この記事でわかること
- 攻撃面公開情報調査(P3)が対象とする範囲 — 日本関連 apex 1 件を前提とした外部から見える事実の整理
- DNS・メール認証・TLS・公開 HTTP・代表ポートなど、第三者がログインなしで読める情報の棚卸し
- 侵入実証や社内システムのログ調査は含まず、完成報告書 PDF で納品する受託調査の標準メニュー
この統計について
本ページは、法人・中小企業・団体の公式サイトを含む日本関連ドメインについて、外部から見える範囲だけを調べた公開統計です。ログインや侵入は行わず、トップページへの通常の HTTPS/HTTP 接続と TLS 443 の確認のみです。
対象は調査時点で外部から応答があった N=16,043 件です。全国センサスではなく、公開インデックス由来の集合のため、「日本のすべてのサイト」を代表する数字ではありません。
それでも、.co.jp などで公式サイトを運営する事業者にとって、「HTTPS さえあれば十分か」「設定の更新は追いついているか」を考える材料になります。
総評
掲載時点 N=16,043 件の印象として、多くのサイトで HTTPS(通信の暗号化) は使われている一方、その先のブラウザ向け防御や TLS の方式更新が追いついていない状態が目立ちます。
例えば、HTTPS が使えていても基本的な4種類の安全設定がそろっていないサイトはおおよそ 64%、現在推奨されない古い TLS 方式も受け入れているサイトは 78%、改ざん・埋め込み対策(CSP)が未設定のサイトは 84% でした。これは「すでに侵害されている」という意味ではなく、設定・更新の余地が外から読み取れる状態を示します。
制作委託から年月が経った公式サイト、関連会社ごとに環境が分かれている場合など、中小規模の事業者でも同様の差が出やすいと考えられます。御社サイトの優先順位づけの参考にしてください。
3つのポイント
専門用語を避けた見方です。率は「該当するサイトの割合」を示します。
基本的なブラウザ防御が未整備
HTTPS(通信の暗号化)が使えていても、ブラウザ向けの代表的な安全設定が4種類ともそろっていないサイトが約 63.9%。
「鍵のかかった入口はあるが、ドア周りの補強が足りない」状態に近いです。訪問者のブラウザが守ってくれる範囲を広げる設定が、公開ページの応答に含まれていません。
当社の調査では、HSTS(常時 HTTPS へ誘導)、CSP(改ざん・埋め込みの抑制)、クリックジャック対策、MIME タイプの誤解釈防止の4点をまとめて見ています。いずれもログイン不要で、応答ヘッダから分かる範囲の話です。
確認の目安:制作・リニューアルから年数が経っている公式サイト、ホスティングや制作会社が変わったあと設定を引き継いでいないサイトで起きやすい傾向です。
古い暗号方式も受け入れ
通信は暗号化されていても、現在は推奨されない TLS 1.0 / 1.1 への接続も受け付けているサイトが約 78.3%。
HTTPS 対応=安全、ではなく、「どの世代の暗号方式まで許すか」も別の更新項目です。古い方式を残すと、設定のメンテナンス漏れのサインにもなります。
多くの環境では TLS 1.2 以上が前提です。訪問者の大半は新しい方式で接続しますが、古いクライアント向けの扉を開けたままにしていると、攻撃者の選択肢が増えることがあります。
確認の目安:サーバー・ホスティングの契約更新時に TLS 設定を見直していない場合、証明書だけ更新してプロトコル設定はそのまま、というパターンに注意してください。
改ざん・埋め込み対策の設定なし
ブラウザ向けのコンテンツ保護(Content-Security-Policy / CSP)が設定されていないサイトが約 84.0%。
CSP は、ページに読み込まれるスクリプトやフレームの出どころをブラウザに伝える仕組みです。未設定のままだと、万一サイト上の別の弱点と組み合わさったとき、改ざんや悪意ある埋め込みの影響を受けやすくなります。
問い合わせフォームや会員向けではない、「情報を見せるだけ」の公式サイトでも、信頼されるドメイン(.co.jp など)のページはなりすましや誘導の踏み台に使われることがあります。
確認の目安:WordPress やテーマ・プラグインの更新はしているが、サーバー/CDN 側のヘッダ設定は触っていない、という分業になっていないかを見てください。
調査の範囲
- 分母 N: 16,043(掲載時点・登録ドメインのトップを外部から確認)
- 全国ランダム調査ではありません
- 新規到達分は随時追加し、本ページを更新します
技術指標一覧
攻撃面レビュー報告書と同じ所見定義に基づく率(掲載時点)。率の高い順。
| 指標 | 率 |
|---|---|
| Server ヘッダ露出 | 86.5% |
| HTTP も応答 | 85.0% |
| CSP 未設定 | 84.0% |
| レガシー TLS 有効 | 78.3% |
| HSTS 未設定 | 75.9% |
| クリックジャック対策なし | 73.6% |
| X-Content-Type-Options なし | 72.8% |
| TLS 接続失敗 | 21.2% |
| TLS 1.3 未使用 | 19.7% |
| X-Powered-By 露出 | 17.2% |
| 証明書期限間近 | 2.4% |
| 証明書ホスト名不一致 | 0.0% |
| 証明書期限切れ | 0.0% |
読み方・限界
- 日本関連の登録ドメインのうち外部から到達できたものを対象とし、掲載時点の分母 N=16,043 で集計しています。全国ランダム調査ではありません。
- 公開インデックス由来で偏った集合を含みうるほか、WordPress 等の Web 痕跡で事前に偏っている場合があります。
- 確認対象は 登録ドメインのトップ(と www) です。通常のブラウザアクセスと同程度の HTTP/TLS 接続で、ログイン後や社内限定の設定は含みません。
- 当社の攻撃面レビューと同じやり方(外部から見える範囲のみ)で集計しています。
- サイト別のドメイン名・CVE・個人を特定しうる情報は掲載していません。