兵庫県の企業サイトセキュリティ調査結果と対策が示す課題

兵庫県の企業サイトセキュリティ調査結果

日本情報基盤サービス株式会社（本社：兵庫県尼崎市、以下「JIIS」）が、自社の無料Webセキュリティ健診サービス『サイトドック』を使用し、兵庫県内の企業サイト307件のセキュリティ状態を調査した。その結果、なんと半数以上の企業がなりすましメール対策であるDMARCを導入しておらず、さらに92.5%のサイトにセキュリティヘッダが欠落していることが明らかになった。この調査は、特定の企業を批判する目的ではなく、地域全体のセキュリティ意識を高めるために実施されたものだ。

調査の背景

最近、メール認証に関する基準が厳格化されてきている。特に、2024年2月にはGmailやYahoo!が、2025年にはMicrosoftが、一定量以上のメールを送信する際にSPF、DKIM、DMARCの設定を求める新たな要件を導入する。この流れを受け、認証が不十分なメールは迷惑メールとして扱われることが増加しているため、企業が適切に対策を講じることが急務となっている。

調査結果

調査の結果、DMARCが未設定の企業が55.1%に達し、セキュリティヘッダも重大な欠落が目立った。特にPermissions-PolicyやReferrer-Policyに関しては、96%超、CSPも92.5%が未設定という驚くべき数値が示された。これは技術的な難易度ではなく、設定が「知られていない」ことによる認知の問題であると考えられる。

また、通信保護の観点では、HTTPS化は進んでいるものの、常時HTTPSを強制するHSTSの未設定率は85.7%に達しており、多くの企業が仕上げを行っていない現状が浮き彫りとなった。特に、SPFはレンタルサーバなどの初期設定で導入されることが多く普及しているが、DMARCに関しては55.1%が未設定であった。

代表者のコメント

日本情報基盤サービス株式会社の代表取締役である佐々木智俊氏は、「私たちは兵庫県内の自治体情報セキュリティクラウドを10年間運用してきましたが、深刻な脆弱性よりも初期設定で不足している設定の方が多いという実態を目の当たりにしました。特定の企業を問題視するものではなく、地域全体のセキュリティを底上げするためのデータだと考えてほしいです。この完全版レポートには、各項目の対策方法も収録していますので、まずは自己点検から始めてほしい。」と述べた。

完全版レポートの配布

今回の調査結果を基にした完全版レポートは、自己点検チェックリストや環境別の対策設定リファレンスを含め、無料でダウンロードできる。企業はまず自社の「外から見える状態」を把握し、セキュリティ対策の第一歩を踏み出すことが求められている。

調査方法と限界

本調査は公開されている情報を基にしたものであり、特定のサイトへの侵入による調査は行っていない。そのため、得られたデータは外部から確認できる範囲のものであり、各サイトの実際の安全性を保証するものではない。この調査は2026年6月7日から6月9日の間に実施され、本記事では兵庫県内の企業に偏ったデータである点にも留意が必要である。