セキュリティ
2018.12.11 (Tue)
国内上場企業サイトの常時SSL化対応状況レポート(2018年12月版)

今年最後の常時SSL化レポートになります。今回で13回目ですね。詳細は、2018年12月版の上場企業の常時SSL化レポート でご覧下さい。前回が64.9%でしたから、今月は微増です。

20181211_sslreport201812
(前回64.9%から今回66.1%へと3ヶ月ぶりの1%台前半の伸び)

余りコレという大きな変化は見られません。勢いはここ3ヶ月に比べるとわずかに鈍化した気がしないでもないですが、まぁ確実に少しずつ少しずつ増えているので良しとしましょう。来年度に突入する前、つまり3月のレポートでは何とか70%は越えて貰いたいところです。

 

レポートページを改修しました

レポートのアーカイブが見にくかったり、毎回調査方法を書いてて冗長だったりと、決して見易いとは言えない状態だったので常時SSL化レポートの掲載TOPページを少し更新しました。

20181211_sslreport-archive
(アーカイブのインデックスを独立させた)

こんな感じでアーカイブの一覧を独立させましたので、過去分に興味ある方は宜しければどうぞ。また、レポートの作成手順も独立させました。常時SSL化レポートのTOPページこちらからどうぞ。

ふと思いましたが、気がつけばもう1年以上のデータが貯まりましたので、

  • 月の増加率の変遷
  • 月の各証明書割合の変遷
  • EV証明書対応企業の増え方

など時間軸に着目した変遷を捉えるグラフがあっても良いかも知れませんね。来年に検討してみたいと思います。見てみたいレポートがあれば宜しければ弊社問い合わせページからご連絡下さい。

という訳で今年最後の常時SSL化レポートでした。

常時SSL化レポートをご覧頂いてきた皆さん、本年はありがとうございました。来年も続ける予定ですので引き続き宜しくお願い致します。一次情報として使って頂くケースも増えてきたので、ここまできたらもう100%になるまでレポート続けるしかないですね。上場企業の皆さん、早く対応して下さい(笑)

 

年末恒例の1年振り返りエントリは年末までに上げる予定です。

2018.11.19 (Mon)
国内上場企業サイトの常時SSL化対応状況レポート(2018年11月版)

恒例の常時SSL化レポートをお送りします。詳細は、2018年11月版の上場企業の常時SSL化レポート でご覧下さい。今月は上場企業が大幅増、3640社分を調べました。

20181119_sslreport201811
(先月と変わらず1.8ポイントの増加)

10月はChrome70がリリースされましたが特に大きなは変化は見られませんでした。先月と同様に今月も対応サイトが 1.8ポイント 増加して全体で 64.9% となりました。

昨今は1%後半から2%台ぐらいの増加になってるでしょうか。このままのペースでいくと年が明けて2019年2月のレポートで70%を突破するぐらいですね。

100%になるのは一体いつになるのやら…。来年末で90%ぐらいいけば御の字かも知れません。

 

未だに新規上場企業が常時SSL対応していないケースがある

未だに新規上場なのに非対応という企業があります。非対応企業をDISることが主旨ではありませんので、具体的な企業名はあげませんけども。

10月中に新たに上場した19社(実質名前変えただけの再上場みたいな企業も含むので new commers はもう少し少ない)のうち3,4社のオフィシャルサイトは常時SSL化ができておらず、これには本当に首を傾げざるを得ません。

身元を誰にも確認して貰ってない誰かが上場企業を装って発信しているのに近い のですから。

ドメインが 上場会社名っぽい ので当該の上場企業の公式な情報 だろう という憶測が働くのを、上場企業として回避努力をしていないということです。それを誰も助言できてない可能性が高く、投資家にそう思われることに気づいてもいないかも知れません。

  • 上場しようという企業のWebに対する低意識
  • 上場に関係する主幹事証券会社・監査役・証券取引所の低意識
  • 当該企業の情報発信を支援する制作会社・コンサルの低意識

は否めないと思います。市場で株式が取引されることの意味を考えれば正直情けない…。大臣がPC触ったことない問題に通じるものがあります。

(まぁDV証明書だけで「装ってる」という疑いは論理的に払拭できないので、投資家のことを考えている姿勢を見せるなら全上場企業はEV証明書での常時SSL化を行うべきです)

20181119_shikiho
(四季報にも乗せるべき情報ではないかなと思ったりもします。情報発信の姿勢を表す指標なので)

ちなみ僕は常時SSL化非対応サイトを平然と公開している企業の株は買おうとすら思いません。今の御時世、Webへの意識が低い企業にまっとうな情報発信ができるとは到底思えないからです。

とはいってもじゃあEV証明書対応してる企業の株が買いなのかというと違うのですけどね(笑) スクリーニング指標として使えると個人的には思ってます。

 

ということで11月のレポートでした。来月もまたレポートします。

2018.10.20 (Sat)
国内上場企業サイトの常時SSL化対応状況レポート(2018年10月版)

毎月恒例、常時SSL化レポートをお送りします。詳細は、2018年10月版の上場企業の常時SSL化レポート のページからご覧下さい。

今月はというか9月は時期的な理由もあり、企業統合やホールディングス体制移行に伴う上場廃止など上場企業数が減る傾向にありました。前月に対して9社少ない3627社が対象となります。

20181020_sslreport201810
(平常運転という感じの着実な微増です)

今月で63.1%が対応企業となりました。勢いが減っているということはありませんので喜ばしい限りですね。贅沢言うともっと勢いよく増えて欲しいですが。まぁ勢いが弱まっていないことを素直に喜びましょう。

約1年前の初調査の時には47.3%でしたから、そこから15%強増えたと思えば大したものです。500,600社は対応したということですからね。

 

常時SSL化判定の洗練

最近、業界関係者の方も本レポートを参考にしてくださっていたり、セミナーや啓蒙資料等々で一次資料として引用頂いているケースもあるそうで大変有り難い限りです。

ここで少し判定の正確性と弊社スタンスについて書いておきたいと思います。

本レポートは毎月出しています。上場企業のURL一覧から証明書情報を取得したり、常時SSL化対応の有効性をチェックしています。が、全てプログラムで自動実行です。人間が毎月3600社目視するってな事はありえませんので、今流行りの言葉でいうとコレもRPAなのでしょう。

で、その判定ロジックはどれほど厳密で正確なのか?

実は「常時SSL化対応している」と判断する基準は、誰が作っても同じ…とはなりません。なぜなら判定が微妙なケースが非常に多いからです。例えば、

「証明書の設置はしているけど中間証明書の設置方法が間違っていて証明書チェーンが切れている」

といったケースですね。これを皆さんならどう判定するでしょうか?

今、弊社の判断基準では「常時SSL化に対応している」です。これに違和感を覚えるかたもおられるかも知れません。学術系の方とか。でも、中間証明書チェーンが切れていても Chrome 等のブラウザが対応サイトとして表示してくれるんですよね。厳密に突っ込み入れるとすれば「誤り」なんですが。

20181020_sclient
(opensslのs_clientで厳密に見ればブラウザで常時SSL化対応サイトとされていても untrusted なことがある)

これ以外にも色んな例があります。その判断全てに弊社の考えが注入されていて、別の会社が判断すれば異なる結果になる可能性もあります。がまぁ、よっぽどおかしな判断をしない限りは誤差の範囲ですけど。弊社がどういう判断をしているかは毎月レポートの冒頭に書いていますのでご覧下さい。

で、その弊社判断ですが、少しずつ洗練させていきたいとは思ってます。そこで今回、ロジックに少し手を加えました。2018年10月レポート にも書いていますが、

  • 301,302を返すサイトもリダイレクトループしない限り先を辿って調査するようにした
  • 証明書の設定はされているがページがエラー表示の場合は非対応とした

の2点を変更しました。前者は対応サイト増、後者は対応サイト減のインパクトとなります。余り頻繁に変更するとレポートの意味も薄れてしまうので、段階的に洗練させていくつもりです。洗練の軸に据えるのは「人が見た時に常時SSL化対応したサイトと言えるかどうか」です。

 

レポートより判定ロジックの話が長くなりました。来月で丁度12回目。年内に7割対応ぐらいいって欲しかったのですが難しそうです。またレポートします。

2018.09.19 (Wed)
国内上場企業サイトの常時SSL化対応状況レポート(2018年9月版)

少し遅くなりましたが 2018年9月版の上場企業の常時SSL化レポート をお送りします。

毎月だいたい上場企業数が増えていくのですが、今月は3社上場(投資信託入れたら4銘柄上場)で3社が上場廃止で変わらず。3636社が対象になります。

20180919_sslreport201809
(ついに上場企業の6割が常時SSL化しました)

先月が59.9%でまぁほぼ6割といっても良かったのですが、今月正式に6割突破です。おめでとうございます!パチパチパチ!(誰に?w)

という訳で2018年9月10日時点で61.3%です。調査を始めた2017年12月は5割を切って47%でしたから、そこから考えればこの8ヶ月で比較的伸びたほうではないでしょうか。10月にリリース予定のchrome70では、

20180919_chrome70
(10月に出るchrome70では非対応サイトが赤く表示される)

こんな感じで非対応サイトが「安全ではない」と赤字表示されるようになりますので、非対応サイトのオーナーさんも、制作会社さんでお客様サイトがまだ対応していない場合も、急いで対応したほうが良いですね。

来月(10月)や再来月(11月)のレポートでは対応サイトまた急増すると思います。

 

証明書の会社とのご縁が増えていく

最近もまた、国内で著名な証明書会社様にお声がけ頂きまして、ディスカッションする機会を得ました。弊社は Let’s Encrypt を推奨している立場なので EV 証明書以外でどうこう…というのは余り無いのですが、常時SSL化が広まってほしいという根っこの部分では同じ思いですので、何かご一緒できるといいですね。

驚いたことに証明書の紹介セミナーをする際に、弊社のレポートを資料内で使っておられるとのことでした。一応、出典として弊社名も記して頂いているのだそう。

いやはや嬉しい限りですね。広く現状を知って貰うのがそもそもの目的だったですから。

レポートのたぐいは第三者に使われてなんぼのもん。調査開始時に思っていた目標の一つは達成です。独自の調査で一次情報を提供しているからこその体験ですね。

国内の民間セキュリティ意識の一指標として認知されていくと良いなぁ。今後も継続してまいります。

 

以上、9月のレポートでした。

2018.08.14 (Tue)
国内上場企業サイトの常時SSL化対応状況レポート(2018年8月版)

毎月恒例となりました。上場企業の常時SSL化レポート、2018年8月版をお送りいたします。7月下旬のchrome68の影響で確実に増えています。

20180814_sslreport201808
(ついに6割の域に)

対応率がついに6割目前。というか、もう6割対応済みサイトですと言っても良いですねコレは。6割はもう少し先かな…と思っていたのですが想像より早かったです。

10月のchrome70が出る前後ではまた更に増えるのでしょうね。今や常時SSL化しない理由は何もありませんので、この勢いで増えていって貰いたいなーと思います。

 

目指すは常時SSL化100%

本レポート、Let’s Encrypt のスポンサー、自社の espar というCMS静的化製品。弊社は、これらすべての常時SSL化推進活動の先に 上場企業の常時SSL化対応率100% という目標を勝手に置いています。

先月のレポートでも書いた通り新規上場企業は毎月のようにチェックしてますが、未だに常時SSL化対応しないまま新規上場している会社がちょいちょいあるんですよね。まだまだ啓蒙が足りません。個人的には、この会社の株だけは買わないでおこうと思ってしまいますね。ウチは身元を明らかにしませんと宣言してるようなものですから。

上場企業が全てEV証明書による常時SSL化が理想と考えていますが、こっちはなかなか難しいでしょうね。証明書関連のベンダー様も巻き込みながら、引き続き啓蒙をしていきたいと思います。

 

以上、8月のレポートでした。また9月もレポート致します。