日本上場企業Webサイト技術調査 第1回
企業の「公式サイト」よりも「関連サイト」にWeb管理リスク集中
東証上場企業3,941社、正常応答24,995件を分析。公式サイト以外の関連サイトに表れた管理水準の差を、棚卸し、更新責任、WordPress運用、速度・表示品質の確認観点としてまとめています。
24,995件正常に応答を確認できた分析対象サイト
21,241件公式サイト以外の関連サイト
1,007件ログイン攻撃のリスク条件が同時成立したWordPressサイト
70.1%外部から確認できたPHPのうちサポート終了済みバージョン
まず把握したい4つの事実
| 確認項目 | 調査で見えたこと | 確認すべき論点 |
|---|---|---|
| 管理対象 | 分析対象24,995件のうち、関連サイトは21,241件 | 公式サイト以外を一覧化できているか |
| WordPress運用 | ログイン攻撃のリスク条件が同時成立したWordPressサイトは1,007件 | 管理画面保護、REST API、xmlrpc.phpを標準確認項目にしているか |
| 更新運用 | PHPバージョン公開サイトの70.1%がサポート終了済み | サーバー管理者、制作会社、委託先との更新責任が明確か |
| 可視性 | 関連サイトのCrUX取得率はモバイル52.8%、デスクトップ56.8% | 実ユーザー指標がないサイトを別手段で監視しているか |
関連サイトは、企業グループのWeb管理対象に含める必要がある
正常に応答を確認できた24,995件のうち、公式サイトは3,754件、関連サイトは21,241件でした。関連サイトとは、公式サイト以外のグループ・関連Webサイトを指します。採用、サービス、ブランド、グループ会社、サブドメイン配下のサイトなどが含まれます。
主管部門がどこであっても、管理台帳、責任者、委託先、更新頻度の把握状況が最初の確認点です。
ダイジェストで確認できる論点
統合ダイジェストでは、主要な調査結果を図版と短い解説で確認できます。公式サイトと関連サイトの差を概観したうえで、自社で確認すべき観点を整理しています。
管理指標の差
関連サイトでは、管理画面保護、TTFB、HTTPS、CrUX取得率など複数指標で差が見られます。
WordPress運用
1,007件でログイン攻撃のリスク条件が同時成立。攻撃有無ではなく点検対象を絞る結果指標です。
更新責任
PHP更新はWordPress管理画面だけでは完結しません。サーバー側の変更と検証が必要になります。
可視化と監視
CrUXがない関連サイトは良好の証明ではなく、標準的な手がかりが不足している状態です。
詳細レポートで深掘りできること
| 詳細レポート | 読めること |
|---|---|
| Webガバナンス編 | 関連サイトに管理課題が集まる構造、サイト数、WordPress偏在、二層構造、推奨アクション |
| WordPress運用リスクと更新体制編 | ログイン攻撃のリスク条件、REST API、xmlrpc.php、管理画面保護、本体パッチ適用、PHP更新、CDN/WAF前段防御 |
| 速度・表示品質編 | TTFB、CMS別速度差、最適化済みWordPress実行環境、Core Web Vitals、CrUX欠損、品質を継続的に見る方法 |
自社で確認したい観点
- 公式サイト以外の関連サイトを一覧化できているか
- 各サイトの管理責任者、委託先、更新頻度を把握しているか
- WordPress本体、プラグイン、テーマ、PHPの更新責任が明確か
- 管理画面保護、REST APIによるログインID公開、xmlrpc.phpの状態を確認しているか
- CDN/WAF、認証、アクセス制御、ログ確認の責任分担が明確か
- HTTPS、セキュリティヘッダー、TTFB、Core Web Vitalsを継続的に見ているか
- CrUXデータがない関連サイトについて、別の観測手段を用意しているか
- 廃止予定や更新停止中のサイトも管理対象に含めているか
無料ダイジェストをダウンロード
公式サイト以外のWebサイトまで、管理対象として把握できていますか。まずは無料ダイジェストで、上場企業Webサイトに共通する管理課題と、自社で確認すべき観点を確認できます。
無料ダイジェストをダウンロード
