Flash利用不可が3割、HTMLメール制限が5割弱／企業内Web閲覧環境に関する調査報告書ハイライト

※調査概要に関しては、記事の末尾に記載している。

すべての企業でウェブ閲覧は可能だが
特定PCのみに制限している企業・業種も存在

制限の実態を確認すると、ウェブページの閲覧については、年度での推移、事業内容や事業規模での差異はほとんどない。まず全体として「各人のPCから可能」93.2％、「事業所内特定のPCからのみ可能」2.6％、「ウェブページの閲覧はできない」0％となっている。2005年時点では「閲覧できない」としていた企業も0.8％ではあるが存在したが、ビジネスにおいてウェブ閲覧そのものを不可とするのは、もはや意味がない行為だろう。規模について見ると、100人未満の企業では100％閲覧可能となっている。これについては、事業所スケールなどから考えても、区分を設けることに効果が見出せないためかと思われる（図1）。

図1のデータを業種別に見てみると、比率において大きな差はないが、多少傾向のようなものが現れる。「各人のPCから可能」が100％となっているのは、建設・不動産業、卸売・小売業、金融・保険業、電気・ガス業。逆に90％を切っているのは、化学・医薬品、機器・機械、その他製造業となった。消費者向け製品の製造業ほど制限率が高く、それに対してサービス業ほど閲覧の自由度が高い状況が伺える（図2）。

ウェブページ閲覧の制限の3本柱は「ドメイン名」「キーワード」「SSL」

ウェブページを閲覧する際に、具体的にどういったフィルタリング手法や制限が設けられているかを見てみる。69.9％の企業がなんらかの制限を行っており、「ドメイン名単位」（35.5％）、「キーワード単位」（32.2％）、「SSL（https）の制限」（9.3％）の順で多い。2005年と比較すると「その他」が18.2％→24.6％とかなり多くなっている。UTM（統合脅威管理）を導入する企業も増えており、ロールベースのアカウント管理、ポートの制限、時間帯の制限といった手法が「その他」の内訳として考えられる。複合的に制限を実施することで、セキュリティを高める企業が増えたと見ていいだろう（図3）。

閲覧に使用されているブラウザについては、やはりIE 6が圧倒的に多く、いずれの業種でも6割以上を占めている。平均8割程度といったところだ。2008年2月から自動更新インストールが始まったIE 7について会社規模別に見ると、100～999人の企業での利用率が最も高く24.1％、逆に5000人以上の企業では1.6％と極端な差が出ている。もちろんこの比率は今後大きく変化していくと思われるため、アクセス解析などの結果と合わせて、自社コンテンツの対応方向を考えるべきだろう（図4）。

IEに用意されているセキュリティレベルについては、ほとんどの業種で「中」「カスタマイズ」「中高」の順となった。標準の設定のまま変更していないところが多いという状況のようだ。「カスタマイズ」における選択について詳細が明かされていないため推測となるが、外部コンテンツによっては視聴のしやすさから逆に制限を緩めるよう要求されるケースも多く、必ずしもセキュリティを堅牢にするためにカスタマイズしているとはいえない。基本的に個々のマシンのセキュリティレベルについては過信しないで、フィルタリングや総合的な制限で対処している企業が多いと見ていいだろう（図5）。

HTMLメールも動画視聴も、利用できない層は必ず存在
自社コンテンツでの採用は慎重に

メールの送受信についても、フィルタリングや制限を行う企業は増加傾向にある。「HTMLメールの受信」に絞って、全体で見ると「受信可能でそのまま画像も表示」は54.5％。つまり残り45.5％においてHTMLメールでのやりとりは、なんらかの不便を相手に強いる可能性があることに留意しておくべきだろう。とくに「HTMLメールの受信はできない」とする企業が3.7％で、増加傾向にある点は見過ごせない。なお企業規模で比べると、「受信可能でそのまま画像も表示」とする率は、規模が大きいほど低くなる傾向にある（図6）。

社内PCで利用可能なプラグイン／アドオンは、企業規模・業種に関係なく「Windows Media Player」「Adobe Flash Player」が50％を超えた。続いて「Java」「検索ツールバー」「RealPlayer」「QuickTime」「Shockwave」の順となっている。やはり情報・通信業において、ほぼすべてのプラグインの利用率が増加しており、数値自体も平均を大きく上回っているのが特徴的だ。一方、官公庁では、すべてのプラグイン利用率において、平均を下回っている。順位や比率に顕著な差異はないが、「3割前後の企業では、Windows MediaやFlashコンテンツが視聴できない」という点は重要である（図7）。

YouTubeやニコニコ動画の隆盛だけでなく、PRサイトなどでの動画採用の機会も増えている。そういったなか、企業内からの動画視聴状況に関して見ると、83％の企業が「動画も音声も視聴できる」としており、特別な制限を設けていない。だが7.9％の企業は「動画は視聴できない」としている。「その他」の選択肢については、ドメイン名単位、あるいはプロトコルによって制限がかけられているケースが考えられる。なおFLV形式の急速な普及もあるため、「Flashコンテンツ」と「動画」の境界は曖昧になっており、単純にどちらかの利用状況だけで判断できるものではない。自社コンテンツでの動画採用においては、この点に留意すべきだろう（図8）。

24.6％の企業が今後の対策を検討せず。社内の意見を調整しつつ的確な投資を

そもそも、各企業の担当者はどういう意識で制限を設けているのだろうか。理由として一番多く挙がったのは「ウイルスなどへの感染を防ぐため」「情報漏洩を防ぐため」「スパイウェアを防ぐため」「不正侵入を防ぐため」となっている。「生産性低下を防ぐため」はやや低いが、外部のエンターテインメント系コンテンツなどでの遊興を指しているもので、これも制限の理由としては妥当だ。

規模の大きい会社ほど、複数の理由を掲げている。いずれの業種でも最大の脅威は「ウイルス感染」だが、もちろんそこから副次的に発生する“情報漏洩”と“企業機能停止”のリスクを恐れてであることはいうまでもない（図9）。

今後1年の間に実施を予定・検討している対策については「ウェブの閲覧制限を強化する」「ブラウザをIE 7に替える」「メール送受信に対するフィルタリングや送信・受信制限を強化する」「セキュリティレベルを上げる」「OSをWindows Vistaに替える」が2割前後で上位に並んだ。

しかし実施を予定・検討していない企業も、全体として24.6％も存在している。現状維持で十分と考えている可能性も高いが、セキュリティに終わりはないし、万が一新しい脅威が発生した際に、対策費用となる予算が確保されていないといったケースもあり得る。一方でやみくもにコストをかけて対策を講じても、効果を明確に測定しにくい面もあるし、なにより制限を受けた企業内個人から、使いにくくなったなど社内反発を受けるということもあり得る。

ただ、ウェブ担当者であれば、社内のコンセンサスを取りつつ最新情報に気を配りさまざまな事態を想定し、なんらかの対策をつねに予定・検討しておくべきだろう（図10）。