2018年6月、JIPDECは「地方自治体のSSL/TLSサーバ証明書利用調査状況」をプレスリリースしました。当該プレスリリースで発表した内容以外のものも含めて、改めて本ブログにてご紹介します。なお、SSL/TLSサーバ証明書については、以下、「SSL」と簡略に表記します。
目次
SSLサーバ証明書の利用状況1位は「愛媛県」
地方自治体のサイトでのSSLの設定は、どの程度なされているのでしょうか。2018年6月現在のSSLの設定状況は、以下のグラフの通りでした。 図1:自治体におけるSSLの利用状況 全国の地方自治体1,788サイトの内、SSLが設定されているサイトは全体の38.8%でした。
図1:自治体におけるSSLの利用状況
全ての地方自治体のSSLの設定率を記載するのは煩雑ですので、以下、地方自治体が存在する都道府県毎に分類し、都道府県と市区町村のSSLの設定率を単純平均し、比較しました。下のグラフは、都道府県(市区町村を含む)毎のSSLの設定率を示したものです。以下、都道府県名は、注釈がない限りは、当該都道府県下の市区町村を含む地方自治体全体を指すものとします。
図2:各都道府県のSSL設定率
各都道府県下の地方自治体のサイトでSSLの設定率が最も高かったのは愛媛県の71.4%でした。次いで京都府の59.3%、鹿児島県の59.1%でした。一方で設定率の低い都道府県は、鳥取県の10.0%、徳島県の12.0%、沖縄県の16.7%がワースト3県でした。JIPDECが調査した「常時SSL/TLS化調査レポート|自治体サイト対応状況」に記載した通り、常時SSLの設定率の高い県が愛媛県、次いで、京都府、佐賀県と続きました。愛媛県については、SSLのみの設定率と常時SSLの設定率ともに1番高いという結果でした。京都府も常時SSLの設定率で2番目で、SSLのみの設定率も2番目でした。佐賀県は常時SSLの設定率では3番目でしたが、SSLの設定率では5番目でした。
自治体向けSSLサーバ証明書を発行している認証局について
自治体に対してSSLサーバ証明書を発行している認証局は15社であり、多くの認証局が提供していることが見て取れます。
更に、自治体向けに発行している証明書の内、認証タイプ別(EV、OV、DV)毎にどの認証局がシェアを保持しているかについても調査しましたので、こちらにつきましてはJIPDECのページをご覧ください。
都道府県庁が常時SSLをしていると常時SSL設定率は高くなる?
都道府県庁が常時SSLの設定をしている場合、当該都道府県下の市区町村における常時SSLの設定状況はどのように変わるのか。仮説としては都道府県庁の意識が高ければ、該当の市区町村についてもセキュリティへの意識が高くWebサイトを常時SSL設定しているのではないかと考えました。
47都道府県を常時SSL設定率の高い順に4分割し、その中の都道府県庁の常時SSL設定状況を算出しました。設定率の高い12都府県について、各都府県庁の設定状況は9/12となっており、設定率75.0%でした。次の12道府県庁についての設定状況は2/12で設定率16.7%でした。更に次の12県庁は7/12で設定率58.3%でした。1番下の11県庁は5/11で45.5%の設定率という結果でした。
母数 | 設定済み | 設定率 | |
---|---|---|---|
設定率上位1~12 | 12 | 9 | 75.0% |
設定率上位13~24 | 12 | 2 | 16.7% |
設定率上位25~36 | 12 | 7 | 58.3% |
設定率上位37~47 | 11 | 5 | 45.5% |
上記のような結果から、上位の12都府県については都府県庁の意識の高さが市区町村へも影響を及ぼしているとも考えられます。しかし、13位以下については、都道府県庁のサイトにおいて常時SSLの設定をしているからといって、必ずしも該当の都道府県全体で高くなっているわけではありませんでした。
他方、常時SSL設定率上位5府県と下位5県で比較をすると、上位は4/5(80%)の府県庁で設定がされており、下位は1/5(20%)の県庁での設定に留まりました。
母数 | 設定済み | 設定率 | |
---|---|---|---|
設定率上位1~5 | 5 | 4 | 80.0% |
設定率下位43~47 | 5 | 1 | 20.0% |
上位5、下位5という比較だと、非常に意識の差の大きさが出たと言えるのではないでしょうか。 率先して都道府県庁のサイトを常時SSL化し、見本になることで市区町村の常時SSLに対する意識を変えることができるのではないでしょうか。
ブラウザ主導で進んでいく常時SSL化への道
近年、官民のサイト問わずに常時SSL化が進んでいっている背景に、主要なブラウザによる強制的な対応を求めていることがあげられます。特にGoogle社がChrome68を提供開始したことで、SSL化されていないページは「保護されていません」とアドレスバーに表示されるようになりました。この表示により、インターネットの仕組みを十分に理解していない人がアクセスすると、「おかしな表示が出ている」、「このサイトを信用してよいのか」などの理由から問い合わせをしてくる人も出てくるでしょう。地方自治体サイトは言うまでもなく、一般企業のサイトも、こういったお問い合わせへの対応が求められることは必至です。これらの対応のための人的コスト等を考えると、サーバ証明書の金額は、それほど高いものではないと思います。
※本ブログ内の調査は株式会社フィードテイラーと一般財団法人日本情報経済社会推進協会(JIPDEC)の共同で実施いたしました。本調査結果は全てJIPDECの所有となります。