日本資訊基盤服務股份有限公司(總部:兵庫縣尼崎市;代表董事:佐佐木智俊/JIIS安全實驗室)利用自有的免費網站安全健診服務「SiteDock」,針對兵庫縣內307家企業網站的外觀安全狀態進行調查,並將結果以《兵庫縣Web安全實態調查2026》之名公開發布。
調查結果顯示,作為防範郵件偽造的DMARC機制,有55.1%的網站未設定,超過半數;而用以防止跨站腳本攻擊(XSS)等威脅的安全標頭(如CSP)更是在92.5%的網站中缺失。所有數據皆僅透過被動方式,蒐集公開資訊(如DNS記錄、HTTP回應標頭等)進行統計,不涉及主動掃描或入侵測試,無意指責特定企業,目的在於提升全縣整體網站安全水準。
(調查期間:2026年6月7日至9日/方式:被動彙整、匿名處理/樣本數:307)
調查背景
郵件認證的基礎環境在過去兩年已發生重大變化。Gmail與Yahoo!於2024年2月起,相繼要求發送一定量郵件的対象必須設定SPF、DKIM、DMARC等機制;微軟亦於2025年跟進。未經認證的郵件將被預設為「垃圾郵件」,嚴重者甚至遭直接拒收。同樣地,安全標頭也已成為維護網站安全不可或缺的標準配備。
那麼,地方企業網站的實際狀況究竟如何?為避免僅憑直覺判斷,而是以數據掌握現況,本公司遂執行此項調查。
調查結果(主要指標)
如上圖所示,最為落後的項目是安全標頭的設置:Permissions-Policy與Referrer-Policy的缺失率超過96%,CSP亦高達92.5%。即便是僅需一行代碼即可安全啟用的功能,大多數網站仍未設定,此現象反映的並非技術難度,而是「根本不知道其存在」的認知落差。
在郵件認證方面,SPF因常見於租賃伺服器的預設設定而普及率較高;但需自行設定與維運的DMARC,卻有55.1%的網站未配置,「有SPF但無DMARC」的情況相當普遍。
在通訊保護方面,雖然HTTPS普及率逐步提升,但強制全程使用HTTPS的HSTS卻有85.7%的網站未設定,呈現「證書已安裝,但最後一步尚未完成」的狀態。
代表人意見
日本資訊基盤服務股份有限公司 代表董事 佐佐木智俊表示:
「我們長期十年運營兵庫縣內41個市町的自治體資訊安全雲端服務。在現場反覆觀察到的現象是,比起嚴重的漏洞,更常見的是『預設設定未包含、且未被知悉』的設定項目遭到遺漏。本次調查結果同樣顯示,並非面對特殊攻擊才顯脆弱,而是只要知曉並動手,短時間內即可修復的項目,在整個地區普遍缺失。本調查並非針對特定企業提出批判,而是希望成為提升全縣網站安全基準的契機。完整版報告中收錄了各項對策的修正方法,建議企業可先從了解自身網站『從外部可見的狀態』開始著手。」
完整報告(免費提供)
除主要指標外,完整版報告還收錄了自我檢查清單、依環境別(nginx/Apache/WordPress)的對策設定參考指南,以及各項技術的實施方式與限制詳解,歡迎免費下載。
立即免費下載完整報告
本調查方法與限制說明
本調查僅透過被動方式,從外部蒐集公開資訊(如DNS記錄、HTTP回應標頭等)進行分析,未對任何網站進行主動檢測(如連接埠掃描、弱點掃描等)。因此,本結果僅反映「從外部可見範圍」的狀態,並非對各網站實際安全性的最終判定。DKIM等難以從外觀判斷的項目已排除於調查對象之外。本結果僅代表調查期間(2026年6月7日至9日)的狀態。報告中不包含任何可識別個別網站或組織的資訊,僅公開統計數值。此外,樣本僅限於兵庫縣內且登錄gBizINFO的企業,母體具有地域性與屬性上的偏頗,其結果不宜直接推論至全國或其他產業領域。
公司概要
公司名稱
日本資訊基盤服務股份有限公司(JIIS安全實驗室)
總部地址
〒661-0976 兵庫縣尼崎市潮江1-2-1-204
代表人
代表董事 佐佐木智俊
成立日期
令和元年6月28日
資本金
3,000,000日圓
營業內容
自治體資訊安全雲端服務之運營、Web安全診斷SaaS「SiteDock」之提供等
官方網站
https://sitedock.jp/
FACT BOX · 重點整理
- 來源:PR TIMES
- 分類:調查
- 相關組織:Gmail / Yahoo! / Microsoft
- 原文日期:2024-02 / 令和元年6月28日