日本情報基盤サービス株式会社（本社：兵庫県尼崎市、代表取締役：佐々木 智俊／JIISセキュリティラボ）は、自社の無料Webセキュリティ健診サービス「サイトドック」を用いて、兵庫県内の企業サイト307件の外形的なセキュリティ状態を調査し、その結果を『兵庫県Webセキュリティ実態調査 2026』として公開しました。
調査の結果、なりすましメール対策であるDMARCが未設定のサイトが55.1%と半数を超え、クロスサイトスクリプティング等を防ぐセキュリティヘッダ（CSP）が92.5%のサイトで欠落していることが分かりました。いずれも公開情報のみを参照する非侵襲な方式で集計したもので、特定の企業を批判する意図はなく、県内全体のセキュリティ底上げを目的としています。





（調査時点：2026-06-07～2026-06-09 ／ 方式：パッシブ集計・匿名 ／ n=307）

調査の背景

メール認証をめぐる前提は、この2年で大きく変わりました。2024年2月にGmail・Yahoo!が、2025年にはMicrosoftが、一定量以上を送る送信者にSPF・DKIM・DMARC等の設定を要求する要件を相次いで適用開始し、認証のないメールは「迷惑メール扱い、最悪は受信拒否」が前提となりつつあります。セキュリティヘッダも同様に、Webサイトの安全性を支える「あって当然」の整備項目になってきました。
では、地域の企業サイトの実態はどうなっているのか--。感覚ではなく数字で把握するため、本調査を実施しました。

調査結果（主要指標）

上のグラフのとおり、最も対応が遅れていたのはセキュリティヘッダで、Permissions-Policy・Referrer-Policyは96%超、CSPも92.5%が欠落していました。1行で安全に追加できる項目でさえ大半が未設定であり、これは技術的な難易度ではなく「存在が知られていない」という認知の問題と考えられます。
メール認証では、SPFはレンタルサーバ等の初期設定で入ることが多く普及している一方、自ら設定・運用する必要があるDMARCは55.1%が未設定でした。「SPFはあるがDMARCがない」状態が多く見られます。
通信の保護では、HTTPS化は普及しつつあるものの、常時HTTPSを強制するHSTSは85.7%が未設定で、「証明書は入れたが仕上げが残っている」状態が多く残ります。

代表コメント

日本情報基盤サービス株式会社 代表取締役 佐々木 智俊

私たちは兵庫県内41市町の自治体情報セキュリティクラウドを10年にわたり運用してきました。その現場で繰り返し見てきたのは、深刻な脆弱性よりもむしろ「初期設定では付かない、知られていない設定」が抜け落ちているケースです。今回の調査でも、特別な攻撃に弱いというより、知って手を動かせば短時間で直せる項目が地域全体で抜けている実態が数字に表れました。本調査は特定の企業を問題視するものではなく、県内のWebサイト全体の底上げのきっかけにしていただくことが目的です。完全版レポートには各項目の直し方も収録しており、まずは自社サイトの「外から見える状態」を知ることから始めていただければと思います。

完全版レポート（無料配布）

主要指標に加え、自己点検チェックリスト・環境別（nginx／Apache／WordPress）の対策設定リファレンス・方法と限界の詳細を収録した完全版レポートを、無料でダウンロードいただけます。


完全版レポートを無料ダウンロード

本調査の方法と限界について

本調査は、公開されている情報（DNSレコード・HTTPレスポンスヘッダ等）を外部から参照するパッシブな方式のみで実施しました。サイトへの能動的な検査（ポートスキャン・脆弱性検査等）は一切行っていません。したがって本結果は「外から見える範囲」の状態を示すものであり、各サイトの実際の安全性そのものを断定するものではありません。DKIM等、外形からの判定が困難な項目は対象外としています。本結果は調査時点（2026-06-07～2026-06-09）のものです。個別のサイト・組織を特定する情報は含まず、集計値のみを公表しています。加えて、サンプルは兵庫県内・gBizINFO登録事業者という地域・属性に偏った母集団であり、全国や他業種にそのまま一般化できる値ではない点にご留意ください。

会社概要