自動車メーカー3社のセキュリティスコア比較
日本を代表する自動車メーカー3社のWebセキュリティ設定を比較しました。
| メーカー | ドメイン | スコア | ランク |
|---|---|---|---|
| ホンダ | www.honda.co.jp | 65点 | C |
| 日産 | nissan.co.jp | 50点 | D |
| トヨタ | toyota.jp | 30点 | F |
項目別の比較
| 項目 | ホンダ | 日産 | トヨタ |
|---|---|---|---|
| HTTPS | ✅ | ✅ | ✅ |
| HSTS | ✅ | ❌ | ❌ |
| CSP | ❌ | ❌ | ❌ |
| X-Content-Type-Options | ✅ | ✅ | ❌ |
| X-Frame-Options | ✅ | ✅ | ✅ |
| Referrer-Policy | ✅ | ❌ | ❌ |
| Permissions-Policy | ❌ | ❌ | ❌ |
| SPF | ✅ | ✅ | ✅ |
| DKIM | ✅ | ✅ | ❌ |
| DMARC | ❌ | ❌ | ❌ |
業界全体の傾向
自動車メーカー3社の平均スコアは約48点と、今回比較した業界の中で最も低い結果となりました。
- ホンダが相対的に高スコア:HSTS、Referrer-Policy、DKIMを設定しており、基本的なセキュリティヘッダーは概ね対応
- トヨタが30点と低スコア:世界最大の自動車メーカーとしては意外な結果。多くのセキュリティヘッダーが未設定
- CSPは全社未設定:自動車メーカーのサイトは販売ディーラー連携やコンフィギュレーター等の複雑なシステムを持つため、CSP導入が難しい側面がある
- DMARCは全社未設定:自動車メーカーを騙るフィッシング(偽のリコール通知等)への対策が不十分
- 製造業のWeb意識:自動車メーカーは製品セキュリティ(車両のサイバーセキュリティ)には力を入れているものの、コーポレートサイトのWebセキュリティは後回しになっている傾向
改善ポイント
- トヨタ(最優先):HSTS、X-Content-Type-Options、Referrer-Policy、DKIMの設定。基本的なヘッダーの導入から着手すべき
- 全社共通:DMARCの導入。リコール通知やキャンペーン案内など、メーカーからの公式メールの信頼性確保は顧客保護に直結
- 日産:HSTSの設定とReferrer-Policyの導入
- 全社共通:CSPの段階的導入。まずはReport-Onlyモードで影響範囲を確認
- 全社共通:コネクテッドカー時代に向け、WebサイトもIoTセキュリティと同水準の対策を
自動車メーカーはコネクテッドカーやMaaS(Mobility as a Service)の推進により、Webサービスの重要性が急速に高まっています。製品セキュリティだけでなく、Webセキュリティの強化も急務と言えるでしょう。
各社の詳細分析
免責事項:本記事は、HTTPレスポンスヘッダーおよびDNS情報の公開情報に基づく分析であり、実際のセキュリティ設定を保証するものではありません。スコアは独自の採点基準によるものです。情報は調査時点のものであり、最新の状況とは異なる場合があります。