019年2月のレポートで70%を突破するぐらいですね。

100%になるのは一体いつになるのやら…。来年末で90%ぐらいいけば御の字かも知れません。

 

未だに新規上場企業が常時SSL対応していないケースがある

未だに新規上場なのに非対応という企業があります。非対応企業をDISることが主旨ではありませんので、具体的な企業名はあげませんけども。

10月中に新たに上場した19社(実質名前変えただけの再上場みたいな企業も含むので new commers はもう少し少ない)のうち3,4社のオフィシャルサイトは常時SSL化ができておらず、これには本当に首を傾げざるを得ません。

身元を誰にも確認して貰ってない誰かが上場企業を装って発信しているのに近い のですから。

ドメインが 上場会社名っぽい ので当該の上場企業の公式な情報 だろう という憶測が働くのを、上場企業として回避努力をしていないということです。それを誰も助言できてない可能性が高く、投資家にそう思われることに気づいてもいないかも知れません。

  • 上場しようという企業のWebに対する低意識
  • 上場に関係する主幹事証券会社・監査役・証券取引所の低意識
  • 当該企業の情報発信を支援する制作会社・コンサルの低意識

は否めないと思います。市場で株式が取引されることの意味を考えれば正直情けない…。大臣がPC触ったことない問題に通じるものがあります。

(まぁDV証明書だけで「装ってる」という疑いは論理的に払拭できないので、投資家のことを考えている姿勢を見せるなら全上場企業はEV証明書での常時SSL化を行うべきです)

20181119_shikiho
(四季報にも乗せるべき情報ではないかなと思ったりもします。情報発信の姿勢を表す指標なので)

ちなみ僕は常時SSL化非対応サイトを平然と公開している企業の株は買おうとすら思いません。今の御時世、Webへの意識が低い企業にまっとうな情報発信ができるとは到底思えないからです。

とはいってもじゃあEV証明書対応してる企業の株が買いなのかというと違うのですけどね(笑) スクリーニング指標として使えると個人的には思ってます。

 

ということで11月のレポートでした。来月もまたレポートします。


2018.10.20 (Sat)

毎月恒例、常時SSL化レポートをお送りします。詳細は、2018年10月版の上場企業の常時SSL化レポート のページからご覧下さい。

今月はというか9月は時期的な理由もあり、企業統合やホールディングス体制移行に伴う上場廃止など上場企業数が減る傾向にありました。前月に対して9社少ない3627社が対象となります。

20181020_sslreport201810
(平常運転という感じの着実な微増です)

今月で63.1%が対応企業となりました。勢いが減っているということはありませんので喜ばしい限りですね。贅沢言うともっと勢いよく増えて欲しいですが。まぁ勢いが弱まっていないことを素直に喜びましょう。

約1年前の初調査の時には47.3%でしたから、そこから15%強増えたと思えば大したものです。500,600社は対応したということですからね。

 

常時SSL化判定の洗練

最近、業界関係者の方も本レポートを参考にしてくださっていたり、セミナーや啓蒙資料等々で一次資料として引用頂いているケースもあるそうで大変有り難い限りです。

ここで少し判定の正確性と弊社スタンスについて書いておきたいと思います。

本レポートは毎月出しています。上場企業のURL一覧から証明書情報を取得したり、常時SSL化対応の有効性をチェックしています。が、全てプログラムで自動実行です。人間が毎月3600社目視するってな事はありえませんので、今流行りの言葉でいうとコレもRPAなのでしょう。

で、その判定ロジックはどれほど厳密で正確なのか?

実は「常時SSL化対応している」と判断する基準は、誰が作っても同じ…とはなりません。なぜなら判定が微妙なケースが非常に多いからです。例えば、

「証明書の設置はしているけど中間証明書の設置方法が間違っていて証明書チェーンが切れている」

といったケースですね。これを皆さんならどう判定するでしょうか?

今、弊社の判断基準では「常時SSL化に対応している」です。これに違和感を覚えるかたもおられるかも知れません。学術系の方とか。でも、中間証明書チェーンが切れていても Chrome 等のブラウザが対応サイトとして表示してくれるんですよね。厳密に突っ込み入れるとすれば「誤り」なんですが。

20181020_sclient
(opensslのs_clientで厳密に見ればブラウザで常時SSL化対応サイトとされていても untrusted なことがある)

これ以外にも色んな例があります。その判断全てに弊社の考えが注入されていて、別の会社が判断すれば異なる結果になる可能性もあります。がまぁ、よっぽどおかしな判断をしない限りは誤差の範囲ですけど。弊社がどういう判断をしているかは毎月レポートの冒頭に書いていますのでご覧下さい。

で、その弊社判断ですが、少しずつ洗練させていきたいとは思ってます。そこで今回、ロジックに少し手を加えました。2018年10月レポート にも書いていますが、

  • 301,302を返すサイトもリダイレクトループしない限り先を辿って調査するようにした
  • 証明書の設定はされているがページがエラー表示の場合は非対応とした

の2点を変更しました。前者は対応サイト増、後者は対応サイト減のインパクトとなります。余り頻繁に変更するとレポートの意味も薄れてしまうので、段階的に洗練させていくつもりです。洗練の軸に据えるのは「人が見た時に常時SSL化対応したサイトと言えるかどうか」です。

 

レポートより判定ロジックの話が長くなりました。来月で丁度12回目。年内に7割対応ぐらいいって欲しかったのですが難しそうです。またレポートします。