企業等のSSL/TLSサーバ証明書の調査結果を深堀しました

筆者:JIPDEC
インターネットトラストセンター 事業推進グループ
主任研究員
伊藤 健太郎


世界地図と鍵

JIPDECでは2018年6月25日に「地方自治体のSSL/TLSサーバ証明書利用状況の調査結果」を公表しました。更に、2018年10月23日には「企業のSSL/TLSサーバ証明書の利用状況を踏まえた常時SSL/TLS化の調査結果」と題し、企業などを含めた組織の常時SSL化の状況を調査し、プレスリリース配信しました。プレスリリースの詳細な内容につきましては、「常時SSL/TLS化調査レポート|企業サイト対応状況」にて公開をしています。
本コラムでは、これまでのプレスリリース等で発表した内容に加え、皆様の関心がありそうな事項を紹介します。
尚、上記調査はネットビジネスサポート社が保有している企業及び団体約40万のURLを対象に⾏ったものです。

※本コラム内では、SSL/TLSサーバ証明書を「SSLサーバ証明書」、常時SSL/TLSを「常時SSL」と簡略に表記します。


【語句説明】(証明書の種類に関する説明は、「SSL/TLSサーバ証明書とは」参照)

・DV証明書:ドメイン認証タイプの証明書(Domain Validation)といい、メールなどを利⽤してドメインのオーナーシップを確認したうえで発⾏する証明書のこと
・OV証明書:実在認証タイプの証明書(Organization Validation)といい、申請した企業の存在を確認したうえで発⾏する証明書のこと
・EV証明書:Extended Validationのことで、厳格な審査を⾏ったうえで発⾏する証明書のことで、ブラウザのバージョンによってはアドレスバーが緑⾊になる
(以下、「DV」「OV」「EV」と略す)


企業などのサイトにて利用されている認証局の状況

企業などのホームページでどの認証局のサーバ証明書が利⽤されているのかをまとめました。
各社の割合は、図1の通りです。
様々な認証局のSSLサーバ証明書が利⽤されていますが、A社が4割強のシェアを有していました。A社、B社、C社の上位3社で73.5%と市場の3/4に近い数値となっており、この3社で当該市場を⼤きく占有しています。



認証局ごとの割合 図1:企業のなどのサイトで利用されている認証局の割合


各規模別にみた利⽤証明書の種別割合

図2、図3、図4では、企業規模と証明書の認証種別(DV、OV、EV)の利⽤率の相関を示します。1000⼈未満までの従業員数規模ではDVの利⽤率が⼀番⾼いのですが、1000⼈以上の規模になると、OVの利⽤率が⼀番⾼くなり、従業員数が多くなるほど、OV、EVの利⽤率が⾼くなる傾向にあります。


従業員数別のSSL割合 図2:従業員数規模別の利用証明書種別の割合


図3に記したとおり、資本金規模別でも規模が大きくなると、同様の傾向にあることがわかりました。
資本⾦が10億円未満の企業ではDVの利⽤率の割合が⼀番⾼くなっていますが、10億円以上の企業になると、OVが50%を超え、50億円以上の企業ではOVとEVを合わせると、75%超の利⽤率となります。



資本金別のSSL割合 図3:資本金規模別の利用証明書種別の割合


図4の売上規模別のデータにおいても同じ傾向であるといえます。
売上⾼100億円未満ではDVの利⽤率が⼀番⾼く推移しますが、100億円以上ではOVが⼀番⾼くなります。更に、500億円以上ではOVが61%、EVが10%となりOVとEVの合計で70%を超える結果となりました。



売上高別のSSL割合 図4:売上高規模別の利用証明書種別の割合

常時SSLの設定理由の一つが「なりすまし対策」です。なりすまし対策を実現しようとするとサーバ証明書に、サイトの運営組織の名称が記載されていることが理想的です。つまり、EVまたはOVでは、組織名が記載可能となるため、規模の⼤きな企業では、なりすまし対策として採用しているところが多いと考えられます。大企業のセキュリティ対策に対する意識の⾼さが伺えます。

常時SSL普及度合いの考察

以下の図4と図5は、既にJIPDECのサイトで公開している「資本⾦規模別の常時SSL導⼊割合」と「従業員規模別の常時SSL導⼊割合」を再掲したものです。
これらのグラフから、企業規模と常時SSLの導⼊率には相関があることがわかります。

2018年7⽉にGoogle Chrome68がリリースされました。
このバージョンからSSLが設定されていないページについては、アドレスバーに「保護されていない通信」(Not secure)と表⽰されるようになりました。これは、サイト内にSSLが設定されているページが一部、存在したとしても、SSLが設定されていないページにアクセスした場合には、「保護されていない通信」が表⽰されてしまうのです。
(参考)Google Chromeのブログページより
https://blog.google/products/chrome/milestone-chrome-security-marking-http-not-secure/



図7に示した通り、企業の常時SSL導⼊率は20.6%に留まっています。
これは地⽅⾃治体の37.4%(「地⽅⾃治体のSSL/TLSサーバ証明書利⽤状況の調査結果」図1参照)と⽐べても低い数値です。
常時SSLでは、「なりすまし対策」、「SEO効果」、「中間者攻撃への対策」、「流⼊元情報の収集」といった効果が得られます。「なりすまし対策」や「中間者攻撃への対策」、「流⼊元情報の収集」は企業及び自治体ともに導入理由として上位に挙げると思いますが、「SEO効果」については、企業のほうがマーケティングに利用でき、ビジネス上の効果を享受できると思われます。
また、従業員数が少なく、規模の⼩さい企業ほど、インターネットを効果的に活⽤し販売・受注活動などのビジネスを展開することで、売上げを高める結果につながると言われますが、図5、図6から分かる通り、企業規模の⼩さい企業ほど、インターネットのセキュリティ対策やビジネス活用の点からもIT投資や環境整備が進んでいない実態が分かります。
一方で、自社のサイトに「保護されていない通信」と表⽰されている状況に対して、訪問ユーザからの問い合わせや指摘がないことなども、サイト運営者側に常時SSL設定の必要性を認識させないままにしておく環境を作っているのかもしれません。

資本金規模別の利用証明書種別の割合 図5:資本金規模別の利用証明書種別の割合

従業員数別のSSL利用率 図6:従業員数規模別の常時SSL導入割合

常時SSL設定率 図7:企業等の常時SSL対応比率

信頼ある企業が運営しているサイトとしての証明である常時SSL

常時SSLには安全にサイトを利⽤してもらうという側⾯がある⼀⽅で、なりすまし対策を⾏って、企業サイトとしての信頼性アップを図るという側⾯もあります。
インターネットを安⼼、安全に利⽤する環境整備がなされているべきと求めるユーザ側の意識と共に、サイトを発信し運営する企業側は、安⼼、安全に利⽤させる責務があるという意識が薄いようにも感じることから、JIPDECとしては、中⼩規模の企業におけるSSLサーバ証明書及び、常時SSL整備導入の普及に努めてまいります。



ページの先頭へ戻る