東証上場企業2.5万サイト調査、Web管理リスクは「関連サイト」に集中か
見出し
GMOインターネットグループのGMOプライム・ストラテジー株式会社(東京都千代田区)は、東証上場企業3,941社を対象とした国内初の大規模Web技術調査「日本上場企業Webサイト技術調査 第1回」の結果を公表しました。同調査では、企業のWeb管理におけるリスクが「公式サイト」よりも、リクルートサイトやグループ会社サイトなどの「関連サイト」に集中している実態が明らかになっています。
約2.5万サイトを分析した結果、WordPressを採用する約9,000件のサイトのうち、約1,000件でログイン攻撃を受けやすい3条件が同時に成立していることが判明しました。また、Web基盤ソフト「PHP」の約7割がサポート終了済みのバージョンで稼働していることも示されています。この調査は、Webサイト管理がIT部門だけでなく、経営、広報、マーケティングを含む組織横断的なガバナンス課題であることを浮き彫りにしています。
ログイン攻撃のリスク条件が同時成立したサイトが約1,000件
WordPressを採用するサイトの中には、攻撃者がログイン試行を行いやすい状態となる以下の3条件が同時に確認されるケースがありました。
-
管理画面がインターネット上に公開されている(誰でもログイン画面にアクセス可能)
-
ログインIDがREST API経由で外部から取得可能(攻撃者がユーザー名を特定できる)
-
古い外部連携機能(xmlrpc.php)が有効である(総当たり攻撃の効率を高める仕様が残存)
これらの条件はそれぞれが単独でもリスク要因ですが、複数が重なることで攻撃の効率や成功可能性が大きく高まると指摘されています。WordPress採用9,019サイトのうち、3条件が同時に成立していたのは1,007サイト(11.2%)に上りました。公式サイトでは9.0%であったのに対し、グループ・関連サイトでは11.6%と、後者の方が高い水準を示しています。これは、後述する管理水準の差が、ログイン攻撃の具体的なリスクとして現れているものとみられます。
グループ・関連サイトに顕在化する管理格差
分析対象となった約2.5万サイトのうち、公式サイトは3,754件、グループ・関連サイトは21,241件でした。両者を比較すると、複数の指標で管理水準の差が確認されています。
| 指標 | 公式サイト | グループ・関連サイト | 差 |
|---|---|---|---|
| WordPress管理画面 無保護率 | 32.9% | 40.2% | +7.3pt |
| サーバー応答速度(TTFB)中央値・WordPress | 373ms | 555ms | +182ms |
| HTTPS対応率 | 99.1% | 94.5% | -4.6pt |
これらの差はプライム、スタンダード、グロースの3市場すべてで同様の傾向を示しており、特定の業種や市場区分に限定された問題ではないとしています。
WordPressが上場企業Web基盤の主流に
分析対象サイトのうち、WordPressを採用していたサイトは9,019件(36.1%)でした。CMSが特定できたサイトに限定すると、その割合は81.0%に達し、日本の上場企業関連サイトにおいて、WordPressが事実上の標準(デファクトスタンダード)のWeb基盤となっていることが示されています。
WordPressは導入や拡張の手軽さから広く普及しましたが、その圧倒的な普及率ゆえにサイバー攻撃の標的になりやすいというリスクも指摘されています。そのため、本体やプラグイン、テーマの継続的なアップデートが運用上の絶対前提となります。一つのCMSに利用が集中している現状では、個々のサイトにおける更新運用の遅れや設定のばらつきが、上場企業グループ全体のWeb品質低下やセキュリティリスクに直結しやすい構造にあると分析されています。
PHP・CMSの更新運用に遅れ
WordPressなどのCMSを動かすWeb基盤ソフト「PHP」について、バージョンを外部から確認できた2,654サイトを分析したところ、70.1%(1,860件)がサポート終了済みのバージョンで稼働していました。さらに、447件で確認されたPHP 5.x以前は10年以上前にすべてのサポートが終了しており、長期間にわたりセキュリティ修正が提供されていない状態のまま運用が続いている現状が明らかになっています。
WordPressについても、バージョン情報を確認できた3,575サイトのうち15.6%(555件)がWordPress 5.x以前の旧バージョンを使用していました。また、各ブランチに用意されている最新マイナーパッチを適用していないサイトは830件(23.2%)に上るといいます。WordPress公式が2026年4月2日にバックポートパッチを一斉公開したにもかかわらず、その1週間後の調査時点でも、サポート対象内の6.x系3,018件のうち17.7%(533件)が最新マイナーパッチ未適用という状態でした。
Web管理の課題は「技術」ではなく「構造」に
今回の調査結果は、個別の技術的な不備だけでなく、上場企業グループにおけるWeb運用構造そのものの課題を示唆しています。企業活動の拡大に伴い、公式サイト以外にもリクルート、サービス、グループ会社などのWebサイトが増加し、サイトの増加とそれに伴う運用の「サイロ化(縦割り化)」が、企業の市場区分に関わらず共通して見られる大きな課題であると指摘されています。多くの場合、サイトごとに管轄部門やシステム、外部の委託先が異なるため、全社共通の統治(ガバナンス)が効きにくくなり、「誰が・どの頻度で・どこまで責任を持つか」が整理されないまま分散運用される構造的な課題が生じていると分析されています。
Webサイトは、24時間365日インターネット上で世界中からアクセスされ続ける「企業の顔」であり、社会基盤(インフラ)の一部であるといえます。万が一のトラブルが企業ブランドや社会に与える影響が極めて大きいからこそ、上場企業グループのWeb管理には、以下の3点が厳格に求められると同社は提言しています。
-
管理対象の可視化:公式サイトに限らず、関連サイトを含めた全体像の把握
-
運用主体の整理:CMS利用を前提とした責任範囲・更新頻度・確認項目の明確な定義
-
継続的な更新運用:公開後も継続的に点検・更新を行う運用プロセスの組織的な設計
Webサイトの管理は、情報システム部門の技術課題であると同時に、広報・マーケティング部門が日常的に担う運用課題、CISOが統括すべきセキュリティ課題、そして経営層が向き合うべきガバナンス課題でもあります。上場企業グループには部門横断で「誰が・どの頻度で・どこまで責任を持つか」を再定義することが求められています。
調査担当者のコメント
GMOプライム・ストラテジー株式会社のライセンス事業部 執行役員兼KUSANAGIプロダクトマネジャーである相原知栄子氏は、「今回の調査で数字として明らかになったことは、現場で感じ続けてきた課題の裏付けでもあります。PHPが古いまま放置されている、WordPressのパッチが適用されていないといった状態は、技術的な課題というより、適切に運用が継続される仕組みが組織として整っていないことを映し出しています。だからこそ短期的な対策だけではなく、グループ全体のWebサイトを俯瞰し、運用プロセスとして継続できる仕組みを作ることが何より重要だと考えています。今後も本調査を定点観測として継続してまいります。Webサイトの管理状態を社会全体で可視化していくことが、企業のWeb運用品質の向上、ひいては利用者の安心につながると信じています」とコメントしています。
本調査の詳細データおよび分析は、以下のURLで公開されています。
GMOプライム・ストラテジー株式会社について
GMOプライム・ストラテジー株式会社は、KUSANAGI Stack事業を展開しており、超高速CMS実行環境「KUSANAGI」や高速化エンジン「WEXAL® Page Speed Technology®」などの開発・提供を行っています。同社は2025年11月末時点で資本金453,798千円、東京都千代田区に本社を置いています。
GMOインターネットグループ株式会社について
GMOインターネットグループ株式会社は、インターネットインフラ、インターネットセキュリティ、インターネット広告・メディア、インターネット金融、暗号資産の各事業を展開する持株会社です。同社は資本金50億円、東京都渋谷区に本社を置いています。
ソース元: GMOプライム・ストラテジー株式会社のプレスリリース
ページタイトル: 東証上場企業3,941社・約2.5万サイト調査、企業の「公式サイト」よりも「関連サイト」にWeb管理リスク集中【GMOプライム・ストラテジー】