東証上場企業約2万5000サイトの調査では、公式サイトよりも採用サイトやグループ会社サイトなどの関連サイトで管理水準の低下が確認された。企業グループ全体のデジタル資産管理が新たな経営課題として浮上している。(画像はイメージ)
今回のニュースのポイント
GMOプライム・ストラテジーが実施した東証上場企業3,941社・約2万5,000サイトの調査から、企業の公式サイトよりもグループ会社サイトや採用サイト、サービスサイトなどの「関連サイト」に管理上のリスクが集中している実態が明らかになりました。問題は単なる技術的なサイバーセキュリティではなく、企業グループ全体をどう統治するかという「デジタルガバナンス」の課題です。本稿では、華やかなデジタル投資の裏で進む、日本企業の分散運用の死角を調査結果から読み解きます。
本文
日本企業の活動においてデジタルトランスフォーメーション(DX)が進展するなか、Webサイトの持つ役割はかつての「電子会社案内」から大きく変貌を遂げています。今やサイトは企業の顔であり、採用活動、IR情報の開示、商品の直接販売、そして顧客対応にいたるまで、企業活動の中核を24時間365日インターネット上で担い続ける、企業活動や情報流通を支える重要なデジタル基盤となっています。
しかし、ビジネスのデジタル化と引き換えに、上場企業グループが管理しなければならないWeb資産の数は、本社のコントロールが及ばない規模へと急増しています。
こうしたなかで公表された「日本上場企業 Webサイト技術調査 第1回」は、日本経済を牽引する東証上場企業3,941社が保有し、正常応答を確認できた24,995サイトを網羅的に自動解析した国内初の大規模調査です。その結果、上場企業におけるWeb管理の水準は、本社が直接管轄する「公式サイト」と、それ以外の「グループ・関連サイト」との間で深刻な二極化(格差)が進んでいる実態が浮かび上がりました。
具体的には、複数の主要指標において関連サイトの管理水準の低さが確認されています。例えば、誰でもログイン画面にアクセスできてしまう「WordPress管理画面の無保護率」は、公式サイトの32.9%に対し、グループ・関連サイトでは40.2%と7.3ポイントも高い状態にありました。さらに、サイトの暗号化を示す「HTTPS対応率」も、公式サイトが99.1%に達しているのに対し、関連サイトは94.5%に低下します。ユーザーの表示体験に直結する「サーバー応答速度(TTFBの中央値)」にいたっては、公式サイトの373ミリ秒に対し、関連サイトは555ミリ秒と1.5倍近く遅いなど、市場区分や業種を問わず、周辺サイトの放置状態が数字として明確に証明されたのです。
なぜ、本社の公式サイトに比べて、周辺の関連サイトばかりが危険な状態に晒されてしまうのでしょうか。その理由は、本社の情報システム部門による厳格なセキュリティ監視やガバナンスが、組織の縦割り(サイロ化)によって周辺に届いていないという「構造」にあります。採用サイトは人事部、ブランドサイトや特設キャンペーンサイトはマーケティング部、グループ会社サイトは各子会社といったように、サイトごとに管轄部門やシステム、さらには外部の委託先(制作会社)が完全に分散しているケースが大半です。結果として、「誰が、どの頻度で、どこまで責任を持って維持管理するのか」という全社共通の運用設計が整理されないまま、本社システムから隔離された状態で運用されているのが実態です。
この問題の象徴として、本調査ではCMS(コンテンツ管理システム)の特定ができたサイトの81.0%が「WordPress」を採用しているという圧倒的な普及率データが示されています。資料内でも強調されている通り、WordPress自体は豊富なノウハウやエンジニア層の厚さという大きな強みを持っており、技術そのものが否定されているわけではありません。問題の本質はシステムの種類ではなく、導入後の「更新運用の遅れ」にあります。
外部から確認可能なシステム基盤ソフト「PHP」のうち、実に70.1%がすでにサポートが終了したバージョンで稼働し続けており、なかには10年以上前にサポートが切れた「PHP 5.x以前」のまま放置されているサイトも広範に確認されました。また、WordPress本体の最新マイナーパッチが未適用のサイトも23.2%にのぼり、公式の修正パッチ公開から1週間が経過した時点でも、組織的なパッチ適用が行き届いていない日本の運用の遅れが浮き彫りになっています。
企業買収(M&A)によるグループ拡大や、部門ごとの独立採算によってデジタル資産が増え続けるなか、この「責任運用の空洞化」は、単なるIT部門の技術トラブルという枠を完全に超え、深刻な経営リスクへと直結します。インターネット上に無防備に公開された古い関連サイトは、サイバー攻撃者にとって「企業グループ全体へ侵入するための格好の侵入口」となり、最悪の場合、サイトの改ざんや大規模な情報漏えい、それに伴う深刻なブランド毀損を引き起こしかねません。これは経営層、情報システム(CISO)、広報、マーケティングのすべてが当事者として向き合うべき、重大な経営ガバナンスの欠陥なのです。
生成AIの活用や攻めのデジタル戦略といった華やかな投資にスポットライトが当たりやすい現代だからこそ、足元の「Web基盤管理」という守りのインフラ品質の重要性はかつてないほど増しています。
今回の調査結果が日本企業に突きつけた本当の課題は、WordPressの脆弱性といった部分的な技術論ではなく、企業グループ全体を見渡して「管理対象を可視化し、組織的な更新運用プロセスを再設計できるか」というデジタルガバナンスの能力そのものです。増加し続けるデジタル資産に対して、部門横断で「誰が・どこまで責任を持つか」を再定義し、継続的な点検を仕組み化すること。それこそが、AI時代の上場企業グループが市場からの信頼を維持するための、絶対的な前提条件であると言えそうです。 (編集担当:エコノミックニュース編集部/Editorial Desk: Economic News Japan)
