兵庫県企業サイトのセキュリティ実態調査結果を公開！対策が不足する現状とは

兵庫県企業サイトのセキュリティ実態調査

日本情報基盤サービス株式会社（以下、JIIS）が実施した「兵庫県Webセキュリティ実態調査」の結果が公開されました。この調査では、兵庫県内の307の企業サイトを対象に、外形的なセキュリティ状況を評価しました。調査によると、半数以上のサイトがなりすましメール対策のDMARCを未設定であり、さらに92.5%が重要なセキュリティヘッダであるCSPを欠落していることが明らかになりました。

調査の目的と背景

近年、メール認証の重要性は高まっており、GmailやYahoo!、Microsoftといった大手のメールサービスでは、送信者に対してSPF・DKIM・DMARCの設定を要求する方針を導入しています。この状況において、認証が不十分なメールは「迷惑メール」とされ、最悪の場合、受信を拒否される恐れがあります。Webサイトにおいても同様に、安全性を高めるためのセキュリティヘッダ設定は今や必須とされています。そこで、実際に兵庫県内の企業サイトのセキュリティ状況を数字で把握するために本調査が行われました。

調査結果：主要な発見

調査の結果、最も懸念されるのはセキュリティヘッダの対応状況であり、Permissions-PolicyやReferrer-Policyがそれぞれ96%を超えるサイトで未設定でした。CSPも92.5%のサイトで設定されておらず、これは「存在が知られていない」という認知の問題が大きいと考えられます。特に、DMARCに関しては、55.1%のサイトで未設定で、「SPFはあるがDMARCがない」という状況が多く見受けられました。また、HTTPSは普及しているものの、常時HTTPSを強制するHSTSに関しては85.7%が未設定という結果になりました。

代表者のコメント

JIISの代表取締役、佐々木智俊氏は、「私たちが運用している情報セキュリティクラウドの現場では、深刻な脆弱性よりも初期設定では付与されない、知られていない設定が抜け落ちているケースをしばしば見ます。この調査でも、特別な攻撃に対して弱いわけではなく、知識と行動で短期間に改善可能な項目が欠落していることが数値に表れました。この結果を特定の企業に対する批判ではなく、地域全体のセキュリティ向上を目的とした材料として捉えていただきたいです」と述べています。