JIPDECは2018年10月23日に企業等の常時SSL/TLSの調査を行い、結果をJIPDECのウェブサイトに「常時SSL/TLS化調査レポート|企業サイト対応状況」として公表しました。
上記調査はネットビジネスサポート社が保有している企業及び団体約40万のURLを対象に行ったもので、今回は本調査にて公表されたデータとその他動向を元に考察します。
※本ブログ内では、SSL/TLSサーバ証明書を「SSLサーバ証明書」、常時SSL/TLSを「常時SSL」と簡略に表記します。

常時SSL設定率上位の10業種

先日公開した「業種別の企業等の常時SSL対応比率」により、どのような業種で常時SSL化が進んでいるのかが明らかになりました。常時SSLの効果としては、「なりすまし対策」、「SEO効果」、「中間者攻撃への対策」、「流入元情報の収集」が主だったものとして挙げられます。

常時SSL設定率の上位10業種は、大学(57.0%)、銀行(51.2%)、小学校・中学校・高校(42.5%)、旅館・ホテル(39.3%)、通信販売(39.2%)、動物病院(38.6%)、情報通信・インターネット(38.5%)、専門学校(38.1%)、貸金業、クレジットカード(35.7%)、官公庁(35.1%)でした。この業種で、どの認証タイプの証明書が利用されているのかを記したものが図1のグラフです。

常時SSL設定率上位の認証タイプ別利用状況
図1:常時SSL設定率上位の認証タイプ別利用状況

大学はOVの比率が70%を超えていますが、EVの利用率が0%でした。銀行はEVとOVの利用率が90%を超えており、通信販売は常時SSLの設定率自体は、業種の中で5番目の高さでしたが、ドメイン認証DVが90%以上という結果でした。通信販売はその業種の特性上、OVやEVの利用率が高いのではないかと想定されましたが意外にも、結果はDVがほとんどでした。

なりすまし対策への意識が高い業種

SSLサーバ証明書は、なりすまし対策として一定の効果が得られると言われますが、それはEVやOVだと認証局がサーバ証明書を発行する際に、サイト運営組織の実在性を確認していることが、有用に働いているためです。このことから、DVよりもEVまたはOVの利用している企業の方が、なりすまし対策への意識が高いと考えられます。では、その利用率が高い業種は何でしょうか。

図2:EVの設定率上位5業種
図2:EVの設定率上位5業種

EVの利用率は、銀行が57.2%と他の業種を大きく引き離しています。さらに、2番目が金融商品取引で15.3%、3番目が貸金業、クレジットカードで14.2%、4番目こそ鉱業が入っていますが5番目がその他金融で10.7%となっており、やはりお金が関係する業種が上位でした。

図3:OVの設定率上位5業種
図3:OVの設定率上位5業種

図3のグラフでは、OVの利用率の上位を記しています。大学が71.2%と20%以上他の業種よりも多く使われているという結果が出ています。2番目は官公庁で45.0%、3番目が医薬品で40.9%、4番目が水道で40.0%でした。

図4:OVとEVの合計設定率上位5業種
図4:OVとEVの合計設定率上位5業種

図4のグラフでは、EVとOVの合計における利用率の上位を記しています。銀行が90.9%、2番目は大学がOVのみですが71.2%、3番目は官公庁が55.0%、4番目は貸金業、クレジットカードで52.1%、5番目は金融商品取引で48.8%でした。銀行や貸金業、クレジットカード、金融商品取引などの金融に関する業種以外の民間企業は、大学や官公庁に比べると、サイト上における実在性の表示については必要性を感じていないのではないかと考えられます。

民間企業における意識とSSLサーバ証明書の設定

SSLサーバ証明書の利用に関し、中小企業ではコスト意識が優先されている傾向にあります。図5のグラフは、常時SSLで利用されている証明書の認証タイプの割合を記したものになります。

図5:常時SSLで利用されている証明書タイプ
図5:常時SSLで利用されている証明書タイプ

このグラフからわかる通り、実在認証付きの証明書であるOVとEVを合わせても16.3%で、DVが80%以上という結果でした。これは「審査レベル」よりも、まずは「暗号化」という概念が強いと考えられます。

実際、「資本金3000万未満、従業員数50人未満」という条件で、利用している証明書タイプの割合を調べたところ、DVでもさらに無償証明書の割合が非常に高いという結果になりました。無償証明書の利用は常時SSLのすそ野を広げましたが、無償の証明書を利用する際には用途・利用シーンを踏まえたうえで使用する必要はあると考えます。

その理由としては、無償証明書は、証明書の特性上、発行時にウェブサイト運営組織の確認や手動によるフィッシング審査などは行っていないため、過去フィッシングサイトに使用された事例もあり、有用とは言い難い面もあります。このようなことから、常時SSLの設定に関しては、できれば有償証明書の方望ましいのではないでしょうか。無償証明書は、外部からアクセスされるサイトよりは、イントラネットやメールサーバのように、限られた人だけがアクセスするサイトでの活用がおすすめです。

安心感を与えるウェブサイトを目指して

とはいえ、まずはSSL自体を設定していないというウェブサイトをなくし、同時に常時SSL化をするというのがよいでしょう。Google Chromeが2018年10月でバージョン70となり、SSLが設定されていないHTTPのページの入力フォームに文字などを入力すると、「保護されていない通信」の表示が赤く警告を発するようになりました。

図6:HTTPページで文字入力した場合のアドレスバーの表示
図6:HTTPページで文字入力した場合のアドレスバーの表示

また、SSLは一度設定したら終わりではなく有効期限があるため、その期限前に更新が発生します。正しい証明書を、適切に設定・運用することで、ウェブサイトへの訪問者に対して安心感が与えられます。

トピック関連記事

#

2021年05月10日

各業界のデジタルトランスフォーメーション (DX) 事例から考える有効な情報セキュリティ対策

#

2020年07月07日

SSLサーバ証明書の有効期間を短縮するという決定に関する続報

#

2020年03月10日

Google Chrome 81が混合コンテンツのサイトをブロック

この記事を書きました

伊藤 健太郎

伊藤 健太郎
所属:GMOグローバルサイン 事業企画部