セキュリティ
2018.04.19 (Thu)

(所要時間 : 約1〜2分)

恒例となりました上場企業の常時SSL化対応状況調査レポート、5回目の調査となる2018年4月版をお届けします。調査は至ってシンプル。

  • 東京証券取引所が公開する2018年3月末時点の上場銘柄一覧から全上場企業3609社を抽出
  • 2018年4月11時点での全企業Webサイトで常時SSL化してるかどうかを判断

というルールで統計を取ったものです。11日というのは単に弊社都合です。ホントは毎月決まった日が良いのですけどね。

さて、今回はなんと言っても!!!ででんっ。

20180419_sslratio201804.png
(遂に半分を超えた!)

上場会社の常時SSL化対応サイトが半数を超えたということでしょう。いぁ実にめでたい!

調査開始した2017年12月時点で4割台だった頃から考えると、上場企業様や制作会社様の意識も向上してきてるのだと思います。常時SSL化推進派としては純粋に嬉しい結果です。願わくば数年のうちに対応サイトが100%になりますように。上場企業なのですから、情報発信側として身元ぐらい明らかにして貰いたいものです。

レポートでは例によって、業種ごと(17分類/33分類)や、証明書の種類ごとに統計を細かく取っていますので、詳しいことはレポートページをご覧下さい。過去分も見れます。

 

20180419_browser.jpg
(Thanks! the photo on flickr by Dennis Skley / CC BY-ND 2.0)

さて、あと3ヶ月もすればChrome68の配布が始まって、ChromeでHTTPサイトを表示すると即座に注意喚起がされるようになります。こんな感じ。

20180419_warning.png
(HTTPサイトは表示するだけで、このような表示になる)

そのことを知ってか知らずか、はたまた知ってるが無視しているのか、諸事情で対応できないのか…。7月にどれぐらいの上場企業が重い腰を上げるかが気になりますね。

どうせ対応しなくちゃならないので早いほうが良いです。既存サイトの常時SSL化はホント大変ですし。

 

もし常時SSL化でお悩みのようでしたら、DNSを切り替えるだけで常時SSL化が済んでしまう弊社 espar がおすすめです。手前味噌ですが(笑) どんな選択肢よりも作業負荷が少なく且つスピーディに常時SSL化できることをお約束します。

どさくさ紛れて最後に宣伝でしたね。来月もまたレポート致します。


2018.03.20 (Tue)

(所要時間 : 約1〜2分)

毎月恒例となりつつある(?)上場企業の常時SSL化対応状況レポート。

昨年より始めていて今回は4回目となる2018年3月版を公開致しました。微増ではありますが着実に増えてます。詳細なデータは こちら からどうぞ。

 

ようやく半数に迫る勢い

グラフで見るとよく分かるのですが、ようやく半数に迫るか…というところまできました。

20180316_sslreport201803
(やっと50%越えが見えてきた)

あと0.4ポイントですね。ホントあともう少し。これまでの調査レポートを振り返ると、前月に対する増分はだいたい1.0ポイント弱ですので、来月は確実に50%を越えるでしょう。

祝!常時SSL化対応上場企業半数超え!

ですね。パチパチパチ…

 

対応サイト半数越えの見込みは喜ばしいけど…

半数超えは確かに喜ぶべきことなのですが、手放しに祝える状況とは言えません。

2018年7月にはブラウザシェア5割(国内では4割弱)の Google Chrome で「安全でないサイトです」と表示されるのが分かっているのにも関わらず…まだ半分が未対応ってことですから。

まぁそれを言いだすと、実は中央省庁Webサイトもほぼ全て未だに常時SSL化できてないってこともあって、そもそも国全体が結構恥ずかしい水準ではあるんですけどね。

今もって常時SSL化対応できていないのは、

  • A) そもそも知らない
  • B) 知っているが対応できない
  • C) 知っているが対応しない

の3パターンに分けられるのですが、実は B が多いんじゃないかなぁと思う昨今です。色々理由は考えられますが、もしできないなら無理に自分でやる必要はなくて誰かにやらせるって判断もあり…だと思うんですよね。弊社は最近、そこに役割を見出してます。

 

役割分担で楽しよう

サイトの規模が大きかったり、CMSを使っていたりすると、ひとことで常時SSL化といってもなかなか難しいのが実情です。リダイレクトとか絶対パスとか外部参照とか…考えてたらキリがない。

常時SSL化の作業は、サイトの制作会社様もエンドユーザ様も本業ではない筈なんですよ。そこを気にして時間や精神が蝕まれるのって勿体無い。だから全部外出ししましょうよ…というのが、espar事業を通して最近発信しているメッセージの1つです。

20180320_aossl.png
(サイトに何の変更も加えずにhttps化できる)

DNSを切り替えるだけで気がかりがなくなるならそのほうが良いですよねとご提案していて、事例も増えてきて好評も頂いてます。

面白いと思うのは、常時SSL化できたという事実が嬉しいというよりも、頭の片隅に引っかかってた常時SSL化のことを一切考えなくて良くなったと評価して頂くことがあるって点ですね。

そうなんです。今の web は制作会社様やエンドユーザ様に色々求め過ぎ。まぁ仕方ない側面もあるのですけどね。ただまぁそれだけに、考えなくちゃいけないことを減らせるに越したことないんです。

餅は餅屋で作業分担し、各々が得意分野や本業に全力投球すること。それが関係者皆にとって幸せなんじゃないかなと思う昨今です。楽できるところは楽するのが一番です。

 

という訳で2018年3月の常時SSL化対応状況レポートでした。何か後半は思いをぶつけてた感ありますが…。さて、来月は遂に半分超えが見込まれます。また来月もレポートいたします。


2018.02.08 (Thu)

(所要時間 : 約1分)

待ったなしの常時SSL化。

メリットを体感できず面倒くさい、というのが対応進まない最大の理由です。でも周りのサイトがほぼ対応してる…ってなってくるとそうも言ってられなくなりますね。

それが狙いで、一つの指標とすべく2017年12月よりやっている、国内上場企業サイトの常時SSL化対応調査の2018年2月版をお届けします。ザックリこんな感じ。

20180208_sslratio
(もう2018年だというのに上場企業でさえ、まだ半分に届いていない…)

 

常時SSL化の対応状況 2018年2月

このレポートが初めての方の為に調査方法を改めてご紹介すると、

  • 日本取引所グループが公開する銘柄一覧を元に上場企業URL一覧を作成
  • TOPページが https 対応していれば常時SSL化対応済みとみなす

という調査です。2018年2月の上場会社数は3601社で、2018年1月より上場会社の数は少し減りました。

一方で常時SSL化をしている上場会社の割合は少し上がり、前回より0.8ポイントアップ48.7%となりました。数にして26社増

先々月から先月も似たようなものなので、だいたい1%UPぐらいで増えていってるのかも知れません。相変わらず半数にも至ってないのが残念ですが、この調子で行けば5月初旬には祝半分!になるのではないでしょうか。

2018年2月レポートの詳細を、こちらから御覧頂けますので宜しければどうぞ。

 

EV証明書対応サイトが増えた

驚いたのは、EV証明書対応サイト数の伸び。

20180208_websecurity.jpg
(Thanks! the photo on flickr by FutUndBeidl / CC BY 2.0)

前回はプラマイゼロだったのに対して、今回はグンッと増えました。

  • ETSホールディングス(1789)
  • ケアサービス(2425)
  • すかいらーく(3197)
  • Minoriソリューションズ(3822)
  • 日本碍子(5333)
  • 千趣会(8165)
  • いちよし証券(8624)

EV対応していた企業が上場廃止になったケースが今回も2社ありましたが、全体ではプラス5社。割合にしてEVだけで見ると、3%アップです。非常にいい傾向ですね。

まだ常時SSL化していない上場会社はCSR的に論外だと個人的には思っていますが、ホントは全ての上場企業がEV証明書にすべきです。投資家や対顧客への情報発信姿勢としてなぜたった年数万円が支払えないのか、webに対する意識が低いってことだろうなぁと悲しい気持ちになりますね。

 

という訳で2018年2月の常時SSL対応レポートでした。来月もまたレポート致します。

余談ですが、上場企業に限らず、何かのククリで常時SSL化対応状況を知りたいというリクエストがあれば是非ご連絡下さい。URL一覧があれば調査できるので検討させて頂きます。


2018.01.11 (Thu)

余り進んでいないように見える常時SSL化。もう2018年だというのにどうしたものか。

そんな思いもあり、国内サイトの対応状況を知る指標にできればと、国内上場企業サイトの常時SSL化対応調査を昨年12月に行いました。ScanNetSecurityさんに掲載されるなど少しばかり反響もありました。

20180111_scannetsecurity

この手の調査は継続しないと意味がありませんので、定点観測として毎月行っていくことにしています。で、本日2018年1月度版のレポートを公表しました。

 

常時SSL化の対応状況 2018年1月

調査条件は前回と変わらず以下の通り。

  • 2017年12月末時点の銘柄リストからpickupした全上場企業3604社(19社増えた)
  • 2018年1月10日時点での常時SSL化対応状況を調査
  • 企業サイトのTOPページがhttps対応していれば常時SSL化済みとみなす

対応サイト数は1729社で国内全上場企業の3604社に対して47.9%です。相変わらず半数にも至ってないのが残念なところですが、前回より36社が対応となりましたので微増ですね。全く増えないよりは良いのでしょう。ただもっと勢い良く増えていくと良いなと思います。

今回のレポートについては、詳細をこちらから御覧頂けますので宜しければどうぞ。

EV証明書対応サイトはプラマイゼロ

常時SSL化に使用する証明書はEV/OV/DVの3種類。上場企業は信頼性が一番高いEV証明書を採用すべきだと個人的には考えてます。

20180111_ssltype.png

EV証明書採用企業一覧をレポートに記載しているのはそれが理由。セキュリティ意識が高い企業である(または担当制作会社がセキュリティ意識が高い)のは間違いありません。

今回、EV証明書対応サイトが一社追加された(大同特殊鋼(5471))のですが、EV証明書対応していた別の会社が上場廃止となった為に152社から変わらずです。全体の4.2%で、まだまだ少ないですね。

 

という訳で2018年1月の常時SSL対応レポートでした。このペースでいけば春先には半数越えるぐらいになるのでしょうか。また来月もレポートいたします。


2017.12.22 (Fri)

常時SSL化はなかなか進みませんね。http なサイトは今でも結構沢山見ます。もう2018年を迎えようというのにどうしたものか。

何ごとも改善するには、また、改善されたことを把握するには、何か指標が必要だろうということで、国内の全上場企業サイトの常時SSL対応状況を調べてみました。半自動+目視です。頑張った(笑)

で、その結果を本日プレス発表した次第です。プレスはこちらで、詳細なレポートページはこちらです。

20171222_report

日本は常時SSL化レベル最下位?

日本のWebサイトにおける常時SSL化対応状況が余り芳しくないことは、Googleが定期的に発表している統計にも現れています。Chromeユーザのhttpsリクエストベースの統計なんですが、

20171222_googlechrome
(米Google HTTPS encryption on the web より)

Chromeユーザが多い主用10カ国でほぼ常に最下位なんですよね。Chromeに偏っているとは言えhttpsリクエスト数が少ないってことは、日本で常時SSL化に対応してないサイトが少ないことを物語っている訳です。

…じゃぁ、実際どの程度少ないのだろう?と思ったのが本調査のきっかけでした。

上場企業のWebサイトの傾向が日本のWebサイト全体の傾向とイコールである筈もないですが、一つの指標にはなると思います。詳細はプレスリリースレポートページを確認して頂けると嬉しいのですが、

20171222_ssltable

こんな感じ。実に47.2%。少ない…。

2015年頃から常時SSL化の声が高まり始めてることを鑑みると、2年が経過した今でも上場会社の半分も未対応というのはちょっと残念ではあります。

上場企業だからこそサイトを常時SSL化することは面倒で大変な筈ですが、でも見方を変えるとサイト閲覧者の通信を守るというセキュリティの優先度がずっと上がってこなかった証拠ですから、CSRという観点でも余り宜しくはないと思う次第です。

 

調査から気がついたこと

やはり業種ごとに傾向が現れます。以下は17業種コードで常時SSL化対応とその証明書種別の割合を並べたものです。

20171222_ssltable_categories17

ある程度の想像はしていましたが、いわゆるIT企業(17業種コードで「情報通信・サービス」)は対応比率が高かったです。高かったと言っても55%なのでまだまだ伸びしろがあるという意味では他業種と余り変わりませんが。他に目についたのは金融系企業のEV証明書採用率。当然っちゃ当然なのですが、他業種を圧倒するEV証明書率が特徴です。

個人的には、CSRの観点から上場企業は全部EV証明書にしましょうよ…と思ってます。

逆の視点では、既にEV証明書を取り入れている企業は、経営者やWeb関係者、あるいは制作担当会社のセキュリティ意識が高いということを表しているといえるでしょう。

 

目指すは上場企業の全サイト常時SSL化

Web全体の常時SSL化が進むかどうかは、一社の努力だけでどうこうなるものではありません。でも今回の調査を通して、自分は常時SSL化をもっと啓蒙していく必要があることを再確認できました。上場企業の半分以上がまだ対応できてないのですから。

20171222_https

今回の指標が多くの人に共有されて、関係者が常時SSL化への一歩を踏み出すきっかけになってれたら嬉しいなと思います。安心・安全なWebの未来の為に。

ちなみにプレスリリースにも書いたのですが、上場企業の常時SSL対応状況調査は、定期的に実施して結果を公表していく予定です。