はじめに
「セキュリティヘッダやメール認証は、実際どれくらいのサイトが設定できているのか?」——感覚ではなく数字で知りたかったので、兵庫県内の企業サイトを対象に、公開情報のパッシブ参照のみで外形のセキュリティ状態を集計しました(n=307)。
結果を先に一言でまとめると、セキュリティヘッダはほぼ全滅、HTTPSは普及しつつあるがHSTSなどの仕上げは手つかず、メール認証はSPFこそ普及済みだがDMARCは半数以上が未設定でした。この記事では、調査の数字とその技術的背景、そして各項目の直し方(既存記事へのリンク)をまとめます。特定の企業を批判する意図はなく、目的は全体の底上げと注意喚起です。
本調査は「外から見える範囲」を示すもので、各サイトの実際の安全性を断定するものではありません。詳しくは末尾の「方法と限界」を必ずお読みください。
1. 背景:セキュリティヘッダは"あって当然"になりつつある
なぜ今これを調べたかというと、Webサイトに求められる基本的な防御の水準が上がっているためです。
XSS・クリックジャッキング・通信の盗聴・MIMEスニッフィングといった古典的な攻撃に対し、Content-Security-Policy や X-Frame-Options、HSTS などのレスポンスヘッダは、いまや"あって当然"の整備項目です。多くは数行の設定で付けられ、付けるだけで攻撃の成立条件をまとめて下げられます。
メール側でも同じ流れが起きています。Gmail・Yahoo(2024年)に続き、Microsoft(2025年)も大量送信者にSPF・DKIM・DMARCを要求し、認証のないメールは「迷惑メール送り、最悪は受信拒否」が前提になりました。
つまりWeb・メールの両面で「最低限の作法」が明確になってきたわけですが、では実態はどうなのか——というのが本調査の出発点です。
2. 調査概要
| 項目 | 内容 |
|---|---|
| 母集団 | gBizINFO登録・兵庫県内の企業HPを持つ事業者 |
| サンプル数 | n = 307(収集 351件、到達不能・非事業サイト等を除外) |
| 収集期間 | 2026-06-07 〜 2026-06-09 |
| 方式 | 公開情報(DNSレコード・HTTPレスポンスヘッダ・TLS証明書情報・公開HTML)のパッシブ参照のみ |
| 対象外 | DKIM等、メール送信を伴わないと外形から判定できない項目 |
ポートスキャン・脆弱性検査・ログイン試行・フォーム送信は一切行っていません。1サイトあたりのリクエストは最小限・低速・直列で、識別子付きのUser-Agentで実施しています。個社別の生データは集計後に削除/匿名化し、公表は集計値のみです。
3. 結果(主要指標)
未対応率・欠落率(高いほど対策できていない)を一覧にしたものが以下です。
数値で再掲します。
セキュリティヘッダ(欠落率)
| 指標 | 欠落率 |
|---|---|
| Permissions-Policy | 97.4% |
| Referrer-Policy | 96.4% |
| CSP | 92.5% |
| X-Frame-Options | 82.4% |
| X-Content-Type-Options | 80.8% |
通信の保護・Cookie・ソフトウェア露出
| 指標 | 該当率 |
|---|---|
| HSTS 未設定 | 85.7% |
| http のまま閲覧可(誘導なし) | 16.3% |
| Cookie Secure 欠落 | 43.8% |
| バージョン露出 | 16.3% |
メール認証(未設定率)
| 指標 | 未設定率 |
|---|---|
| SPF | 3.0% |
| DMARC | 55.1% |
読み取れる要点は3つです。
-
セキュリティヘッダはほぼ全滅。 1行で付けられる
Referrer-Policy/Permissions-Policyでさえ96〜97%が欠落し、XSS被害を抑えるCSPも92.5%が未設定。 -
HTTPSは普及しつつあるが、HSTSは85.7%が未設定で、
httpのまま閲覧できるサイトも16.3%残る。CookieのSecure欠落も43.8%。 - メール認証はSPF普及(未設定3.0%)に対し、DMARCは過半数が未設定(55.1%)。 認証の"最後の一歩"が抜けている。
4. なぜ未対応が多いのか(技術的背景)
数字の裏側を、設定の仕組みから考えると説明がつきます。
セキュリティヘッダがほぼ全滅な理由。 これらはCMSやホスティングの初期状態では基本的に付きません。nginx/Apacheの設定やCMSの追加実装が必要で、しかも存在自体が知られていないことが多い項目です。特にCSPは「導入すると既存のスクリプトやスタイルが壊れる」恐れから敬遠されがちです。逆に Referrer-Policy や Permissions-Policy は1行で安全に付けられるのに96%超が欠落しており、これは難易度ではなく認知の問題だと考えられます。
HSTSが未設定でhttp閲覧が残る理由。 HTTPS化(証明書の導入)は普及しても、HSTSは別途付与するヘッダで、付け忘れや未認知が多い項目です。http→https のリダイレクト未設定も同根で、「証明書は入れたが仕上げが残っている」状態です。
Cookie Secure欠落・バージョン露出。 Cookieに Secure が付いていないのは、アプリ/CMSの既定やHTTP混在時代の名残。バージョン露出は、generator メタタグや Server ヘッダなど既定の出力を消していないために起こります。
SPFだけ普及しDMARCが遅れる理由。 SPFはレンタルサーバやメール提供事業者が初期設定で入れてくれることが多く、利用者が意識せずとも整っている場合があります。一方DMARCは、_dmarc のTXTレコードを自分で追加し、レポート(rua)を見て段階的にポリシーを上げていく運用が必要です。この「自分で踏む一歩」が後回しにされるため、SPFありDMARCなしという状態が量産されます。
総じて、「難しくて対応できない」というより、初期状態では付かない+存在が知られていないことが、未対応率の高さの主因と見られます。裏を返せば、知って手を動かせば短時間で大きく改善できる領域です。
5. 対策の具体手順
各項目の直し方は、環境別(nginx / Apache / WordPress)のコピペ設定つきで別記事にまとめています。本調査で欠落の多かった順に、対応するとよい記事を挙げます。
- セキュリティヘッダ(CSP / X-Frame-Options / Referrer-Policy / Permissions-Policy / HSTS など)
→ Webサイトに最低限入れるべきHTTPセキュリティヘッダ7種と設定例 - メール認証(SPF / DKIM / DMARC、特にDMARCの段階導入)
→ WordPressのメールが届かない・迷惑メールに入る原因と直し方(SMTP送信+SPF・DKIM・DMARC設定)(WordPress前提の記事ですが、SPF/DKIM/DMARCのDNS設定手順は環境共通です) - Cookieの
Secure/HttpOnly/SameSite
→ CookieのSameSite / Secure / HttpOnly の正しい付け方 - WordPressでまとめて対応したい場合
→ WordPressセキュリティ 最低限やることチェックリスト10
どれも、初期状態では付かない項目を「知って付ける」だけで欠落率を大きく下げられるものです。
6. 自分のサイトの「外から見える状態」を確認する
本調査と同じパッシブ方式で、自分のサイトの外形を確認したい場合は、無料の健診で同じ指標をスコアとして見られます。
- 調査レポート(継続更新・最新版):https://sitedock.jp/research
- 自サイトの無料健診:https://sitedock.jp/
外形でわかるのは「外から見える範囲」だけです。実際の安全性は、内部の設定やアプリの実装まで含めて確認する必要があります。
本調査の方法と限界について
本調査は、公開されている情報(DNSレコード・HTTPレスポンスヘッダ等)を外部から参照するパッシブな方式のみで実施しました。サイトへの能動的な検査(ポートスキャン・脆弱性検査等)は一切行っていません。したがって本結果は「外から見える範囲」の状態を示すものであり、各サイトの実際の安全性そのものを断定するものではありません。DKIM等、外形からの判定が困難な項目は対象外としています。本結果は調査時点(2026-06-07 〜 2026-06-09)のものです。個別のサイト・組織を特定する情報は含まず、集計値のみを公表しています。
加えて、サンプルは兵庫県内・gBizINFO登録事業者という地域・属性に偏った母集団であり、全国や他業種にそのまま一般化できる値ではない点にご留意ください。
まとめ
- 兵庫県の企業サイト307件をパッシブ集計したところ、セキュリティヘッダはほぼ全滅(CSP欠落92.5%、Referrer-Policy/Permissions-Policyは96%超欠落)。
- 1行で付く
Referrer-Policy/Permissions-Policyでさえ大半が欠落しており、難易度より認知の問題。 - HTTPSは普及しつつあるが、HSTS未設定85.7%・http閲覧可16.3%・Cookie Secure欠落43.8%と"仕上げ"が残る。
- メール認証は**SPFは普及済み(未設定3.0%)、DMARCが未完(未設定55.1%)**という「最後の一歩」が抜けたパターン。
- いずれも初期状態では付かない項目。知って手を動かせば短時間で改善できる(対策は各記事参照)。
- 本結果は外形・地域限定・調査時点のもので、実際の安全性を断定するものではない。
想定タグ: Security セキュリティ Web CSP 調査
想定読了時間: 約8〜10分
難易度: 初級(読み物)〜中級(対策実装)