Comments
Description
Transcript
不正アクセス行為対策等の実態調査
不正アクセス行為対策等の実態調査 調査報告書 平成24年2月 警察庁生活安全局情報技術犯罪対策課 不正アクセス行為対策等の実態調査 目次 1.調査概要 .......................................................... 1 1.1. 調査の目的 ................................................... 1 1.2. 調査の対象と調査方法 ......................................... 1 1.3. 調査内容 ..................................................... 1 1.4. 送付、回収状況 ............................................... 2 2.調査結果の概要 .................................................... 3 2.1.総論 .......................................................... 3 2.2.回答事業体の属性等 ............................................ 5 2.3.調査結果概要 .................................................. 5 3.基本分析 ......................................................... 37 3.1.情報システム等の環境 ......................................... 37 3.1.1.端末装置の利用環境 ....................................... 37 3.1.2.事業体内のネットワーク利用状況 ........................... 40 3.2.ネットワーク接続環境 ......................................... 43 3.2.1.インターネットへの接続の有無 ............................. 43 3.2.2.外部からの接続許可状況 ................................... 46 3.2.3.外部からの接続における接続方法 ........................... 48 3.2.4.外部からの接続の利用目的 ................................. 51 3.2.5.スマートフォンからの接続 ................................. 54 3.2.6.スマートフォン使用時の情報セキュリティ対策 ............... 56 3.3.情報セキュリティの運用・管理体制 ............................. 57 3.3.1.情報セキュリティ対策の必要性 ............................. 57 3.3.2.情報セキュリティ対策の必要性の理由 ....................... 60 3.3.3.情報セキュリティ運用・管理専門部署の有無 ................. 63 3.3.4.情報セキュリティに係る管理者、担当者の設置 ............... 66 3.3.5.セキュリティポリシーの策定状況 ........................... 69 3.3.6.情報セキュリティ侵害事案発生時の対忚策の策定状況 ......... 72 3.3.7.ウェブサイトのぜい弱性を意図的に利用した不正アクセスに関する 知識について ............................................. 75 3.3.8.ぜい弱性情報を元にした自社システムの対策について ......... 78 3.3.9.ぜい弱性調査(ペネトレーションテスト)の有無 ............. 81 3.3.10.セキュリティ対策に関する部外チェック等の実施状況 ........ 84 3.3.11.セキュリティ監査の実施(予定)頻度 ...................... 87 3.4.セキュリティ教育 ............................................. 90 3.4.1.セキュリティ教育の実施状況 ............................... 90 3.4.2.情報セキュリティ教育の目的 ............................... 93 3.4.3.情報セキュリティ教育の対象者 ............................. 96 3.4.4.情報セキュリティ教育の実施内容 ........................... 99 3.4.5.情報セキュリティ教育の頻度 .............................. 102 3.5.物理的セキュリティ対策 ...................................... 3.5.1.事務所へのPC等の持込み、持ち出し制限 .................... 3.5.2.重要施設における入退室の管理方法 ........................ 3.5.3.重要施設へのPC等の持込み、持ち出し制限 .................. 3.6.技術的セキュリティ対策 ...................................... 3.6.1.インターネット接続点における外部からの不正アクセス防止 .. 3.6.2.外部からの接続時に利用している認証方法 .................. 3.6.3.ID/パスワードの管理対策 .............................. 3.6.4.暗号化技術の用途 ........................................ 3.6.5.重要なシステムの不正アクセス対策状況 .................... 3.6.6.セキュリティパッチの適用状況 ............................ 3.6.7.内部からの不正アクセス等への対策の実施状況 .............. 3.6.8.無線LANのセキュリティ対策 ............................... 3.6.9.不正プログラムへの対策 .................................. 3.6.10.スパムメール対策 ....................................... 3.6.11.メールの不正中継対策の実施状況 ......................... 3.6.12.ログの取得状況 ......................................... 3.6.13.ログの保管期間 ......................................... 3.6.14.情報セキュリティ対策としてのログ解析の頻度 ............. 3.6.15.不正ログイン対策 ....................................... 3.7.セキュリティ対策費用 ........................................ 3.7.1.現在利用しているセキュリティサービス .................... 3.7.2.今後も継続して利用したいセキュリティサービス ............ 3.7.3.新規に利用したいセキュリティサービス .................... 3.7.4.セキュリティサービス業者を利用していない理由 ............ 3.7.5. 2012年度の情報セキュリティ投資計画 ..................... 3.7.6.情報セキュリティ対策実施上の問題 ........................ 3.8.セキュリティ・インシデントへの対忚 .......................... 3.8.1.不正アクセス等により想定される被害 ...................... 3.9.ファイル共有ソフトに関する情報セキュリティ対策 .............. 3.9.1.ファイル共有ソフトの不適切な利用等による被害の有無 ...... 3.9.2.情報漏えいが生じた際の経路・被害状況 .................... 3.9.3.ファイル共有ソフトを介した情報漏えいに対する対策 ........ 3.10.情報セキュリティに関する被害状況 ........................... 3.10.1.過去1年間の情報セキュリティに関する被害状況 ........... 3.10.2.ウイルス等の感染ルート別件数 ........................... 3.10.3.被害に遭った時の対忚 ................................... 3.10.4.被害を受けた時に届け出た行政機関 ....................... 3.10.5.届け出なかった理由 ..................................... 3.11. 情報セキュリティ対策実施上の方針 .......................... 3.11.1. 設問内容 .............................................. 3.11.2. 投資に関する考え方 .................................... 105 105 108 111 114 114 117 120 123 126 129 132 135 138 141 144 147 150 153 156 158 158 161 164 167 170 173 176 176 179 179 182 184 187 187 189 191 194 197 200 200 203 3.11.3. 事後的対忚と予防的対忚に関する考え方 .................. 3.11.4. 対忚すべき範囲に関する考え方 .......................... 3.11.5. 非技術的対忚に関する考え方 ............................ 3.11.6. プライバシーの考慮に関する考え方 ...................... 3.11.7. 利便性とのバランスに関する考え方 ...................... 3.12. 定性回答 .................................................. 3.12.1. 過去1年間におけるその他の深刻な被害 ................... 3.12.2. セキュリティ対策の問題点や不安等 ...................... 3.12.3. 行政に望む情報セキュリティ対策 ........................ 205 207 209 211 213 215 215 215 215 付録資料 1.調査票 .................................................... 付録1-1 2.集計表 .................................................... 付録2-1 1.調査概要 1.1. 調査の目的 不正アクセス行為の禁止等に関する法律において、国家公安委員会は、アクセス制御機能 を有する特定電子計算機の不正アクセス行為からの防御に資するため、アクセス制御機能に 関する技術の研究開発の状況等を公表するものとされており、また、国はアクセス制御機能 を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努 めなければならないとされている。 本調査はインターネット及び企業等のネットワーク上における不正アクセス行為等の現 状を把握し、その分析を試みるとともに、不正アクセス行為に対する防御に関する知識を高 め、そのための啓発と知識の普及に資することを目的とし、併せて今後の不正アクセス防御 への官民における取組の推進のために参考資料として活用されることを意図して実施した。 1.2. 調査の対象と調査方法 調査対象は、市販のデータベース(四季報、IT総覧等)に掲載された企業、教育機関(国 公立、私立の大学等)、医療機関、地方公共団体(県・市町村等)、独立行政法人(教育機 関及び医療機関に掲げるものを除く。)、特殊法人から特定の業種、地域に偏りのないよう 3,000件を無作為に抽出した。 調査方法は、次の方法で実施した。 ① インターネットでのWEB回答 アンケート専用サイトにて回答 ② 電子メールでの回答 アンケートを電子メールにて回答 ③郵送での回答 調査票を郵送し、期日までに回答を郵送 (調査期間:平成23 年11月2日(発送日)~12月2日(締切日)) 1.3. 調査内容 付録資料にある調査票「不正アクセス行為対策等の実態に関するアンケート」のとおりで ある。 1 1.4. 送付、回収状況 調査票の送付総数は3,000件。回収総数は827件であった。回収率は27.6%である。 業種 農林・水産・鉱業 製造業 不動産・建築 金融 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 無回答 合計 発送数 29 990 210 210 45 136 270 450 330 330 3000 回収数 4 216 50 45 19 30 10 131 152 167 3 827 回収率 13.8% 21.8% 23.8% 21.4% 42.2% 22.1% 3.7% 29.1% 46.1% 50.6% 27.6% □ 報告書を見る際の留意点 ・集計結果の比率は、小数第二位を四捨五入し、小数第一位までを百分率(%)で表示し ている。 ・本文やグラフ中の選択肢は、調査票の言葉を短縮しているものがある。 ・回答数が尐ないもの(例:業種別にみた場合の「農林・水産・鉱業」〔回収数4〕)に ついては、コメントの対象としていない。 2 2.調査結果の概要 2.1.総論 平成23年度の調査対象については、市販のデータベース(四季報、IT総覧等)に掲載され た企業、教育機関(国公立、私立の大学等)、医療機関、地方公共団体(県・市町村等)、 独立行政法人(教育機関及び医療機関に掲げるものを除く。)、特殊法人から地域、業種に 偏りが無いよう無作為によって抽出している。本調査をまとめると次のような特徴がみられ る。 ① 情報システム等の利用について 「端末装置の利用環境」について、 「1人1台の環境が整備されている」が79.9%であり、 昨年度と比較すると、4.2ポイント増加している。「インターネットへの接続の有無」つい て、「接続している」が94.8%であり、昨年度と比較すると、0.9ポイント減尐している。 また、事業体内のネットワーク利用について、「全て有線ネットワークで構築している」 が50.2%で、昨年度と比較すると2.0ポイント増加している。「有線ネットワークと無線ネッ トワークを併用している」は48.4%で昨年度と比較すると0.7ポイント減尐し、「全て有線ネ ットワークで構築している」を若干下まわった。 ② スマートフォンへの対忚について スマートフォンへの対忚について、「接続を許可していない」が62.6%と「接続を許可し ている」の24.2%より多い。また、接続を認めている場合でのセキュリティ対策を見ると、 「使用アプリケーションの制限」が35.2%で最も多く、 「スマートフォンの盗難対策」が30.4% で続いている。 ③ 情報セキュリティ対策意識 情報セキュリティ対策の必要性について「非常に感じている」が77.6%で最も多く、「あ る程度感じている」の19.2%と合わせて96.8%と、社・団体等における情報セキュリティに対 する意識は非常に高い。 一方、「情報セキュリティの運用、管理を専門に行う部署」が「ある」は59.0%と「ない」 の40.1%より多く、「2012年度の情報セキュリティ投資計画」については、全体の8割以上の 社・団体等で「2011年度とほぼ同額」としており、景気の低迷が続く中でも、情報セキュリ ティについては一定の投資を行って対策していくという考えが分かる。 また、ウェブサイトのぜい弱性を意図的に利用した不正アクセスの知識について、「知っ ている」が85.6%と多く、システムへの不正アクセスについて高い関心があると思われる。 ④ 情報セキュリティ対策の課題 情報セキュリティ対策実施上の問題点について、「費用対効果が見えない」が59.6%で最 も多く、「コストがかかりすぎる」が54.4%、「どこまで行えば良いのか基準が示されてい ない」が48.4%、「教育訓練が行き届かない」が38.0%で続いている。 自由回答では、「業務との兼ね合いが難しい」、「技術者の不足」等、教育を行うための 人材や時間が取りづらいといった意見が多かった。 ⑤ 情報セキュリティ被害の状況 過去1年間のセキュリティに関する被害状況について、「被害はなかった」は54.3%で、昨 年度と比較すると、3.1ポイント増加しており、被害を受けたとの回答が減尐している。 被害の具体的な内容では、「ウイルス等の感染」が28.8%であり、昨年度と比較すると、 0.7ポイント減尐しているが、他の項目と比較すると依然として多い傾向にある。 3 総論として、 インターネットへ接続された端末装置が1人1台整備されている環境を多く の社・団体等が持つ中で、情報セキュリティに対する意識については非常に高い。 しかしながら、情報セキュリティ対策の課題としては、新たな不正アクセスの手段やコン ピュータウイルス等に対して、「どう教育していくのか」、「費用対効果はあるのか」とい う回答が多く、教育する人手が社・団体等に不足しているといった問題や、新たな情報セキ ュリティに対してどこまで対策を施せばいいのか、 どの程度の投資が妥当であるかの判断が 難しいといった問題があることが分かった。 また、近年普及しつつあるスマートフォンへの対忚については、接続を許可しないという 対策方法が多数を占めていたが、接続を検討しているという回答もあり、今後、接続をする 上において何らかのセキュリティ対策を検討する社・団体が増えてくると考えられる。 4 2.2.回答事業体の属性等 今年度の回収総数は827件であり、業種ごとの回収票数は1.4.「送付・回収状況」に示し たとおりである。 2.3.調査結果概要 ① 情報システム等の環境 端末装置の利用環境について、「1人1 台の環境が整っている」が79.9%で最も多く、「数 人で共有している」の7.3%、「部・課で共有している」の3.1%が続いている。 【全体】端末装置の利用環境(SA,n=827) 7.0% 1.8% 3.1% 0.8% 1人1台の環境が整っている 数人で共有している 7.3% 部・課で共有している 支店や拠点で共有している その他 端末は利用していない 無回答 79.9% 事業体内のネットワーク利用状況について、「全て有線ネットワークで構築している」が 50.2%で最も多く、「有線ネットワークと無線ネットワークを併用している」が48.4%で続い ている。 【全体】事業体内のネットワーク利用状況(SA,n=827) 1.1% 0.2% 0.1% 全て有線ネットワークで 構築している 50.2% 有線ネットワークと無線 ネットワークを併用して いる 全て無線ネットワークで 構築している 48.4% LANを敷設していな い 無回答 5 ② ネットワーク接続環境 インターネットへの接続について、「接続している」が94.8%で最も多く、「接続してお らず、接続の計画もない」が4.0%で続いている。 【全体】インターネット接続の有無(SA,n=827) 4.0% 0.2% 1.0% 接続している 接続しておらず、接続 の計画も無い 接続していないが、現 在接続を計画中であ る 無回答 94.8% 外部から事業体内ネットワークへの接続について、「接続を許可しているが、社・団体内 に居る場合より制限された機能が提供される」が36.6%で最も多く、「現在も、将来も接続 を許可しない」が31.8%で続いている。 【全体】外部からの接続許可状況(SA,n=827) 5.6% 9.6% 36.6% 接続を許可しているが、社・団体内 に居る場合より制限された機能が提 供される 現在も、将来も接続を許可しない 接続を許可しており、社・団体内に居 る場合と同様な機能が提供される 16.4% 現在、接続を一切禁止しているが、 今後接続許可の検討をしていく予定 無回答 31.8% 6 外部からの接続方法について、「インターネット経由の接続」が76.4%で最も多く、「ダ イヤルアップ接続」の11.7%が続いている。 【全体】外部からの接続方法(SA,n=437) 11.4% 0.5% インターネット経由の接続 11.7% ダイヤルアップ接続(インター ネットを経由せず、直接電話 回線から接続する) 両方使用している 無回答 76.4% 外部からの接続の利用目的について、 「メールサーバへのアクセス」が53.3%で最も多く、 「スケジュール等グループウェアの利用」の50.2%が続いている。 【全体】外部からの接続の利用目的(MA,n=516) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% メールサーバへのアクセス 53.3% スケジュール等グループウェアの利用 50.2% Webサーバへのアクセス 41.1% 情報システムメンテナンス 37.6% 基幹業務システムへのアクセス その他 33.5% 7.8% 7 ③ スマートフォンからの接続 スマートフォンからの接続について、「接続を許可していない」が62.6%、「接続を許可 している」が24.2%で「接続を許可していない」の回答が多い。 【全体】スマートフォンからの接続(SA,n=514) 13.2% 接続を許可してい ない 接続を許可してい る 24.2% 62.6% 無回答 スマートフォンの情報セキュリティ対策について、「使用アプリケーションの制限(スマ ートフォン側に業務データが残らないアプリに限定等)」が35.2%で最も多く、「スマート フォンの盗難対策」が30.4%、「MACアドレス、クライアント証明書等を用いたスマートフォ ンの認証」が24.0%で続いている。 【全体】スマートフォンの情報セキュリティ対策(n=125) 0% 10% 20% 30% 使用アプリケーションの制限(スマートフォン側に業務データが残 らないアプリに限定等) 40% 35.2% スマートフォンの盗難対策(端末ロック、内部データの遠隔消去 等) 30.4% MACアドレス、クライアント証明書等を用いたスマートフォンの認 証 24.0% スマートフォン専用ネットワークセグメントの設置 20.0% スマートフォンへのウィルス対策ソフト等の導入 16.8% スマートフォンのOS、アプリケーション等をアップデートする仕組 みの導入 4.8% スマートフォンのネットワークトラフィックの監視 4.0% スマートフォン内部データの暗号化 2.4% その他 24.8% 8 50% 60% 70% 80% 90% 100% ④ 情報セキュリティの運用・管理体制 情報セキュリティ対策の必要性について、「非常に感じている」が77.6%で最も多く、「あ る程度感じている」が19.2%で続いている。「非常に感じている」、「ある程度感じている」 を合わせると、情報セキュリティ対策の必要性を感じているとの回答が多い。 【全体】情報セキュリティ対策の必要性(SA,n=827) 1.6% 1.6% 非常に感じてい る 19.2% ある程度感じて いる あまり感じていな い 感じていない 無回答 77.6% 情報セキュリティ対策の必要性を感じる理由について、「ウイルス・ワームの感染を防ぐ ため」が84.1%で最も多く、「インターネット上に顧客管理情報等の部内情報が漏れるのを 防ぐため」が77.7%で続いている。 【全体】情報セキュリティ対策の必要性の理由(MA,n=801) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% ウイルス・ワームの感染を防ぐため 84.1% インターネット上に個人情報等部内情報が漏 れるのを防ぐため 77.7% セキュリティ事故がブランドイメージや業績に 与える影響を防ぐため 66.7% システムの乗っ取り等により犯罪等へ悪用さ れるのを防ぐため 56.1% 事業を行う上で必要不可欠なため 47.7% DoS攻撃等によるシステムダウンを防ぐため 47.6% 顧客等との取引を万全なものとするため 41.2% 過去に不正アクセス等の被害に遭ったため 9.2% その他 1.5% 9 情報セキュリティ運用、管理部門について、「ある」が59.0%、「ない」が40.1%で「ある」 の回答が多い。 【全体】情報セキュリティ運用、管理専門部署の有無(SA,n=827) 0.8% ある 40.1% ない 59.0% 無回答 情報セキュリティに係る管理者、担当者の設置状況について、「情報システム運用管理者 が情報セキュリティについても兼務している」が67.7%で最も多く、「情報システム運用管 理者以外が情報セキュリティについても兼務している」が16.7%で続いている。一方、「担 当者は置いていない」とする回答は6.0%となっている。 【全体】情報セキュリティに係る管理者、担当者の設置(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% 情報システム運用管理者が情報セキュリティにつ いても兼務している 67.7% 情報システム運用管理者以外が情報セキュリ ティについても兼務している 16.7% 専従の担当者を置いている 9.6% 担当者は置いていない 6.0% 10 セキュリティポリシーについて、「策定してある」が73.9%で最も多く、「策定はしてい ないが、今後策定する予定」が12.7%で続いている。「策定してある」(73.9%)、「策定は していないが、今後策定する予定」(12.7%)、「現在策定を進めている」(8.0%)を合計す ると94.6%であった。一方、「策定しておらず、今後も策定の予定は無い」は4.2%であり、 僅かであるがセキュリティポリシーの策定意向が無いという回答があった。 【全体】セキュリティポリシーの策定状況(SA,n=827) 0.1% 4.2% 1.1% 策定してある 8.0% 策定はしてい無いが、 今後策定する予定 12.7% 現在策定を進めてい る 策定しておらず、今後 も策定の予定は無い 必要無い 73.9% 無回答 情報セキュリティ侵害事案が生じた場合の対忚策について、「策定してある」が46.3%で 最も多く、「策定していないが、必要性は感じている」が29.1%で続いている。一方、「策 定の必要性を感じない」は1.7%となっている。 【全体】情報セキュリティ侵害事案発生時の対応策の策定状 況(SA,n=827) 策定してある 1.7% 0.8% 9.2% 策定していないが、 必要性は感じてい る 12.8% 策定を検討してい る 46.3% 現在策定を進めて いる 策定の必要性を感 じない 29.1% 無回答 11 ウェブサイトのぜい弱性を意図的に利用した不正アクセスに関する知識について、「知っ ている」が85.6%で、「知らない」の13.5%より多い。 【全体】ウェブサイトのぜい弱性を意図的に利用した不正アクセ スの知識について(SA,n=827) 0.8% 13.5% 知っている 知らない 無回答 85.6% ぜい弱性情報を元にした自社システムの変更及び防御処置について、 「実施した」が58.9% で最も多く、「実施していない」の37.1%より多い。 【全体】ぜい弱性情報を元にした自社システムの対策 について(SA,n=708) 4.0% 実施した 37.1% 実施していない 58.9% 無回答 12 ぜい弱性調査(ペネトレーションテスト)の有無について、「実施していない」が74.6%、 で、「実施している」の23.3%より多い。 【全体】ぜい弱性調査(ペネトレーションテスト)の有無 (SA,n=827) 2.1% 実施して いない 23.3% 実施して いる 無回答 74.6% 情報セキュリティ対策に関する部外チェック等の実施について、「特に実施していない」 が36.4%で最も多く、 「部内での自己チェックですませている」が34.0%で続いている。一方、 「認証は受けていないが、部外の専門家によるチェックを受けている」は16.7%、「ISMS等 の認証を受けている」 は8.0%であり、 合計すると外部チェックを受けているとの回答は24.7% であった。 【全体】セキュリティ対策に関する部外チェック等の実施状況 (SA,n=827) 特に実施していな い 4.1% 0.7% 8.0% 部内での自己 チェックですませて いる 36.4% 16.7% 認証は受けていな いが、部外の専門 家によるチェックを 受けている ISMS等の認証を受 けている その他 無回答 34.0% 13 セキュリティ監査の実施頻度について、「実施していない」が32.3%で最も多く、「1 年 ごとに」が30.0%で続いている。 【全体】セキュリティ監査の実施(予定)頻度(SA,n=827) 1.3% 2.1% 2.2% 3ヶ月ごとに 5.4% 半年ごとに 1年ごとに 32.3% 隔年(2年)ごとに 30.0% 特に決まっていない (不定期) 実施を予定している 実施していない 3.4% 1.2% 22.1% その他 無回答 14 ⑤ 情報セキュリティ教育 情報セキュリティ教育について、「実施している」が62.6%で最も多く、「実施はしてい ないが必要性を感じる」が28.2%で続いている。一方、「実施の必要性を感じない(実施し ていない)」は2.9%であり、セキュリティ教育の必要性を感じているとの回答が多い。 【全体】情報セキュリティ教育の実施状況(SA,n=827) 0.6% 5.7% 2.9% 実施している 実施はしていない が必要性を感じる 28.2% 実施を予定してい る 62.6% 実施の必要性を感 じない(実施してい ない) 無回答 情報セキュリティ教育の目的について、 「情報セキュリティに対する意識の向上」が96.5% で最も多く、「情報セキュリティポリシーの普及」が64.6%、「社・団体内の不正行為の防 止」が58.6%で続いている。 【全体】情報セキュリティ教育の目的(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 情報セキュリティに対する意識の向上 96.5% 情報セキュリティポリシーの普及 64.6% 社・団体内の不正行為の防止 58.6% 自己啓発 その他 20.4% 0.7% 15 情報セキュリティ教育の対象者について、「新規採用の正社員・職員」が82.1%で最も多 く、「その他の正社員・職員」が61.2%、「管理職についている正社員・職員」が60.2%、「シ ステム管理部門の正社員・職員」が55.4%で続いており、「正社員・職員」を中心として情 報セキュリティ教育が行われていることが分かる。 【全体】情報セキュリティ教育の対象者(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 80% 新規採用の正社員・職員 61.2% 管理職についている正社員・職員 60.2% システム管理部門の正社員・職員 55.4% 情報セキュリティ対策の責任者 46.9% 派遣社員 33.8% 関連会社の社員・職員 13.6% 学生・生徒 13.1% その他 100% 82.1% その他の正社員・職員 取引先の社員・職員 90% 3.2% 6.2% 情報セキュリティ教育の実施内容について、「個人情報の保護・管理」が81.4%で最も多 く、 「情報セキュリティポリシー」が73.1%、 「情報へのアクセス管理(パスワード管理等)」 が69.7%、「機密情報の保護・管理」が68.5%で続いている。 【全体】情報セキュリティ教育の実施内容(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人情報の保護・管理 81.4% 情報セキュリティポリシー 73.1% 情報へのアクセス管理(パスワード管理等) 69.7% 機密情報の保護・管理 68.5% ウイルス・ワーム対策 67.6% 情報システム利用に係るネチケット 52.6% 文書の管理 34.2% 社外ネットワークへの接続 31.3% 緊急時の対応 30.6% 技術的なセキュリティ対策(システムぜい弱性、堅牢化 設定等) 14.3% サイバー犯罪の防止 13.5% ソーシャルエンジニアリング対策 その他 11.3% 0.9% 16 ⑥ 物理的セキュリティ対策 事務所へのPC等の持込み、持ち出し制限について、「PCの持込み・持ち出しを制限してい る」が69.2%で最も多く、「個人所有のPC の業務利用を制限している」が67.4%で続いてい る。一方「特に制限は無い」は15.5%となっている。 【全体】事務所へのPC等の持込み、持ち出し制限(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% PCの持込み・持ち出しを制限している 69.2% 個人所有のPCの業務利用を制限している 67.4% USBメモリ等の記録媒体の持ち出しを制限している 51.9% USBメモリ等の記録媒体の持込みを制限している 47.0% 持込み・持ち出し専用のPCを用意している 38.8% その他 6.7% 特に制限は無い 15.5% 重要施設における入退室の管理方法について、「登録者以外の入室規制」が51.8%で最も 多く、「記帳」が42.1%で続いている。また、「ICカード」が34.7%、「監視カメラ」が27.7%、 「暗証番号」が19.2%等で、技術的対忚による管理も広がっていることが分かる。一方、「特 に何も行っていない」は12.1%となっている。 【全体】重要施設における入退室の管理方法(MA,n=827) 0% 10% 20% 30% 40% 50% 登録者以外の入室規制 51.8% 記帳 42.1% ICカード 34.7% 監視カメラ 27.7% 暗証番号 19.2% バイオメトリクス(指紋等での認証) 16.6% 磁気カード 警備員 重要な施設は存在しない その他 特に何も行っていない 60% 13.7% 9.4% 4.2% 7.7% 12.1% 17 70% 80% 90% 100% ⑦ 技術的セキュリティ対策 インターネット接続点における不正アクセス防止対策について、 「ファイアウォールの導 入」が88.9%で最も多く、「PROXYサーバの設置」が62.6%、「非武装地帯(DMZ)の構築」が 58.0%で続いている。 【全体】インターネット接続点における不正アクセス防止対策(MA,n=786) 0% 10% 20% 30% 40% 50% 60% 70% 80% ファイアウォールの導入 100% 88.9% PROXYサーバの設置 62.6% 非武装地帯(DMZ)の構築 58.0% ID、パスワード等による認証 54.6% ルータによるプロトコル制御 49.6% アクセスログ収集の強化・充実 44.8% 侵入検知・防御システム(IDS・IPS)の導入 30.8% 外部からの接続を伴なうサービス等を提供していない 12.5% その他 特に何も行っていない 90% 2.7% 0.6% 外部からの接続時に利用している認証方法について、「ID/パスワード認証」が65.4%で最 も多い。 【全体】外部からの接続時に利用している認証方法(MA,n=786) 0% 10% 20% ID/パスワード認証 9.9% 6.5% 電話番号規制 5.2% ICカード/トークンデバイス型認証ツール 5.0% バイオメトリクス(指紋等での認証) 2.0% コールバック 1.4% その他 認証無し 40% 50% 60% 70% 65.4% 電子証明書(PKI) ワンタイムパスワード 30% 12.2% 8.7% 18 80% 90% 100% 暗号化技術の用途について、「個人情報等の重要な情報の通信(SSL等の暗号化通信)」 が52.8%で最も多く、「記憶媒体上の情報(ファイルの暗号化)」が43.4%、「認証情報(電 子証明書)」が33.0%で続いている。一方、暗号化技術を「利用していない」とする回答は 19.8%となっている。 【全体】暗号化技術の用途(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% 個人情報等の重要な情報の通信(SSL等 の暗号化通信) 52.8% 記憶媒体上の情報(ファイルの暗号化) 43.4% 認証情報(電子証明書) 33.0% 暗号メール 18.0% その他 2.8% 利用していない 19.8% 重要システムの不正アクセス対策について、「データのバックアップを行っている」が 89.6%で最も多く、「個人PCの接続制限を行っている」が58.6%で続いている。 【全体】重要なシステムの不正アクセス対策状況(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% データのバックアップを行っている 80% 90% 100% 89.6% 個人PCの接続制限を行っている 58.6% システムの冗長化(ネットワークの冗長化を含む)を行っている 45.5% 3.基幹業務システム専用のファイアウォール・ルータ(ネットワーク アクセス制御機能)を導入している 45.3% 無線LANの使用制限を行っている 41.5% 重要な基幹業務システムは他のネットワークと分離した専用ネット ワークを構築している 40.0% 外部のネットワークに接続していない 39.5% 指定回数以上のログイン失敗時のアカウント失効等、不正操作に 対して自動的に制限をかける機能を導入している 31.8% 緊急時にはシステムを自動停止する仕組みを導入している 8.0% その他 1.7% 上記のような対策は行っていない 2.1% 19 サーバのセキュリティ確保のためにセキュリティパッチを適用する頻度について、「定期 的に確認はしていないが、サーバの管理者等の裁量で適用している」が31.7%で最も多く、 「頻繁(1ヵ月に1回以上)にセキュリティ関連サイトを確認し、常に最新のパッチを適用 している」が27.8%、「定期的(四半期~半年に1回程度)にセキュリティ関連サイトを確 認し、必要なパッチを適用している」が22.4%で続いている。 【全体】セキュリティパッチの適用状況(SA,n=827) 2.4% 4.7% 定期的に確認はしていな いが、サーバの管理者等 の裁量で適用している 0.7% 4.1% 6.2% 頻繁(1ヵ月に1回以上)に セキュリティ関連サイトを 確認し、常に最新のパッチ を適用している 定期的(四半期~半年に 1回程度)にセキュリティ 関連サイトを確認し、必要 なパッチを適用している 問題が発生するまでパッ チは適用しない 31.7% パッチを適用していない 22.4% 分からない その他 27.8% 内部からの不正アクセス等への対策について、「パソコン廃棄時の適正なデータ消去」が 80.4%で最も多く、「定期的なバックアップ」が77.9%、「情報資産へのアクセス権の設定」 が75.8%で続いている。 【全体】内部からの不正アクセス等への対策の実施状況(MA,n=827) 0% 10% 20% 30% 40% 50% 60% パソコン廃棄時の適正なデータ消去 定期的なバックアップ 77.9% 75.8% アクセスログの取得、ログの分析 57.1% 許可していないソフトウェアの制限 56.5% 定期的なパスワードの変更 50.8% 外部Webサイトへのアクセス制限 48.6% 共有ID・パスワードの禁止 38.1% ユーザアカウントの定期的なチェック 36.3% メールのフィルタリング(添付ファイルの利用制限等) 31.1% 個人認証のためのシステム導入 28.2% 内部ネットワークのファイアウォール、 侵入検知システム(IDS)の導入 28.2% 印刷物、電子媒体の持ち出し、廃棄を管理 その他 80% 90% 80.4% 情報資産へのアクセス権の設定 特に何も行っていない 70% 25.2% 1.3% 2.5% 20 100% 無線ネットワークのセキュリティ対策について、 「WEPによる暗号化」が58.2%で最も多く、 「ESS-IDの適切な設定」が40.5%、「WEP以外による暗号化」が39.6%、「MACアドレス認証」 が32.6%で続いている。一方、「特に行っていない」は1.2%となっている。 【全体】無線ネットワークのセキュリティ対策(MA,n=402) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% WEPによる暗号化 58.2% ESS-IDの適切な設定 40.5% WEP以外による暗号化(WPA/WPA2等) 39.6% MACアドレス認証 32.6% IEEE802.1.x 電磁波の遮蔽 その他 特に行っていない 16.9% 0.5% 9.7% 1.2% 21 不正プログラムへの対策について、「ウイルス対策ソフト(クライアント)の使用」が 96.7%で最も多く、「ウイルス対策ソフト(サーバ)の使用」が90.6%で続いている。一方「実 施していない」は0.1%となっている。 【全体】不正プログラムへの対策(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% ウイルス対策ソフト(クライアント)の使用 96.7% ウイルス対策ソフト(サーバ)の使用 90.6% パターンファイルを定期的に更新する(自動更新システムを利用) 80.3% スパイウェア対策ソフト(クライアント)の使用 63.4% スパイウェア対策ソフト(サーバ)の使用 59.9% 許可されていないソフトウェアのインストール制限 56.1% パッチによるOS等のバージョンアップ(管理者が手動で更新) 52.8% パッチによるOS等のバージョンアップ(自動更新システムを利用) 41.1% パターンファイルを定期的に更新する(社員自らが更新) 24.2% USBメモリの使用禁止 23.7% パッチによるOS等のバージョンアップ(社員自らが更新) 22.6% ファイル等のダウンロード制限 20.7% メールの添付ファイルの削除または実行制限 15.5% プロバイダのウイルス等駆除サービスの利用 15.1% パターンファイルを定期的に更新する(管理者が手動で更新) 14.0% 検疫システムの導入 その他 実施していない 100% 11.6% 2.5% 0.1% 22 スパムメール対策について、「ウイルスチェック」が81.0%で最も多く、「フィルタリン グ」が54.2%で続いている。一方、「特に何も実施していない」は2.5%となっている。 【全体】スパムメール対策(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% ウイルスチェック 81.0% フィルタリング(特定の条件を満たすメールの 配信をし無い) 54.2% 不正中継防止 42.9% 利用メールソフトの指定・制限 28.9% プロバイダによるスパムメール対策サービスの 利用 26.1% メール利用の制限(利用可能者の限定、利用 端末の限定等) 19.5% 特定の拡張子を持つファイルが添付されてい る場合に送・受信を拒否 17.3% 特定ドメイン・アドレスからのメールのみ送・受 信 電子メールは使用していない 8.7% 1.3% その他 特に何も実施していない 4.7% 2.5% メールの不正中継対策の実施状況について、「メールサーバの設定の修正」が69.7%で最 も多く、「ファイアウォールによる遮断」が42.4%で続いている。 【全体】メールの不正中継対策の実施状況(MA,n=347) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% メールサーバの設定の修正(オープンメール リレーの禁止等) 69.7% ファイアウォールによる遮断 42.4% メールサーバへの対策ソフトの導入 28.0% メールサーバのソフト・バージョンアップ 27.7% 送信者認証 15.3% その他 5.5% 23 ログの取得状況について、「アクセスログ」を取得している割合が82.2%で最も多く、「業 務アプリケーションのログ」が63.5%、「ファイアウォールのログ」が62.6%で続いている。 一方、各種ログを「取得していない」は6.4%となっている。 【全体】ログの取得状況(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% アクセスログ 82.2% 業務アプリケーションのログ 63.5% ファイアウォールのログ 62.6% 侵入検知システム(IDS)のログ その他 取得していない 25.4% 2.3% 6.4% 情報セキュリティ対策としてのログ解析頻度について、「問題発生時」が54.1%で最も多 く、「毎月」が11.9%で続いている。 【全体】情報セキュリティ対策としてのログの解析頻度 (SA,n=771) 5.4% 問題発生 時 11.0% 毎月 3ヶ月毎 5.8% 毎日 3.1% 毎週 54.1% 4.2% その他 4.4% 実施してい ない 無回答 11.9% 24 ⑧ セキュリティ対策状況 現在の利用状況について、「利用していない」を除くと、「ウイルス等監視」が26.0%で 最も多く、「セキュリティ診断」が22.1%、「ハウジングサービス」が19.6%で続いている。 【全体】セキュリティサービスの利用状況「現在」(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルス等監視 26.0% セキュリティ診断 22.1% ハウジングサービス 19.6% セキュリティ監視 18.4% ソフトウェアメンテナンス 17.5% ログ解析 15.0% セキュリティ監査 13.4% 認証サービス 11.5% セキュアシステム構築 7.9% ポリシー策定 7.3% 社外での教育による研修の実施 6.7% リスク分析 5.0% その他 1.7% 利用していない 33.7% 継続利用について、「利用していない」を除くと、「セキュリティ診断」が22.6%で最も 多く、「ウイルス等監視」が22.4%、「ハウジングサービス」が20.4%で続いている。 【全体】セキュリティサービスの利用状況「継続」(SA,n=827) 0% 10% 20% セキュリティ診断 22.6% ウイルス等監視 22.4% ハウジングサービス 20.4% セキュリティ監視 17.8% ソフトウェアメンテナンス 17.4% ログ解析 12.5% 認証サービス セキュアシステム構築 9.8% 7.9% 社外での教育による研修の実施 6.8% ポリシー策定 6.0% リスク分析 5.3% セキュリティ監査 その他 利用していない 30% 3.5% 1.6% 26.2% 25 40% 50% 60% 70% 80% 90% 100% 新規に利用したいサービスについて、 「特に無し」を除くと、 「セキュリティ診断」が25.2% で最も多く、「セキュリティ監査」が20.0%で続いている。 【全体】セキュリティサービスの利用状況「新規」(MA,n=827) 0% 10% 20% 30% セキュリティ診断 60% 70% 80% 90% 100% 20.0% リスク分析 16.0% セキュリティ監視 14.0% 社外での教育による研修の実施 10.6% ログ解析 10.6% ウイルス等監視 10.5% ポリシー策定 9.6% セキュアシステム構築 9.2% ハウジングサービス 6.9% 認証サービス 5.9% その他 50% 25.2% セキュリティ監査 ソフトウェアメンテナンス 40% 2.4% 1.2% 特に無し 30.4% セキュリティサービスを利用していない理由について、 「コストを負担できない」が60.2 % で最も多い。 【全体】セキュリティサービスを利用していない理由(MA,n=278) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% コストを負担できない 60.2% 社・団体内の担当者だけで必要な人員が確保さ れているため、必要性が無い 12.5% 要求に合致するサービスが提供されていない 11.1% 社・団体内に高い専門性やノウハウ、技術力があ り、必要性が無い 11.1% 社・団体内にノウハウの蓄積を行いたい 11.1% 機密情報の漏えいにつながることが懸念される 6.8% その他 7.5% 26 2012年度の情報セキュリティ投資計画について、「2011年度と比較して、ほぼ同額とする 計画である」が80.2%で最も多い。「増やす計画である」とする各項目を合計すると16.0% となる。一方、「減らす計画である」とする各項目を合計すると2.4%となっている。 【全体】2012年度の情報セキュリティ投資計画(SA,n=827) 0.1% 0.1% 2.2% 今期と比較して、ほぼ同額 (‐10~+10%)とする計画で ある 今期と比較して、大幅 (+50%以上)に増やす計画 である 今期と比較して、かなり増や す(+30~+50%)計画である 1.5% 11.5% 2.9% 1.6% 今期と比較して、小幅に増や す(+10~+30%)計画である 今期と比較して、大幅に減ら す(‐50%以上)計画である 今期と比較して、かなり減ら す(‐30~‐50)計画である 今期と比較して、小幅に減ら す(‐10~‐30%)計画である 80.2% 27 無回答 情報セキュリティ対策実施上の問題点について、「費用対効果が見えない」が59.6%で最 も多く、「コストがかかりすぎる」が54.4%で続いている。 【全体】情報セキュリティ対策実施上の問題点(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 費用対効果が見えない 59.6% コストがかかりすぎる 54.4% どこまで行えば良いのか基準が示されていない 48.4% 教育訓練が行き届かない 38.0% 対策を構築するノウハウが不足している 26.6% 従業員への負担がかかりすぎる 24.7% 情報を資産として考える習慣が無い 12.7% トップの理解が得られない 12.6% 最適なツール・サービスが無い その他 5.6% 2.1% 28 ⑨ セキュリティインシデントへの対応 不正アクセス等により想定される被害について、「個人のプライバシーが脅かされる」 が69.9%で最も多く、「社会的に深刻な被害には至らないが、自社の事業活動にとっては深 刻な被害になる」が59.3%で続いている。一方、「特に深刻な被害にはならない」は3.0%と なっている。 【全体】不正アクセス等により想定される被害(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人のプライバシーが脅かされる 69.9% 社会的に深刻な被害には至らないが、自社の事業活動に とっては深刻な被害になる 59.3% 顧客や取引先等の財産が脅かされる 31.2% 行政機能が脅かされる 21.3% 顧客等の人命や健康が脅かされる 8.2% 経済活動全般が脅かされる(金融為替取引の停止・混乱 や資本逃避等) 6.9% 国民の生活環境が脅かされる(治安悪化や環境汚染等) 5.2% エネルギー供給や水供給、交通システム等のライフライン が脅かされる 4.7% 特に深刻な被害にはならない その他 3.0% 0.7% 29 ⑩ ファイル共有ソフトによる被害 過去1年間においてのファイル共有ソフトの利用に伴う被害について、「被害は生じてい ない」が97.3%、「被害が生じた」が1.5%で「被害は生じていない」の回答が多い。 【全体】ファイル共有ソフトの利用に伴う被害(SA,n=827) 1.5% 1.2% 被害は生じていない 被害が生じた 無回答 97.3% ファイル共有ソフトの利用に伴い情報漏えいが生じた経路・状況について、「その他」を 除くと、「私物であるPC 等から漏えい」が7件(58.3%)で多く、「貴社・団体が業務利用 のために供したPC等から漏えい」が5件(41.7%)、「退職した職員、以前委託していた業者 から漏えい」が4件(33.3%)と続いている。 【全体】情報漏えいが生じた際の経路・状況 (MA,n=12) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 私物であるPC等から漏えい 58.3% 貴社・団体が業務利用のために供したPC等から漏えい 41.7% 退職した職員、以前委託していた業者から漏えい 33.3% 業務委託先から漏えい 25.0% その他 66.7% 30 ファイル共有ソフトの利用による情報漏えい対忚策について、実施率( 「一年前から対策」 と「一年以内に対策」の割合の合計)を見ると、「ファイル共有ソフトの利用を禁止する通 達」が61.6%で最も多く、「ネットワークにおける通信制御」が48.8%、「ファイル共有ソフ トの削除・停止ツールの利用」が39.7%で続いている。 【全体】ファイル共有ソフトを介した情報漏えいへの対応策(各項目SA, n=827) 0% 20% ファイル共有ソフト削除・停止ツール等の利用 40% 37.5% 60% 80% 19.0% 32.3% 100% 9.1% 2.2% ネットワークにおける通信制御 46.1% 18.1% 24.1% 9.1% 2.7% ファイル共有ソフト利用者の検知 32.3% 25.9% 29.3% 9.6% 3.0% ファイル共有ソフトの利用を禁止する通達 60.1% 13.9% 16.9% 7.5% 1.5% ファイル共有ソフトをインストールしていないことの確認書を提出さ せる 11.0% 18.5% 58.8% 11.2% 0.5% 業務外注先に対して、ファイル共有ソフトを利用しないように依頼 18.7% 0.1% その他 6.2% 23.8% 44.6% 11.9% 1.0% 15.7% 75.5% 2.5% 一年より前から対策開始 この一年以内に対策開始 未対策だが、今後導入したい 31 導入の予定は無い 無回答 ⑪ 情報セキュリティに関する被害状況 情報セキュリティに関する被害状況について、「被害は生じなかった」が54.3%で最も多 い。生じた被害としては、「ウイルス等の感染」が28.8%と多く、「ノートPC盗難」が3.9% で続いている。 【全体】過去1年間の情報セキュリティに関する被害状況(MA,n=827) 0% 10% 20% 30% 40% 被害は生じなかった 60% 54.3% ウィルス等の感染 ノートPC盗難 50% 28.8% 3.9% スパイウェアの感染 1.9% その他情報機器盗難(外部記憶装置等) 1.5% 踏み台(バックドア設置等) 1.5% 情報漏えい(ファイル共有ソフトによるものを除く) 1.2% ホームページの改ざん 1.0% 内部者のネットワーク悪用(私用メール、ポルノ画像閲覧等) 0.7% なりすまし 0.6% Webや掲示板上での貴社・団体に対する誹謗中傷 0.5% メールの不正中継 0.4% DoS攻撃 0.4% ファイル共有ソフトの利用に伴う情報漏えい 0.2% システム破壊・データ改ざん 0.1% 盗聴(キーロガー含む) 0.0% インターネット上の著作権侵害(記事、写真、ロゴ等の無断使用) 0.0% ネットワークを利用した詐欺 0.0% フィッシング 0.0% その他 0.0% 32 70% 80% 90% 100% ウイルス等の感染ルート別被害状況について、「社・団体の内部者による記憶媒体の持込 み、私物パソコン接続」が43.0%で最も多く、「外部へのWebアクセス」が32.2%で続いてい る。 【全体】ウィルス等の感染ルート別被害状況(MA,n=238) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 社・団体の内部者による記憶媒体持込み、私物パ ソコン接続 43.0% 外部へのWebアクセス(Webメール含む) 32.2% 電子メール 23.5% 社・団体の部外者からの記憶媒体持込み 22.8% ダウンロードしたソフトウェア 11.4% 外部からの直接アクセス(ファイル共有等) 4.0% その他 0.0% 被害に遭った時の対忚について、「最新パッチの適用」とする割合が21.2%で最も多く、 「ウイルスなど対策製品の導入・強化」が15.3%、 「セキュリティ教育の実施・強化」が14.8% で続いている。 【全体】被害に遭った時の対応(MA,n=352) 0% 10% 20% 最新パッチの適用 30% 21.2% ウイルス等対策製品の導入・強化 15.3% セキュリティ教育の実施・強化 14.8% ソフトウェアのバージョンアップ 11.0% 不必要なサービスの停止 不正アクセスが行われていないかど うか、ネットワークの監視 システム上にセキュリティホールが無 いかどうかを検査、診断 ファイアウォールの設置・強化 5.9% 5.5% 3.8% 3.4% セキュリティポリシーの策定・見直し 1.7% ネットワークの再構築 1.3% セキュリティ監査の実施 0.8% 不明 0.8% 認証機能の導入・強化 0.4% セキュリティコンサルティングの利用 0.4% 弁護士への相談 0.0% その他 特に何も対応策を講じていない 6.8% 2.1% 33 40% 50% 60% 70% 80% 90% 100% 自社若しくはセキュリティコンサルティング会社における被害調査の実施状況について、 「実施しなかった」が65.8%、「実施した」が24.7%で「実施しなかった」の回答が多い。 【全体】被害調査の実施状況(SA,n=352) 9.6% 実施しなかった 24.7% 実施した 65.8% 34 無回答 情報セキュリティに関する被害の届出について、 「届け出なかった」が56.3%で最も多い。 届出先としては「警察」が9.7%で多く、「IPA(情報処理振興事業協会)」が4.8%で続いて いる。 【全体】被害を受けた時に届け出た行政機関(MA,n=352) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% 警察 9.7% IPA(情報処理振興事業協会) 4.8% JPCERT/CC(コンピュータ緊急対応センター) 0.0% 国民生活センター・消費生活センター 0.0% その他 4.5% 届け出なかった 56.3% 35 ⑫ 情報セキュリティ対策実施上の方針 情報セキュリティ対策を実施する上での方針について、「投資方針」等6つの項目に関し て相対する2つの考え(①②)を提示し、社・団体等における考え方が①②の考え方のいず れに近いかについて質問している。 「投資方針」については、「②積極的」とする回答が「①必要最低限」とする回答を上回 っている。 「事後的対忚と予防的対忚」について、「②予防的対忚」とする回答が「①問題発生に対 する適切な対忚」とする回答を大幅に上回っている。 「対忚すべき範囲」について、「①人的・技術的な対策で十分」とする回答が「②保険的 対忚が必要」を上回っている。 「非技術的対忚」について、「①教育と情報提供を中心とした対忚」とする回答が「②規 則・罰則も含む強制力のある対忚」とする回答を上回っている。 「プライバシーの考慮」について、「②ある程度のプライバシーの侵害はやむをえない」 とする回答が「①プライバシーはある程度考慮されるべきだ」とする回答を上回っている。 「利便性とのバランス」については、「①利便性とのバランスを考慮」とする回答が「② 負担を強いてでもセキュリティを守る」とする回答を大幅に上回っている。 【全体】情報セキュリティ対策実施上の方針(SA,n=827) 0% 投資方針 20% 4.1% 40% 60% 34.5% 80% 48.9% 100% 0.8% 11.7% 1.0% 事後的対応と予防的対応 2.8% 20.6% 61.2% 14.5% 1.5% 対応すべき範囲 非技術的対応 6.5% 55.5% 10.6% 31.8% 42.1% 38.1% 4.7% 7.9% 1.3% プライバシーの考慮 5.6% 32.2% 46.8% 14.4% 1.1% 利便性とのバランス 10.8% ほぼ①と同様である 51.4% どちらかといえば① 32.0% どちらかといえば② 36 ほぼ②と同様である 無回答 4.8% 1.0% 3.基本分析 3.1.情報システム等の環境 3.1.1.端末装置の利用環境 【全体】全体では、「1人1台の環境が整っている」が79.9%で最も多く、「数人で共有して いる」が7.3%、「部・課で共有している」が3.1%で続いている。一方、「端末は利用してい ない」に該当は無く、何らかの形で端末を利用していることが分かる。 【全体】端末装置の利用環境(SA,n=827) 7.0% 1.8% 3.1% 0.8% 1人1台の環境が整っている 数人で共有している 7.3% 部・課で共有している 支店や拠点で共有している その他 端末は利用していない 79.9% 37 無回答 【業種別分析】業種別を見ると、 「1人1台の環境が整っている」では、 「エネルギー」が100.0% で最も多く、「不動産・建築」が92.0%で続いている。一方、「サービス」は60.3%で最も尐 ない。 【業種別分析】端末装置の利用環境 0% 10% 20% 30% 40% 50% 農林・水産・鉱業(n=4) 60% 70% 80% 90% 100% 100.0 製造業(n=216) 83.8 4.6 7.9 1.4 0.9 1.4 不動産・建築(n=50) 92.0 金融(n=45) 80.0 13.3 エネルギー(n=19) 運輸業(n=30) 4.4 2.2 100.0 63.3 情報通信(n=10) サービス(n=131) 2.0 4.0 2.0 10.0 16.7 16.8 7.6 3.3 6.7 90.0 60.3 教育(n=152) 81.6 行政サービス(n=170) 79.9 9.9 5.9 7.3 4.1 3.1 1人1台の環境が整っている 数人で共有している 部・課で共有している 支店や拠点で共有している その他 端末は利用していない 無回答 38 11.5 5.3 84.7 全体(n=827) 3.8 1.7 7.0 2.4 1.0 【経年変化】昨年度と比較すると、「1人1台の環境が整っている」が4.2ポイント増加して いる。一方、「数人で共有している」、「部・課で共有している」、「支店や拠点で共有し ている」については減尐している。 【経年変化】端末装置の利用環境 0% 10% 20% 30% 40% 部・課で共有している 3.1% 3.6% 3.1% 支店や拠点で共有している 1.8% 2.6% 1.4% 無回答 70% 80% 90% 100% 7.3% 10.3% 9.7% 数人で共有している 端末は利用していない 60% 79.9% 75.7% 78.7% 1人1台の環境が整っている その他 50% 7.0% 6.4% 6.8% 平成23年度(n=827) 平成22年度(n=841) 0.0% 0.0% 0.0% 平成21年度(n=930) 0.8% 1.3% 0.3% 39 3.1.2.事業体内のネットワーク利用状況 【全体】全体では、「全て有線ネットワークで構築している」が50.2%で最も多く、「有線 ネットワークと無線ネットワークを併用している」が48.4%で続いている。 【全体】事業体内のネットワーク利用状況(SA,n=827) 1.1% 0.2% 0.1% 全て有線ネットワークで 構築している 50.2% 有線ネットワークと無線 ネットワークを併用して いる 全て無線ネットワークで 構築している 48.4% LANを敷設していな い 無回答 40 【業種別分析】業種別を見ると、「有線ネットワークと無線ネットワークを併用している」 については、「教育」が77.0%、「サービス」が60.3%で多い。「全て有線ネットワークで構 築している」について、「エネルギー」が78.9%、「金融」が77.8%、「行政サービス」が76.6% で多い。 【業種別分析】事業体内のネットワーク利用状況 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4) 55.6 22.2 エネルギー(n=19) 21.1 運輸業(n=30) 80% 90% 100% 41.2 2.8 72.0 77.8 78.9 40.0 情報通信(n=10) 56.7 3.3 50.0 サービス(n=131) 50.0 60.3 教育(n=152) 全体(n=827) 70% 0.5 28.0 金融(n=45) 行政サービス(n=167) 60% 100.0 製造業(n=216) 不動産・建築(n=50) 50% 38.9 77.0 0.8 22.4 0.7 76.6 23.4 48.4 0.2 有線ネットワークと無線ネットワークを併用している 全て無線ネットワークで構築している 全て有線ネットワークで構築している LANを敷設していない 無回答 41 50.2 0.1 1.1 【経年変化】昨年度と比較すると、「全て有線ネットワークで構築している」が2.0ポイ ント増加している。一方、「有線ネットワークと無線ネットワークを併用している」は0.7 ポイント減尐しており、有線ネットワークのみでの構成が若干多くなっている。 【経年変化】事業体内のネットワーク利用状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 50.2% 全て有線ネットワークで構築している 48.2% 54.9% 48.4% 有線ネットワークと無線ネットワークを併用して いる 49.1% 44.1% 0.2% 全て無線ネットワークで構築している 0.2% 0.3% 0.1% LANを敷設していない 0.1% 平成23年度(n=827) 0.2% 平成22年度(n=841) 平成21年度(n=930) 1.1% 無回答 2.4% 0.4% 42 3.2.ネットワーク接続環境 3.2.1.インターネットへの接続の有無 【全体】全体では、「接続している」が94.8%で最も多く、「接続しておらず、接続の計画 もない」は4.0%であった。 【全体】インターネット接続の有無(SA,n=827) 4.0% 0.2% 1.0% 接続している 接続しておらず、接続 の計画も無い 接続していないが、現 在接続を計画中であ る 無回答 94.8% 43 【業種分析別】業種別を見ると、全ての業種においてインターネットへ「接続している」と いう回答が多い。 【業種別分析】インターネット接続の有無 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4) 50% 60% 70% 80% 90% 100% 100.0 製造業(n=216) 98.6 不動産・建築(n=50) 1.4 100.0 金融(n=45) 88.9 エネルギー(n=19) 100.0 運輸業(n=30) 100.0 情報通信(n=10) 100.0 サービス(n=131) 88.5 教育(n=152) 98.0 行政サービス(n=167) 91.0 全体(n=827) 94.8 接続している 接続しておらず、接続の計画も無い 2.2 8.9 0.8 9.9 0.7 1.3 9.0 0.2 4.0 1.0 接続していないが、現在接続を計画中である 無回答 44 0.8 【経年変化】経年変化を見ると、インターネットへ「接続している」が減尐傾向であるもの の、他の項目と比較して多い。 【経年変化】インターネット接続の有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 94.8% 接続している 95.7% 99.2% 4.0% 接続しておらず、接続の計画も無い 3.0% 0.8% 0.2% 接続していないが、現在接続を計画 中である 0.0% 0.0% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 1.0% 無回答 1.3% 0.0% 45 3.2.2.外部からの接続許可状況 【全体】全体では、「接続を許可しているが、社・団体内に居る場合より制限された機能が 提供される」が36.6%で最も多く、「接続を許可しており、社・団体内に居る場合と同様な 機能が提供される」の16.4%と合わせて53.0%が外部からの接続を認めていることが分かる。 一方、「現在も、将来も接続を許可しない」は31.8%となっている。 【全体】外部からの接続許可状況(SA,n=827) 5.6% 16.4% 接続を許可しており、社・団体内に居 る場合と同様な機能が提供される 接続を許可しているが、社・団体内 に居る場合より制限された機能が提 供される 現在、接続を一切禁止しているが、 今後接続許可の検討をしていく予定 31.8% 現在も、将来も接続を許可しない 36.6% 無回答 9.6% 46 【経年変化】経年変化を見ると、「現在も、将来も接続を許可しない」が減尐傾向となって いる。一方、「接続を許可しており、社・団体内に居る場合と同様な機能が提供される」、 「接続を許可しているが、社・団体内に居る場合より制限された機能が提供される」、「現 在、接続を一切禁止しているが、今後接続許可の検討をしていく予定」は僅かながら増加傾 向にある。 【経年変化】外部からの接続許可状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 16.4% 接続を許可しており、社・団体内 に居る場合と同様な機能が提供 される 16.0% 16.0% 36.6% 接続を許可しているが、社・団 体内に居る場合より制限された 機能が提供される 現在、接続を一切禁止している が、今後接続許可の検討をして いく予定 36.1% 31.2% 9.6% 9.4% 8.1% 31.8% 現在も、将来も接続を許可しな い 36.6% 43.4% 平成23年度(n=827) 5.6% 無回答 平成22年度(n=805) 1.7% 平成21年度(n=930) 1.3% 47 3.2.3.外部からの接続における接続方法 【全体】全体では、「インターネット経由の接続」が76.4%で最も多く、「ダイヤルアップ 接続」が11.7%で続いている。 *本項目は外部からの接続を許可している社・団体等を対象としている。 【全体】外部からの接続における接続方法(SA,n=437) 11.4% 0.5% インターネット経由の接続 11.7% ダイヤルアップ接続(インター ネットを経由せず、直接電話 回線から接続する) 両方使用している 無回答 76.4% 48 【業種別分析】業種別を見ると、 「インターネット経由の接続」については、 「金融」が88.2% で最も多く、「教育」が87.0%、「不動産・建築」が86.4%、「製造業」が81.9%で続いてい る。 【業種別分析】外部からの接続における接続方法 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 農林・水産・鉱業(n=0)0.0% 製造業(n=149) 8.1% 10.1% 0.0% 81.9% 不動産・建築(n=22) 86.4% 金融(n=17) 9.1% 4.5% 0.0% 88.2% エネルギー(n=14) 57.1% 11.8% 0.0% 14.3% 28.6% 0.0% 運輸業(n=13) 23.1% 53.8% 0.0% 情報通信(n=8) 75.0% 12.5% 12.5% 0.0% サービス(n=73) 61.6% 教育(n=100) 16.4% 20.5% 4.0% 8.0% 1.0% 87.0% 行政サービス(n=40) 60.0% 全体(n=437) 32.5% 76.4% 1.3% 11.7% 7.5% 0.0% 11.4% 0.5% インターネット経由の接続 ダイヤルアップ接続(インターネットを経由せず、直接電話回線から接続する) 両方使用している 無回答 49 【経年変化】経年変化を見ると、「インターネット経由の接続」が増加傾向であり、他の項 目と比較して多い。一方、「ダイヤルアップ接続」、「両方使用している」は僅かながら減 尐傾向にある。 【経年変化】外部からの接続における接続方法 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 76.4% インターネット経由の接続 71.4% 69.5% 11.7% ダイヤルアップ接続(インターネッ トを経由せず、直接電話回線から 接続する) 12.4% 12.6% 11.4% 両方使用している 14.5% 15.9% 平成23年度(n=437) 平成22年度(n=420) 0.5% 無回答 平成21年度(n=508) 1.7% 2.0% 50 3.2.4.外部からの接続の利用目的 【全体】全体では、「メールサーバへのアクセス」が53.3%で最も多く、「スケジュール等 グループウェアの利用」が50.2%、「Webサーバへのアクセス」が41.1%で続いている。 【全体】外部からの接続の利用目的(MA,n=516) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% メールサーバへのアクセス 53.3% スケジュール等グループウェアの利用 50.2% Webサーバへのアクセス 41.1% 情報システムメンテナンス 37.6% 基幹業務システムへのアクセス その他 33.5% 7.8% 51 【業種別分析】業種別を見ると、「メールサーバへのアクセス」では、「情報通信」が87.5% と多くなっている。また、「スケジュール等グループウェアの利用」では「不動産・建築」 が74.1%と多い。 スケジュール等グループウェアの 利用 メールサーバヘのアクセス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 50.0% 製造業(n=169) 農林・水産・鉱業(n=4) 63.9% 不動産・建築(n=27) 66.7% 金融(n=25) エネルギー(n=15) 80.0% 情報通信(n=8) 66.7% 運輸業(n=18) 66.7% 情報通信(n=8) 45.2% 全体(n=516) 教育(n=111) 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 不動産・建築(n=27) 51.9% 金融(n=25) 32.0% 3.7% 金融(n=25) 40.0% エネルギー(n=15) 0.0% 製造業(n=169) 42.6% 不動産・建築(n=27) エネルギー(n=15) 53.3% 情報通信(n=8) 62.5% 38.9% 12.5% サービス(n=84) 22.6% 教育(n=111) 教育(n=111) 32.0% 26.7% 運輸業(n=18) 22.2% 情報通信(n=8) 全体(n=516) 農林・水産・鉱業(n=4) 50.0% 製造業(n=169) 50.2% 情報システムメンテナンス webサーバへのアクセス 行政サービス(n=54) 41.4% 38.9% 全体(n=516) 53.3% サービス(n=84) 45.2% 行政サービス(n=54) 20.4% 運輸業(n=18) 50.0% サービス(n=84) 55.0% 行政サービス(n=54) 28.0% エネルギー(n=15) 87.5% 教育(n=111) 74.1% 金融(n=25) 55.6% サービス(n=84) 59.8% 不動産・建築(n=27) 32.0% 運輸業(n=18) 0.0% 製造業(n=169) 61.3% 行政サービス(n=54) 18.5% 全体(n=516) 41.1% 基幹業務システムへのアクセス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 100.0% 製造業(n=169) 42.6% 不動産・建築(n=27) 37.0% 金融(n=25) 36.0% エネルギー(n=15) 26.7% 運輸業(n=18) 33.3% 情報通信(n=8) 62.5% サービス(n=84) 教育(n=111) 行政サービス(n=54) 38.1% 20.7% 13.0% 全体(n=516) 33.5% 52 53.6% 44.1% 46.3% 37.6% 【経年変化】昨年度と比較すると、「メールサーバへのアクセス」が7.6ポイント減尐して いるが、他の項目と比較して最も多い。 【経年変化】外部からの接続の利用目的 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 53.3% 60.9% 52.3% メールサーバへのアクセス 50.2% 52.6% 48.9% スケジュール等グループウェアの利 用 41.1% 46.4% 40.6% Webサーバへのアクセス 37.6% 35.9% 40.9% 情報システムメンテナンス 33.5% 33.9% 39.6% 基幹業務システムへのアクセス その他 平成23年度(n=516) 平成22年度(n=496) 平成21年度(n=579) 7.8% 3.4% 6.2% 53 3.2.5.スマートフォンからの接続 【全体】全体では、「接続を許可していない」が62.6%、「接続を許可している」が24.2% で「接続を許可していない」が多い。 【全体】スマートフォンからの接続(SA,n=516) 13.2% 接続を許可してい ない 接続を許可してい る 24.2% 62.6% 無回答 54 【業種別分析】業種別を見ると、「接続を許可している」については、「教育」が36.0%で 最も多く、「不動産・建築」が29.6%、「製造業」が26.0%で続いている。一方、「接続を許 可していない」については、「金融」が88.0%で最も多い。 【業種別分析】社外からのスマートフォンによる接続許可状況 0% 10% 20% 30% 40% 50% 農林・水産・鉱業(n=4) 26.0 不動産・建築(n=27) エネルギー(n=15) 29.6 90% 100% 7.4 88.0 20.0 73.3 75.0 23.8 教育(n=111) 25.0 57.1 36.0 19.0 49.5 11.1 62.6 接続を許可している 接続を許可していない 55 14.4 13.0 75.9 24.2 6.7 16.7 83.3 サービス(n=84) 12.4 63.0 12.0 情報通信(n=8) 全体(n=516) 80% 61.5 運輸業(n=18) 行政サービス(n=54) 70% 100.0 製造業(n=169) 金融(n=25) 60% 13.2 無回答 3.2.6.スマートフォン使用時の情報セキュリティ対策 【全体】全体では、「使用アプリケーションの制限」が35.2%で最も多く、「スマートフォ ンの盗難対策」が30.4%、「MACアドレス、クライアント証明書等を用いたスマートフォンの 認証」が24.0%で続いている。 【全体】スマートフォンの情報セキュリティ対策(n=125) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 使用アプリケーションの制限(スマートフォン側に業務データが残ら ないアプリに限定等) 35.2% スマートフォンの盗難対策(端末ロック、内部データの遠隔消去等) 30.4% MACアドレス、クライアント証明書等を用いたスマートフォンの認証 24.0% スマートフォン専用ネットワークセグメントの設置 20.0% スマートフォンへのウィルス対策ソフト等の導入 16.8% スマートフォンのOS、アプリケーション等をアップデートする仕組み の導入 4.8% スマートフォンのネットワークトラフィックの監視 4.0% スマートフォン内部データの暗号化 2.4% その他 24.8% 56 3.3.情報セキュリティの運用・管理体制 3.3.1.情報セキュリティ対策の必要性 【全体】全体では、「非常に感じている」が77.6%で最も多く、「ある程度感じている」が 19.2%で続いている。「非常に感じている」、「ある程度感じている」を合わせると96.8% が情報セキュリティ対策の必要性を感じていると回答している。 【全体】情報セキュリティ対策の必要性(SA,n=827) 1.6% 1.6% 非常に感じてい る 19.2% ある程度感じて いる あまり感じていな い 感じていない 無回答 77.6% 57 【業種別分析】業種別を見ると、「非常に感じている」が全ての業種で5割以上となってい る。特に「行政サービス」が93.4%、「情報通信」が90.0%、「エネルギー」が89.5%、「金 融」が88.9%、「教育」が80.3%で8割以上であり、情報セキュリティ対策の意識が高くなっ ている。 【業種別分析】情報セキュリティ対策の必要性 0% 農林・水産・鉱業(n=4) 10% 20% 30% 50% 60% 50.0 製造業(n=216) 不動産・建築(n=50) 40% 70% 80% 90% 100% 50.0 67.1 28.2 52.0 1.9 2.8 4.0 2.0 42.0 金融(n=45) 88.9 8.9 エネルギー(n=19) 89.5 10.5 運輸業(n=30) 66.7 30.0 情報通信(n=10) 3.3 90.0 サービス(n=131) 79.4 教育(n=152) 80.3 行政サービス(n=167) 10.0 16.8 18.4 77.6 非常に感じている ある程度感じている 58 3.1 0.8 1.3 6.0 0.6 93.4 全体(n=827) 2.2 19.2 あまり感じていない 1.6 1.6 【経年変化】昨年度と比較すると、「非常に感じている」が4.8ポイント増加している。一 方、「ある程度感じている」は4.6ポイント減尐している。 【経年変化】情報セキュリティ対策の必要性 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 77.6% 非常に感じている 72.8% 77.5% 19.2% ある程度感じている 23.8% 18.9% 1.6% あまり感じていない 1.3% 1.8% 0.0% 感じていない 0.0% 平成23年度(n=827) 0.0% 平成22年度(n=841) 平成21年度(n=930) 1.6% 無回答 2.1% 1.7% 59 100% 3.3.2.情報セキュリティ対策の必要性の理由 【全体】全体では、「ウイルス・ワームの感染を防ぐため」が84.1%で最も多く、「インタ ーネット上に個人情報など部内情報が漏れるのを防ぐため」が77.7%、「セキュリティ事故 がブランドイメージや業績に与える影響を防ぐため」が66.7%で続いている。 【全体】情報セキュリティ対策の必要性の理由(MA,n=801) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% ウイルス・ワームの感染を防ぐため 84.1% インターネット上に個人情報等部内情報が漏 れるのを防ぐため 77.7% セキュリティ事故がブランドイメージや業績に 与える影響を防ぐため 66.7% システムの乗っ取り等により犯罪等へ悪用さ れるのを防ぐため 56.1% 事業を行う上で必要不可欠なため 47.7% DoS攻撃等によるシステムダウンを防ぐため 47.6% 顧客等との取引を万全なものとするため 41.2% 過去に不正アクセス等の被害に遭ったため その他 9.2% 1.5% 60 【業種別分析】業種別を見ると「金融」では、 「ウイルス・ワームの感染を防ぐため」が93.2% で最も多く、「インターネット上に顧客情報等の部内情報が漏れるのを防ぐため」が90.9% で続いている。「情報通信」では、「セキュリティ事故がブランドイメージや業績に与える 影響を防ぐため」が100.0%で最も多く、「インターネット上に顧客情報等の部内情報が漏れ るのを防ぐため」が88.9%で続いている。 インターネット上に顧客情報等の 部内情報が漏れるの防ぐため ウイルス・ワームの感染を防ぐた め 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 100.0% 製造業(n=206) 83.0% 不動産・建築(n=47) 70.2% 93.2% 73.7% 運輸業(n=29) 82.8% 情報通信(n=9) 金融(n=44) 90.9% エネルギー(n=19) 89.5% 88.9% サービス(n=126) 87.3% 行政サービス(n=166) 75.9% 情報通信(n=9) 81.7% 教育(n=150) 73.8% 教育(n=150) 88.0% 全体(n=801) 61.7% 運輸業(n=29) 66.7% サービス(n=126) 77.2% 不動産・建築(n=47) 金融(n=44) エネルギー(n=19) 50.0% 製造業(n=206) 84.1% 81.3% 行政サービス(n=166) 78.3% 全体(n=801) 77.7% システムの乗っ取り等により犯罪 等へ悪用されるのを防ぐため セキュリティ事故がブランドイメー ジや業績に与える影響を防ぐため 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 農林・水産・鉱業(n=4) 0.0% 製造業(n=206) 製造業(n=206) 68.0% 不動産・建築(n=47) 68.1% 金融(n=44) 不動産・建築(n=47) 金融(n=44) 84.1% エネルギー(n=19) 94.7% 運輸業(n=29) 情報通信(n=9) 100.0% サービス(n=126) 教育(n=150) 行政サービス(n=166) 全体(n=801) 情報通信(n=9) サービス(n=126) 67.5% 73.3% 48.2% 61 40.4% 47.7% 63.2% 48.3% 55.6% 46.0% 教育(n=150) 66.7% 行政サービス(n=166) 65.7% 全体(n=801) 66.7% 53.4% エネルギー(n=19) 運輸業(n=29) 75.9% 0.0% 56.1% 事業を行う上で必要不可欠なため DoS攻撃等によるシステムダウン を防ぐため 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 100.0% 製造業(n=206) 29.8% エネルギー(n=19) 44.8% 情報通信(n=9) 44.4% サービス(n=126) 34.0% 金融(n=44) 57.9% 運輸業(n=29) 36.4% 不動産・建築(n=47) 54.5% 47.7% エネルギー(n=19) 52.6% 運輸業(n=29) 41.4% 情報通信(n=9) 54.0% 66.7% サービス(n=126) 40.0% 行政サービス(n=166) 63.9% 全体(n=801) 50.0% 製造業(n=206) 金融(n=44) 教育(n=150) 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 37.9% 不動産・建築(n=47) 0.0% 47.7% 41.3% 教育(n=150) 59.3% 行政サービス(n=166) 59.0% 全体(n=801) 顧客等との取引を万全なものとす るため 0.0% 農林・水産・鉱業(n=4) 農林・水産・鉱業(n=4) 製造業(n=206) 58.7% 不動産・建築(n=47) 48.9% 金融(n=44) 金融(n=44) 75.0% エネルギー(n=19) 運輸業(n=29) 41.4% 情報通信(n=9) 0.0% 9.7% 2.1% 9.1% 15.8% 3.4% 情報通信(n=9) 66.7% サービス(n=126) 20.0% 40.0% 60.0% 80.0% 100.0% エネルギー(n=19) 52.6% 運輸業(n=29) 全体(n=801) 0.0% 0.0% 不動産・建築(n=47) 行政サービス(n=166) 過去に不正アクセス等の被害に 遭ったため 20.0% 40.0% 60.0% 80.0% 100.0% 製造業(n=206) 教育(n=150) 47.6% サービス(n=126) 39.7% 教育(n=150) 22.0% 行政サービス(n=166) 25.3% 全体(n=801) 41.2% 62 22.2% 4.8% 17.3% 6.6% 9.2% 3.3.3.情報セキュリティ運用・管理専門部署の有無 【全体】全体では、「ある」が59.0%、「ない」が40.1%で「ある」の回答が多い。 【全体】情報セキュリティ運用、管理専門部署の有無(SA,n=827) 0.8% ある 40.1% ない 59.0% 無回答 63 【業種別分析】業種別を見ると、情報セキュリティ運用・管理専門部署が「ある」について は「行政サービス」が75.4%、「エネルギー」が73.7%で多い。一方、情報セキュリティ運用・ 管理専門部署が「ない」については「運輸業」、「情報通信」がそれぞれ50.0%で多い。 【業種別分析】情報セキュリティ運用、管理専門部署の有無 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4) 50% 60% 70% 80% 55.1 44.4 不動産・建築(n=50) 54.0 44.0 金融(n=45) 55.6 42.2 エネルギー(n=19) 情報通信(n=10) サービス(n=131) 教育(n=152) 73.7 0.5 2.2 26.3 46.7 50.0 50.0 3.3 50.0 57.3 42.7 52.0 行政サービス(n=167) 全体(n=827) 100% 100.0 製造業(n=216) 運輸業(n=30) 90% 48.0 75.4 24.0 59.0 40.1 ある ない 64 無回答 0.6 0.8 【経年変化】昨年度と比較すると、「ある」が4.1ポイント減尐しているが、「なし」と比 べて18.9ポイント多い。 【経年変化】情報セキュリティ運用、管理専門部署の有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 59.0% ある 63.1% 59.7% 40.1% ない 36.1% 39.1% 平成23年度(n=827) 無回答 0.8% 平成22年度(n=841) 0.7% 平成21年度(n=930) 1.2% 65 100% 3.3.4.情報セキュリティに係る管理者、担当者の設置 【全体】 全体では、 「情報システム運用管理者が情報セキュリティについても兼務している」 が67.7%で最も多く、「情報システム運用管理者以外が情報セキュリティについても兼務し ている」が16.7%で続いており兼務者が多いことが分かる。一方、 「担当者は置いていない」 は6.0%となっている。 【全体】情報セキュリティに係る管理者、担当者の設置(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% 情報システム運用管理者が情報セキュリティにつ いても兼務している 67.7% 情報システム運用管理者以外が情報セキュリ ティについても兼務している 16.7% 専従の担当者を置いている 9.6% 担当者は置いていない 6.0% 66 【業種別分析】業種別を見ると、「専従の担当者を置いている」については、 「エネルギー」 が21.1%で最も多い。「情報システム運用管理者が情報セキュリティについても兼務してい る」については、「行政サービス」が77.8%、「製造業」が71.8%、「不動産・建設」が70.0% で7割を超えている。一方、「担当者は置いていない」については、「運輸業」の13.3%が最 も多い。 【業種別分析】情報セキュリティに係る管理者、担当者の設置 0% 10% 20% 30% 40% 50% 農林・水産・鉱業(n=4) 製造業(n=216) 不動産・建築(n=50) 金融(n=45) 70% 80% 90% 100% 100.0 9.3 28.9 55.6 21.1 運輸業(n=30) 10.0 情報通信(n=10) 10.0 60.0 サービス(n=131) 11.5 64.1 行政サービス(n=167) 9.6 全体(n=827) 9.6 6.7 68.4 60.0 5.3 21.1 10.0 13.3 10.0 専従の担当者を置いている 情報システム運用管理者が情報セキュリティについても兼務している 情報システム運用管理者以外が情報セキュリティについても兼務している 担当者は置いていない 無回答 6.9 11.8 19.8 77.8 67.7 10.0 14.5 11.2 59.2 67 8.0 16.0 70.0 13.3 5.1 18.1 71.8 12.0 エネルギー(n=19) 教育(n=152) 60% 16.7 6.0 【経年変化】昨年度と比較すると、「情報システム運用管理者が情報セキュリティについて も兼務している」が5.1ポイント減尐しているが、他の項目と比較して最も多い。 【経年変化】情報セキュリティに係る管理者、担当者の設置 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 67.7% 情報システム運用管理者が情報セ キュリティについても兼務している 72.8% 72.7% 16.7% 情報システム運用管理者以外が情報 セキュリティについても兼務している 20.6% 18.3% 9.6% 専従の担当者を置いている 10.8% 9.9% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 6.0% 担当者は置いていない 5.5% 8.4% 68 3.3.5.セキュリティポリシーの策定状況 【全体】全体では、「策定してある」が73.9%で最も多く、「策定はしていないが、今後策 定する予定」が12.7%、「現在策定を進めている」が8.0%で続いており、合計すると全体の 94.6%となっている。 【全体】セキュリティポリシーの策定状況(SA,n=827) 0.1% 4.2% 1.1% 策定してある 8.0% 策定はしていないが、 今後策定する予定 12.7% 現在策定を進めてい る 策定しておらず、今後 も策定の予定は無い 必要無い 73.9% 無回答 69 【業種別分析】業種別を見ると、セキュリティポリシーを「策定してある」については「エ ネルギー」が100.0%、「行政サービス」が96.4%、「金融」が93.3%で続いている。一方、「策 定しておらず、今後も策定の予定は無い」、「必要ない」は、全ての業種で尐ない回答とな っている。 【業種別分析】セキュリティポリシーの策定状況 0% 農林・水産・鉱業(n=4) 10% 20% 30% 40% 50.0 製造業(n=216) 60% 70% 80% 90% 100% 50.0 69.0 10.2 不動産・建築(n=50) 82.0 金融(n=45) 5.6 13.9 2.0 8.0 93.3 エネルギー(n=19) 1.4 8.0 2.2 4.4 100.0 運輸業(n=30) 76.7 情報通信(n=10) 3.3 60.0 サービス(n=131) 教育(n=152) 50% 20.0 10.0 80.2 40.8 13.3 5.3 20.4 6.7 10.0 10.7 2.3 0.8 0.8 6.6 31.6 0.7 0.6 行政サービス(n=167) 全体(n=827) 96.4 73.9 策定してある 策定はしていないが、今後策定する予定 必要無い 1.2 1.2 0.6 8.0 12.7 4.2 0.1 現在策定を進めている 策定しておらず、今後も策定の予定は無い 無回答 70 【経年変化】経年変化を見ると、「策定してある」は1.6ポイント減尐しているが最も多い。 【経年変化】セキュリティポリシーの策定状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 73.9% 75.5% 74.0% 策定してある 12.7% 12.0% 11.2% 策定はしていないが、今後策定する予 定 現在策定を進めている 策定しておらず、今後も策定の予定は 無い 必要無い 無回答 8.0% 7.5% 8.8% 4.2% 4.5% 5.3% 平成23年度(n=827) 0.1% 0.0% 0.4% 平成22年度(n=841) 平成21年度(n=930) 1.1% 0.5% 0.3% 71 3.3.6.情報セキュリティ侵害事案発生時の対応策の策定状況 【全体】全体では、「策定してある」が46.3%で最も多く、「策定していないが、必要性は 感じている」が29.1%で続いている。一方、「策定の必要性を感じない」は1.7%となってい る。 【全体】情報セキュリティ侵害事案発生時の対応策の策定状 況(SA,n=827) 策定してある 1.7% 0.8% 策定を検討してい る 29.1% 現在策定を進めて いる 46.3% 策定していないが、 必要性は感じてい る 策定の必要性を感 じない 9.2% 無回答 12.8% 72 【業種別分析】業種別を見ると、「策定してある」については、「行政サービス」の71.3% が最も多く、「金融」が64.4%、「エネルギー」が63.2%で続いている。 【業種別分析】情報セキュリティ侵害事案発生時の対応策の策定状況 0% 10% 20% 農林・水産・鉱業(n=4) 30% 40% 60% 70% 50.0 製造業(n=216) 7.9 38.0 4.0 金融(n=45) 64.4 エネルギー(n=19) 63.2 運輸業(n=30) 40.0 情報通信(n=10) 40.0 サービス(n=131) 全体(n=827) 16.0 100% 4.6 17.8 21.1 20.0 17.8 9.2 12.8 3.3 20.0 34.4 2.3 0.8 37.5 0.7 6.0 5.4 71.3 16.8 29.1 策定してある 現在策定を進めている 策定を検討している 策定していないが、必要性は感じている 策定の必要性を感じない 無回答 73 2.2 5.3 30.0 10.7 1.4 4.0 11.1 20.0 20.0 46.3 2.3 38.0 4.4 6.7 19.7 行政サービス(n=167) 90% 31.9 16.2 10.5 47.3 24.3 80% 50.0 40.3 不動産・建築(n=50) 教育(n=152) 50% 0.6 1.7 0.8 【経年変化】昨年度と比較すると、「策定してある」が0.2ポイント減尐しているが最も多 い。 【経年変化】情報セキュリティ侵害事案発生時の対応策の策定状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 46.3% 46.5% 45.2% 策定してある 29.1% 28.2% 29.0% 策定していないが、必要性は感じてい る 12.8% 13.0% 14.5% 策定を検討している 現在策定を進めている 9.2% 8.9% 9.4% 平成23年度(n=827) 策定の必要性を感じない 無回答 1.7% 1.9% 1.1% 平成22年度(n=841) 平成21年度(n=930) 0.8% 1.5% 0.9% 74 3.3.7.ウェブサイトのぜい弱性を意図的に利用した不正アクセスの知識について 【全体】全体では、「知っている」が85.6%、「知らない」が13.5%で「知っている」の回答 が多い。 【全体】ウェブサイトのぜい弱性を意図的に利用した不正アクセ スの知識について(SA,n=827) 0.8% 13.5% 知っている 知らない 無回答 85.6% 75 【業種別分析】業種別を見ると、「知っている」については、「教育」が93.4%、「行政サ ービス」が93.4%で最も多い。一方、「知らない」については、「不動産・建築」が24.0% で最も多い。 【業種別分析】ウェブサイトのぜい弱性を意図的に利用した不正アクセス の知識について 0% 10% 20% 30% 40% 50% 農林・水産・鉱業(n=4) 70% 80% 90% 100% 100.0 製造業(n=216) 不動産・建築(n=50) 60% 80.1 19.0 24.0 72.0 金融(n=45) 0.9 86.7 4.0 13.3 エネルギー(n=19) 84.2 15.8 運輸業(n=30) 83.3 16.7 情報通信(n=10) 80.0 20.0 サービス(n=131) 81.7 18.3 教育(n=152) 93.4 5.3 1.3 行政サービス(n=167) 93.4 6.6 全体(n=827) 85.6 知っている 76 13.5 知らない 無回答 0.8 【経年変化】昨年度と比較すると、「知っている」が0.6ポイント減尐しているが、「知ら ない」と比べて72.1ポイント多い。 【経年変化】ウェブサイトのぜい弱性を意図的に利用した不 正アクセスの知識について 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 85.6% 知っている 86.2% 13.5% 知らない 12.6% 平成23年度(n=827) 平成22年度(n=841) 0.8% 無回答 1.2% 77 3.3.8.ぜい弱性情報を元にした自社システムの対策について 【全体】全体では、「実施した」が58.9%、「実施していない」が37.1%で「実施した」の回 答が多い。 【全体】ぜい弱性情報を元にした自社システムの対策 について(SA,n=708) 4.0% 実施した 37.1% 実施していない 58.9% 無回答 78 【業種別分析】業種別を見ると、「実施した」については、「エネルギー」が100.0%で最も 多く、「行政サービス」が70.5%、「金融」が66.7%で続いている。一方、「実施していない」 については、「不動産・建築」が63.9%で最も多い。 【業種別分析】ぜい弱性情報を元にした対策について 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4) サービス(n=107) 90% 100% 2.9 63.9 36.1 66.7 23.1 10.3 100.0 44.0 8.0 48.0 50.0 50.0 55.1 教育(n=142) 43.9 63.4 行政サービス(n=156) 全体(n=708) 80% 46.2 エネルギー(n=16) 情報通信(n=8) 70% 50.9 金融(n=39) 運輸業(n=25) 60% 100.0 製造業(n=173) 不動産・建築(n=36) 50% 0.9 34.5 70.5 21.8 58.9 37.1 実施した 実施していない 79 無回答 2.1 7.7 4.0 【経年変化】昨年度と比較すると、「実施した」が4.5ポイント減尐しているが、「実施し ていない」と比べて21.8ポイント多い。 【経年変化】ぜい弱性情報を元にした自社システムの対 策について 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 58.9% 実施した 63.4% 37.1% 実施していない 34.8% 平成23年度(n=708) 平成22年度(n=725) 4.0% 無回答 1.8% 80 3.3.9.ぜい弱性調査(ペネトレーションテスト)の有無 【全体】全体では、「実施していない」が74.6%、「実施している」が23.3%で「実施してい ない」の回答が多い。 【全体】ぜい弱性調査(ペネトレーションテスト)の有無 (SA,n=827) 2.1% 実施して いない 23.3% 実施して いる 無回答 74.6% 81 【業種別分析】業種別を見ると、「実施している」について、「エネルギー」が57.9%で最 も多く、「行政サービス」が55.7%で続いている。一方、「実施していない」では、「情報 通信」が90.0%で最も多く、「教育」が88.2%、「不動産・建築」が88.0%で続いている。 【業種別分析】ぜい弱性調査(ペネトレーションテスト)の有無 0% 10% 20% 農林・水産・鉱業(n=4) 製造業(n=216) 不動産・建築(n=50) サービス(n=131) 教育(n=152) 60% 70% 80% 90% 100% 2.3 85.2 88.0 6.0 6.0 35.6 2.2 62.2 57.9 36.8 13.3 5.3 3.3 83.3 10.0 90.0 15.3 0.8 84.0 10.5 1.3 88.2 行政サービス(n=167) 全体(n=827) 50% 50.0 12.5 エネルギー(n=19) 情報通信(n=10) 40% 50.0 金融(n=45) 運輸業(n=30) 30% 55.7 0.6 43.7 23.3 74.6 実施している 実施していない 82 2.1 無回答 【経年変化】昨年度と比較すると、「実施していない」が5.8ポイント増加しており、「実 施している」 と比べて51.3ポイント多く、 ぜい弱性調査の実施が進んでいないことが分かる。 【経年変化】ぜい弱性調査(ペネトレーションテスト)の有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 74.6% 実施していない 68.8% 74.9% 23.3% 実施している 29.1% 23.9% 平成23年度(n=827) 2.1% 平成22年度(n=841) 無回答 2.0% 平成21年度(n=930) 1.2% 83 3.3.10.セキュリティ対策に関する部外チェック等の実施状況 【全体】全体では、「特に実施していない」が36.4%で最も多く、「部内での自己チェック ですませている」が34.0%で続いている。一方、「認証は受けていないが、部外の専門家に よるチェックを受けている」は16.7%である。 【全体】セキュリティ対策に関する部外チェック等の実施状況 (SA,n=827) 特に実施していな い 4.1% 0.7% 部内での自己 チェックですませて いる 8.0% 36.4% 16.7% 認証は受けていな いが、部外の専門 家によるチェックを 受けている ISMS等の認証を受 けている その他 無回答 34.0% 84 【業種別分析】業種別を見ると、「ISMS等の認証を受けている」については、「サービス」 の22.9%が最も多い。また、「認証は受けていないが、部外の専門家によるチェックを受け ている」については、「金融」の42.2%が最も多い。 【業種別分析】セキュリティ対策に関する部外チェック等の実施調査 0% 10% 20% 農林・水産・鉱業(n=4) 製造業(n=216) 不動産・建築(n=50) 金融(n=45) 情報通信(n=10) 5.1 行政サービス(n=167) 全体(n=827) 50% 60% 70% 10.0 2.2 2.3 35.6 28.9 15.8 26.7 10.0 8.0 10.0 21.1 50.0 30.0 9.9 29.0 36.2 2.0 7.9 24.0 16.7 34.0 20.0 32.1 5.3 3.3 50.0 41.3 6.6 4.1 0.8 0.7 22.2 36.4 ISMS等の認証を受けている 認証は受けていないが、部外の専門家によるチェックを受けている 部内での自己チェックですませている その他 特に実施していない 無回答 85 0.9 20.0 26.3 40.0 22.9 5.4 6.7 36.8 6.7 100% 56.0 42.2 6.7 90% 39.8 22.0 12.0 80% 50.0 16.2 サービス(n=131) 教育(n=152) 40% 50.0 エネルギー(n=19) 運輸業(n=30) 30% 0.7 【経年変化】昨年度と比較すると、「特に実施していない」が3.1ポイント増加しており最 も多い。一方、「部内での自己チェックですませている」は1.1ポイント減尐している。 【経年変化】セキュリティ対策に関する部外チェック等の実施状況 0% 10% 20% 30% 70% 80% 16.7% 19.0% 16.5% 認証は受けていないが、部外の専門家による チェックを受けている 無回答 60% 34.0% 35.1% 33.8% 部内での自己チェックですませている その他 50% 36.4% 33.3% 37.8% 特に実施していない ISMS等の認証を受けている 40% 8.0% 7.4% 6.8% 4.1% 3.8% 4.5% 0.7% 1.4% 0.6% 86 平成23年度 (n=827) 平成22年度 (n=841) 平成21年度 (n=930) 90% 100% 3.3.11.セキュリティ監査の実施(予定)頻度 【全体】全体では、「実施していない」が32.3%で最も多く、「1 年ごとに」が30.0%、「特 に決まっていない」が22.1%で続いている。「3ヶ月ごとに」、「半年ごとに」、「1年ごと に」、「隔年(2年)ごとに」、「特に決まっていない(不定期)」を合計すると、6割以上 がセキュリティ監査を実施していることが分かる。 【全体】セキュリティ監査の実施(予定)頻度(SA,n=827) 1.3% 2.1% 2.2% 3ヶ月ごとに 5.4% 半年ごとに 1年ごとに 32.3% 隔年(2年)ごとに 30.0% 特に決まっていない (不定期) 実施を予定している 実施していない 3.4% 1.2% 22.1% その他 無回答 87 【業種別分析】業種別を見ると、セキュリティ監査を実施するとの回答の合計は、「情報通 信」が90.0%で最も多い。 【業種別分析】セキュリティ監査の実施(予定)頻度 0% 10% 20% 農林・水産・鉱業(n=4) 30% 60% 70% 4.0 10.0 エネルギー(n=19) 20.0 サービス(n=131) 4.6 6.1 教育(n=152) 20.0 2.0 90% 100% 29.2 20.0 20.0 20.0 5.3 10.0 0.8 9.2 2.2 33.3 40.0 1.5 2.3 23.7 21.1 6.7 20.0 35.1 2.3 44.0 21.1 3.3 20.0 12.5 2.6 2.3 2.2 6.7 30.0 10.0 19.4 36.8 6.7 情報通信(n=10) 0.9 0.9 42.2 15.8 80% 50.0 33.3 金融(n=45) 2.2 4.4 運輸業(n=30) 50% 50.0 製造業(n=216) 3.2 8.3 不動産・建築(n=50) 40% 30.5 48.7 0.8 0.7 0.7 2.0 行政サービス(n=167) 38.3 0.6 全体(n=827) 2.2 5.4 30.0 2.4 3.0 1.2 2.1 27.5 22.1 3.0 3.4 25.1 32.3 半年ごとに 隔年(2年)ごとに 特に決まっていない(不定期) 実施していない 3ヶ月ごとに 1年ごとに その他 実施を予定している 無回答 88 1.3 【経年変化】昨年度と比較すると、「実施していない」が1.3ポイント増加し最も多い。ま た、「1年ごとに」は2.4ポイント増加している。 【経年変化】セキュリティ監査の実施(予定)頻度 0% 10% 40% 50% 60% 70% 80% 30.0% 27.6% 24.0% 1年ごとに 22.1% 26.3% 27.0% 特に決まっていない(不定期) 実施を予定している 30% 32.3% 31.0% 34.4% 実施していない 半年ごとに 20% 5.4% 6.1% 6.2% 3.4% 3.7% 3.9% 3ヶ月ごとに 2.2% 1.2% 1.0% 隔年(2年)ごとに 1.2% 0.7% 0.8% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) その他 2.1% 2.3% 1.8% 無回答 1.3% 1.2% 1.0% 89 90% 100% 3.4.セキュリティ教育 3.4.1.セキュリティ教育の実施状況 【全体】全体では、「実施している」が62.6%で最も多く、「実施はしていないが必要性 を感じる」が28.2%で続いている。一方、「実施の必要性を感じない(実施していない)」 は2.9%となっている。 【全体】情報セキュリティ教育の実施状況(SA,n=827) 0.6% 5.7% 2.9% 実施している 実施はしていない が必要性を感じる 28.2% 実施を予定してい る 62.6% 実施の必要性を感 じない(実施してい ない) 無回答 90 【業種別分析】業種別を見ると、「実施している」については、「行政サービス」が82.0% で最も多い。一方、「実施の必要を感じない」については、「不動産・建築」の10.0%が最 も多い。 【業種別分析】情報セキュリティ教育の実施状況 0% 10% 農林・水産・鉱業(n=4) 20% 30% 80% 3.7 90% 10.0 36.0 71.1 22.2 6.7 78.9 46.7 21.1 36.7 10.0 6.7 70.0 サービス(n=131) 100% 4.6 0.9 31.5 6.0 48.0 情報通信(n=10) 30.0 62.6 5.3 50.0 82.0 62.6 29.8 2.3 38.8 8.6 行政サービス(n=167) 全体(n=827) 70% 50.0 エネルギー(n=19) 教育(n=152) 60% 59.3 金融(n=45) 運輸業(n=30) 50% 50.0 製造業(n=216) 不動産・建築(n=50) 40% 2.6 4.8 5.7 28.2 12.6 2.9 0.6 実施している 実施を予定している 実施はしていないが必要性を感じる 実施の必要性を感じない(実施していない) 無回答 91 0.6 【経年変化】昨年度と比較して、「実施している」は1.3ポイント減尐しているが最も多い。 【経年変化】情報セキュリティ教育の実施状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 62.6% 63.9% 56.3% 実施している 28.2% 28.5% 34.1% 実施はしていないが必要性を感じ る 実施を予定している 実施の必要性を感じない(実施し ていない) 5.7% 5.1% 6.2% 2.9% 1.7% 2.5% 平成23年度(n=827) 平成22年度(n=841) 無回答 平成21年度(n=930) 0.6% 0.8% 0.9% 92 3.4.2.情報セキュリティ教育の目的 【全体】全体では、「情報セキュリティに対する意識の向上」が96.5%で最も多く、「情報 セキュリティポリシーの普及」が64.6%、「社・団体内の不正行為の防止」が58.6%で続いて いる。 *本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象とし ている。 【全体】情報セキュリティ教育の目的(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 情報セキュリティに対する意識の向上 96.5% 情報セキュリティポリシーの普及 64.6% 社・団体内の不正行為の防止 58.6% 自己啓発 その他 20.4% 0.7% 93 【業種別分析】業種別を見ると、全ての業種において、「情報セキュリティに対する意識の向 上」が最も多い。 情報セキュリティに対する意識の向上 0.0% 20.0% 40.0% 60.0% 情報セキュリティポリシーの普及 80.0% 100.0% 0.0% 農林・水産・鉱業(n=4) 100.0% 農林・水産・鉱業(n=4) 製造業(n=136) 94.1% 製造業(n=136) 不動産・建築(n=27) 92.6% 不動産・建築(n=27) 金融(n=35) 100.0% 金融(n=35) エネルギー(n=15) 100.0% エネルギー(n=15) 運輸業(n=17) 50.0% 64.0% 51.9% 68.6% 80.0% 運輸業(n=17) 88.2% 情報通信(n=7) 100.0% 情報通信(n=7) サービス(n=89) 97.8% サービス(n=89) 教育(n=89) 97.8% 教育(n=89) 行政サービス(n=145) 97.2% 行政サービス(n=145) 全体(n=565) 96.5% 全体(n=565) 58.8% 42.9% 77.5% 41.6% 73.1% 64.6% 社・団体内の不正行為の防止 0.0% 農林・水産・鉱業(n=4) 全体(n=565) 金融(n=35) エネルギー(n=15) 66.7% 運輸業(n=17) 41.2% 情報通信(n=7) 50.0% 13.2% 不動産・建築(n=27) 62.9% 情報通信(n=7) 57.1% サービス(n=89) 行政サービス(n=145) 製造業(n=136) 61.8% 金融(n=35) 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 59.3% エネルギー(n=15) 教育(n=89) 0.0% 50.0% 不動産・建築(n=27) 運輸業(n=17) 自己啓発 20.0% 40.0% 60.0% 80.0% 100.0% 製造業(n=136) 20.0% 40.0% 60.0% 80.0% 100.0% サービス(n=89) 62.9% 教育(n=89) 41.6% 行政サービス(n=145) 64.1% 全体(n=565) 58.6% 94 18.5% 14.3% 13.3% 5.9% 28.6% 21.3% 28.1% 24.8% 20.4% 【経年変化】昨年度と比較すると、「情報セキュリティに対する意識の向上」が1.7ポイン ト増加して最も多い。一方、「情報セキュリティポリシーの普及」は4.0ポイント減尐して いる。 【経年変化】情報セキュリティ教育の目的 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 96.5% 情報セキュリティに対する意識の向上 94.8% 96.6% 64.6% 情報セキュリティポリシーの普及 68.6% 64.4% 58.6% 社・団体内の不正行為の防止 64.1% 59.1% 20.4% 自己啓発 24.0% 18.2% 平成23年度(n=565) 平成22年度(n=580) 平成21年度(n=582) 0.7% その他 1.6% 1.4% 95 3.4.3.情報セキュリティ教育の対象者 【全体】全体では、「新規採用の正社員・職員」が82.1%で最も多く、「その他の正社員・ 職員」が61.2%、「管理職についている正社員・職員」が60.2%、「システム管理部門の正社 員・職員」が55.4%で続いている。上位4項目はいずれも正社員・職員に対する教育となって いることが分かる。 * 本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象 としている。 【全体】情報セキュリティ教育の対象者(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 新規採用の正社員・職員 61.2% 管理職についている正社員・職員 60.2% システム管理部門の正社員・職員 55.4% 情報セキュリティ対策の責任者 46.9% 派遣社員 33.8% 関連会社の社員・職員 13.6% 学生・生徒 13.1% その他 90% 82.1% その他の正社員・職員 取引先の社員・職員 80% 3.2% 6.2% 96 100% 【業種別分析】業種別を見ると、「エネルギー」では、「新規採用の正社員・職員」、「そ の他の正社員・職員」、「管理職についている正社員・職員」、「情報セキュリティ対策の 責任者」が93.3%で最も多く、「システム管理部門の正社員・職員」が80.0%、「派遣社員」 が73.3%で続いており、多様な人材を対象としていることが分かる。 新規採用の正社員・職員 0.0% 20.0% 40.0% その他の正社員・職員 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 100.0% 製造業(n=136) 0.0% 情報通信(n=7) 情報通信(n=7) 61.8% 全体(n=565) 管理職についている正社員・職員 80.0% 農林・水産・鉱業(n=4) 0.0% 71.4% 80.0% 47.1% 情報通信(n=7) 66.3% 42.9% サービス(n=89) 41.6% 行政サービス(n=145) 44.4% 運輸業(n=17) 71.4% 65.2% 教育(n=89) 58.6% 全体(n=565) 39.3% 行政サービス(n=145) 60.2% 51.0% 全体(n=565) 55.4% 派遣社員 情報セキュリティ対策の責任者 0.0% 農林・水産・鉱業(n=4) 製造業(n=136) 不動産・建築(n=27) 20.0% 40.0% 60.0% 農林・水産・鉱業(n=4) 教育(n=89) 全体(n=565) 60.0% 33.3% 57.1% エネルギー(n=15) 93.3% 73.3% 運輸業(n=17) 41.2% 35.3% 情報通信(n=7) 57.1% 57.1% サービス(n=89) 52.8% 51.7% 教育(n=89) 36.0% 行政サービス(n=145) 44.8% 全体(n=565) 46.9% 97 80.0% 41.2% 金融(n=35) 57.1% 情報通信(n=7) 40.0% 0.0% 不動産・建築(n=27) 44.4% サービス(n=89) 20.0% 製造業(n=136) 47.1% エネルギー(n=15) 行政サービス(n=145) 0.0% 100.0% 0.0% 金融(n=35) 運輸業(n=17) 80.0% 100.0% 61.8% エネルギー(n=15) 58.8% 教育(n=89) 80.0% 金融(n=35) 93.3% サービス(n=89) 60.0% 50.0% 不動産・建築(n=27) エネルギー(n=15) 情報通信(n=7) 40.0% 製造業(n=136) 68.6% 運輸業(n=17) 20.0% 農林・水産・鉱業(n=4) 55.6% 金融(n=35) 61.2% システム管理部門の正社員・職員 63.2% 不動産・建築(n=27) 57.9% 100.0% 100.0% 製造業(n=136) 53.9% 全体(n=565) 82.1% 60.0% 69.7% 行政サービス(n=145) 91.0% 40.0% 57.1% 教育(n=89) 行政サービス(n=145) 20.0% 93.3% 47.1% サービス(n=89) 89.9% 0.0% 71.4% 運輸業(n=17) 85.7% 教育(n=89) 61.0% エネルギー(n=15) 82.4% サービス(n=89) 100.0% 51.9% 金融(n=35) 93.3% 運輸業(n=17) 80.0% 100.0% 不動産・建築(n=27) 80.0% エネルギー(n=15) 60.0% 製造業(n=136) 85.2% 金融(n=35) 40.0% 農林・水産・鉱業(n=4) 78.7% 不動産・建築(n=27) 20.0% 31.5% 7.6% 33.8% 100.0% 【経年変化】昨年度と比較して、 「新規採用の正社員・職員」が 1.7 ポイント減尐している が最も多い。 【経年変化】情報セキュリティ教育の対象者 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 82.1% 83.8% 80.2% 新規採用の正社員・職員 61.2% 61.9% 59.1% その他の正社員・職員 60.2% 63.4% 62.5% 管理職についている正社員・職員 55.4% 54.3% 56.4% システム管理部門の正社員・職員 46.9% 46.6% 44.7% 情報セキュリティ対策の責任者 33.8% 32.8% 37.8% 派遣社員 13.6% 13.3% 14.8% 関連会社の社員・職員 学生・生徒 3.6% 取引先の社員・職員 その他 3.2% 2.8% 13.1% 11.9% 平成23年度(n=565) 平成22年度(n=580) 平成21年度(n=582) 11.3% 6.2% 5.3% 5.5% 98 3.4.4.情報セキュリティ教育の実施内容 【全体】全体では、「個人情報の保護・管理」が81.4%で最も多く、「情報セキュリティポ リシー」が73.1%、「情報へのアクセス管理(パスワード等)」が69.7%、「機密情報の保護・ 管理」が68.5%で続いている。 * 本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象 としている。 【全体】情報セキュリティ教育の実施内容(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人情報の保護・管理 81.4% 情報セキュリティポリシー 73.1% 情報へのアクセス管理(パスワード管理等) 69.7% 機密情報の保護・管理 68.5% ウイルス・ワーム対策 67.6% 情報システム利用に係るネチケット 52.6% 文書の管理 34.2% 社外ネットワークへの接続 31.3% 緊急時の対応 30.6% 技術的なセキュリティ対策(システムぜい弱性、堅牢化 設定等) 14.3% サイバー犯罪の防止 13.5% ソーシャルエンジニアリング対策 その他 11.3% 0.9% 99 【業種別分析】次に挙げた業種別で見ると、「個人情報の保護・管理」については、「金融」 で97.1%、「行政サービス」で86.2%と、他の業種と比較して多い。 金融 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 71.4% 73.1% 情報セキュリティポリシー 情報システム利用に係るネチケッ ト 42.9% 52.6% 個人情報の保護・管理 81.4% 71.4% 68.5% 機密情報の保護・管理 45.7% ウイルス・ワーム対策 67.6% 情報へのアクセス管理(パスワー ド管理等) 82.9% 69.7% 28.6% 31.3% 社外ネットワークへの接続 48.6% 34.2% 文書の管理 20.0% 30.6% 緊急時の対応 ソーシャルエンジニアリング対策 17.1% 11.3% 技術的なセキュリティ対策(システ ムぜい弱性、堅牢化設定等) 14.3% 14.3% 17.1% 13.5% サイバー犯罪の防止 その他 97.1% 金融(n=35) 全体(n=565) 0.0% 0.9% 行政サービス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 75.9% 73.1% 情報セキュリティポリシー 情報システム利用に係るネチケッ ト 51.7% 52.6% 86.2% 81.4% 個人情報の保護・管理 70.3% 68.5% 機密情報の保護・管理 65.5% 67.6% ウイルス・ワーム対策 情報へのアクセス管理(パスワー ド管理等) 69.0% 69.7% 20.7% 31.3% 社外ネットワークへの接続 27.6% 34.2% 文書の管理 29.7% 30.6% 緊急時の対応 ソーシャルエンジニアリング対策 15.2% 11.3% 技術的なセキュリティ対策(システ ムぜい弱性、堅牢化設定等) 13.8% 14.3% サイバー犯罪の防止 15.9% 13.5% その他 0.7% 0.9% 100 行政サービス (n=145) 全体(n=565) 【経年変化】昨年度と比較すると、「個人情報の保護・管理」が1.1ポイント増加して最も 多い。一方、「情報セキュリティポリシー」は7.2ポイント減尐している。 【経年変化】情報セキュリティ教育の実施内容 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人情報の保護・管理 81.4% 80.3% 82.5% 情報セキュリティポリシー 73.1% 80.3% 82.5% 情報へのアクセス管理(パスワード管理 等) 69.7% 72.9% 77.0% 68.5% 67.4% 71.0% 機密情報の保護・管理 67.6% 66.4% 65.1% ウイルス・ワーム対策 52.6% 47.2% 50.7% 情報システム利用に係るネチケット 34.2% 32.6% 33.7% 文書の管理 社外ネットワークへの接続 31.3% 27.4% 30.1% 緊急時の対応 30.6% 30.9% 27.0% 技術的なセキュリティ対策(システムぜ い弱性、堅牢化設定等) 14.3% 12.4% 12.5% サイバー犯罪の防止 13.5% 9.8% 11.0% ソーシャルエンジニアリング対策 その他 11.3% 10.3% 7.0% 0.9% 1.4% 1.2% 101 平成23年度(n=565) 平成22年度(n=580) 平成21年度(n=582) 3.4.5.情報セキュリティ教育の頻度 【全体】全体では、「年に1回」が46.4%で最も多く、「年に数回」が23.9%、「採用・異動 時等に実施」が14.7%で続いている。 * 本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象 としている。 【全体】情報セキュリティ教育の実施頻度(SA,n=565) 3.7% 2.7% 4.2% 4.4% 46.4% 年に1回 14.7% 年に数回 採用、異動時等に実施 月に1回以上 2、3年に1回 その他 23.9% 無回答 102 【業種別分析】業種別を見ると、「月に1回以上」については、「製造業」が9.6%で最も多 く、「年に数回」については、「金融」が45.7%で最も多い。年に1回以上(「月に1回以上」、 「年に数回」、「年に1回」の合計)を見ると、「エネルギー」が100.0%で最も多く、「情 報通信」が85.7%、「行政サービス」が80.7%、「金融」が77.2%で続いている。 【業種別分析】情報セキュリティ教育の実施頻度 0% 10% 20% 農林・水産・鉱業(n=4) 9.6 3.7 60% 70% 45.7 17.6 50.6 4.5 23.9 46.4 月に1回以上 年に数回 年に1回 2、3年に1回 採用、異動時等に実施 その他 無回答 103 5.6 4.8 4.2 5.6 13.5 9.0 3.4 46.2 32.4 5.9 5.9 14.3 40.4 19.1 4.4 2.2 8.6 57.1 29.2 行政サービス(n=145) 2.1 14.3 5.9 28.6 教育(n=89) 3.4 1.5 73.3 47.1 4.5 100% 33.3 28.6 17.6 情報通信(n=7) 90% 21.3 7.4 44.4 26.7 運輸業(n=17) 80% 4.4 48.5 11.1 エネルギー(n=15) 全体(n=565) 50% 50.0 12.5 金融(n=35) 2.9 サービス(n=89) 40% 50.0 製造業(n=136) 不動産・建築(n=27) 30% 9.0 10.3 14.7 2.2 3.7 3.4 0.7 2.7 【経年変化】昨年度と比較すると、「年に1回」が2.4ポイント増加して最も多い。一方、「年 に数回」は3.0ポイント減尐している。 【経年変化】情報セキュリティ教育の実施頻度 0% 10% 20% 30% 40% 70% 80% 23.9% 26.9% 27.3% 年に数回 14.7% 11.7% 13.9% 採用、異動時等に実施 2、3年に1回 60% 46.4% 44.0% 41.1% 年に1回 月に1回以上 50% 4.4% 4.0% 2.2% 4.2% 5.3% 5.8% 平成23年度(n=565) 平成22年度(n=580) その他 無回答 3.7% 4.8% 7.2% 平成21年度(n=582) 2.7% 3.3% 2.4% 104 90% 100% 3.5.物理的セキュリティ対策 3.5.1.事務所へのPC等の持込み、持ち出し制限 【全体】全体では、「PCの持込み・持ち出しを制限している」が69.2%で最も多く、「個人 所有のPCの業務利用を制限している」が67.4%、「USBメモリ等の記録媒体の持ち出しを制限 している」が51.9%、「USBメモリ等の記録媒体の持込みを制限している」が47.0%で続いて いる。 【全体】事務所へのPC等の持込み、持ち出し制限(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% PCの持込み・持ち出しを制限している 69.2% 個人所有のPCの業務利用を制限している 67.4% USBメモリ等の記録媒体の持ち出しを制限している 51.9% USBメモリ等の記録媒体の持込みを制限している 47.0% 持込み・持ち出し専用のPCを用意している 38.8% その他 6.7% 特に制限は無い 15.5% 105 【業種別分析】次に挙げた業種別で見ると、「金融」、「行政サービス」については、「PC の持ち込み・持ち出しを制限している」がそれぞれ88.9%、94.0%と最も多い。 金融 エネルギー 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% PCの持ち込み・持ち出しを制限し ている 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 88.9% PCの持ち込み・持ち出しを制限し ている 69.2% 持ち込み・持ち出し専用のPCを用 意している 51.1% 38.8% USBメモリなどの記録媒体の持ち 出しを制限している 51.9% 持ち込み・持ち出し専用のPCを用 意している 84.4% 個人所有のPCの業務利用を制 限している 84.4% 84.4% その他 15.5% 全体(n=827) 特に制限はない 0.0% 6.7% PCの持ち込み・持ち出しを制限し ている 91.6% 67.4% USBメモリなどの記録媒体の持ち 込みを制限している 60.0% 47.0% 0.0% 6.7% その他 情報通信(n=10) 15.5% 75.4% 51.9% 個人所有のPCの業務利用を制 限している 60.0% 67.4% 0.0% 58.7% 38.8% USBメモリなどの記録媒体の持ち 出しを制限している 90.0% 51.9% USBメモリなどの記録媒体の持ち 込みを制限している 94.0% 69.2% 持ち込み・持ち出し専用のPCを用 意している 70.0% 38.8% 個人所有のPCの業務利用を制 限している 全体(n=827) PCの持ち込み・持ち出しを制限し ている 90.0% USBメモリなどの記録媒体の持ち 出しを制限している 15.5% 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 69.2% 持ち込み・持ち出し専用のPCを用 意している エネルギー(n=19) 0.0% 行政サービス 情報通信 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 特に制限はない 68.4% 47.0% 金融(n=45) 2.2% その他 84.2% 67.4% USBメモリなどの記録媒体の持ち 込みを制限している 6.7% 6.7% 特に制限はない 89.5% 51.9% 個人所有のPCの業務利用を制 限している 47.0% その他 78.9% 38.8% USBメモリなどの記録媒体の持ち 出しを制限している 67.4% USBメモリなどの記録媒体の持ち 込みを制限している 89.5% 69.2% 特に制限はない 全体(n=827) 106 70.7% 47.0% 7.2% 6.7% 0.6% 15.5% 行政サービス (n=167) 全体(n=827) 【経年変化】昨年度と比較すると、「PCの持込み・持ち出しを制限している」が1.8ポイン ト増加して最も多い。 【経年変化】事務所へのPC等の持込み、持ち出し制限 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% PCの持込み・持ち出しを制限している 69.2% 67.4% 70.1% 個人所有のPCの業務利用を制限し ている 67.4% 67.7% 66.8% 51.9% 48.6% 48.9% USBメモリ等の記録媒体の持ち出しを 制限している 47.0% 40.7% 40.2% USBメモリ等の記録媒体の持込みを制 限している 38.8% 35.6% 34.5% 持込み・持ち出し専用のPCを用意して いる その他 特に制限は無い 平成23年度(n=827) 6.7% 5.0% 4.9% 平成22年度(n=841) 平成21年度(n=930) 15.5% 14.3% 13.5% 107 3.5.2.重要施設における入退室の管理方法 【全体】全体では、「登録者以外の入室規制」が51.8%で最も多く、「記帳」が42.1%で続い ており、制度的対忚による管理の実施率が高い。また、「ICカード」が34.7%、「監視カメ ラ」が27.7%で技術的対忚による管理も行われている。一方、「特に何も行っていない」は 12.1%であり、9割近くが何らかの入退室管理を行っている。 【全体】重要施設における入退室の管理方法(MA,n=827) 0% 10% 20% 30% 40% 50% 登録者以外の入室規制 51.8% 記帳 42.1% ICカード 34.7% 監視カメラ 27.7% 暗証番号 19.2% バイオメトリクス(指紋等での認証) 16.6% 磁気カード 警備員 重要な施設は存在しない その他 特に何も行っていない 60% 13.7% 9.4% 4.2% 7.7% 12.1% 108 70% 80% 90% 100% 【業種別分析】次に挙げた業種別で見ると、入退室管理の手段について、「金融」は、「監 視カメラ」が66.7%で最も多く、「登録者以外の入室規制」が64.4%、「記帳」が57.8%で続 いている。「エネルギー」は、「ICカード」が73.7%で最も多く、「行政サービス」は、「記 帳」が71.3%で最も多い。 金融 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 64.4% 51.8% 登録者以外の入室規制 57.8% 42.1% 記帳 33.3% 19.2% 暗証番号 磁気カード 17.8% 13.7% ICカード 34.7% 監視カメラ 警備員 57.8% 66.7% 27.7% 9.4% バイオメトリクス(指紋等での認 証) 46.7% 26.7% 16.6% 重要な施設は存在しない 8.9% 4.2% その他 4.4% 7.7% 金融(n=45) 0.0% 12.1% 全体(n=827) 特に何も行っていない 行政サービス エネルギー 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 57.5% 51.8% 登録者以外の入室規制 63.2% 51.8% 登録者以外の入室規制 34.7% 監視カメラ 警備員 バイオメトリクス(指紋等での認 証) 重要な施設は存在しない その他 特に何も行っていない 磁気カード 10.5% 13.7% ICカード 16.6% 0.0% 4.2% 5.3% 7.7% 0.0% 12.1% 73.7% 68.4% 27.7% 9.4% 42.1% 34.7% 34.7% 監視カメラ 35.9% 27.7% バイオメトリクス(指紋等での認 証) 42.1% 重要な施設は存在しない その他 エネルギー (n=19) 特に何も行っていない 全体(n=827) 109 19.8% 13.7% ICカード 警備員 47.4% 71.3% 30.5% 19.2% 暗証番号 26.3% 19.2% 暗証番号 磁気カード 記帳 57.9% 42.1% 記帳 4.8% 9.4% 16.6% 0.0% 4.2% 3.0% 7.7% 0.0% 12.1% 33.5% 行政サービス (n=167) 全体(n=827) 【経年変化】昨年度と比較すると、「登録者以外の入室規制」が0.6ポイント増加し最も多 い。 【経年変化】重要施設における入退室の管理方法 0% 10% 20% 30% 40% 27.7% 26.9% 21.5% 監視カメラ 19.2% 21.6% 17.3% 暗証番号 16.6% 18.3% 14.9% バイオメトリクス(指紋等での認証) 13.7% 16.8% 14.0% 磁気カード 特に何も行っていない 80% 34.7% 31.3% 26.7% ICカード その他 70% 42.1% 41.6% 39.0% 記帳 重要な施設は存在しない 60% 51.8% 51.2% 46.9% 登録者以外の入室規制 警備員 50% 9.4% 13.3% 10.9% 平成23年度(n=827) 平成22年度(n=841) 4.2% 3.0% 3.7% 平成21年度(n=930) 7.7% 8.1% 8.0% 12.1% 11.7% 15.9% 110 90% 100% 3.5.3.重要施設へのPC等の持込み、持ち出し制限 【全体】全体では、「PCの持込み・持ち出しを制限している」が63.7%で最も多く、「個人 所有のPCの業務利用を制限している」が57.1%、「USBメモリ等の記録媒体の持ち出しを制限 している」が48.4%、「USBメモリ等の記録媒体の持込みを制限している」が45.8%で続いて いる。 【全体】重要施設へのPC等の持込み、持ち出し制限(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% PCの持込み・持ち出しを制限している 63.7% 個人所有のPCの業務利用を制限している 57.1% USBメモリ等の記録媒体の持ち出しを制限して いる 48.4% USBメモリ等の記録媒体の持込みを制限してい る 45.8% 持込み・持ち出し専用のPCを用意している 29.0% その他 5.8% 特に制限は無い 20.8% 111 【業種別分析】次に挙げた業種別で見ると、「エネルギー」では、「PCの持込み・持ち出し を制限している」、「USBメモリ等の記憶媒体の持出しを制限している」、「持込み・持出 し専用のPCを用意している」が89.5%で最も多い。「情報通信」では、「PCの持込み・持ち 出しを制限している」、「USBメモリ等の記録媒体の持ち出しを制限している」が90.0%で最 も多く、「行政サービス」では、「PC の持込み・持ち出しを制限している」が87.4%で最も 多い。 エネルギー 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% PCの持込み・持ち出しを制限し ている 89.5% 63.7% 個人所有のPCの業務利用を 制限している 63.2% 29.0% USBメモリ等の記録媒体の持ち 出しを制限している 89.5% 48.4% USBメモリ等の記録媒体の持込 みを制限している 84.2% 57.1% 持込み・持ち出し専用のPCを用 意している 特に制限は無い その他 89.5% 45.8% 0.0% 5.8% エネルギー (n=19) 0.0% 全体(n=827) 20.8% 情報通信 行政サービス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% PCの持込み・持ち出しを制限し ている 個人所有のPCの業務利用を 制限している その他 0.0% 5.8% 全体(n=827) 112 67.1% 45.8% 特に制限は無い 3.6% 5.8% その他 5.4% 情報通信(n=10) 20.8% 79.0% 57.1% 持込み・持ち出し専用のPCを用 意している 80.0% 45.8% 0.0% 67.1% 48.4% USBメモリ等の記録媒体の持込 みを制限している 60.0% 57.1% 持込み・持ち出し専用のPCを用 意している 37.7% 29.0% USBメモリ等の記録媒体の持ち 出しを制限している 90.0% 48.4% USBメモリ等の記録媒体の持込 みを制限している 87.4% 63.7% 個人所有のPCの業務利用を 制限している 60.0% 29.0% USBメモリ等の記録媒体の持ち 出しを制限している 特に制限は無い PCの持込み・持ち出しを制限して いる 90.0% 63.7% 行政サービス (n=167) 全体(n=827) 20.8% 【経年変化】昨年度と比較すると、「特に制限は無い」以外の全ての項目で増加しており、 重要施設へのPC等の持ち込み、持ち出しが制限される傾向にあることが分かる。 【経年変化】重要施設へのPC等の持込み、持ち出し制限 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 63.7% 60.5% 61.1% PCの持込み・持ち出しを制限している 57.1% 55.8% 53.4% 個人所有のPCの業務利用を制限し ている 48.4% 44.4% 43.4% USBメモリ等の記録媒体の持ち出しを 制限している 45.8% 41.5% 38.0% USBメモリ等の記録媒体の持込みを制 限している 29.0% 24.6% 23.5% 持込み・持ち出し専用のPCを用意して いる その他 5.8% 4.6% 5.1% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 特に制限は無い 20.8% 21.8% 23.0% 113 3.6.技術的セキュリティ対策 3.6.1.インターネット接続点における外部からの不正アクセス防止 【全体】全体では、 「ファイアウォールの導入」が88.9%で最も多く、 「PROXYサーバの設置」 が62.6%、「非武装地帯(DMZ)の構築」が58.0%、「ID、パスワード等による認証」が54.6% で続いている。「特に何も行っていない」は0.6%であり、ほぼ全ての社・団体等において不 正アクセス防止対策が取られていることが分かる。 【全体】インターネット接続点における不正アクセス防止対策(MA,n=786) 0% 10% 20% 30% 40% 50% 60% 70% ファイアウォールの導入 62.6% 非武装地帯(DMZ)の構築 58.0% ID、パスワード等による認証 54.6% ルータによるプロトコル制御 49.6% アクセスログ収集の強化・充実 44.8% 侵入検知・防御システム(IDS・IPS)の導入 30.8% 外部からの接続を伴なうサービス等を提供していない 特に何も行っていない 90% 100% 88.9% PROXYサーバの設置 その他 80% 12.5% 2.7% 0.6% 114 【業種分析別】業種別を見ると、「金融」では、「ファイアウォールの導入」が90.2%で最 も多く、「PROXYサーバの設置」が63.4%で続いている。「教育」では、「ファイアウォール の導入」が93.3%で最も多く、「非武装地帯(DMZ)の構築」が73.8%、「ID、パスワード等 による認証」が67.8%、「PROXYサーバの設置」が65.1%で続いている。「行政サービス」で は、「ファイアウォールの導入」が94.7%で最も多く、「PROXYサーバの設置」が88.2%、「非 武装地帯(DMZ)の構築」が77.6%で続いている。 金融 教育 0.0% 20.0% 40.0% 60.0% 80.0%100.0% 90.2% 88.9% ファイアウォールの導入 39.0% 非武装地帯(DMZ)の構築 特に何も行っていない 侵入検知・防御システム (IDS・IPS)の導入 58.0% 9.8% 2.7% 金融(n=41) 24.4% 12.5% 全体(n=786) 0.0% 0.6% 行政サービス 20.0% 40.0% 60.0% 80.0% 100.0% 47.4% 54.6% ID、パスワード等による認証 94.7% 88.9% ファイアウォールの導入 52.6% 49.6% ルータによるプロトコル制御 PROXYサーバの設置 62.6% 侵入検知・防御システム(IDS・IPS)の導 入 30.8% 非武装地帯(DMZ)の構築 2.0% 2.7% 外部からの接続を伴なうサービス等を提供 していない 特に何も行っていない 77.6% 56.6% 44.8% アクセスログ収集の強化・充実 その他 88.2% 46.7% 58.0% 13.2% 12.5% 1.3% 0.6% 73.8% 58.0% アクセスログ収集の強化・充 実 その他 外部からの接続を伴なう サービスなどを提供して… 特に何も行っていない 0.0% 36.9% 30.8% 非武装地帯(DMZ)の構築 48.8% 44.8% アクセスログ収集の強化・充実 65.1% 62.6% PROXYサーバの設置 36.6% 30.8% 侵入検知・防御システム(IDS・IPS)の導入 93.3% 88.9% 51.7% 49.6% ルータによるプロトコル制御 63.4% 62.6% PROXYサーバの設置 67.8% 54.6% ファイアウォールの導入 36.6% 49.6% ルータによるプロトコル制御 その他 ID、パスワード等による認 証 43.9% 54.6% ID、パスワード等による認証 外部からの接続を伴なうサービス等を提供していない 0.0% 20.0%40.0%60.0%80.0%100.0% 行政サービス(n=152) 全体(n=786) 115 49.7% 44.8% 2.0% 2.7% 4.7% 12.5% 0.0% 0.6% 教育(n=149) 全体(n=786) 【経年変化】昨年度と比較すると、「ファイアウォールの導入」が1.4ポイント減尐してい るが最も多い。また、「PROXYサーバの設置」は1.9ポイント増加している。 【経年変化】インターネット接続点における不正アクセス防止対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 88.9% 90.3% 87.6% ファイアウォールの導入 62.6% 60.7% 54.1% PROXYサーバの設置 58.0% 60.0% 54.9% 非武装地帯(DMZ)の構築 54.6% 54.2% 54.1% ID、パスワード等による認証 49.6% 46.5% 51.9% ルータによるプロトコル制御 44.8% 42.9% 42.9% アクセスログ収集の強化・充実 30.8% 29.4% 24.6% 侵入検知・防御システム(IDS・IPS)の導入 12.5% 13.8% 13.7% 外部からの接続を伴なうサービス等を提供し ていない 平成23年度(n=786) 平成22年度(n=805) その他 特に何も行っていない 2.7% 2.6% 2.5% 平成21年度(n=923) 0.6% 0.5% 1.2% 116 3.6.2.外部からの接続時に利用している認証方法 【全体】全体では、 「ID/パスワード認証」が 65.4%で最も多い。 【全体】外部からの接続時に利用している認証方法(MA,n=786) 0% 10% 20% ID/パスワード認証 9.9% 6.5% 電話番号規制 5.2% ICカード/トークンデバイス型認証ツール 5.0% バイオメトリクス(指紋等での認証) 2.0% コールバック 1.4% その他 認証無し 40% 50% 60% 70% 65.4% 電子証明書(PKI) ワンタイムパスワード 30% 12.2% 8.7% 117 80% 90% 100% 【業種分析別】業種別を見ると、 「ID/パスワード認証」の実施率については、「教育」が 81.9%で最も多く、 「製造業」が 79.3%で続いている。また、 「電子証明書」については、 「エ ネルギー」が 42.1%で最も多く、 「ワンタイムパスワード」についても「エネルギー」が 15.8% で最も多い。 ID/パスワード認証 0.0% 20.0% 40.0% 農林・水産・鉱業(n=4) 60.0% 80.0% 50.0% 製造業(n=213) 79.3% 不動産・建築(n=50) 62.0% 金融(n=41) 58.5% エネルギー(n=19) 52.6% 運輸業(n=30) 63.3% 情報通信(n=10) 60.0% サービス(n=117) 61.5% 教育(n=149) 81.9% 行政サービス(n=152) 38.2% 全体(n=786) 65.4% ワンタイムパスワード 電子証明書 0.0% 農林・水産・鉱業(n=4) 20.0% サービス(n=117) 製造業(n=213) 不動産・建築(n=50) 4.0% 運輸業(n=30) 6.7% 情報通信(n=10) 10.0% サービス(n=117) 6.8% 5.4% 4.6% 0.0% 10.3% 6.0% 12.2% エネルギー(n=19) 42.1% 教育(n=149) 20.0% 金融(n=41) 17.1% 行政サービス(n=152) 全体(n=786) 0.0% 100.0% 16.4% エネルギー(n=19) 情報通信(n=10) 80.0% 農林・水産・鉱業(n=4) 金融(n=41) 運輸業(n=30) 60.0% 0.0% 製造業(n=213) 不動産・建築(n=50) 40.0% 100.0% 教育(n=149) 行政サービス(n=152) 全体(n=786) 9.9% 118 15.8% 3.3% 10.0% 9.4% 2.7% 0.7% 6.5% 40.0% 60.0% 80.0% 100.0% 【経年変化】昨年度と比較すると、「ID/パスワード認証」が2.4ポイント増加し最も多い。 一方、「認証なし」は8.7%であり、外部からの接続時には9割以上が何らかの認証を行って いることが分かる。 【経年変化】外部からの接続時に利用している認証方法 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 65.4% 63.0% 66.0% ID/パスワード認証 電子証明書(PKI) 9.9% 8.8% 7.9% ワンタイムパスワード 6.5% 8.8% 8.3% 電話番号規制 5.2% 4.3% 4.4% ICカード/トークンデバイス型認証ツール 5.0% 5.7% 3.8% バイオメトリクス(指紋等での認証) 2.0% 1.2% 0.9% コールバック 1.4% 1.2% 1.0% その他 認証無し 平成23年度(n=786) 12.2% 11.7% 9.9% 平成22年度(n=805) 平成21年度(n=923) 8.7% 7.0% 8.1% 119 3.6.3.ID/パスワードの管理対策 【全体】全体では、「パスワード長を一定以上に定めている」が69.5%で最も多く、「異動等 で使用しなくなったID はすぐに削除している」が64.2%、「IDを複数ユーザで使わせていな い」が59.1%で続いている。一方、「特に対策は行っていない」は5.3%であった。 【全体】ID/パスワードの管理対策(MA,n=514) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% パスワード長を一定以上に定めている 69.5% 異動等で使用しなくなったIDはすぐに削除して いる 64.2% IDを複数ユーザーで使わせていない 59.1% 定期的にパスワードを強制的に変更させている 37.5% パスワードの複雑性をチェックし、簡単すぎるも のは変更させている 26.8% IDをメールアドレス等の他の用途で流用して いない 25.5% ID/パスワードは利用者端末に保存され無い ようにしている その他 20.2% 2.7% 特に対策は行っていない 5.3% 120 【業種別分析】次に挙げた業種別で見ると、「不動産・建築」では、「IDを複数ユーザで使 わせていない」が67.7%で最も多く、 「異動等で使用しなくなったIDはすぐに削除している」 が64.5%で続いている。「エネルギー」では、「定期的にパスワードを強制的に変更させて いる」が90.0%で最も多く、「情報通信」では、「異動等で使用しなくなったIDはすぐに削 除している」が100.0%で最も多い。 エネルギー 不動産・建築 0.0% パスワード長を一定以上に定めてい る 67.7% 59.1% ID・パスワードは利用者端末に 保存されないようにしている。 特に対策は行っていない。 32.3% 20.2% 0.0% 2.7% 0.0% 5.3% 80.0% 64.2% IDをメールアドレス等の他の用 途で流用していない。 29.0% 25.5% IDを複数ユーザーで使わせてい ない。 50.0% 26.8% 異動等で使用しなくなったIDはす ぐに削除している。 64.5% 64.2% IDをメールアドレス等の他の用途 で流用していない。 90.0% 37.5% パスワードの複雑性をチェックし、 簡単すぎるものは変更させている 19.4% 26.8% 異動等で使用しなくなったIDはす ぐに削除している。 70.0% 69.5% 定期的にパスワードを強制的に変 更させている 29.0% 37.5% パスワードの複雑性をチェックし、簡 単すぎるものは変更させている 20.0% 40.0% 60.0% 80.0% 100.0% パスワード長を一定以上に定めて いる 61.3% 69.5% 定期的にパスワードを強制的に変 更させている その他 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 20.0% 25.5% IDを複数ユーザーで使わせてい ない。 20.0% ID・パスワードは利用者端末に 保存されないようにしている。 30.0% 20.2% その他 不動産・建築 (n=31) 全体(n=514) 59.1% 0.0% 2.7% エネルギー(n=10) 特に対策は行っていない。 0.0% 5.3% 情報通信 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% パスワード長を一定以上に定めてい る 66.7% 69.5% 定期的にパスワードを強制的に変 更させている パスワードの複雑性をチェックし、簡 単すぎるものは変更させている 33.3% 37.5% 0.0% 26.8% 異動等で使用しなくなったIDはす ぐに削除している。 IDをメールアドレス等の他の用途 で流用していない。 100.0% 64.2% 0.0% 25.5% IDを複数ユーザーで使わせてい ない。 ID・パスワードは利用者端末に 保存されないようにしている。 その他 66.7% 59.1% 0.0% 20.2% 0.0% 2.7% 情報通信(n=6) 特に対策は行っていない。 0.0% 5.3% 全体(n=514) 121 全体(n=514) 【経年変化】昨年度と比較すると、「パスワード長を一定以上に定めている」が1.6ポイン ト増加し最も多い。一方、「特に対策は行っていない」は昨年度と同様、他の項目と比較し て尐ない。 【経年変化】ID/パスワードの管理対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 69.5% 67.9% 61.2% パスワード長を一定以上に定めている 64.2% 57.2% 58.6% 異動等で使用しなくなったIDはすぐ に削除している 59.1% 57.0% 54.0% IDを複数ユーザーで使わせていな い 37.5% 38.7% 39.7% 定期的にパスワードを強制的に変更さ せている 26.8% 22.7% 23.0% パスワードの複雑性をチェックし、簡単 すぎるものは変更させている 25.5% 24.5% 20.7% IDをメールアドレス等の他の用途で 流用していない 20.2% 21.3% 19.5% ID/パスワードは利用者端末に保 存され無いようにしている 平成23年度(n=514) その他 特に対策は行っていない 2.7% 2.6% 2.6% 平成22年度(n=507) 平成21年度(n=609) 5.3% 5.7% 8.4% 122 3.6.4.暗号化技術の用途 【全体】全体では、「個人情報等の重要な情報の通信(SSL等の暗号化通信)」が52.8%で最 も多く、「記憶媒体上の情報(ファイルの暗号化)」が43.4%、「認証情報(電子証明書)」 が33.0%で続いている。一方、暗号化技術を「利用していない」は19.8%であった。 【全体】暗号化技術の用途(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% 個人情報等の重要な情報の通信(SSL等 の暗号化通信) 52.8% 記憶媒体上の情報(ファイルの暗号化) 43.4% 認証情報(電子証明書) 33.0% 暗号メール その他 18.0% 2.8% 利用していない 19.8% 123 【業種別分析】次に挙げた業種別で見ると、「情報通信」では、「個人情報等の重要な情報 の通信(SSL等の暗号化通信)」が70.0%で最も多い。「金融」では、「記憶媒体上の情報(フ ァイルの暗号化)」が73.3%で最も多く、「教育」では「個人情報等の重要な情報の通信(SSL 等の暗号化通信)」が75.0%で最も多い。 情報通信 金融 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 30.0% 18.0% 暗号メール 記憶媒体上の情報(ファイルの 暗号化) 60.0% 利用していない 記憶媒体上の情報(ファイル の暗号化) 30.0% 33.0% 個人情報等の重要な情報の通 信(SSL等の暗号化通信) 70.0% 42.2% 33.0% 個人情報等の重要な情報の 通信(SSL等の暗号化通 信) 0.0% 2.8% その他 情報通信(n=10) 19.8% 73.3% 43.4% 認証情報(電子証明書) 52.8% 0.0% 22.2% 18.0% 暗号メール 43.4% 認証情報(電子証明書) その他 0.0% 20.0% 40.0% 60.0% 80.0%100.0% 全体(n=827) 64.4% 52.8% 4.4% 2.8% 利用していない 教育 0.0% 20.0% 40.0% 60.0% 80.0%100.0% 17.8% 18.0% 暗号メール 記憶媒体上の情報(ファイル の暗号化) 32.9% 43.4% 31.6% 33.0% 認証情報(電子証明書) 個人情報等の重要な情報の 通信(SSL等の暗号化通 信) その他 利用していない 75.0% 52.8% 0.7% 2.8% 11.2% 19.8% 124 教育(n=152) 全体(n=827) 13.3% 19.8% 金融(n=45) 全体(n=827) 【経年変化】昨年度と比較すると、 「個人情報等の重要な情報の通信(SSL等の暗号化通信)」 が1.3ポイント減尐しているが、最も多い。 【経年変化】暗号化技術の用途 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 52.8% 54.1% 49.4% 個人情報等の重要な情報の通信(S SL等の暗号化通信) 43.4% 39.5% 36.8% 記憶媒体上の情報(ファイルの暗号 化) 33.0% 28.9% 25.4% 認証情報(電子証明書) 18.0% 19.5% 13.1% 暗号メール その他 利用していない 2.8% 4.4% 4.6% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 19.8% 20.5% 25.1% 125 3.6.5.重要なシステムの不正アクセス対策状況 【全体】全体では、「データのバックアップを行っている」が89.6%で最も多く、「個人PC の接続制限を行っている」が58.6%で続いている。 【全体】重要なシステムの不正アクセス対策状況(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% データのバックアップを行っている 80% 90% 100% 89.6% 個人PCの接続制限を行っている 58.6% システムの冗長化(ネットワークの冗長化を含む)を行っている 45.5% 3.基幹業務システム専用のファイアウォール・ルータ(ネットワーク アクセス制御機能)を導入している 45.3% 無線LANの使用制限を行っている 41.5% 重要な基幹業務システムは他のネットワークと分離した専用ネット ワークを構築している 40.0% 外部のネットワークに接続していない 39.5% 指定回数以上のログイン失敗時のアカウント失効等、不正操作に 対して自動的に制限をかける機能を導入している 31.8% 緊急時にはシステムを自動停止する仕組みを導入している 8.0% その他 1.7% 上記のような対策は行っていない 2.1% 126 【業種別分析】次に挙げた業種別で見ると、全ての業種において、「データのバックアップ を行っている」が最も多くなっている。 エネルギー 運輸業 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 外部のネットワークに接続していない 43.4% 重要な基幹業務システムは他のネットワークと分離した専用ネッ トワークを構築している 基幹業務システム専用のファイアウォール・ルータ(ネットワーク アクセス制御機能)を導入している 68.4% 45.5% 94.7% 89.6% データのバックアップを行っている 緊急時にはシステムを自動停止する仕組みを導入している 63.2% 31.8% その他 0.0% 1.7% 上記のような対策は行っていない 0.0% 2.1% エネルギー(n=19) 全体(n=827) 60.0% 45.5% 100.0% 89.6% データのバックアップを行っている 緊急時にはシステムを自動停止する仕組みを導入している 30.0% 31.8% 41.5% その他 上記のような対策は行っていない 0.0% 2.1% 20% 40% 60% 80% 100% 48.5% 43.4% 68.3% 40.0% 52.7% 45.3% 59.3% 45.5% 94.6% 89.6% 6.6% 8.0% 指定回数以上のログイン失敗時のアカウント失効など、不 正操作に対して自動的に制限をかける機能を導入している 60.0% 58.6% 個人PCの接続制限を行っている 0.0% 1.7% 全体(n=827) データのバックアップを行っている 10.0% 8.0% 無線LANの使用制限を行っている 運輸業(n=30) 重要な基幹業務システムは他のネットワークと分離した専 用ネットワークを構築している 基幹業務システム専用のファイアウォール・ルータ(ネット ワークアクセス制御機能)を導入している システムの冗長化(ネットワークの冗長化を含む)を行って いる 80.0% 45.3% 10.0% 1.7% 0.0% 2.1% その他 外部のネットワークに接続していない 50.0% 40.0% 指定回数以上のログイン失敗時のアカウント失効など、不正操作に 対して自動的に制限をかける機能を導入している 56.7% 58.6% 23.3% 41.5% 無線LANの使用制限を行っている 0% 緊急時にはシステムを自動停止する仕組みを導入している 20.0% 31.8% 行政サービス 60.0% 43.4% システムの冗長化(ネットワークの冗長化を含む)を行っている 93.3% 89.6% 0.0% 8.0% 41.5% 情報通信 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 重要な基幹業務システムは他のネットワークと分離した専用ネット ワークを構築している 基幹業務システム専用のファイアウォール・ルータ(ネットワークアク セス制御機能)を導入している 53.3% 45.5% 個人PCの接続制限を行っている 上記のような対策は行っていない 外部のネットワークに接続していない 30.0% 45.3% 指定回数以上のログイン失敗時のアカウント失効など、不 正操作に対して自動的に制限をかける機能を導入している 73.7% 58.6% 個人PCの接続制限を行っている 21.1% 23.3% 40.0% データのバックアップを行っている 15.8% 8.0% 無線LANの使用制限を行っている 26.7% 43.4% 重要な基幹業務システムは他のネットワークと分離した専用 ネットワークを構築している 基幹業務システム専用のファイアウォール・ルータ(ネット ワークアクセス制御機能)を導入している システムの冗長化(ネットワークの冗長化を含む)を行ってい る 47.4% 45.3% 指定回数以上のログイン失敗時のアカウント失効等、不正操作 に対して自動的に制限をかける機能を導入している 20% 40% 60% 80% 100% 外部のネットワークに接続していない 36.8% 40.0% システムの冗長化(ネットワークの冗長化を含む)を行っている 緊急時にはシステムを自動停止する仕組みを導入している 0% 73.7% 27.5% 31.8% 64.7% 58.6% 個人PCの接続制限を行っている 70.0% 無線LANの使用制限を行っている 情報通信(n=10) 0.6% 1.7% 上記のような対策は行っていない 0.0% 2.1% 全体(n=827) 127 41.5% その他 61.1% 行政サービス(n=167) 全体(n=827) 【経年変化】昨年度と比較すると、「自動的に制限をかける機能」と「その他」以外は、全 ての項目で増加している。一方、「対策は行っていない」は他の項目と比較して回答が尐な い状態が続いており、不正アクセス対策が継続して行われていることが分かる。 【経年変化】重要なシステムの不正アクセス対策状況 0% 10% 20% 30% 40% 50% 60% 80% 90% 100% 89.6% 88.3% 87.7% データのバックアップを行っている 58.6% 56.7% 54.0% 個人PCの接続制限を行っている システムの冗長化(ネットワークの冗長化を含む)を行っている 34.1% 45.5% 42.6% 45.3% 43.4% 38.6% 3.基幹業務システム専用のファイアウォール・ルータ(ネットワーク アクセス制御機能)を導入している 41.5% 38.0% 34.1% 無線LANの使用制限を行っている 重要な基幹業務システムは他のネットワークと分離した専用ネット ワークを構築している 40.0% 38.2% 36.7% 外部のネットワークに接続していない 39.5% 37.3% 40.2% 指定回数以上のログイン失敗時のアカウント失効等、不正操作に 対して自動的に制限をかける機能を導入している 緊急時にはシステムを自動停止する仕組みを導入している 70% 31.8% 32.6% 28.1% 8.0% 5.7% 5.5% その他 1.7% 2.0% 1.6% 上記のような対策は行っていない 2.1% 1.1% 1.3% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 128 3.6.6.セキュリティパッチの適用状況 【全体】全体では、「定期的に確認はしていないが、サーバの管理者等の裁量で適用してい る」が31.7%で最も多く、「頻繁にセキュリティ関連サイトを確認し、常に最新のパッチを 適用している」が27.8%で続いている。 【全体】セキュリティパッチの適用状況(SA,n=827) 定期的に確認はしていな いが、サーバの管理者等 の裁量で適用している 2.4% 4.7% 0.7% 頻繁にセキュリティ関連サ イトを確認し、常に最新の パッチを適用している 4.1% 6.2% 31.7% 定期的にセキュリティ関連 サイトを確認し、必要な パッチを適用している 問題が発生するまでパッ チは適用しない パッチを適用していない 22.4% 分からない その他 27.8% 無回答 129 【業種別分析】業種別を見ると、セキュリティパッチを定期的、あるいは問題発生前に適用 しているとする割合(「頻繁にセキュリティ関連サイトを確認し、常に最新のパッチを適用 している」、 「定期的にセキュリティ関連サイトを確認し、必要なパッチを適用している」、 「定期的に確認はしていないが、サーバの管理者等の裁量で適用している」の合計)につい て、全ての業種において多い回答となっている。 【業種別分析】セキュリティパッチの適用状況 0% 10% 20% 農林・水産・鉱業(n=4) 30% 40% 50% 60% 70% 80% 90% 100% 50.0 製造業(n=216) 0.0 34.3 3.2 4.6 6.5 32.4 16.2 1.4 1.4 不動産・建築(n=50) 金融(n=45) 24.0 17.8 エネルギー(n=19) 運輸業(n=30) 36.8 25.2 教育(n=152) 25.0 全体(n=827) 10.0 21.4 22.2 15.8 6.7 26.7 50.0 サービス(n=131) 6.7 26.3 30.0 情報通信(n=10) 行政サービス(n=167) 24.4 22.2 4.0 12.0 34.0 18.0 20.0 0.0 4.4 2.2 0.0 10.5 13.3 5.3 3.3 6.7 10.0 6.1 26.0 5.3 4.0 4.0 11.5 0.0 10.0 0.0 3.1 6.9 0.0 2.6 24.6 27.8 31.7 2.6 1.2 1.2 0.0 39.5 26.3 22.4 1.3 33.6 30.9 4.1 問題が発生するまでパッチは適用しない 分からない その他 無回答 130 0.0 0.0 7.2 0.7 6.2 2.4 4.7 頻繁(1ヵ月に1回以上)にセキュリティ関連サイトを確認し、常に最新のパッチを適用し ている 定期的(四半期~半年に1回程度)にセキュリティ関連サイトを確認し、必要なパッチを 適用している 定期的に確認はしていないが、サーバの管理者等の裁量で適用している パッチを適用していない 3.9 【経年変化】昨年度と比較すると、「定期的に確認はしていないが、サーバの管理者等の裁 量で適用している」が0.6ポイント減尐しているが最も多い。また、「パッチを適用してい ない」は1.3ポイント減尐している。 【経年変化】セキュリティパッチの適用状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 31.7% 32.3% 31.9% 定期的に確認はしていないが、サーバ の管理者等の裁量で適用している 27.8% 27.3% 29.0% 頻繁にセキュリティ関連サイトを確認し、 常に最新のパッチを適用している 22.4% 21.3% 17.2% 定期的にセキュリティ関連サイトを確認 し、必要なパッチを適用している 問題が発生するまでパッチは適用しない パッチを適用していない 分からない 6.2% 6.3% 7.1% 4.1% 5.4% 4.9% 平成23年度(n=827) 2.4% 2.5% 3.8% 平成22年度(n=841) 平成21年度(n=930) その他 無回答 4.7% 2.7% 4.1% 0.7% 2.1% 1.9% 131 3.6.7.内部からの不正アクセス等への対策の実施状況 【全体】全体では、「パソコン廃棄時の適正なデータ消去」が80.4%で最も多く、「定期的 なバックアップ」が77.9%、 「情報資産へのアクセス権の設定」が75.8%で続いている。一方、 「特に何も行っていない」は2.5%であり、ほぼ全ての社・団体等において何らかの対策を実 施していることが分かる。 【全体】内部からの不正アクセス等への対策の実施状況(MA,n=827) 0% 10% 20% 30% 40% 50% 60% パソコン廃棄時の適正なデータ消去 77.9% 情報資産へのアクセス権の設定 75.8% アクセスログの取得、ログの分析 57.1% 許可していないソフトウェアの制限 56.5% 定期的なパスワードの変更 50.8% 外部Webサイトへのアクセス制限 48.6% 共有ID・パスワードの禁止 38.1% ユーザアカウントの定期的なチェック 36.3% メールのフィルタリング(添付ファイルの利用制限等) 31.1% 個人認証のためのシステム導入 28.2% 内部ネットワークのファイアウォール、 侵入検知システム(IDS)の導入 28.2% 印刷物、電子媒体の持ち出し、廃棄を管理 その他 80% 90% 80.4% 定期的なバックアップ 特に何も行っていない 70% 25.2% 1.3% 2.5% 132 100% 【業種別分析】次に挙げた業種別で見ると、「エネルギー」は、「情報資産へのアクセス権 の設定」、「パソコン廃棄時の適正なデータの消去」が100.0%で最も多い。「運輸業」は、 「パソコン廃棄時の適正なデータの消去」が90.0%で最も多く、「定期的なバックアップ」 が76.7%で続いている。「情報通信」は、「定期的なバックアップ」、「パソコン廃棄時の 適正なデータの消去」が共に80.0%で最も多い。「行政サービス」は、「パソコン廃棄時の 適正なデータの消去」が95.8%で最も多く、「情報資産へのアクセス権の設定」が87.4%で続 いている。 運輸業 エネルギー 0% 20% 40% 60% 情報資産へのアクセス権の設定 100.0% 75.8% 定期的なパスワードの変更 50.8% 許可していないソフトウェアの制限 アクセスログの取得、ログの分析 定期的なバックアップ 28.2% メールのフィルタリング(添付ファイルの利用制限等) 外部Webサイトへのアクセス制限 0.0% 1.3% エネルギー(n=19) 0.0% 2.5% 全体(n=827) その他 特に何も行っていない 情報通信 情報資産へのアクセス権の設定 定期的なパスワードの変更 40.0% 許可していないソフトウェアの制限 60% 0% 30.0% 共有ID・パスワードの禁止 定期的なパスワードの変更 80.0% 77.9% 個人認証のためのシステム導入 80.0% 80.4% 印刷物、電子媒体の持ち出し、廃棄を管理 24.0% 20.0% 40.0% 57.1% 情報通信(n=10) 全体(n=827) 133 86.8% 80.4% 95.8% 33.5% 38.1% 34.7% 28.2% 31.1% 外部Webサイトへのアクセス制限 特に何も行っていない 68.9% 77.9% メールのフィルタリング(添付ファイルの利用制限等) その他 83.8% 29.3% 25.2% 内部ネットワークのファイアウォール、 侵入検知システム(IDS)の導入 48.6% 67.7% 34.7% 28.2% 共有ID・パスワードの禁止 31.1% 100% 87.4% 36.3% パソコン廃棄時の適正なデータ消去 38.1% 80% 56.5% ユーザアカウントの定期的なチェック 0.0% 1.3% 0.0% 2.5% 50.8% 定期的なバックアップ 28.2% 20.0% 60% 75.8% アクセスログの取得、ログの分析 内部ネットワークのファイアウォール、 侵入検知システム(IDS)の導入 外部Webサイトへのアクセス制限 40% 28.2% パソコン廃棄時の適正なデータ消去 メールのフィルタリング(添付ファイルの利用制限等) 20% 許可していないソフトウェアの制限 30.0% 25.2% 印刷物、電子媒体の持ち出し、廃棄を管理 全体(n=827) 0.0% 2.5% 70.0% 50.0% 57.1% 10.0% 運輸業(n=30) 43.3% 48.6% 0.0% 1.3% 情報資産へのアクセス権の設定 50.8% 定期的なバックアップ 特に何も行っていない 100% 36.3% アクセスログの取得、ログの分析 その他 80% 75.8% 56.5% 個人認証のためのシステム導入 28.2% 26.7% 31.1% 行政サービス 40% 40.0% ユーザアカウントの定期的なチェック 90.0% 38.1% 外部Webサイトへのアクセス制限 89.5% その他 20.0% 10.0% メールのフィルタリング(添付ファイルの利用制限等) 48.6% 20% 80.4% 26.7% 内部ネットワークのファイアウォール、 侵入検知システム(IDS)の導入 57.9% 特に何も行っていない 0% 76.7% 77.9% 23.3% 25.2% 共有ID・パスワードの禁止 47.4% 31.1% 57.1% パソコン廃棄時の適正なデータ消去 100.0% 31.6% 38.1% 内部ネットワークのファイアウォール、 侵入検知システム(IDS)の導入 46.7% 定期的なバックアップ 94.7% 80.4% 46.7% 23.3% 28.2% 印刷物、電子媒体の持ち出し、廃棄を管理 パソコン廃棄時の適正なデータ消去 共有ID・パスワードの禁止 50.0% 56.5% 36.3% 個人認証のためのシステム導入 77.9% 100% 75.8% 46.7% 50.8% アクセスログの取得、ログの分析 31.6% 25.2% 印刷物、電子媒体の持ち出し、廃棄を管理 80% 56.7% ユーザアカウントの定期的なチェック 57.9% 28.2% 60% 許可していないソフトウェアの制限 94.7% 57.1% 個人認証のためのシステム導入 40% 定期的なパスワードの変更 89.5% 73.7% 36.3% 20% 情報資産へのアクセス権の設定 68.4% 56.5% ユーザアカウントの定期的なチェック 0% 80% 100% 50.9% 48.6% 77.2% 0.6% 1.3% 行政サービス(n=167) 0.0% 2.5% 全体(n=827) 【経年変化】昨年度と比較すると、 「パソコン廃棄時の適正なデータ消去」が 3.1 ポイント 増加し最も多い。一方、 「特に何も行っていない」は 0.6 ポイント減尐し、他の項目と比較 して尐ない。 【経年変化】内部からの不正アクセス等への対策の実施状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 80.4% 77.3% 78.1% パソコン廃棄時の適正なデータ消去 定期的なバックアップ 77.9% 72.5% 73.9% 情報資産へのアクセス権の設定 75.8% 78.1% 74.5% 57.1% 55.6% 50.6% アクセスログの取得、ログの分析 56.5% 55.8% 60.3% 許可していないソフトウェアの制限 50.8% 48.2% 44.1% 定期的なパスワードの変更 48.6% 46.0% 42.8% 外部Webサイトへのアクセス制限 38.1% 38.9% 37.3% 共有ID・パスワードの禁止 36.3% 34.8% 31.7% ユーザアカウントの定期的なチェック 31.1% 33.5% 31.2% メールのフィルタリング(添付ファイルの利用制限等) 28.2% 29.0% 25.6% 個人認証のためのシステム導入 28.2% 30.0% 24.0% 内部ネットワークのファイアウォール、 侵入検知システム(IDS)の導入 25.2% 21.9% 22.2% 印刷物、電子媒体の持ち出し、廃棄を管理 その他 特に何も行っていない 90% 1.3% 1.3% 1.2% 2.5% 3.1% 2.8% 134 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 100% 3.6.8.無線LANのセキュリティ対策 【全体】全体では、 「WEPによる暗号化」が58.2%で最も多く、 「ESS-IDの適切な設定」が40.5%、 「WEP以外による暗号化(WPA/WPA2等)」が39.6%、「MACアドレス認証」が32.6%で続いてい る。 【全体】無線ネットワークのセキュリティ対策(MA,n=402) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% WEPによる暗号化 58.2% ESS-IDの適切な設定 40.5% WEP以外による暗号化(WPA/WPA2等) 39.6% MACアドレス認証 32.6% IEEE802.1.x 電磁波の遮蔽 その他 特に行っていない 16.9% 0.5% 9.7% 1.2% 135 【業種分析別】業種別を見ると、全ての業種において「WEPによる暗号化」が最も多い。 製造業 0.0% 20.0% WEP以外による暗号化(WPA/WPA2等) 22.9% ESS-IDの適切な設定 22.0% 16.9% MACアドレス認証 6.8% IEEE802.1.x 80.0% 100.0% 0.0% 58.2% 20.0% 39.6% WEP以外による暗号化(WPA/WPA2等) 25.0% ESS-IDの適切な設定 25.0% 40.5% 32.6% 0.0% MACアドレス認証 製造業(n=121) 0.0% 1.2% 全体(n=402) 4.2% 電磁波の遮蔽 その他 0.0% 特に行っていない 0.0% 1.2% 40.5% 20.0% 40.0% 60.0% 58.2% 23.1% 電磁波の遮蔽 その他 0.0% 0.5% 運輸業(n=13) 特に行っていない 全体(n=402) 136 80.0% 100.0% 71.8% 39.6% 43.6% 40.5% 38.5% 32.6% 23.1% 16.9% IEEE802.1.x 7.7% 16.9% 0.0% 1.2% 全体(n=402) MACアドレス認証 38.5% 32.6% 0.0% 9.7% 不動産・建築(n=14) ESS-IDの適切な設定 46.2% 40.5% MACアドレス認証 9.7% WEP以外による暗号化(WPA/WPA2等) 30.8% 39.6% ESS-IDの適切な設定 16.9% WEPによる暗号化 61.5% 58.2% WEPによる暗号化 特に行っていない 39.6% 行政サービス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% WEP以外による暗号化(WPA/WPA2 等) その他 100.0% 32.6% 0.0% 0.5% 運輸業 電磁波の遮蔽 80.0% 58.2% 16.9% 3.8% 9.7% IEEE802.1.x 60.0% 45.8% IEEE802.1.x 0.0% 40.0% WEPによる暗号化 0.0% 0.5% その他 特に行っていない 60.0% 27.5% WEPによる暗号化 電磁波の遮蔽 不動産・建築 40.0% 0.0% 0.5% 7.7% 9.7% 0.0% 1.2% 行政サービス(n=39) 全体(n=402) 【経年変化】昨年度と比較すると、「WEPによる暗号化」が9.8ポイント増加し最も多い。ま た、「ESS-IDの適切な設定」は昨年度より10.1ポイント増加している。 【経年変化】無線ネットワークのセキュリティ対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 58.2% 48.4% 53.8% WEPによる暗号化 40.5% ESS-IDの適切な設定 30.4% 27.4% 39.6% 42.4% WEP以外による暗号化(WPA/WPA2等) 28.1% 32.6% 37.8% 38.0% MACアドレス認証 16.9% 21.0% 15.3% IEEE802.1.x 電磁波の遮蔽 その他 特に行っていない 0.5% 8.7% 7.5% 平成23年度(n=402) 平成22年度(n=415) 9.7% 0.5% 0.7% 平成21年度(n=413) 1.2% 1.7% 7.3% 137 3.6.9.不正プログラムへの対策 【全体】全体では、「ウイルス対策ソフト(クライアント)の使用」が96.7%で最も多く、 「ウイルス対策ソフト(サーバ)の使用」が90.6%、「パターンファイルを定期的に更新す る(自動更新システムを利用)」が80.3%で続いている。一方、「実施していない」は0.1% で、ほぼ全ての社・団体等で何らかの対策を実施していることが分かる。 【全体】不正プログラムへの対策(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% ウイルス対策ソフト(クライアント)の使用 96.7% ウイルス対策ソフト(サーバ)の使用 90.6% パターンファイルを定期的に更新する(自動更新システムを利用) 80.3% スパイウェア対策ソフト(クライアント)の使用 63.4% スパイウェア対策ソフト(サーバ)の使用 59.9% 許可されていないソフトウェアのインストール制限 56.1% パッチによるOS等のバージョンアップ(管理者が手動で更新) 52.8% パッチによるOS等のバージョンアップ(自動更新システムを利用) 41.1% パターンファイルを定期的に更新する(社員自らが更新) 24.2% USBメモリの使用禁止 23.7% パッチによるOS等のバージョンアップ(社員自らが更新) 22.6% ファイル等のダウンロード制限 20.7% メールの添付ファイルの削除または実行制限 15.5% プロバイダのウイルス等駆除サービスの利用 15.1% パターンファイルを定期的に更新する(管理者が手動で更新) 14.0% 検疫システムの導入 その他 実施していない 100% 11.6% 2.5% 0.1% 138 【業種別分析】業種別を見ると、全ての業種において何らかの対策が行われている。「パタ ーンファイルの定期的な更新」については、全ての業種で「パターンファイルを定期的に更 新する(自動更新システムを利用)」が7割以上である。また、「許可されていないソフト ウェアのインストールの制限」は、「行政サービス」が84.4%、「金融」が82.2%、「エネル ギー」が78.9%で他の業種と比較して多い。 スパイウェア対策ソフトのインストール制限 パターンファイルの定期的な更新 0.0% 20.0% 40.0% 60.0% 80.0%100.0% 0.0% 農林・水産・鉱業 (n=4) 20.0% 40.0% 60.0% 80.0% 100.0% 96.3% 89.8% 製造業(n=216) 90.0% 94.0% 不動産・建築(n=50) 金融(n=45) エネルギー(n=19) 100.0% 94.7% 教育(n=152) 98.0% 88.8% 行政サービス (n=167) 98.8% 97.6% 70.0% 77.8% 11.1% 5.3% 5.3% 89.5% 23.3% 86.7% 6.7% 20.0% 20.0% 70.0% 40.5% サービス(n=131) 71.0% 18.3% 23.7% 14.5% 教育(n=152) 83.6% 28.1% 26.9% 行政サービス(n=167) 84.4% 24.2% 14.0% 全体(n=827) 96.7% 90.6% 全体(n=827) 82.4% 33.3% 情報通信(n=10) 96.9% 87.0% サービス(n=131) 不動産・建築(n=50) 16.0% 6.0% 運輸業(n=30) 90.0% 100.0% 情報通信(n=10) 製造業(n=216) エネルギー(n=19) 93.3% 93.3% 100.0% 14.4% 5.6% 金融(n=45) 100.0% 86.7% 運輸業(n=30) 0.0% 0.0% 農林・水産・鉱業(n=4) 100.0% 0.0% 80.3% パターンファイルを定期的に更新する(社員自らが更新) パターンファイルを定期的に更新する(自動更新システムを利用) パターンファイルを定期的に更新する(管理者が手動で更新) ウイルス対策ソフト(クライアント)の使用 ウイルス対策ソフト(サーバ)の使用 パッチによるOS等のバージョンアップ 許可されていないソフトウェアのイ ンストール制限 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 50.0% 製造業(n=216) 49.5% 不動産・建築(n=50) 0.0% 農林・水産・鉱業(n=4) エネルギー(n=19) 82.2% エネルギー(n=19) 運輸業(n=30) 78.9% 運輸業(n=30) 情報通信(n=10) 60.0% 情報通信(n=10) サービス(n=131) 60.0% 27.0% 全体(n=827) 行政サービス(n=167) 全体(n=827) 84.4% 100.0% 44.9% 38.9% 6.7% 24.4% 5.3% 53.3% 36.8% 20.0% 63.2% 33.3% 36.7% 10.0% 50.0% 26.7% 35.1% 70.0% 58.0% 36.8% 45.4% 55.3% 61.1% 行政サービス(n=167) 教育(n=152) 80.0% 24.0% 36.0% 34.0% 教育(n=152) サービス(n=131) 60.0% 100.0% 不動産・建築(n=50) 金融(n=45) 40.0% 21.3% 製造業(n=216) 34.0% 金融(n=45) 20.0% 0.0% 0.0% 16.2% 22.6% 41.9% 41.1% 74.3% 52.8% パッチによるOS等のバージョンアップ(社員自らが更新) 56.1% パッチによるOS等のバージョンアップ(自動更新システムを利用) パッチによるOS等のバージョンアップ(管理者が手動で更新) 139 【経年変化】昨年度と比較すると、「ウイルス対策ソフト(クライアント)の使用」につい て0.2ポイント減尐しているが最も多く、「ウイルス対策ソフト(サーバ)の使用」と共に9 割を超えている。一方、「実施していない」とする割合は0.1%であり回答が尐ない状態が続 いている。 【経年変化】不正プログラムへの対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90.6% 89.2% 86.9% ウイルス対策ソフト(サーバ)の使用 80.3% 85.7% 80.4% パターンファイルを定期的に更新する(自動更新システムを 利用) スパイウェア対策ソフト(クライアント)の使用 54.9% 47.6% スパイウェア対策ソフト(サーバ)の使用 51.0% 43.4% 63.4% 59.9% 56.1% 56.6% 57.8% 許可されていないソフトウェアのインストール制限 パッチによるOS等のバージョンアップ(管理者が手動で更 新) 41.3% 41.2% パッチによるOS等のバージョンアップ(自動更新システム を利用) 28.9% 25.2% パターンファイルを定期的に更新する(社員自らが更新) 52.8% 41.1% 24.2% 10.1% 8.8% 23.7% 22.0% 21.0% USBメモリの使用禁止 22.6% 22.6% 20.2% パッチによるOS等のバージョンアップ(社員自らが更新) 20.7% 18.2% 18.2% ファイル等のダウンロード制限 メールの添付ファイルの削除または実行制限 15.5% 15.7% 15.8% プロバイダのウイルス等駆除サービスの利用 15.1% 11.8% 13.5% 14.0% 10.3% 7.4% パターンファイルを定期的に更新する(管理者が手動で更 新) 11.6% 12.6% 11.4% 検疫システムの導入 実施していない 100% 96.7% 96.9% 92.9% ウイルス対策ソフト(クライアント)の使用 その他 90% 2.5% 1.7% 1.5% 0.1% 0.2% 0.2% 140 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 3.6.10.スパムメール対策 【全体】全体では、「ウイルスチェック」が81.0%で最も多く、「フィルタリング」が54.2% で続いている。一方、「特に何も実施していない」は2.5%であった。 【全体】スパムメール対策(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% ウイルスチェック 81.0% フィルタリング(特定の条件を満たすメールの 配信をし無い) 54.2% 不正中継防止 42.9% 利用メールソフトの指定・制限 28.9% プロバイダによるスパムメール対策サービスの 利用 26.1% メール利用の制限(利用可能者の限定、利用 端末の限定等) 19.5% 特定の拡張子を持つファイルが添付されてい る場合に送・受信を拒否 17.3% 特定ドメイン・アドレスからのメールのみ送・受 信 電子メールは使用していない 8.7% 1.3% その他 特に何も実施していない 4.7% 2.5% 141 【業種別分析】業種別に見ると、「ウイルスチェック」の実施率は、最も尐ない「教育」で も76.3%となっている。 「フィルタリング」は、「情報通信」が90.0%、「エネルギー」が 89.5%、「金融」が88.9%で多く、「不正中継防止」は、「行政サービス」が70.7%、「エネ ルギー」が63.2%で多い。 フィルタリング ウイルスチェック 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=4) 88.9% 金融(n=45) 89.5% エネルギー(n=19) エネルギー(n=19) 情報通信(n=10) 教育(n=152) 76.3% 行政サービス(n=167) 88.9% 89.5% 76.7% 90.0% サービス(n=131) 77.1% 教育(n=152) 76.3% 行政サービス(n=167) 86.2% 全体(n=827) 86.2% 全体(n=827) 81.0% 81.0% 不正中継防止 0.0% 農林・水産・鉱業(n=4) 100.0% 情報通信(n=10) 90.0% 77.1% 80.0% 78.0% 運輸業(n=30) 76.7% サービス(n=131) 60.0% 81.5% 不動産・建築(n=50) 78.0% 金融(n=45) 40.0% 100.0% 製造業(n=216) 81.5% 不動産・建築(n=50) 20.0% 農林・水産・鉱業(n=4) 100.0% 製造業(n=216) 運輸業(n=30) 0.0% 20.0% 40.0% 60.0% 80.0% 0.0% 製造業(n=216) 53.2% 不動産・建築(n=50) 42.0% 金融(n=45) 60.0% エネルギー(n=19) 63.2% 運輸業(n=30) 60.0% 情報通信(n=10) 50.0% サービス(n=131) 42.7% 教育(n=152) 49.3% 行政サービス(n=167) 70.7% 全体(n=827) 54.2% 142 100.0% 【経年変化】昨年度と比較すると、「ウイルスチェック」が0.1ポイント減尐しているが最 も多い。一方、「特に何も実施していない」は0.1ポイント増加しているが他の項目と比較 して尐ない。 【経年変化】スパムメール対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 81.0% 81.1% 78.5% ウイルスチェック フィルタリング(特定の条件を満たすメールの配 信をし無い) 54.2% 55.9% 53.0% 42.9% 36.7% 45.5% 不正中継防止 28.9% 27.7% 29.1% 利用メールソフトの指定・制限 プロバイダによるスパムメール対策サービスの 利用 26.1% 20.9% 23.5% メール利用の制限(利用可能者の限定、利用端 末の限定等) 19.5% 19.9% 18.6% 特定の拡張子を持つファイルが添付されている 場合に送・受信を拒否 17.3% 20.6% 19.5% 特定ドメイン・アドレスからのメールのみ送・受信 電子メールは使用していない 8.7% 7.5% 7.5% 平成23年度(n=827) 平成22年度(n=841) 1.3% 0.7% 0.2% その他 4.7% 4.2% 5.1% 特に何も実施していない 2.5% 2.4% 4.3% 平成21年度(n=930) 143 3.6.11.メールの不正中継対策の実施状況 【全体】全体では、「メールサーバの設定の修正」が69.7%で最も多く、「ファイアウォー ルによる遮断」が42.4%で続いている。 * 本項目はスパムメール対策として、不正中継防止を実施している社・団体等を対象とし ている。 【全体】メールの不正中継対策の実施状況(MA,n=347) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% メールサーバの設定の修正(オープンメール リレーの禁止等) 69.7% ファイアウォールによる遮断 42.4% メールサーバへの対策ソフトの導入 28.0% メールサーバのソフト・バージョンアップ 27.7% 送信者認証 その他 15.3% 5.5% 144 【業種別分析】次に挙げた業種別で見ると、「不動産・建築」、「金融」では、「ファイア ウォールによる遮断」が最も多い。また、「エネルギー」、「行政サービス」では、「メー ルサーバの設定の修正」が最も多い。 金融 不動産・建築 0.0% 20.0% 40.0% 60.0% 80.0%100.0% 0.0% 20.0%40.0%60.0%80.0%100.0% メールサーバの設定の修正(オープン メールリレーの禁止など) 69.7% メールサーバのソフト・バージョンアッ プ 42.4% 42.4% 71.4% 28.0% メールサーバへの対策ソフト の導入 13.3% 27.7% 6.7% 15.3% 送信者認証 不動産・建築 (n=15) 6.7% 5.5% 全体(n=347) メールサーバの設定の修正(オー プンメールリレーの禁止など) 27.3% 27.7% 0.0% 15.3% 18.2% 5.5% 金融(n=14) 14.3% 5.5% 全体(n=347) 75.0% 69.7% メールサーバのソフト・バー ジョンアップ 36.4% 28.0% メールサーバへの対策ソフトの導 入 15.3% メールサーバの設定の修正 (オープンメールリレーの禁 止など) 27.3% 42.4% ファイアウォールによる遮断 0.0% 行政サービス 54.5% 69.7% メールサーバのソフト・バージョン アップ その他 50.0% 27.7% 0.0% 20.0% 40.0% 60.0% 80.0%100.0% 0.0% 20.0% 40.0% 60.0% 80.0%100.0% その他 21.4% ファイアウォールによる遮断 66.7% エネルギー 送信者認証 69.7% 28.0% メールサーバへの対策ソフトの導入 その他 42.9% メールサーバのソフト・バー ジョンアップ 13.3% ファイアウォールによる遮断 送信者認証 メールサーバの設定の修正 (オープンメールリレーの禁止 など) 26.7% 145 42.4% ファイアウォールによる遮断 39.5% 28.0% メールサーバへの対策ソフ トの導入 36.8% 27.7% 送信者認証 エネルギー (n=11) 全体(n=347) 22.4% その他 9.2% 15.3% 3.9% 5.5% 行政サービス (n=76) 全体(n=347) 【経年変化】昨年度と比較すると、「メールサーバの設定の修正」が4.4ポイント減尐して いるが最も多い。 【経年変化】メールの不正中継対策の実施状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 69.7% メールサーバの設定の修正(オープン メールリレーの禁止等) 74.1% 42.4% ファイアウォールによる遮断 49.8% 28.0% メールサーバへの対策ソフトの導入 26.2% 27.7% メールサーバのソフト・バージョンアッ プ 33.7% 平成23年度(n=347) 平成22年度(n=309) 15.3% 送信者認証 15.5% その他 5.5% 3.6% 146 3.6.12.ログの取得状況 【全体】全体では、「アクセスログ」が82.2%で最も多く、「業務アプリケーションのログ」 が63.5%、「ファイアウォールのログ」が62.6%で続いている。一方、「取得していない」は 6.4%であった。 【全体】ログの取得状況(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% アクセスログ 82.2% 業務アプリケーションのログ 63.5% ファイアウォールのログ 62.6% 侵入検知システム(IDS)のログ その他 取得していない 25.4% 2.3% 6.4% 147 【業種別分析】次に挙げた業種別で見ると、「エネルギー」、「情報通信」、「行政サービ ス」では、「アクセスログ」が最も多い。また「情報通信」では、「業務アプリケーション のログ」も「アクセスログ」と並んで最も多い。 エネルギー 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 73.7% 63.5% 業務アプリケーションのログ 100.0% アクセスログ 82.2% 89.5% ファイアウォールのログ 62.6% 47.4% 侵入検知システム(IDS)のログ その他 取得していない 25.4% 10.5% 2.3% エネルギー(n=19) 0.0% 6.4% 全体(n=827) 行政サービス 情報通信 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 80.0% 業務アプリケーションのログ 80.0% 82.2% 取得していない 92.2% 82.2% 77.8% ファイアウォールのログ 62.6% 28.1% 25.4% 侵入検知システム(IDS)のログ 50.0% 侵入検知システム(IDS)のログ 76.6% 63.5% アクセスログ 50.0% 62.6% ファイアウォールのログ 20.0% 40.0% 60.0% 80.0% 100.0% 業務アプリケーションのログ 63.5% アクセスログ その他 0.0% 25.4% その他 0.0% 2.3% 0.0% 6.4% 情報通信(n=10) 全体(n=827) 148 取得していない 2.4% 2.3% 0.6% 6.4% 行政サービス (n=167) 全体(n=827) 【経年変化】昨年度と比較すると、「アクセスログ」が4.0ポイント増加し最も多い。一方、 「取得していない」は0.7ポイント減尐し、ログの取得が進んでいることが分かる。 【経年変化】ログの取得状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 82.2% 78.2% 75.9% アクセスログ 業務アプリケーションのログ 63.5% 62.2% 55.2% ファイアウォールのログ 62.6% 62.9% 54.9% 25.4% 24.9% 20.4% 侵入検知システム(IDS)のログ 平成23年度(n=827) その他 取得していない 2.3% 3.1% 1.7% 平成22年度(n=841) 平成21年度(n=930) 6.4% 7.1% 11.9% 149 3.6.13.ログの保管期間 【全体】全体では、「特に期間は決まっていない」が50.3%で最も多い。 * 本項目は、何らかのログを取得している社・団体等を対象としている。 【全体】ログの保管期間(SA,n=771) 特に期間は決まっ ていない 0.8% 12.2% 1年間 3.0% 3ヶ月間 5.8% 1ヶ月間 50.3% 8.0% 6ヶ月間 1週間以下 7.8% その他 12.1% 無回答 150 【業種別分析】業種別を見ると、「特に期間は決まっていない」については、「行政サービ ス」が63.6%で最も多く、「サービス」が54.1%、「運輸業」が50.0%で続いている。 【業種別分析】ログの保管期間 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4) 0.0 製造業(n=193) 60% 70% 80% 90% 100.0 4.1 不動産・建築(n=41) 9.8 9.3 4.7 4.7 7.0 2.4 45.1 12.2 14.0 100% 0.0 0.0 11.4 5.7 19.5 9.8 金融(n=43) 50% 7.3 10.9 39.0 34.9 7.3 34.9 3.6 2.4 0.0 0.0 エネルギー(n=19) 5.3 21.1 42.1 26.3 5.3 0.0 運輸業(n=26) 3.8 3.8 15.4 19.2 50.0 3.8 3.8 0.0 情報通信(n=10) 10.0 20.0 20.0 20.0 20.0 10.0 0.0 0.0 サービス(n=122) 4.1 4.1 7.4 54.1 12.3 10.7 3.3 4.1 教育(n=147) 2.0 行政サービス(n=165) 12.9 12.2 4.8 5.5 0.6 全体(n=771) 3.0 8.0 4.8 10.9 9.1 46.9 63.6 9.5 11.5 0.7 2.4 2.4 7.8 5.8 12.1 50.3 1週間以下 3ヶ月間 1年間 その他 1ヶ月間 6ヶ月間 特に期間は決まっていない 無回答 151 12.2 0.8 【経年変化】昨年度と比較すると、「特に期間は決まっていない」は1.8ポイント増加して 最も多い。 【経年変化】ログの保管期間 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 50.3% 48.5% 50.5% 特に期間は決まっていない 12.1% 12.0% 11.9% 1年間 3ヶ月間 7.8% 8.7% 9.7% 1ヶ月間 8.0% 4.9% 6.3% 6ヶ月間 5.8% 7.5% 5.6% 1週間以下 3.0% 2.9% 3.1% 平成23年度(n=771) 12.2% 14.9% 12.1% その他 無回答 平成22年度(n=769) 平成21年度(n=806) 0.8% 0.7% 0.9% 152 3.6.14.情報セキュリティ対策としてのログ解析の頻度 【全体】全体では、「問題発生時」が54.1%で最も多い。定期的(「毎日」、「毎週」、「毎 月」、「3ヶ月毎」の合計)は23.6%であり、その中で「毎月」が11.9%となっている。一方、 ログ解析を「実施していない」については11.0%となっている。 * 本項目は、何らかのログを取得している社・団体等を対象としている。 【全体】情報セキュリティ対策としてのログの解析頻度 (SA,n=771) 5.4% 問題発生 時 11.0% 毎月 3ヶ月毎 5.8% 毎日 3.1% 毎週 54.1% 4.2% その他 4.4% 実施してい ない 無回答 11.9% 153 【業種別分析】業種別を見ると、定期的(「毎日」、「毎週」、「毎月」、「3ヶ月毎」の 合計)に実施する割合は、「金融」が46.5%で最も多く、「エネルギー」が42.1%で続いてい る。また、「問題発生時」では、「不動産・建築」が65.9%で最も多い。 【業種別分析】情報セキュリティ対策としてのログの解析頻度 0% 10% 20% 30% 40% 50% 農林・水産・鉱業(n=4) 70% 80% 90% 100% 100.0 製造業(n=193) 0.0 51.3 11.9 4.1 不動産・建築(n=41) 金融(n=43) 60% 65.9 30.2 0.0 4.7 9.3 エネルギー(n=19) 9.8 2.4 30.2 47.4 13.5 4.7 4.7 3.6 2.4 9.8 14.0 2.3 5.3 6.2 36.8 9.3 5.3 0.0 運輸業(n=26) 34.6 情報通信(n=10) 3.8 サービス(n=122) 7.7 0.0 42.6 7.4 5.7 3.8 20.0 6.6 4.9 11.5 4.8 1.4 4.1 65.5 7.7 20.0 61.9 行政サービス(n=165) 5.3 23.1 4.8 教育(n=147) 0.0 0.0 19.2 50.0 2.4 11.5 2.4 0.0 10.0 13.1 5.4 8.2 10.2 0.6 7.9 7.5 7.9 2.4 1.8 全体(n=771) 問題発生時 54.1 毎日 毎週 毎月 4.2 3ヶ月毎 154 3.1 その他 11.9 4.4 5.8 実施していない 11.0 無回答 5.4 【経年変化】昨年度と比較すると、 「問題発生時」が3.1ポイント減尐しているが最も多い。 一方、「実施していない」は0.6ポイント増加している。 【経年変化】情報セキュリティ対策としてのログの解析頻度 0% 10% 20% 30% 40% 60% 70% 80% 54.1% 57.2% 58.6% 問題発生時 11.9% 12.6% 10.5% 毎月 3ヶ月毎 4.4% 3.4% 3.5% 毎日 4.2% 3.3% 4.3% 毎週 3.1% 3.9% 2.9% その他 50% 5.8% 8.1% 6.7% 平成23年度(n=771) 平成22年度(n=769) 平成21年度(n=806) 実施していない 無回答 11.0% 10.4% 11.7% 5.4% 1.2% 1.9% 155 90% 100% 3.6.15.不正ログイン対策 【全体】全体では、「同一IDに係る誤ったパスワードの繰り返し入力の規制」が36.4%で最 も多く、「特に実施していない」が29.9%で続いている。 【全体】不正ログイン対策(MA,n=786) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 同一IDに係る誤ったパスワードの繰り返し入力の規制 36.4% 正規の利用者が使用する通信端末機器の事前登録 同一IPアドレスからの誤ったID・パスワードの繰り返し入力 の規制 CAPCHA(プログラムでは読み取り・入力が困難な符号の入 力要求) その他 27.6% 4.7% 1.1% 4.2% 特に実施していない 29.9% 156 【業種別分析】業種別を見ると、「同一IDに係る誤ったパスワードの繰り返し入力の規制」 については、「金融」が73.2%で最も多い。 【業種別分析】不正ログイン対策 0% 10% 20% 農林・水産・鉱業(n=4) 30% 50.0 製造業(n=213) 60% 28.0 2.0 運輸業(n=30) 10.5 20.0 サービス(n=117) 10.0 0.9 6.0 26.8 15.8 40.0 25.6 30.0 3.4 3.4 2.0 4.0 26.5 46.3 行政サービス(n=152) 28.3 2.6 22.4 0.7 全体(n=786) 36.4 4.7 27.6 1.1 4.2 8.6 同一IDに係る誤ったパスワードの繰り返し入力の規制 同一IPアドレスからの誤ったID・パスワードの繰り返し入力の規制 正規の利用者が使用する通信端末機器の事前登録 CAPCHA(プログラムでは読み取り・入力が困難な符号の入力要求) その他 特に実施していない 無回答 157 2.4 4.9 26.3 60.0 35.0 25.5 32.9 22.0 30.0 33.3 100% 38.0 7.3 57.9 90% 1.4 73.2 エネルギー(n=19) 80% 50.0 33.8 22.0 2.0 70% 25.0 7.5 金融(n=41) 教育(n=149) 50% 25.0 44.1 不動産・建築(n=50) 情報通信(n=10) 40% 18.4 29.9 2.4 3.7.セキュリティ対策費用 3.7.1.現在利用しているセキュリティサービス 【全体】全体では、「利用していない」を除くと、「ウイルス等監視」が26.0%で最も多く、 「セキュリティ診断」が22.1%、「ハウジングサービス」が19.6%で続いている。 【全体】セキュリティサービスの利用状況「現在」(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルス等監視 26.0% セキュリティ診断 22.1% ハウジングサービス 19.6% セキュリティ監視 18.4% ソフトウェアメンテナンス 17.5% ログ解析 15.0% セキュリティ監査 13.4% 認証サービス 11.5% セキュアシステム構築 7.9% ポリシー策定 7.3% 社外での教育による研修の実施 6.7% リスク分析 その他 5.0% 1.7% 利用していない 33.7% 158 【業種別分析】次に挙げた業種別で見ると、「金融」では「セキュリティ診断」が42.2%で 最も多く、「ハウジングサービス」が35.6%で続いている。「エネルギー」では、「セキュ リティ監視」、「ウイルス等監視」が47.4%で最も多い。「行政サービス」では、「セキュ リティ診断」が45.5%で最も多く、「ウイルス等監視」が25.1%で続いている。 現在利用:金融/エネルギー/行政サービス 0.0% 10.0% 20.0% 30.0% 40.0% 31.6% セキュリティ診断 50.0% 42.2% 45.5% 22.1% リスク分析 4.4% 5.3% 9.6% 5.0% 13.3% 10.5% 6.6% 7.3% ポリシー策定 24.4% セキュリティ監査 42.1% 18.6% 13.4% 13.3% ログ解析 36.8% 18.6% 15.0% 認証サービス 6.6% 13.3% 15.8% 11.5% 17.8% 21.1% 16.2% 17.5% ソフトウェアメンテナンス ハウジングサービス 35.6% 31.6% 21.0% 19.6% 8.9% 社外での教育による研修の実施 6.7% 15.8% 15.0% 17.8% セキュリティ監視 47.4% 16.8% 18.4% 33.3% ウイルス等監視 25.1% 26.0% 8.9% セキュアシステム構築 その他 利用していない 4.2% 7.9% 47.4% 15.8% 2.2% 0.0% 1.8% 1.7% 金融(n=45) エネルギー(n=19) 10.5% 26.7% 17.4% 159 行政サービス(n=167) 33.7% 全体(n=827) 【経年変化】昨年度と比較すると、「利用していない」が7.9ポイント増加し、最も多い回 答となっている。サービスを利用しているとの回答では、「ウイルス等監視」が9.2ポイン ト減尐しているが最も多い。 【経年変化】セキュリティサービスの利用状況「現在」 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 26.0% 35.2% 32.2% ウイルス等監視 22.1% 22.6% 16.9% セキュリティ診断 19.6% 17.7% 16.7% ハウジングサービス 18.4% 25.1% 19.0% セキュリティ監視 17.5% 19.0% 17.0% ソフトウェアメンテナンス 15.0% 20.5% 14.5% ログ解析 セキュリティ監査 13.4% 14.0% 12.3% 認証サービス 11.5% 13.8% 12.0% セキュアシステム構築 7.9% 13.0% 9.7% ポリシー策定 7.3% 11.8% 12.7% 社外での教育による研修の実施 6.7% 13.8% 12.3% リスク分析 その他 利用していない 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 5.0% 7.5% 5.2% 1.7% 1.0% 1.0% 33.7% 25.8% 31.0% 160 3.7.2.今後も継続して利用したいセキュリティサービス 【全体】全体では、「利用していない」を除くと、「セキュリティ診断」が22.6%で最も多 く、「ウイルス等監視」が22.4%で続いている。 【全体】セキュリティサービスの利用状況「継続」(SA,n=827) 0% 10% 20% 30% セキュリティ診断 22.6% ウイルス等監視 22.4% ハウジングサービス 20.4% セキュリティ監視 17.8% ソフトウェアメンテナンス 17.4% ログ解析 12.5% 認証サービス セキュアシステム構築 9.8% 7.9% 社外での教育による研修の実施 6.8% ポリシー策定 6.0% リスク分析 5.3% セキュリティ監査 その他 利用していない 3.5% 1.6% 26.2% 161 40% 50% 60% 70% 80% 90% 100% 【業種別分析】次に挙げた業種別で見ると、「金融」では、「ソフトウェアメンテナンス」 が35.6%で最も多い。「エネルギー」では、「社外での教育による研修の実施」及び「セキ ュリティ監視」が47.4%で最も多く、「行政サービス」では、「社外での教育による研修の 実施」が22.2%で最も多い。 継続利用希望:金融/エネルギー/行政サービス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% セキュリティ診断 4.4% 5.3% 10.8% 5.3% リスク分析 8.9% 10.5% 4.8% 6.0% ポリシー策定 17.8% 36.8% 15.0% 11.0% セキュリティ監査 13.3% 15.0% 12.5% ログ解析 15.6% 15.8% 6.0% 9.8% 17.8% 15.8% 15.6% 17.4% 認証サービス 35.6% 31.6% 19.8% 20.4% ソフトウェアメンテナンス ハウジングサービス 8.9% 15.8% 13.8% 6.8% 13.3% 22.2% 17.8% 社外での教育による研修の実施 セキュアシステム構築 その他 利用していない 47.4% 28.9% 47.4% 21.6% 22.4% セキュリティ監視 ウイルス等監視 36.8% 8.9% 15.8% 3.6% 7.9% 2.2% 0.0% 0.6% 1.6% 17.8% 10.5% 12.6% 26.2% 金融(n=45) エネルギー(n=19) 行政サービス(n=167) 0.0% 0.0% 0.0% 0.0% 全体(n=827) 162 【経年変化】昨年度と比較すると、「利用していない」を除くと、「セキュリティ診断」が 7.7ポイント減尐しているが最も多い。 【経年変化】セキュリティサービスの利用状況「継続」 0% 10% 20% 90% 12.5% 20.5% 17.0% ログ解析 認証サービス 9.8% 13.0% 10.5% セキュアシステム構築 7.9% 13.1% 13.0% 利用していない 80% 17.4% 15.1% 13.0% ソフトウェアメンテナンス その他 70% 17.8% 24.9% 20.8% セキュリティ監視 セキュリティ監査 60% 20.4% 17.4% 16.0% ハウジングサービス リスク分析 50% 22.4% 26.0% 22.7% ウイルス等監視 ポリシー策定 40% 22.6% 30.3% 28.7% セキュリティ診断 社外での教育による研修の実施 30% 6.8% 19.9% 18.3% 6.0% 13.0% 11.3% 平成23年度(n=827) 5.3% 平成22年度(n=841) 3.5% 14.5% 12.5% 平成21年度(n=930) 21.0% 18.2% 1.6% 1.5% 1.6% 26.2% 25.9% 163 100% 3.7.3.新規に利用したいセキュリティサービス 【全体】全体では、「特に無し」を除くと「セキュリティ診断」が25.2%で最も多く、「セ キュリティ監査」が20.0%で続いている。 【全体】セキュリティサービスの利用状況「新規」(MA,n=827) 0% 10% 20% セキュリティ診断 20.0% リスク分析 16.0% セキュリティ監視 14.0% 社外での教育による研修の実施 10.6% ログ解析 10.6% ウイルス等監視 10.5% ポリシー策定 9.6% セキュアシステム構築 9.2% ハウジングサービス 6.9% 認証サービス 5.9% その他 特に無し 40% 25.2% セキュリティ監査 ソフトウェアメンテナンス 30% 2.4% 1.2% 30.4% 164 50% 60% 70% 80% 90% 100% 【業種別分析】次に挙げた業種別で見ると、「特に無し」を除くと、「金融」では、「セキ ュリティ診断」17.8%で最も多い。「エネルギー」では、「セキュリティ診断」及び「社外 での教育による研修の実施」が15.8%で最も多く、「行政サービス」では、「セキュリティ 監査」が23.4%で最も多い。 新規利用希望:金融/エネルギー/行政サービス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% セキュリティ診断 リスク分析 ポリシー策定 セキュリティ監査 ログ解析 認証サービス ソフトウェアメンテナンス ハウジングサービス 17.8% 15.8% 12.6% 25.2% 6.7% 5.3% 16.8% 16.0% 0.0% 5.3% 5.4% 9.6% 8.9% 10.5% 23.4% 20.0% 13.3% 5.3% 7.2% 10.6% 4.4% 0.0% 3.6% 5.9% 0.0% 0.0% 2.4% 2.4% 0.0% 5.3% 7.8% 6.9% 社外での教育による研修の実 施 8.9% 15.8% 11.4% 10.6% セキュリティ監視 8.9% 0.0% 13.8% 14.0% ウイルス等監視 6.7% 0.0% 8.4% 10.5% セキュアシステム構築 2.2% 0.0% 11.4% 9.2% その他 特に無し 4.4% 0.0% 1.8% 1.2% 金融(n=45) エネルギー(n=19) 40.0% 21.6% 30.4% 165 57.9% 行政サービス(n=167) 全体(n=827) 【経年変化】昨年度と比較すると、「特に無し」を除くと、「セキュリティ診断」が2.3ポ イント増加しており最も多い。 【経年変化】セキュリティサービスの利用状況「新規」 0% 10% 20% 7.5% 5.2% 16.0% 10.5% ウイルス等監視 ポリシー策定 9.6% 11.8% 12.7% セキュアシステム構築 9.2% 13.0% 9.7% 特に無し 80% 10.6% 20.7% 14.5% ログ解析 その他 70% 10.6% 13.9% 12.3% 社外での教育による研修の実施 ソフトウェアメンテナンス 60% 14.0% 25.3% 19.0% セキュリティ監視 認証サービス 50% 20.0% 14.5% 19.0% セキュリティ監査 ハウジングサービス 40% 25.2% 22.9% 16.9% セキュリティ診断 リスク分析 30% 6.9% 5.9% 2.4% 35.3% 32.2% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 18.0% 16.7% 13.8% 12.0% 19.1% 17.0% 1.2% 1.0% 1.0% 30.4% 25.8% 31.0% 166 90% 100% 3.7.4.セキュリティサービスを利用していない理由 【全体】全体では、「コストを負担できない」が60.2%で最も多い。「社・団体内の担当者 だけで必要な人員が確保されているため、必要が無い」が12.5%で続いているが、47.7ポイ ントの差があることから、コスト面が大きな課題となっていることが分かる。 【全体】セキュリティサービスを利用していない理由(MA,n=279) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% コストを負担できない 60.2% 社・団体内の担当者だけで必要な人員が確保さ れているため、必要性が無い 12.5% 要求に合致するサービスが提供されていない 11.1% 社・団体内に高い専門性やノウハウ、技術力があ り、必要性が無い 11.1% 社・団体内にノウハウの蓄積を行いたい 11.1% 機密情報の漏えいにつながることが懸念される 6.8% その他 7.5% 167 【業種別分析】業種別を見ると、「コストを負担できない」について、「運輸業」が75.0% で最も多く、「教育」が72.0%で続いている。また、「社・団体内の担当者だけで必要な人 員が確保されているため、必要性が無い」とするのは、「情報通信」が50.0%で最も多く、 「社・団体内にノウハウの蓄積を行いたい」は「金融」が33.3%で最も多い。 コストを負担できない 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 農林・水産・鉱業(n=2) 100.0% 製造業(n=74) 56.3% 不動産・建築(n=17) 47.6% 金融(n=9) エネルギー(n=7) 41.7% 0.0% 運輸業(n=15) 75.0% 情報通信(n=6) 25.0% サービス(n=48) 63.0% 教育(n=65) 72.0% 行政サービス(n=37) 55.2% 全体(n=279) 60.2% 社・団体内の担当者だけで必要な人員が確保されているた め、必要性がない 0.0% 農林・水産・鉱業(n=2) 20.0% 運輸業(n=15) 教育(n=65) 行政サービス(n=37) 全体(n=279) 100.0% 13.8% 4.8% 25.0% 0.0% 20.0% 製造業(n=74) 13.8% 不動産・建築(n=17) 14.3% エネルギー(n=7) 12.5% 33.3% 0.0% 25.0% 運輸業(n=15) 25.0% 情報通信(n=6) 50.0% サービス(n=48) 15.2% 教育(n=65) 9.3% 行政サービス(n=37) 10.3% 全体(n=279) 12.5% 168 40.0% 0.0% 金融(n=9) 0.0% 情報通信(n=6) サービス(n=48) 80.0% 農林・水産・鉱業(n=2) 金融(n=9) エネルギー(n=7) 60.0% 0.0% 製造業(n=74) 不動産・建築(n=17) 40.0% 社・団体内にノウハウの蓄積を行いたい 10.9% 5.3% 3.4% 11.1% 60.0% 80.0% 100.0% 【経年変化】昨年度と比較すると、「コストを負担できない」が1.9ポイント増加して最も 多く、引き続きコスト面の課題が大きくなっていることが分かる。 【経年変化】セキュリティサービスを利用していない理由 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 60.2% 58.3% 62.2% コストを負担できない 社・団体内の担当者だけで必要な人員 が確保されているため、必要性が無い 12.5% 要求に合致するサービスが提供されて いない 11.1% 11.9% 13.5% 社・団体内に高い専門性やノウハウ、技 術力があり、必要性が無い 11.1% 15.1% 12.8% 22.9% 19.1% 11.1% 社・団体内にノウハウの蓄積を行いたい 機密情報の漏えいにつながることが懸 念される その他 21.6% 15.3% 平成23年度(n=279) 6.8% 6.9% 6.6% 平成22年度(n=218) 平成21年度(n=288) 7.5% 0.0% 8.7% 169 3.7.5. 2012年度の情報セキュリティ投資計画 【全体】全体では、「今期と比較して、ほぼ同額とする計画である」とする割合が80.2%で 最も多い。増やす計画であるとする各項目の合計は16.0%で、減らすとする各項目の合計は 2.4%となっている。 【全体】2012年度の情報セキュリティ投資計画(SA,n=827) 0.1% 0.1% 2.2% 今期と比較して、ほぼ同額 (‐10~+10%)とする計画で ある 今期と比較して、大幅 (+50%以上)に増やす計画 である 今期と比較して、かなり増や す(+30~+50%)計画である 1.5% 11.5% 2.9% 1.6% 今期と比較して、小幅に増や す(+10~+30%)計画である 今期と比較して、大幅に減ら す(‐50%以上)計画である 今期と比較して、かなり減ら す(‐30~‐50)計画である 今期と比較して、小幅に減ら す(‐10~‐30%)計画である 80.2% 170 無回答 【業種別分析】業種別を見ると、「今期と比較して、投資額を増やす」については、「情報 通信」が40.0%で最も多く「運輸業」が23.3%で続いている。「今期と比較して、ほぼ同額」 では、「エネルギー」が94.7%で最も多く、「教育」が86.2%、「行政サービス」が85.6%、 「不動産・建築」が82.0%で続いている。 【業種別分析】2012年度のセキュリティ投資計画 0% 10% 20% 農林・水産・鉱業(n=4) 製造業(n=216) 不動産・建築(n=50) 30% 40% 50% 60% 70% 80% 90% 100% 100.0 2.3 73.1 15.7 3.2 2.0 16.0 4.2 0.0 1.4 0.0 82.0 0.0 金融(n=45) 2.2 6.7 13.3 77.8 エネルギー(n=19) 運輸業(n=30) 6.7 6.7 情報通信(n=10) 1.5 行政サービス(n=167) 全体(n=827) 10.0 9.9 2.3 8.6 0.7 2.6 1.2 2.4 60.0 80.9 86.2 85.6 7.8 1.6 2.9 0.0 3.3 0.0 70.0 40.0 サービス(n=131) 教育(n=152) 0.0 5.3 94.7 11.5 80.2 3.3 0.0 3.1 0.8 1.5 0.0 1.3 0.7 0.0 1.2 1.2 0.6 2.2 0.1 「 増 や す 「 減 ら す 」 合 計 」 合 計 0.0 0.0 21.3 18.0 4.2 0.0 22.2 0.0 0.0 5.3 23.3 40.0 3.3 0.0 13.7 3.8 11.8 1.3 11.4 1.8 16.0 2.3 0.1 今期と比較して、大幅(+50%以上)に増やす計画である 今期と比較して、かなり増やす(+30~+50%)計画である 今期と比較して、小幅に増やす(+10~+30%)計画である 今期と比較して、ほぼ同額(‐10~+10%)とする計画である 今期と比較して、小幅に減らす(‐10~‐30%)計画である 今期と比較して、かなり減らす(‐30~‐50)計画である 今期と比較して、大幅に減らす(‐50%以上)計画である 無回答 ※ 図表右側の表『「増やす」合計』と『「減らす」合計』は各選択肢の回答数の合計を母数で除して算出している。 これに対して、グラフの数値は四捨五入してあるため、その合計数と表中の数字は差が生じるものがある。 171 【経年変化】昨年度と比較すると、 「今期と比較してほぼ同額とする計画である」が 1.3 ポ イント減尐しているが最も多い。 【経年変化】2012年度の情報セキュリティ投資計画 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 今期と比較して、ほぼ同額(‐10~+ 10%)とする計画である 今期と比較して、大幅(+50%以上)に 増やす計画である 今期と比較して、かなり増やす(+30~ +50%)計画である 80.2% 81.5% 1.6% 1.0% 2.9% 2.3% 今期と比較して、小幅に増やす(+10~ +30%)計画である 今期と比較して、小幅に減らす(‐10~ ‐30%)計画である 11.5% 10.3% 2.2% 1.9% 今期と比較して、かなり減らす(‐30~ ‐50)計画である 0.1% 0.6% 今期と比較して、大幅に減らす(‐50% 以上)計画である 0.1% 0.4% 平成23年度(n=827) 平成22年度(n=841) 無回答 1.5% 2.1% 172 3.7.6.情報セキュリティ対策実施上の問題 【全体】全体では、「費用対効果が見えない」が59.6%で最も多く、「コストがかかりすぎ る」が54.4%、「どこまで行えば良いのか基準が示されていない」が48.4%、「教育訓練が行 き届かない」が38.0%で続いている。 【全体】情報セキュリティ対策実施上の問題点(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 費用対効果が見えない 59.6% コストがかかりすぎる 54.4% どこまで行えば良いのか基準が示されていない 48.4% 教育訓練が行き届かない 38.0% 対策を構築するノウハウが不足している 26.6% 従業員への負担がかかりすぎる 24.7% 情報を資産として考える習慣が無い 12.7% トップの理解が得られない 12.6% 最適なツール・サービスが無い その他 5.6% 2.1% 173 【業種別分析】次に挙げた業種別で見ると、「不動産・建築」については、「どこまで行え ば良いのか基準が示されていない」が52.0%で最も多く、「運輸業」については「費用対効 果が見えない」が60.0%で最も多い。また、「教育」については、「コストがかかりすぎる」 が61.8%で最も多く、「行政サービス」でも「コストがかかりすぎる」が56.9%で最も多い。 不動産・建築/運輸業 0.0% 20.0%40.0%60.0%80.0%100.0% 44.0% 53.3% 54.4% コストがかかりすぎる 46.0% 60.0% 59.6% 費用対効果が見えない 34.0% 26.7% 38.0% 教育訓練が行き届かない 従業員への負担がかかりす ぎる 20.0% 20.0% 24.7% 対策を構築するノウハウが 不足している 22.0% 23.3% 26.6% どこまで行えば良いのか基 準が示されていない 52.0% 53.3% 48.4% トップの理解が得られない 18.0% 13.3% 12.6% 情報を資産として考える習慣 が無い 10.0% 16.7% 12.7% 最適なツール・サービスが無 い その他 不動産・建築(n=50) 6.0% 3.3% 5.6% 運輸業(n=30) 全体(n=827) 0.0% 0.0% 2.1% 教育/行政サービス 0.0% 20.0%40.0%60.0%80.0%100.0% コストがかかりすぎる 61.8% 56.9% 54.4% 費用対効果が見えない 55.3% 53.9% 59.6% 44.1% 44.9% 38.0% 教育訓練が行き届かない 従業員への負担がかかりす ぎる 31.6% 25.7% 24.7% 対策を構築するノウハウが 不足している 33.6% 31.7% 26.6% 48.0% 47.3% 48.4% どこまで行えば良いのか基 準が示されていない トップの理解が得られない 情報を資産として考える習 慣が無い 最適なツール・サービスが 無い その他 13.8% 7.2% 12.6% 19.1% 12.6% 12.7% 5.3% 4.2% 5.6% 教育(n=152) 行政サービス(n=167) 全体(n=827) 2.6% 0.6% 2.1% 174 【経年変化】昨年度と比較すると、「費用対効果が見えない」が0.9ポイント減尐している が最も多い。 【経年変化】情報セキュリティ対策実施上の問題点 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 59.6% 60.5% 59.6% 費用対効果が見えない 54.4% 51.6% 56.9% コストがかかりすぎる 48.4% 45.3% 46.5% どこまで行えば良いのか基準が示さ れていない 38.0% 37.0% 37.7% 教育訓練が行き届かない 26.6% 23.4% 23.4% 対策を構築するノウハウが不足して いる 24.7% 24.9% 21.8% 従業員への負担がかかりすぎる 情報を資産として考える習慣が無い 12.7% 13.0% 14.4% トップの理解が得られない 12.6% 13.1% 13.8% 最適なツール・サービスが無い その他 平成23年度(n=827) 平成22年度(n=841) 5.6% 6.4% 7.3% 平成21年度(n=930) 2.1% 1.2% 1.4% 175 3.8.セキュリティ・インシデントへの対応 3.8.1.不正アクセス等により想定される被害 【全体】全体では、「個人のプライバシーが脅かされる」が69.9%で最も多く、「社会的に 深刻な被害には至らないが、自社の事業活動にとっては深刻な被害になる」が59.3%で続い ている。一方、「特に深刻な被害にはならない」が3.0%であり、ほぼ全ての社・団体等で不 正アクセス等による被害が深刻になると想定している。 【全体】不正アクセス等により想定される被害(MA,n=827) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人のプライバシーが脅かされる 69.9% 社会的に深刻な被害には至らないが、自社の事業活動に とっては深刻な被害になる 59.3% 顧客や取引先等の財産が脅かされる 31.2% 行政機能が脅かされる 顧客等の人命や健康が脅かされる 経済活動全般が脅かされる(金融為替取引の停止・混乱 や資本逃避等) 21.3% 8.2% 6.9% 国民の生活環境が脅かされる(治安悪化や環境汚染等) 5.2% エネルギー供給や水供給、交通システム等のライフライン が脅かされる 4.7% その他 特に深刻な被害にはならない 0.7% 3.0% 176 【業種別分析】次に挙げた業種別で見ると、「製造業」では、「社会的に深刻な被害には至 らないが、自社の事業活動にとっては深刻な被害になる」が85.6%で最も多い。「金融」で は、「個人のプライバシーが脅かされる」が88.9%で最も多く、「顧客や取引先等の財産が 脅かされる」が80.0%で続いている。「運輸業」では、「社会的に深刻な被害には至らない が、自社の事業活動にとっては深刻な被害になる」が66.7%で最も多い。「情報通信」では、 「個人のプライバシーが脅かされる」が90.0%で最も多い。「教育」でも、「個人のプライ バシーが脅かされる」が92.1%で最も多い。「行政サービス」では、「行政機能が脅かされ る」が97.6%で最も多い。 運輸業/情報通信 製造業/金融 0% 0% 20% 40% 60% 80% 100% 顧客等の人命や健康が脅かされる 0.9% 2.2% 8.2% 顧客等の人命や健康が脅かされる 80.0% 31.2% 経済活動全般が脅かされる(金融為替取引 の停止・混乱や資本逃避等) 5.6% 国民の生活環境が脅かされる(治安悪化や 環境汚染等) 0.9% 0.0% 5.2% エネルギー供給や水供給、交通システム等 のライフラインが脅かされる 2.3% 0.0% 4.7% 製造業(n=216) 0.0% 0.0% 全体(n=827) 行政機能が脅かされる 41.7% 個人のプライバシーが脅かされる 69.9% 社会的に深刻な被害には至らないが、自社 の事業活動にとっては深刻な被害になる 60.0% 59.3% 88.9% 教育/行政サービス 0% 顧客等の人命や健康が脅かされる 20% 国民の生活環境が脅かされる(治安悪化 や環境汚染等) 0.7% 5.2% 20.4% 1.3% 8.4% 4.7% 2.6% 97.6% 21.3% 個人のプライバシーが脅かされる 社会的に深刻な被害には至らないが、自社 の事業活動にとっては深刻な被害になる 80% 100% 37.7% 31.2% 2.0% 7.2% 6.9% 行政機能が脅かされる 60% 15.1% 経済活動全般が脅かされる(金融為替取 引の停止・混乱や資本逃避等) エネルギー供給や水供給、交通システム等 のライフラインが脅かされる 40% 5.3% 16.8% 8.2% 顧客や取引先等の財産が脅かされる 69.9% 9.6% その他 2.0% 0.6% 0.7% 特に深刻な被害にはならない 0.7% 0.0% 3.0% 10.0% 0.0% 4.7% 運輸業(n=30) 0.0% 10.0% 21.3% 全体(n=827) 特に深刻な被害にはならない 4.6% 0.0% 3.0% 特に深刻な被害にはならない エネルギー供給や水供給、交通システム等 のライフラインが脅かされる その他 0.9% 0.0% 0.7% その他 0.0% 0.0% 5.2% 92.1% 91.6% 69.7% 59.3% 教育(n=152) 行政サービス(n=167) 全体(n=827) 177 情報通信(n=10) 50.0% 69.9% 社会的に深刻な被害には至らないが、自社 の事業活動にとっては深刻な被害になる 85.6% 100% 国民の生活環境が脅かされる(治安悪化や 環境汚染等) 個人のプライバシーが脅かされる 21.3% 80% 0.0% 10.0% 6.9% 行政機能が脅かされる 金融(n=45) 60% 経済活動全般が脅かされる(金融為替取引 の停止・混乱や資本逃避等) 37.8% 6.9% 40% 26.7% 30.0% 31.2% 顧客や取引先等の財産が脅かされる 30.1% 顧客や取引先等の財産が脅かされる 20% 3.3% 10.0% 8.2% 66.7% 70.0% 59.3% 0.0% 0.0% 0.7% 3.3% 0.0% 3.0% 90.0% 【経年変化】昨年度と比較すると、「個人のプライバシーが脅かされる」が1.1ポイント 減尐しているが最も多い。 【経年変化】不正アクセス等により想定される被害 0% 10% 20% 30% 40% 31.2% 31.3% 30.9% 顧客や取引先等の財産が脅かされる 21.3% 20.6% 19.2% 行政機能が脅かされる 8.2% 12.0% 7.2% 6.9% 6.9% 7.3% 国民の生活環境が脅かされる(治安悪化や環 境汚染等) 5.2% 4.6% 5.1% エネルギー供給や水供給、交通システム等の ライフラインが脅かされる 4.7% 4.8% 5.1% その他 特に深刻な被害にはならない 70% 59.3% 58.1% 60.9% 社会的に深刻な被害には至らないが、自社の 事業活動にとっては深刻な被害になる 経済活動全般が脅かされる(金融為替取引の 停止・混乱や資本逃避等) 60% 80% 69.9% 71.0% 66.3% 個人のプライバシーが脅かされる 顧客等の人命や健康が脅かされる 50% 0.7% 0.7% 1.2% 平成23年度(n=827) 平成22年度(n=841) 3.0% 3.4% 2.6% 平成21年度(n=930) 178 90% 100% 3.9.ファイル共有ソフトに関する情報セキュリティ対策 3.9.1.ファイル共有ソフトの利用に伴う被害 【全体】ファイル共有ソフトの利用に伴う被害について「被害は生じていない」が97.3%、 「被害が生じた」が1.5%で「被害は生じていない」の回答が多い。 【全体】ファイル共有ソフトの利用に伴う被害(SA,n=827) 1.5% 1.2% 被害は生じていない 被害が生じた 無回答 97.3% 179 【業種別分析】業種別を見ると、全ての業種において、「被害は生じていない」が9割以上 の回答となった。 【業種別分析】ファイル共有ソフトの利用に伴う被害 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4) 50% 60% 70% 80% 90% 100% 100.0% 製造業(n=216) 96.3% 1.4% 2.3% 不動産・建築(n=50) 96.0% 2.0% 2.0% 金融(n=45) 95.6% エネルギー(n=19) 94.7% 運輸業(n=30) 96.7% 4.4% 5.3% 3.3% 情報通信(n=10) 100.0% サービス(n=131) 97.7% 1.5% 0.8% 教育(n=152) 98.7% 1.3% 行政サービス(n=167) 99.4% 0.6% 全体(n=827) 97.3% 被害は生じていない 180 被害が生じた 1.5% 無回答 1.2% 【経年変化】昨年度と比較すると、 「被害は生じていない」が0.7ポイント減尐しているが、 ほぼ全ての社・団体等において被害が生じていないことが分かる。 【経年変化】ファイル共有ソフトの利用に伴う被害 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 97.3% 被害は生じていない 98.0% 98.1% 1.5% 被害が生じた 1.0% 1.5% 平成23年度(n=827) 平成22年度(n=841) 1.2% 無回答 平成21年度(n=930) 1.1% 0.4% 181 3.9.2.情報漏えいが生じた際の経路、状況 【全体】全体では、「その他」を除くと、「私物であるPC等から漏えい」が7件(58.3%)で 最も多く、「貴社・団体が業務利用のために供したPC等から漏えい」が5件(41.7%)、「退 職した職員、以前委託していた業者から漏えい」が4件(33.3%)、「業務委託先から漏えい」 が3件(25.0%)で続いている。 *本項目は、過去1 年間においてファイル共有ソフトの利用に伴い何らかの被害が生じた 社・団体等を対象としている。 【全体】情報漏えいが生じた際の経路・状況 (MA,n=12) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 私物であるPC等から漏えい 58.3% 貴社・団体が業務利用のために供したPC等から漏えい 41.7% 退職した職員、以前委託していた業者から漏えい 33.3% 業務委託先から漏えい 25.0% その他 66.7% 182 【経年変化】昨年度と比較すると、「私物であるPC等から漏えい」が20.8ポイント増加して おり最も多い。 【経年変化】情報漏えいが生じた際の経路・状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 58.3% 私物であるPC等から漏えい 37.5% 42.9% 貴社・団体が業務利用のために供した PC等から漏えい 41.7% 0.0% 14.3% 33.3% 退職した職員、以前委託していた業者 から漏えい 12.5% 7.1% 平成23年度(n=12) 25.0% 業務委託先から漏えい 12.5% 平成22年度(n=8) 平成21年度(n=14) 50.0% 66.7% その他 12.5% 0.0% 183 3.9.3.ファイル共有ソフトを介した情報漏えいに対する対策 【全体】全体では、実施率(「一年より前から対策」と「この一年以内に対策開始」の割合 の合計)を見ると、「ファイル共有ソフトの利用を禁止する通達」が61.6%で最も多く、「ネ ットワークにおける通信制御」の48.8%、 「ファイル共有ソフトの削除・停止ツールの利用」 の39.7%が続いている。一方、いずれの対忚策も、「一年より前から対策開始」が、「この 一年以内に対策」を上回っている。「未対策だが、今後導入したい」は、「ファイル共有ソ フト利用者の検知」が25.9%で最も多い。 【全体】ファイル共有ソフトを介した情報漏えいへの対応策(各項目SA, n=827) 0% 20% ファイル共有ソフト削除・停止ツール等の利用 40% 37.5% 60% 80% 19.0% 32.3% 100% 9.1% 2.2% ネットワークにおける通信制御 46.1% 18.1% 24.1% 9.1% 2.7% ファイル共有ソフト利用者の検知 32.3% 25.9% 29.3% 9.6% 3.0% ファイル共有ソフトの利用を禁止する通達 60.1% 13.9% 16.9% 7.5% 1.5% ファイル共有ソフトをインストールしていないことの確認書を提出さ せる 11.0% 18.5% 58.8% 11.2% 0.5% 業務外注先に対して、ファイル共有ソフトを利用しないように依頼 18.7% 0.1% その他 6.2% 23.8% 44.6% 11.9% 1.0% 15.7% 75.5% 2.5% 一年より前から対策開始 この一年以内に対策開始 未対策だが、今後導入したい 184 導入の予定は無い 無回答 【業種別分析】業種別での実施率(「一年より前から対策」と「この一年以内に対策開始」 の割合の合計)を見ると、「ファイル共有ソフト削除・停止ツール等の利用」では、「情報 通信」が70.0%で最も多く、「運輸業」の66.7%が続いている。「ネットワークにおける通信 制御」では、「情報通信」が60.0%で最も多い。「ファイル共有ソフトの利用を禁止する通 達」では、「エネルギー」が94.7%で最も多い。 【業種分析別】ファイル共有ソフトを介した情報漏えいへの対応策 (ファイル共有ソフト削除・停止ツール等の利用) 0% 20% 40% 60% 農林・水産・鉱業(n=4) (ネットワークにおける通信制御) 80% 100% 100.0 製造業(n=216) 47.7 不動産・建築(n=50) 金融(n=45) 42.2 エネルギー(n=19) 42.1 21.8 9.3 18.0 14.0 26.7 17.8 10.5 5.3 46.7 情報通信(n=10) 20.0 40.0 サービス(n=131) 17.1 3.1 10.0 22.9 1.3 行政サービス(n=167) 35.3 全体(n=827) 37.5 エネルギー(n=19) 3.3 運輸業(n=30) 20.0 46.1 7.8 0.6 44.3 19.0 5.3 サービス(n=131) 4.6 教育(n=152) 12.0 行政サービス(n=167) 9.1 全体(n=827) 32.3 60% 80% 40.7 2.8 21.3 25.9 26.0 42.2 4.4 9.3 14.0 15.6 22.0 20.0 57.9 17.8 31.6 43.3 6.7 16.7 10.5 26.7 60.0 6.7 30.0 44.3 4.6 49.3 19.8 25.2 6.1 22.4 3.3 25.7 10.8 0.6 46.1 10.0 21.7 3.3 53.3 2.2 100% 50.0 38.0 情報通信(n=10) 29.0 30.9 製造業(n=216) 不動産・建築(n=50) 5.3 30.0 30.0 39.7 教育(n=152) 36.8 40% 50.0 金融(n=45) 6.7 6.7 運輸業(n=30) 20% 農林・水産・鉱業(n=4) 18.5 2.8 28.0 40.0 0% 18.1 9.6 24.1 9.1 2.7 一年より前から対策開始 この一年以内に対策開始 一年より前から対策開始 この一年以内に対策開始 未対策だが、今後導入したい 導入の予定は無い 未対策だが、今後導入したい 導入の予定は無い 無回答 無回答 (ファイル共有ソフトの利用を禁止する通達) (ファイル共有ソフト利用者の検知) 0% 20% 農林・水産・鉱業(n=4) 40% 60% 80% 50.0 製造業(n=216) 28.2 3.2 34.0 金融(n=45) 21.3 30.0 40.0 6.7 エネルギー(n=19) 運輸業(n=30) 30.0 6.7 33.3 サービス(n=131) 28.2 教育(n=152) 20.4 行政サービス(n=167) 5.3 全体(n=827) 36.2 16.8 32.3 3.0 4.6 7.2 40.1 25.9 80% 65.3 13.4 3.7 18.0 62.2 100% 10.6 6.5 18.0 2.24.4 エネルギー(n=19) 12.0 15.6 15.6 94.7 運輸業(n=30) 5.3 63.3 20.0 13.3 3.3 80.0 サービス(n=131) 20.0 58.8 教育(n=152) 12.2 49.3 2.0 13.2 行政サービス(n=167) 59.9 9.6 全体(n=827) 60.1 29.3 60% 52.0 情報通信(n=10) 20.0 30.5 33.6 29.9 6.7 10.0 10.0 31.3 2.6 10.5 23.3 20.0 製造業(n=216) 金融(n=45) 20.0 31.6 40.0 40% 100.0 不動産・建築(n=50) 16.0 22.2 57.9 情報通信(n=10) 6.9 20.0 11.1 20% 農林・水産・鉱業(n=4) 50.0 40.3 不動産・建築(n=50) 0% 100% 24.4 22.4 4.6 21.7 4.6 19.2 11.4 13.9 9.6 16.9 7.5 1.5 一年より前から対策開始 この一年以内に対策開始 一年より前から対策開始 この一年以内に対策開始 未対策だが、今後導入したい 導入の予定は無い 未対策だが、今後導入したい 導入の予定は無い 無回答 無回答 (業務外注先に対して、ファイル共有ソフトを利用しないように 依頼) (ファイル共有ソフトをインストールしていないことの確認書を 提出させる) 0% 20% 農林・水産・鉱業(n=4) 製造業(n=216) 40% 13.9 不動産・建築(n=50) 金融(n=45) 運輸業(n=30) 73.3 情報通信(n=10) 40.0 24.4 教育(n=152) 2.0 10.0 40.0 21.4 行政サービス(n=167) 0.6 1.8 6.6 20.0 48.9 29.6 63.8 77.2 11.0 18.5 17.6 16.0 20.0 教育(n=152) 11.2 行政サービス(n=167) 80% 2.2 11.1 18.7 21.1 20.0 19.8 26.3 14.4 0.6 全体(n=827) 26.7 31.6 46.7 40.0 30.5 12.0 20.0 35.6 5.3 30.0 12.5 100% 43.1 40.0 42.1 情報通信(n=10) 4.6 25.0 2.3 24.4 10.0 3.3 サービス(n=131) 60% 50.0 24.0 運輸業(n=30) 5.3 13.8 58.8 製造業(n=216) 不動産・建築(n=50) エネルギー(n=19) 36.8 40% 50.0 金融(n=45) 24.4 31.6 16.7 サービス(n=131) 9.7 20.0 44.4 5.3 20% 農林・水産・鉱業(n=4) 48.0 8.9 26.3 0% 100% 54.2 16.0 22.2 80% 50.0 20.8 1.4 16.0 エネルギー(n=19) 全体(n=827) 60% 50.0 27.5 23.8 10.0 20.0 43.5 6.1 53.9 7.2 45.5 12.0 44.6 11.9 1.0 0.5 一年より前から対策開始 この一年以内に対策開始 一年より前から対策開始 この一年以内に対策開始 未対策だが、今後導入したい 導入の予定は無い 未対策だが、今後導入したい 導入の予定は無い 無回答 無回答 185 【経年変化】昨年度と比較すると、全ての項目において実施率(「一年より前から対策」と 「この一年以内に対策開始」の割合の合計)が増加している。 【経年変化】ファイル共有ソフトを介した情報漏えいへの対応策 (平成23年度:n=827,平成22年度:n=841,平成21年度:n=930) ファイル共有ソフト削除・停止ツール等の利用 ネットワークにおける通信制御 ファイル共有ソフト利用者の検知 ファイル共有ソフトの利用を禁止する通達 ファイル共有ソフトをインストールしていないことの確認書を提出させる 業務外注先に対して、ファイル共有ソフトを利用しないように依頼 その他 186 3.10.情報セキュリティに関する被害状況 3.10.1.過去1年間の情報セキュリティに関する被害状況 【全体】全体では、「被害は生じなかった」が54.3%で最も多い。被害が生じたとの回答で は、「ウイルス等の感染」が28.8%で最も多い。 【全体】過去1年間の情報セキュリティに関する被害状況(MA,n=827) 0% 10% 20% 30% 40% 被害は生じなかった 60% 54.3% ウィルス等の感染 ノートPC盗難 50% 28.8% 3.9% スパイウェアの感染 1.9% その他情報機器盗難(外部記憶装置等) 1.5% 踏み台(バックドア設置等) 1.5% 情報漏えい(ファイル共有ソフトによるものを除く) 1.2% ホームページの改ざん 1.0% 内部者のネットワーク悪用(私用メール、ポルノ画像閲覧等) 0.7% なりすまし 0.6% Webや掲示板上での貴社・団体に対する誹謗中傷 0.5% メールの不正中継 0.4% DoS攻撃 0.4% ファイル共有ソフトの利用に伴う情報漏えい 0.2% システム破壊・データ改ざん 0.1% 盗聴(キーロガー含む) 0.0% インターネット上の著作権侵害(記事、写真、ロゴ等の無断使用) 0.0% ネットワークを利用した詐欺 0.0% フィッシング 0.0% その他 0.0% 187 70% 80% 90% 100% 【経年変化】昨年度と比較すると、 「被害は生じなかった」を除くと、 「ウイルス等の感染」 が0.7ポイント減尐しているが最も多い。 【経年変化】過去1年間の情報セキュリティに関する被害状況 0% 10% 20% 30% 40% 1.9% 4.9% 4.3% 1.5% 1.9% 1.4% 踏み台(バックドア設置等) 1.5% 1.7% 1.0% 情報漏えい(ファイル共有ソフトによるものを除く) 1.2% 1.0% 0.4% ホームページの改ざん 1.0% 2.4% 1.4% 内部者のネットワーク悪用(私用メール、ポルノ画像閲覧 等) 0.7% 2.0% 3.0% Webや掲示板上での貴社・団体に対する誹謗中傷 メールの不正中継 DoS攻撃 80% 3.9% 5.7% 6.2% その他情報機器盗難(外部記憶装置等) なりすまし 70% 28.8% 29.5% 31.9% ウィルス等の感染 スパイウェアの感染 60% 54.3% 51.2% 54.6% 被害は生じなかった ノートPC盗難 50% 0.6% 1.2% 0.7% 0.5% 1.1% 3.0% 0.4% 0.6% 0.9% 0.4% 1.2% 2.4% ファイル共有ソフトの利用に伴う情報漏えい 0.2% 0.4% 0.8% システム破壊・データ改ざん 0.1% 0.1% 0.2% 盗聴(キーロガー含む) 0.0% 0.0% 0.2% インターネット上の著作権侵害(記事、写真、ロゴ等の無 断使用) 0.0% 0.2% 0.6% ネットワークを利用した詐欺 0.0% 0.1% 0.0% フィッシング 0.0% 0.5% 0.3% その他 0.0% 0.5% 1.0% 平成23年度(n=827) 平成22年度(n=841) 平成21年度(n=930) 188 90% 100% 3.10.2.ウイルス等の感染ルート別件数 【全体】全体では、 「社・団体の内部者による記憶媒体の持込み、私物パソコン接続」が43.0% で最も多く、「外部へのWeb アクセス」が32.2%、「電子メール」が23.5%、「社・団体の部 外者からの記憶媒体持込み」が22.8%で続いている。 * 本項目は、過去1 年間においてウイルス等の感染被害が生じた社・団体等を対象として いる。 【全体】ウィルス等の感染ルート別被害状況(MA,n=238) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 社・団体の内部者による記憶媒体持込み、私物パ ソコン接続 43.0% 外部へのWebアクセス(Webメール含む) 32.2% 電子メール 23.5% 社・団体の部外者からの記憶媒体持込み 22.8% ダウンロードしたソフトウェア 外部からの直接アクセス(ファイル共有等) その他 11.4% 4.0% 0.0% 189 【経年変化】昨年度と比較すると、「社・団体の内部者による記憶媒体の持込み、私物パソ コン接続」が1.8ポイント減尐しているが最も多い。 【経年変化】ウィルス等の感染ルート別被害状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 43.0% 44.8% 36.7% 社・団体の内部者による記憶媒体持込 み、私物パソコン接続 32.2% 28.2% 25.3% 外部へのWebアクセス(Webメール含 む) 電子メール 23.5% 27.8% 26.6% 社・団体の部外者からの記憶媒体持込 み 22.8% 26.6% 25.9% ダウンロードしたソフトウェア 11.4% 7.3% 8.4% 外部からの直接アクセス(ファイル共有 等) 4.0% 0.8% 1.0% その他 0.0% 5.2% 4.7% 平成23年度(n=238) 平成22年度(n=248) 平成21年度(n=297) 190 3.10.3.被害に遭った時の対応 【全体】全体では、「最新パッチの適用」が21.2%で最も多く、「ウイルス等対策製品の導 入・強化」が15.3%、「セキュリティ教育の実施・強化」が14.8%で続いている。一方、被害 後も「特に何も対策を講じていない」は2.1%となっている。 * 本項目は、過去1 年間においてウイルス等の感染被害が生じた社・団体等を対象として いる。 【全体】被害に遭った時の対応(MA,n=352) 0% 10% 20% 最新パッチの適用 30% 21.2% ウイルス等対策製品の導入・強化 15.3% セキュリティ教育の実施・強化 14.8% ソフトウェアのバージョンアップ 11.0% 不必要なサービスの停止 不正アクセスが行われていないかど うか、ネットワークの監視 システム上にセキュリティホールが無 いかどうかを検査、診断 ファイアウォールの設置・強化 5.9% 5.5% 3.8% 3.4% セキュリティポリシーの策定・見直し 1.7% ネットワークの再構築 1.3% セキュリティ監査の実施 0.8% 不明 0.8% 認証機能の導入・強化 0.4% セキュリティコンサルティングの利用 0.4% 弁護士への相談 0.0% その他 特に何も対応策を講じていない 40% 6.8% 2.1% 191 50% 60% 70% 80% 90% 100% 【業種別分析】次に挙げた業種別で見ると、「教育」では、「最新パッチの適忚」が23.1% で最も多く、「ウイルス等対策製品の導入・強化」が17.9%で続いている。「行政サービス」 では、「最新パッチの適用」が25.0%で最も多い。 教育/行政サービス 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 23.1% 25.0% 21.2% 最新パッチの適用 ウイルス等対策製品の導入・強化 ソフトウェアのバージョンアップ ファイアウォールの設置・強化 17.9% 8.3% 15.3% 4.2% 15.4% 14.8% 5.1% 0.0% 11.0% 認証機能の導入・強化 2.6% 0.0% 5.9% ネットワークの再構築 5.1% 0.0% 5.5% 不必要なサービスの停止 セキュリティポリシーの策定・見直し セキュリティ教育の実施・強化 2.6% 12.5% 3.8% 0.0% 4.2% 3.4% 7.7% 12.5% 1.7% 不正アクセスが行われていないかどう か、ネットワークの監視 5.1% 0.0% 1.3% システム上にセキュリティホールが無い かどうかを検査、診断 2.6% 4.2% 0.8% セキュリティコンサルティングの利用 0.0% 0.0% 0.8% セキュリティ監査の実施 0.0% 0.0% 0.4% 弁護士への相談 0.0% 0.0% 0.4% その他 不明 特に何も対応策を講じていない 2.6% 0.0% 教育(n=39) 20.8% 行政サービス(n=24) 0.0% 4.2% 6.8% 全体(n=352) 10.3% 4.2% 2.1% 192 【経年変化】昨年度と比較すると、「最新パッチの適用」が1.8ポイント減尐はしているが 最も多い。 【経年変化】被害に遭った時の対応 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 21.2% 23.0% 最新パッチの適用 15.3% 16.1% ウイルス等対策製品の導入・強化 11.0% 15.2% 17.0% ソフトウェアのバージョンアップ 不必要なサービスの停止 5.9% 4.5% 6.0% 不正アクセスが行われていないかどう か、ネットワークの監視 5.5% 6.1% 4.7% 3.8% 2.4% 3.0% ファイアウォールの設置・強化 3.4% 3.9% 6.0% セキュリティポリシーの策定・見直し 1.7% 4.5% 5.2% ネットワークの再構築 1.3% 1.2% 1.6% セキュリティ監査の実施 0.8% 1.8% 1.6% 不明 0.8% 0.3% 0.3% 認証機能の導入・強化 0.4% 0.9% 1.9% セキュリティコンサルティングの利用 0.4% 0.9% 1.1% 弁護士への相談 0.0% 1.2% 1.1% その他 特に何も対応策を講じていない 28.3% 14.8% 17.6% 22.8% セキュリティ教育の実施・強化 システム上にセキュリティホールが無 いかどうかを検査、診断 40.9% 平成23年度(n=352) 平成22年度(n=330) 平成21年度(n=364) 6.8% 12.7% 14.0% 2.1% 6.7% 12.4% 193 3.10.4.被害を受けた時に届け出た行政機関 【全体】全体では、「届け出なかった」が56.3%で最も多い。被害を受けた際に届けた行政 機関としては、「警察」が9.7%で最も多く、「IPA(情報処理振興事業協会)」が4.8%で続 いている。 *本項目は、1 年間においてウイルス等の感染被害が生じた社・団体等を対象としている。 【全体】被害を受けた時に届け出た行政機関(MA,n=352) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%100% 警察 IPA(情報処理振興事業協会) 9.7% 4.8% JPCERT/CC(コンピュータ緊急対応センター) 0.0% 国民生活センター・消費生活センター 0.0% その他 4.5% 届け出なかった 56.3% 194 【業種別分析】次に挙げた業種別で見ると、「教育」、「行政サービス」共に「届け出なか った」がそれぞれ68.2%、61.9%で最も多い。被害を受けた際に届けた行政機関としては、 「教 育」では「IPA(情報処理振興事業協会)」が18.2%で最も多く、「行政サービス」では「警 察」が23.8%で最も多い。 教育/行政サービス 0.0% 20.0%40.0%60.0%80.0%100.0% 警察 IPA(情報処理振興事業協 会) 9.1% 23.8% 9.7% 18.2% 9.5% 4.8% JPCERT/CC(コンピュータ 緊急対応センター) 0.0% 0.0% 0.0% 国民生活センター・消費生 活センター 0.0% 0.0% 0.0% その他 4.5% 4.8% 4.5% 教育(n=50) 68.2% 61.9% 56.3% 届け出なかった 195 行政サービス(n=47) 全体(n=352) 【経年変化】昨年度と比較すると、「届け出なかった」が1.9ポイント減尐しているが最も 多い。被害を受けた際に届けた行政機関としては、「警察」は0.6ポイント減尐しているも のの、多くなっている。 【経年変化】被害を受けた時に届け出た行政機関 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 9.7% 10.3% 8.0% 警察 IPA(情報処理振興事業協会) 4.8% 3.6% 3.3% JPCERT/CC(コンピュータ緊急対応セ ンター) 0.0% 0.3% 0.5% 国民生活センター・消費生活センター 0.0% 0.0% 0.0% 平成23年度(n=352) 平成22年度(n=330) 平成21年度(n=364) その他 4.5% 2.7% 4.7% 56.3% 58.2% 届け出なかった 78.8% 196 3.10.5.届け出なかった理由 【全体】全体では、「大した被害ではなかったので」が55.9%で最も多く、「社・団体内で 対忚できたので」が38.2%、「届け出義務が無いので」が14.7%で続いている。 * 本項目は、被害届を行政機関に届け出なかった社・団体等を対象としている。 【全体】届け出なかった理由(MA,n=198) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 大した被害ではなかったので 55.9% 社・団体内で対応できたので 38.2% 届け出義務が無いので 14.7% 問題解決にならないので 面倒なので 13.2% 4.4% 自社・団体の信用が低下するので 0.0% 競合他社に知られたくないので 0.0% その他 10.3% 197 【業種別分析】業種別を見ると、「大した被害ではなかったので」が、「金融」、「運輸業」 で、共に75.0%と最も多く、「社・団体内で対忚できたので」は「行政サービス」の61.5% が最も多い。 大した被害ではなかったので 0.0% 農林・水産・鉱業(n=0) 20.0% 40.0% 60.0% 80.0% 100.0% 0.0% 製造業(n=20) 60.0% 不動産・建築(n=7) 42.9% 金融(n=4) 75.0% エネルギー(n=0) 0.0% 運輸業(n=4) 75.0% 情報通信(n=0) 0.0% サービス(n=5) 40.0% 教育(n=15) 66.7% 行政サービス(n=13) 38.5% 全体(n=198) 55.9% 社・団体内で対応できたので 0.0% 農林・水産・鉱業(n=0) 20.0% 40.0% 30.0% 不動産・建築(n=7) 14.3% 金融(n=4) 25.0% 0.0% 運輸業(n=4) 情報通信(n=0) 80.0% 0.0% 製造業(n=20) エネルギー(n=0) 60.0% 25.0% 0.0% サービス(n=5) 40.0% 教育(n=15) 46.7% 行政サービス(n=13) 61.5% 全体(n=198) 38.2% 198 100.0% 【経年変化】昨年度と比較すると、「大した被害ではなかったので」が2.1ポイント増加し ており最も多い。また「社・団体内で対忚できたので」も4.0ポイント増加している。 【経年変化】届け出なかった理由 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 55.9% 53.8% 61.7% 大した被害ではなかったので 38.2% 34.2% 39.0% 社・団体内で対応できたので 届け出義務が無いので 14.7% 11.1% 17.1% 問題解決にならないので 13.2% 15.6% 13.9% 面倒なので 4.4% 4.5% 4.5% 自社・団体の信用が低下するので 0.0% 1.0% 1.0% 競合他社に知られたくないので 0.0% 0.0% 0.0% その他 平成23年度(n=198) 平成22年度(n=199) 平成21年度(n=287) 10.3% 13.6% 9.1% 199 3.11. 情報セキュリティ対策実施上の方針 3.11.1. 設問内容 本調査では、情報セキュリティ対策実施上の方針について、「投資方針」等6つの項目に 関して尋ねた。具体的には、各項目について相対する2つの考え(①②)を提示し、社・団 体等における考え方が①②のどちらの考え方に近いかを尋ねている。各項目について、「① とほぼ同様」 「どちらかといえば①に近い」「どちらかといえば②に近い」「②とほぼ同様」 のいずれか1つを回答する形式となっている。 本調査で尋ねた6つの項目と、それぞれにおいて示した、相対する2つの考え方は下記の通 りとなっている。 調査対象とした基本的な考え方と相対する2つの考え ①として提示した考え方 ②として提示した考え方 1.投資方針 セキュリティ投資は必要最低限に抑えるべきである。 来るべき問題事案に備えて、積極的に投資を行うべきであ る。 2.事後的対応と予防的対応 情報セキュリティ対策としては、問題発生に対しての応急 対応や、再発防止・被害拡大防止に注力するべきである。 情報セキュリティ対策としては、リスクの検知等、予防上の対 策に注力するべきである。 3.対応すべき範囲 情報セキュリティ対策としては、人的・技術的な対策により カバーできるところを対策すれば十分である。 情報セキュリティ対策としては、人的・技術的対策により カバーできないリスクは保険によりまかなうべきである。 4.非技術的対応 技術以外の面での対策としては、従業員等への教育と、適 切な情報提供により対策を促すことが重要である。 技術以外の面での対策としては、教育はもちろんのこと、規 制・罰則等の強制力のある制度的対応を行うことが重要であ る。 5.プライバシーの考慮 職場とはいえ、従業員等のプライバシーはある程度考慮し たうえで、情報セキュリティ対策は行われるべきである。 職場のセキュリティ保護のためにはシステム利用状況のモニ タリング等によるプライバシーの侵害はやむをえない。 6.利便性とのバランス 業務実施に負担をかけるほどのセキュリティ対策は不 ユーザにシステム利用上・業務上の負担を強いてでもセ 適当であり、利便性とのバランスを考慮すべきである。 キュリティを守るべきである。 200 【全体】「投資方針」については、「①セキュリティ投資は必要最低限度に抑えるべきであ る」に近いとする割合が38.4%、「②来るべき問題事案に備えて、積極的に投資を行うべき である」に近いとする割合が60.6%となっており、「積極的」とする割合が「必要最低限」 とする割合を22.2ポイント上回っている。 「事後的対忚と予防的対忚」については、「①情報セキュリティ対策としては、問題発生 に対しての忚急対忚や、再発防止・被害拡大防止に注力するべきである」に近いとする割合 が23.4%、「②情報セキュリティ対策としては、リスクの検知等、予防上の対策に注力する べきである」に近いとする割合が75.6%となっており、「予防的対忚」とする割合が「問題 発生への適切な対忚」とする割合を52.2ポイントと大幅に上回っている。 「対忚すべき範囲」については、「①情報セキュリティ対策としては、人的・技術的な対 策によりカバーできるところを対策すれば十分である」に近いとする割合が62.0%、「②情 報セキュリティ対策としては、人的・技術的対策によりカバーできないリスクは保険により まかなうべきである」に近いとする割合が36.4%となっており、「人的・技術的な対策で十 分」とする割合が「保険的対忚が必要」を25.6ポイント上回っている。 「非技術的対忚」については、 「①技術以外の面での対策としては、従業員等への教育と、 適切な情報提供により対策を促すことが重要である」に近いとする割合が52.6 %、「②技術 以外の面での対策としては、教育はもちろんのこと、規制・罰則等の強制力のある制度的対 忚を行うことが重要である」に近いとする割合が46.0%となっており、「教育と情報提供を 中心とした対忚」とする割合が「規則・罰則も含む強制力のある対忚」を6.6ポイント上回 っている。 「プライバシーの考慮」については、「①職場とはいえ、従業員等のプライバシーはある 程度考慮したうえで、情報セキュリティ対策は行われるべきである」に近いとする割合が 37.0%、「②職場のセキュリティ保護のためにはシステム利用状況のモニタリング等による プライバシーの侵害はやむをえない」に近いとする割合が60.6%となっており、「ある程度 のプライバシーの侵害はやむをえない」とする割合が「プライバシーはある程度考慮される べきだ」とする割合を23.6ポイント上回っている。 「利便性とのバランス」については、「①業務実施に負担をかけるほどのセキュリティ対 策は不適当であり、利便性とのバランスを考慮すべきである」に近いとする割合が62.1%、 「②ユーザにシステム利用上・業務上の負担を強いてでもセキュリティを守るべきである」 とする36.8%となっており、「利便性とのバランスを考慮」とする割合が「負担を強いてで もセキュリティを守る」とする割合を25.3ポイント上回っている。 201 情報セキュリティ対策実施上の方針 0% 投資方針 10% 4.1% 事後的対応と予防的対応 2.8% 対応すべき範囲 非技術的対応 プライバシーの考慮 利便性とのバランス 20% ほぼ①と同様である 50% 60% 70% 80% 48.9% 31.7% 38.1% 42.0% 46.2% 51.3% どちらかといえば① どちらかといえば② 202 100% 14.5% 55.5% 31.3% 90% 11.7% 61.1% 20.6% 10.6% 10.8% 40% 34.3% 6.5% 5.7% 30% 32.0% ほぼ②と同様である 0.6% 0.7% 4.7% 1.0% 7.9% 1.1% 14.4% 0.7% 4.8% 0.7% 無回答 3.11.2. 投資に関する考え方 情報セキュリティに対する投資方針については、下記に挙げる2つの考え方のいずれに近 いかを尋ねている。 ①として提示した考え方 ②として提示した考え方 セキュリティ投資は必要最低限に抑えるべきである。 来るべき問題事案に備えて、積極的に投資を行うべきである。 【業種別分析】業種別を見ると、投資方針に関して「①必要最低限」の割合が多い業種は、 「製造業」が47.3%、「不動産・建築」が50.0%、「運輸業」が53.4%となっている。その他 の業種では「②積極的投資」の割合が多いのは、特に「金融」が71.2%、「エネルギー」が 73.7%、「行政サービス」が70.1%で7割以上となっている。 【業種別分析】投資方針 0% 10% 20% 農林・水産・鉱業(n=4)0.0% 30% 7.9% 39.4% 不動産・建築(n=50) 8.0% 42.0% エネルギー(n=19) 運輸業(n=30) 5.3% 90% 100% 0.0% 9.3% 0.9% 55.6% 10.0% 0.0% 15.6% 57.9% 15.8% 43.3% 40.0% 40.0% 33.6% 53.4% 49.3% 33.6% 55.1% 28.7% 全体(n=827) 4.1% 80% 40.0% 46.7% 5.3% 行政サービス(n=167)0.0% 70% 42.6% 21.1% 情報通信(n=10)0.0% 教育(n=152) 60% 50.0% 28.9% 6.7% サービス(n=131) 1.5% 50% 50.0% 製造業(n=216) 金融(n=45)0.0% 40% 34.3% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 203 0.0% 3.3% 0.0% 20.0% 0.0% 10.7% 0.8% 11.8% 0.0% 15.0% 48.9% 0.0% 11.7% どちらかといえば②の考え方に近い 1.2% 0.6% 【経年変化】昨年度と比較すると、「②積極的投資」は10.6ポイントの増加となっている。 【経年変化】投資方針 0% 10% 平成23年度(n=827) 4.1% 平成22年度(n=930) 平成21年度(n=775) 20% 30% 34.3% 16.7% 14.3% 40% 50% 60% 70% 80% 48.9% 33.3% 28.6% 90% 11.7% 0.6% 33.3% 16.7% 57.1% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 204 100% 0.0% 0.0% 3.11.3. 事後的対応と予防的対応に関する考え方 情報セキュリティ対策については、下記に挙げる2つの考え方のいずれに近いかを尋ねて いる。 ①として提示した考え方 ②として提示した考え方 情報セキュリティ対策としては、問題発生に対しての応急対応 や、再発防止・被害拡大防止に注力するべきである。 情報セキュリティ対策としては、リスクの検知等、予防上の 対策に注力するべきである。 【業種別分析】業種別を見ると、全ての業種で「②予防的対忚」が「①事後的対忚」比べて 多くなっている。特に「②予防的対忚」が多いのは、「情報通信」の90.0%、「エネルギー」 の84.2%である。 【業種別分析】事後的対応と予防的対応 0% 10% 20% 農林・水産・鉱業(n=4)0.0% 製造業(n=216) 30% 50% 60% 50.0% 4.6% 57.4% 66.7% 15.8% 57.9% 運輸業(n=30)0.0% 全体(n=827) 2.8% 100% 0.0% 20.0% 2.0% 22.2% 0.0% 26.3% 0.0% 30.0% 22.9% 0.0% 6.9% 0.8% 68.7% 57.2% 25.7% 65.9% 16.2% 20.6% 61.1% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 205 0.9% 6.7% 0.0% 60.0% 4.6% 行政サービス(n=167) 1.8% 90% 73.3% 情報通信(n=10)0.0% 10.0% 教育(n=152) 80% 16.2% 46.0% 30.0% 金融(n=45) 2.2% 8.9% サービス(n=131) 0.8% 70% 50.0% 20.8% 不動産・建築(n=50) 2.0% エネルギー(n=19)0.0% 40% 12.5% 15.0% 14.5% どちらかといえば②の考え方に近い 0.0% 1.2% 0.7% 【経年変化】昨年度と比較すると、「②予防的対忚」は3.1ポイント増加している。 【経年変化】事後的対応と予防的対応 0% 平成23年度(n=827) 2.8% 平成22年度(n=930) 3.4% 平成21年度(n=775) 3.7% 10% 20% 30% 40% 20.6% 50% 60% 70% 80% 61.1% 57.3% 21.3% 58.3% 21.0% 90% 14.5% 0.7% 15.2% どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 206 2.7% 16.1% 1.0% ほぼ①の考え方と同様である 無回答 100% 3.11.4. 対応すべき範囲に関する考え方 情報セキュリティ対策において対忚するべき範囲については、下記に挙げる2つの考え方の いずれに近いかを尋ねている。 ①として提示した考え方 ②として提示した考え方 情報セキュリティ対策としては、人的・技術的な対策によりカ バーできるところを対策すれば十分である。 情報セキュリティ対策としては、人的・技術的対策により カバーできないリスクは保険によりまかなうべきである。 【業種別分析】業種別を見ると、全ての業種で「①人的・技術的な対策で十分」が、「② 保険的な対忚が必要」を上回っている。 【業種別分析】対応すべき範囲 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4) 0.0% 製造業(n=216) 7.4% 55.6% 6.7% 教育(n=152) 行政サービス(n=167) 全体(n=827) 80% 90% 100% 0.0% 30.1% 28.0% 31.1% 57.8% 21.1% 運輸業(n=30) 0.0% サービス(n=131) 70% 64.0% エネルギー(n=19) 情報通信(n=10) 60% 100.0% 不動産・建築(n=50) 2.0% 金融(n=45) 50% 36.8% 3.8% 6.6% 52.7% 8.4% 6.5% 55.5% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 207 0.0% 5.3% 26.3% 31.7% 3.3% 0.0% 6.1% 38.8% 60.5% 3.3% 40.0% 35.9% 49.3% 4.4% 5.3% 26.7% 50.0% 0.0% 6.0% 0.0% 36.8% 66.7% 10.0% 6.0% 1.5% 0.0% 2.4% 2.4% 4.7% 1.0% どちらかといえば②の考え方に近い 【経年変化】昨年度と比較すると、「①人的・技術的な対策で十分」が9.1ポイント増加し ている。 【経年変化】対応すべき範囲 0% 平成23年度(n=827) 10% 20% 30% 6.5% 平成22年度(n=930) 平成21年度(n=775) 1.9% 40% 50% 60% 70% 55.5% 17.6% 35.3% 80% 31.7% 35.3% 28.8% 57.7% 90% 4.7% 9.6% 1.9% どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 208 1.0% 11.8% 0.0% ほぼ①の考え方と同様である 無回答 100% 3.11.5. 非技術的対応に関する考え方 技術以外の面での対忚について、 下記に挙げる2つの考え方のいずれに近いかを尋ねている。 ①として提示した考え方 ②として提示した考え方 技術以外の面での対策としては、従業員等への教育と、適切 な情報提供により対策を促すことが重要である。 技術以外の面での対策としては、教育はもちろんのこと、 規制・罰則等の強制力のある制度的対応を行うことが重要 である。 【業種別分析】業種別を見ると、「①教育と情報提供を中心とした対忚」が多い業種は、 「運 輸業」、「教育」、「行政サービス」である。一方、「②規則・罰則も含む強制力のある対 忚」が多い業種は「エネルギー」、「サービス」である。 【業種別分析】非技術的対応 0% 10% 20% 30% 40% 農林・水産・鉱業(n=4)0.0% 製造業(n=216) 金融(n=45) エネルギー(n=19) 6.7% 教育(n=152) 80% 90% 100% 0.0% 5.3% 0.0% 44.4% 36.8% 6.7% 0.0% 52.6% 16.7% 40.0% 0.0% 0.0% 36.7% 50.0% 6.9% 2.3% 42.0% 34.0% 42.2% 情報通信(n=10)0.0% サービス(n=131) 70% 40.3% 38.9% 14.0% 運輸業(n=30) 60% 100.0% 11.1% 不動産・建築(n=50) 50% 40.0% 38.9% 0.0% 37.4% 14.5% 16.0% 27.0% 52.0% 行政サービス(n=167) 10.2% 43.7% 全体(n=827) 10.6% 42.0% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 209 40.7% 38.1% 0.8% 5.9% 0.7% 4.2% 1.2% 7.9% どちらかといえば②の考え方に近い 1.1% 【経年変化】昨年度と比較すると、「①教育と情報提供を中心とした対忚」が0.8ポイント 減尐しているが、「②規則・罰則も含む強制力のある対忚」より多い回答となっている。 【経年変化】非技術的対応 0% 10% 20% 30% 40% 50% 60% 70% 平成23年度(n=827) 10.6% 42.0% 38.1% 平成22年度(n=930) 10.2% 43.2% 36.5% 平成21年度(n=775) 9.4% 4.0% 37.3% 80% 90% 100% 7.9% 7.8% 2.3% 11.9% 1.2% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 210 1.1% 3.11.6. プライバシーの考慮に関する考え方 従業員等のプライバシーの取扱いについては、下記に挙げる2つの考え方のいずれに近い かを尋ねている。 ①として提示した考え方 ②として提示した考え方 職場とはいえ、従業員等のプライバシーはある程度考慮した うえで、情報セキュリティ対策は行われるべきである。 職場のセキュリティ保護のためにはシステム利用状況 のモニタリング等によるプライバシーの侵害はやむをえ ない。 【業種別分析】 業種別を見ると、 ほとんどの業種で「②プライバシーの侵害はやむをえない」 が5割以上となっている。特に、「金融」と「エネルギー」では「②プライバシーの侵害は やむをえない」が多くなっている。 【業種別分析】プライバシーの考慮 0% 10% 20% 農林・水産・鉱業(n=4)0.0% 製造業(n=216) 不動産・建築(n=50) 30% 40% 5.1% 全体(n=827) 90% 0.0% 22.0% 73.3% 6.1% 60.0% 26.7% 8.6% 5.7% 50.9% 31.3% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 11.8% 15.0% 46.2% 211 13.7% 33.6% 46.1% 6.7% 0.0% 10.0% 0.0% 52.7% 30.5% 0.0% 12.5% 0.0% 53.3% 10.0% 0.9% 0.0% 15.6% 75.0% 20.0% 100% 16.7% 38.0% 30.0% 10.0% 行政サービス(n=167) 1.8% 80% 44.0% 12.5% 0.0% 情報通信(n=10) 教育(n=152) 70% 50.0% 33.3% 10.0% エネルギー(n=19) サービス(n=131) 60% 50.0% 金融(n=45) 2.2% 8.9% 運輸業(n=30) 50% 14.4% どちらかといえば②の考え方に近い 0.8% 0.0% 1.8% 0.7% 【経年変化】昨年度と比較すると、「②プライバシーの侵害はやむをえない」が2.6ポイン ト増加しており最も多い。 【経年変化】プライバシーの考慮 0% 平成23年度(n=827) 5.7% 平成22年度(n=930) 7.7% 平成21年度(n=775) 6.2% 10% 20% 30% 40% 31.3% 32.1% 50% 60% 70% 80% 14.4% 0.7% 44.7% 13.3% 2.1% 14.2% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 212 100% 46.2% 46.9% 31.3% 90% 1.4% 3.11.7. 利便性とのバランスに関する考え方 情報セキュリティ対策と利便性との兼ね合いについては、下記に挙げる2つの考え方のい ずれに近いかを尋ねている。 ①として提示した考え方 ②として提示した考え方 業務実施に負担をかけるほどのセキュリティ対策は不適当 であり、利便性とのバランスを考慮すべきである。 ユーザにシステム利用上・業務上の負担を強いて でもセキュリティを守るべきである。 【業種別分析】業種別を見ると、「①利便性とのバランスを考慮」が、「②負担を強いてで もセキュリティを守る」を上回っている業種が多く、特に「製造業」、「運輸業」、「不動 産・建築」について多い回答となっている。一方、「金融」、「エネルギー」、「情報通信」 については、 「②負担を強いてでもセキュリティを守る」が「①利便性とのバランスを考慮」 を上回っている。 【業種別分析】利便性とのバランス 0% 10% 農林・水産・鉱業(n=4)0.0% 20% 30% 不動産・建築(n=50) 10.5% 25.5% 28.0% 40.0% 31.6% 20.0% 28.2% 48.7% 10.8% 33.6% 40.7% 51.3% ほぼ①の考え方と同様である どちらかといえば②の考え方に近い 無回答 3.3% 0.0% 6.1% 0.8% 3.9% 0.0% 5.4% 1.8% 32.0% どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 213 2.0% 0.0% 10.0% 0.0% 54.2% 44.9% 2.8% 0.9% 10.5% 0.0% 50.0% 13.8% 7.2% 100% 13.3% 0.0% 47.4% 40.0% 10.7% 90% 0.0% 0.0% 76.7% 情報通信(n=10)0.0% 全体(n=827) 80% 54.0% 44.4% 運輸業(n=30)0.0% 教育(n=152) 70% 56.5% 16.0% 金融(n=45) 2.2% 行政サービス(n=167) 60% 50.0% 14.4% エネルギー(n=19) 50% 50.0% 製造業(n=216) サービス(n=131) 40% 4.8% 0.7% 【経年変化】昨年度と比較すると、「①利便性とのバランスを考慮」が1.4ポイント減尐し ているが最も多い。 【経年変化】利便性とのバランス 0% 10% 平成23年度(n=827) 10.8% 平成22年度(n=930) 12.5% 平成21年度(n=775) 12.6% 20% 30% 40% 51.3% 51.0% 50.0% 50% 60% 70% 80% 90% 32.0% 4.8% 0.7% 30.2% 4.0% 2.3% 31.8% 4.0% 1.6% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 214 100% 3.12. 定性回答 3.12.1. 過去1年間におけるその他の深刻な被害 ホームページを改ざんされた被害事例として、「海外からの不正アクセスにより、ホーム ページが書き換えられた」、「不正アクセスにより、ホームページの一部が無関係の画像に 書き換えられた」というケースがある。 ウイルス等の感染事例としては、「業者の持込んだUSBがウイルスに感染していた」、「デ ジタルカメラで使用のSDカードから感染した」といった、外部記憶媒体からウイルスに感染 するケースが多発している。 また、「盗難により・個人情報等を紛失した」等の盗難や置き忘れによる個人情報の漏え い事例も見られた。 3.12.2. セキュリティ対策の問題点や不安等 対策上の問題点・不安点としては、昨年と同様、「不正アクセス対策にかかるコスト」、 「人材不足」、「対策に対する不安」等に分けられる。 「不正アクセス対策にかかるコスト」としては、「費用対効果が見えにくいため、決裁承 認がとおりにくい」、「会社規模が小さいので、専従の担当者が置けない。外部に委託する のも、コスト面でできない」といった声が挙げられている。 「人材不足」としては、「技術者等の人員が不足しており、急な対忚が困難」、「通常業 務との兼任のため、時間とコストとのバランスが難しい」といった専門に対忚する人材が不 足しているなどが挙げられた。 「対策に対する不安」としては、「常に新しい脅威が出てくるため、それに追い付いてい くことが難しくなってきている」、「情報セキュリティでは、結局いくら高価な機器を入れ ても最終的には人的リスクがある」といった新手の不正アクセスに対する不安や、人的なミ スによる不正アクセスや情報漏えいに対する不安が多く挙げられていた。 3.12.3. 行政に望む情報セキュリティ対策 行政に望む情報セキュリティ対策についての意見では、 「情報セキュリティ対策をどこま で行えば良いのか、基準を示してほしい」、「セキュリティ対策を義務化するなどの法律又 は制度対忚・セキュリティ対策に関する税制優遇措置」、「悪意の行為に対する厳罰化」を 望む声が多かった。 具体的な声として、 「国際的なセキュリティ犯罪への厳罰化」、 「悪質なサイバー攻撃(改 ざん、破壊、ウイルス作成等)を行う者に対する取締りの強化」、「法的拘束力の強化」、 「情報セキュリティ対策に対する人的支援・研修会の実施等」等が挙げられた。 215 216 不正アクセス行為対策等の実態調査 調査報告書 付録資料 付録1:調査票 付録2:集計表 217 1.調査票 不正アクセス行為対策等の実態に関するアンケート調査 平成23年11月 調査ご協力のお願い 時下ますますご清祥のこととお慶び申し上げます。 この度、(株)アストジェイは、警察庁生活安全局からの委託により、今後の不正アク セス行為からの防御に関する意識の啓発や知識の普及に役立てることを目的として、民 間企業・各種団体のみなさま方の不正アクセス行為対策に関する取り組み状況をおうか がいするため、アンケート調査を実施することといたしました。 アンケート調査に関する説明: http://www.astweb.co.jp/activities/research_cc/social_research/h23security/ 本アンケートは、貴社・団体において、基幹業務システムを管理しておられる部署のご 担当者にお答えいただければ幸いに存じます。 回答をお願いしている民間企業・各種団体のみなさま方は全国より無作為に抽出させ ていただきました。また、ご回答いただいた内容につきましては、統計的に処理いたし ますので、個々の方々のお名前や内容が外部に出るようなことはございません。 つきましては、ご多忙の折、誠に恐縮とは存じますが、上記の趣旨をご理解の上、本 調査にご協力を賜りますようお願い申し上げます。 〈調査企画〉 〒100 - 8974 東京都千代田区霞ヶ関二丁目一番二号 警察庁 生活安全局 情報技術犯罪対策課 担当 廣瀬 TEL:03-3581-0141(内線 3426) 〈調査実施(このアンケートに関するお問合せ先) 〉 〒169-0051 東京都新宿区西早稲田三丁目三十番十六号 ㈱アストジェイ 担当 鐘ヶ江・木村 TEL/FAX:03-5155-7381/03-5155-7383 E-mail:[email protected] (受付時間:平日 10 時から 17 時) <ご記入上のお願い> 1 ご回答は、貴社・団体内の基幹業務システムを管理されている部署の方にお願いいたし ます。 2 ご回答方法は、 「インターネットでのWEB回答」、「電子メールでの回答」、 「郵送での回答」の中からお選び頂けます。詳しくは同封の回答方法説明書をご覧下さい。 何れのご回答方法の場合も、12月2日(金)までにご返信(WEB回答の場合は入力完了) 頂くようお願い申し上げます。 3 質問の番号順にお答えください。質問によっては、一部の方だけにおうかがいするものが ありますが、その場合は矢印等の指示にそってお進みください。 4 ご回答は、あてはまるものの番号を○印で囲んでください。なお、質問ごとに「○は一つ」 「○はいくつでも」というように指定してありますので、ご注意ください。 5 「その他( ) 」に該当される場合は、ご面倒ですが、なるべく詳しく( )内 に回答内容をご記入ください。 付録1-1 【全員の方におうかがいします】 はじめに、貴社・団体についておうかがいします。 問1. 貴社・団体の業種は、以下のどれにあてはまりますか。(○は一つ) 業種 業種分類 3. その他( ) 農林・水産・鉱業 1.農林・水産 2.鉱業 製造業 4.食品 5.繊維 6. 紙・パルプ 7.化学 8.薬品 9.ゴム・窯業 10.非鉄金属 11.機械 12.電気機器 13.造船 14.輸送機器 15.精密機器 16.その他( ) 19.その他( ) 不動産・建築 17.不動産 18.建築 金融 20.銀行 21.証券 22.保険 23.クレジット 26.その他( ) 24.消費者金融 25.信用金庫・組合 エネルギー 27.電力 28.ガス 29.水道 30.石油製造(精製) 31.その他( ) 運輸業 32.鉄道・地下鉄 33.航空 34.陸運 35.海運 37.その他( ) 36.倉庫 情報通信 38.新聞 39.放送 40.通信 41.ISP 42.その他( ) サービス 43.流通・卸売 44.小売 45.娯楽・アミューズメント 46.飲食 47.ホテル・旅行 48.情報処理・ソフトウェア 51.その他( ) 49.警備 50.医療・福祉 教育 52.大学 53.短大 54.専門学校 55.その他( ) 行政サービス 56.都道府県 57.政令指定都市 58.市町村 (太枠線内にご回答ください) 【全員の方におうかがいします】 次に、貴社・団体での情報システム等の環境についておうかがいします。 問2.端末装置(パソコン等)の利用環境は、次のどれにあてはまりますか。(○は一つ) 1.1人1台の環境が整っている 4.支店や拠点で共有している 2.数人で共有している 5.その他( ) 3.部・課で共有している 6.端末は利用していない 問3.貴社・団体内LANには、有線、無線のどちらのネットワークを利用していますか。(○は一つ) 1.有線ネットワークと無線ネットワークを併用している 2.全て無線ネットワークで構築している 3.全て有線ネットワークで構築している 問5.へ 4.LANを敷設していない お進みください 問4.LANで利用している無線LANには、どのようなセキュリティ対策を行っていますか。 (○はいくつでも) 1.WEPによる暗号化 5.IEEE802.1.x 2.WEP以外による暗号化(WPA・WPA2等) 6.電磁波の遮蔽 3.ESS-IDの適切な設定 7.その他( ) 4.MACアドレス認証 8.特に行っていない 付録1-2 問5.インターネットに接続していますか。(○は一つ) 1.接続している 2.接続していないが、現在接続を計画中である 3.接続しておらず、接続の計画もない 問.15へお進みください 問6.インターネットへの接続点において、外部からの不正アクセス等を防止するためにどのような 対策を行っている又は行う予定ですか。(○はいくつでも) 1.ID、パスワード等による認証 6.非武装地帯(DMZ)の構築 2.ファイアウォールの導入 7.アクセスログ収集の強化・充実 3.ルータによるプロトコル制御 8.その他( ) 4.PROXYサーバの設置 9.外部からの接続を伴なうサービス等を 5.侵入検知・防御システム 提供していない (IDS・IPS)の導入 10.特に何も行っていない 問7.外部からの接続時に利用している認証方法は何ですか。(○はいくつでも) 1.ID・パスワード認証 6.電話番号規制 2.ワンタイムパスワード 7.コールバック 3.ICカード・トークンデバイス型認証ツール 8.その他( 4.電子証明書(PKI) 9.認証なし 5.バイオメトリクス(指紋等での認証) ) 問8.ID・パスワードの管理について、どのような対策を行っていますか。(○はいくつでも) 1. パスワード長を一定以上に定めている。 2. 定期的にパスワードを強制的に変更させている。 3. パスワードの複雑性をチェックし、簡単すぎるものは変更させている。 4. 異動等で使用しなくなった ID はすぐに削除している。 5. ID をメールアドレス等の他の用途で流用していない。 6. ID を複数ユーザーで使わせていない。 7. ID・パスワードは利用者側の端末に保存されないようにしている。 8. その他( ) 9. 特に対策は行っていない。 問9.不正ログイン(他人のID・パスワードを無断で入力する不正アクセス行為)対策として、どのような 対策をとっていますか。(○はいくつでも) 1. 同一 ID に係る誤ったパスワードの繰り返し入力の規制。 2. 同一 IP アドレスからの誤った ID・パスワードの繰り返し入力の規制。 3. 正規の利用者が使用する通信端末機器の事前登録。 4. CAPCHA(プログラムでは読み取り・入力が困難な符号の入力要求)。 5. その他( ) 6. 特に実施していない。 外部から貴社・団体の情報システム(営業支援システム、業務支援システム等)へ アクセスするための環境についておうかがいします。 付録1-3 問10.外部から貴社・団体内の情報に接続することを認めていますか。(○は一つ) 1. 接続を許可しており、社・団体内に居る場合と同様な機能が提供される 2. 接続を許可しているが、社・団体内に居る場合より制限された機能が提供される 3. 現在、接続を一切禁止しているが、今後接続許可の検討をしていく予定 問12へ 4. 現在も、将来も接続を許可しない お進みください 問15へ お進みください 問11.接続を認めている場合、接続方法は何ですか。(○は一つ) 1.インターネット経由の接続 2.ダイヤルアップ接続(インターネットを経由せず、直接電話回線から接続する) 3.両方使用している 【問10.で1.~3.とご回答された方におうかがいします】 問12.利用の目的は何ですか。(○はいくつでも) 1.メールサーバへのアクセス 4.基幹業務システムへのアクセス 2.Webサーバへのアクセス 5.情報システムメンテナンス 3.スケジュール等グループウェアの利用 6.その他( ) 問13.社外からスマートフォンで貴社・貴団体内の情報へ接続することを認めていますか。(○は一つ) 1. 接続を許可している 問15へ 2. 接続を許可していない お進みください 問14.スマートフォンによる接続を認めている場合、情報セキュリティを維持するためにどのような対策 を講じていますか。(○はいくつでも) 1. スマートフォン専用ネットワークセグメントの設置 2. スマートフォンのネットワークトラフィックの監視 3. MAC アドレス、クライアント証明書等を用いたスマートフォンの認証 4. スマートフォンへのウィルス対策ソフト等の導入 5. スマートフォン内部データの暗号化 6. 使用アプリケーションの制限(スマートフォン側に業務データが残らないアプリに限定等) 7. スマートフォンの盗難対策(端末ロック、内部データの遠隔消去等) 8. スマートフォンの OS、アプリケーション等をアップデートする仕組みの導入 9. その他( ) 付録1-4 【全員の方におうかがいします】 貴社・団体での情報セキュリティの運用・管理体制についておうかがいします。 問15.どの程度、情報セキュリティ対策の必要性を感じていますか。(○は一つ) 1.非常に感じている 3.あまり感じていない 2.ある程度感じている 4.感じていない 問17へ お進みください 問16.情報セキュリティ対策の必要性を感じるのは、どのような理由からですか。(○はいくつでも) 1.過去に不正アクセス等の被害にあったため 2.ウイルス・ワームの感染を防ぐため 3.DoS攻撃等によるシステムダウンを防ぐため 4.システムの乗っ取り等により犯罪等へ悪用されるのを防ぐため 5.顧客等との取引を万全なものとするため 6.インターネット上に顧客情報等の部内情報が漏れるのを防ぐため 7.セキュリティ事故がブランドイメージや業績に与える影響を避けるため 8.事業を行う上で必要不可欠なため 9.その他( ) 問17.貴社・団体では、社・団体内の情報セキュリティの運用、管理を専門に行う部署がありますか。 (○は一つ) 1.ある 2.ない 問18.情報セキュリティ管理者または担当者を置いていますか。(○はいくつでも) 1.専従の担当者を置いている 2.情報システム運用管理者が情報セキュリティについても兼務している 3.情報システム運用管理者以外が情報セキュリティについても兼務している 4.担当者は置いていない 付録1-5 問19.情報セキュリティ対策のあり方に関する情報セキュリティポリシー等を策定していますか。 (○は一つ) 1.策定してある 2.現在策定を進めている 3.策定はしていないが、今後策定する予定 4.策定しておらず、今後も策定の予定はない 5.必要ない 問20.不正アクセス等の情報セキュリティ侵害事案が発生した場合の対応策は策定していますか。 (○は一つ) 1.策定してある 2.現在策定を進めている 3.策定を検討している 4.策定していないが、必要性は感じている 5.策定の必要性を感じない 問21.ウェブサイトのぜい弱性を意図的に使い、個人情報を盗んだり、スクリプトを埋め込んだりする 行為(SQLインジェクション、クロスサイトスクリプティング)について知っていますか。 (○は一つ) 1.知っている 問23へ 2.知らない お進みください 問22.報道や、セキュリティベンダーから提供されるぜい弱性情報を元に、自社システムの変更及び 防御処置を講ずる等の対策を実施しましたか。(○は一つ) 1.実施した 2.実施していない 問23.過去1年間(H22年11月~H23年10月)にぜい弱性検査(ぺネトレーションテスト)を 実施しましたか。(○は一つ) 1.実施している(実施回数 回) 2.実施していない 問24.貴社・団体情報システムのセキュリティ対策について、部外チェック等を実施しています か。(○は一つ) 1.ISMS等の認証を受けている 2.認証は受けていないが、部外の専門家によるチェックを受けている 3.部内での自己チェックですませている 4.その他( ) 5.特に実施していない 問25.セキュリティ監査はどの程度の頻度で実施(予定)していますか。(○は一つ) 1.3ヶ月ごとに 5.その他( 2.半年ごとに 6.特に決まっていない(不定期) 3.1年ごとに 7.実施を予定している 4.隔年(2年)ごとに 8.実施していない 付録1-6 ) 【全員の方におうかがいします】 貴社・団体での情報セキュリティ教育に関する取り組みについておうかがいします。 問26.情報セキュリティ教育の実施状況をお答えください。(○は一つ) 1.実施している 2.実施を予定している 3.実施はしていないが必要性を感じる 4.実施の必要性を感じない(実施していない) 問31へお進みください 問27.情報セキュリティ教育の目的は何ですか。(○はいくつでも) 1.情報セキュリティポリシーの普及 4.自己啓発 2.社・団体内の不正行為の防止 5.その他( 3.情報セキュリティに対する意識の向上 ) 問28.情報セキュリティ教育の対象はどなたですか。(○はいくつでも) 1.新規採用の正社員・職員 7.関連会社の社員・職員 2.管理職についている正社員・職員 8.取引先の社員・職員 3.システム管理部門の正社員・職員 9.学生・生徒 4.情報セキュリティ対策の責任者 10.その他 5.その他の正社員・職員(上記1、2、3、4以外) ( 6.派遣社員 ) 問29.どのような内容について情報セキュリティ教育を実施していますか。(○はいくつでも) 1.情報セキュリティポリシー 8.文書の管理 2.情報システム利用に係るネチケット 9.緊急時の対忚 3.個人情報の保護・管理 10.ソーシャルエンジニアリング対策 4.機密情報の保護・管理 11.技術的なセキュリティ対策 5.ウイルス・ワーム対策 (システムぜい弱性、堅牢化設定等) 6.情報へのアクセス管理 12.サイバー犯罪の防止 (パスワード管理等) 13.その他( ) 7.社外ネットワークへの接続 問30.情報セキュリティ教育はどのくらいの頻度で実施していますか。(○は一つ) 1.月に1回以上 4.2、3年に1回 2.年に数回 5.採用、異動時等に実施 3.年に1回 6.その他( ) 【全員の方におうかがいします】 貴社・団体での物理的セキュリティ対策についておうかがいします 問31.事業所へのPCや記録媒体の持込み、持ち出しの制限を行っていますか。 (○はいくつでも) 1.PCの持込み・持ち出しを制限している 2.持込み・持ち出し専用のPCを用意している 3.USBメモリ等の記録媒体の持ち出しを制限している 4.個人所有のPCの業務利用を制限している 5.USBメモリ等の記録媒体の持込みを制限している 6.その他( 7.特に制限はない 付録1-7 ) 問32.情報セキュリティ上重要な施設へのPCや記録媒体の持込み、持ち出しの制限を行って いますか。(○はいくつでも) 1.PCの持込み・持ち出しを制限している 2.持込み・持ち出し専用のPCを用意している 3.USBメモリ等の記録媒体の持ち出しを制限している 4.個人所有のPCの業務利用を制限している 5.USBメモリ等の記録媒体の持込みを制限している 6.その他( ) 7.特に制限はない 問33.情報セキュリティ上重要な施設への入退室の管理を行っていますか。(○はいくつでも) 1.登録者以外の入室規制 7.警備員 2.記帳 8.バイオメトリクス(指紋等での認証) 3.暗証番号 9.重要な施設は存在しない 4.磁気カード 10.その他( ) 5.ICカード 11.特に何も行っていない 6.監視カメラ 問34.どのような用途において暗号化技術を使用していますか。(○はいくつでも) 1.暗号メール 4.個人情報等の重要な情報の通信 2.記憶媒体上の情報 (SSL等の暗号化通信) (ファイルの暗号化) 5.その他( 3.認証情報(電子証明書) 6.利用していない ) 問35.重要なシステム(基幹業務等)への侵入阻止対策や侵入時における被害軽減対策として、 どのような対策を導入していますか。(○はいくつでも) 1.外部のネットワークに接続していない 2.重要な基幹業務システムは他のネットワークと分離した専用ネットワークを 構築している 3.基幹業務システム専用のファイアウォール・ルータ(ネットワークアクセス制御 機能)を導入している 4.システムの冗長化(ネットワークの冗長化を含む)を行っている 5.データのバックアップを行っている 6.緊急時にはシステムを自動停止する仕組みを導入している 7.指定回数以上のログイン失敗時のアカウント失効等、不正操作に対して自動的に 制限をかける機能を導入している 8.個人PCの接続制限を行っている 9.無線LANの使用制限を行っている 10.その他( ) 11.上記1.~10.のような対策は行っていない 問36.サーバのセキュリティを確保するためのセキュリティ・パッチの適用状況について、 お答えください。(○は一つ) 1.頻繁(1ヵ月に1回以上)にセキュリティ関連サイトを確認し、常に最新のパッチ を適用している 2.定期的(四半期~半年に1回程度)にセキュリティ関連サイトを確認し、必要な パッチを適用している 3.定期的に確認はしていないが、サーバの管理者等の裁量で適用している 4.パッチを適用していない 5.問題が発生するまでパッチは適用しない 6.分からない 7.その他( ) 付録1-8 問37.内部からの不正なアクセス、データ改ざん、情報漏えい等に対して、どのような対策を 行っていますか。(○はいくつでも) 1.情報資産へのアクセス権の設定 10.共有ID・パスワードの禁止 2.定期的なパスワード変更 11.内部ネットワークのファイアウォー ル、 3.許可していないソフトウェアの制限 侵入検知システム(IDS)の導入 4.ユーザアカウントの定期的なチェック 12.メールのフィルタリング 5.アクセスログの取得、ログの分析 (添付ファイルの利用制限等) 6.個人認証のためのシステム導入 13.外部Webサイトへのアクセス制限 7.定期的なバックアップ 14.その他( ) 8.印刷物、電子媒体の持ち出し、廃棄を管理 15.特に何も行っていない 9.パソコン廃棄時の適正なデータ消去 【全員の方におうかがいします】 貴社・団体でのアクセスログの取得状況についておうかがいします 問38.どのようなログを取得していますか。(○はいくつでも) 1.業務アプリケーションのログ 2.アクセスログ(サーバ、ログイン、Webサーバのログ等) 3.ファイアウォールのログ 4.侵入検知システム(IDS)のログ 5.その他( ) 問41.へ お進みください 6.取得していない 問39.ログの保管期間はどの程度ですか。(○は一つ) 1.1週間以下 5.1年間 2.1ヶ月間 6.特に期間は決まっていない 3.3ヶ月間 7.その他( 4.6ヶ月間 8.保管はしていない 問40.情報セキュリティ対策としてログの解析の頻度はどのくらいですか。(○は一つ) 1.問題発生時 5.3ヶ月毎 2.毎日 6.その他( 3.毎週 7.実施していない 4.毎月 付録1-9 ) ) 【全員の方におうかがいします】 問41.ウイルスやワーム、スパイウェア等の不正プログラムに対して、どのような対策を実施 していますか。(○はいくつでも) 1.ウイルス対策ソフト(クライアント)の使用 2.ウイルス対策ソフト(サーバ)の使用 3.スパイウェア対策ソフト(クライアント)の使用 4.スパイウェア対策ソフト(サーバ)の使用 5.パターンファイルを定期的に更新する(社員自らが更新) 6.パターンファイルを定期的に更新する(自動更新システムを利用) 7.パターンファイルを定期的に更新する(管理者が手動で更新) 8.パッチによるOS等のバージョンアップ(社員自らが更新) 9.パッチによるOS等のバージョンアップ(自動更新システムを利用) 10.パッチによるOS等のバージョンアップ(管理者が手動で更新) 11.許可されていないソフトウェアのインストール制限 12.ファイル等のダウンロード制限 13.プロバイダのウイルス等駆除サービスの利用 14.メールの添付ファイルの削除または実行制限 15.USBメモリの使用禁止 16.検疫システムの導入 17.その他( 18.実施していない ) 【全員の方におうかがいします】 貴社・団体での電子メールに関する情報セキュリティ対策についておうかがいします。 問42.スパムメール対策についておうかがいいたします。次の選択肢の中から貴社・団体の メールサーバ、ファイアウォール等で現在利用されている対策をお選びください。 (○はいくつでも) 1.不正中継防止 2.フィルタリング(特定の条件を満たすメールの配信をしない) 3.ウイルスチェック 4.特定ドメイン・アドレスからのメールのみ送・受信 5.特定の拡張子を持つファイルが添付されている場合に送・受信を拒否 6.利用メールソフトの指定・制限 7.メール利用の制限(利用可能者の限定、利用端末の限定等) 8.プロバイダによるスパムメール対策サービスの利用 9.その他( 10.電子メールは使用していない 11.特に何も実施していない ) 問43.メールの不正中継対策についておうかがいします。どのような対策を実施していますか。 (○はいくつでも) 1.メールサーバの設定の修正 4.メールサーバへの対策ソフトの導入 (オープンメールリレーの禁止等) 5.送信者認証 2.メールサーバのソフト・バージョンアップ 6.その他( 3.ファイアウォールによる遮断 7.実施していない 付録1-10 ) 【全員の方におうかがいします】 貴社・団体でのセキュリティサービス業者の利用状況についておうかがいします。 問44.現在、どのようなサービスを利用していますか。 該当する項目の番号全てに○印をご記入ください。 (○はいくつでも) 1.セキュリティ診断 8.ハウジングサービス 2.リスク分析 9.社外での研修による教育の実施 3.ポリシー策定 10.セキュリティ監視 4.セキュリティ監査 11.ウイルス等監視 5.ログ解析 12.セキュアシステム構築 6.認証サービス 13.その他( 7.ソフトウェアメンテナンス 14.利用していない ) 問45. 今後も継続して利用したいサービスは何ですか。 該当する項目の番号全てに○印をご記入ください。 (○はいくつでも) 1.セキュリティ診断 8.ハウジングサービス 2.リスク分析 9.社外での研修による教育の実施 3.ポリシー策定 10.セキュリティ監視 4.セキュリティ監査 11.ウイルス等監視 5.ログ解析 12.セキュアシステム構築 6.認証サービス 13.その他( 7.ソフトウェアメンテナンス 14.特になし 問46. 新規に利用したいサービスは何ですか。 該当する項目の番号全てに○印をご記入ください。 (○はいくつでも) 1.セキュリティ診断 8.ハウジングサービス 2.リスク分析 9.社外での研修による教育の実施 3.ポリシー策定 10.セキュリティ監視 4.セキュリティ監査 11.ウイルス等監視 5.ログ解析 12.セキュアシステム構築 6.認証サービス 13.その他( 7.ソフトウェアメンテナンス 14.特になし ) ) 【問44で「14.利用していない」とご回答された方におうかがいします】 問47.利用していない理由は何ですか。(○はいくつでも) 1.社・団体内に高い専門性やノウハウ、技術力があり、必要性がない 2.社・団体内の担当者だけで必要な人員が確保されているため、必要性がない 3.社・団体内にノウハウの蓄積を行いたい 4.コストを負担できない 5.要求に合致するサービスが提供されていない 6.機密情報の漏えいにつながることが懸念される 7.その他( ) 付録1-11 【全員の方におうかがいします】 貴社・団体での情報セキュリティ対策に係わる費用についておうかがいします。 問48.貴社・団体では、来期(年単位)の情報セキュリティ投資額は、今季(年単位)と比較 してどのようになりますか。(○は一つ) 1.今季と比較して、大幅に増やす(+50%以上)計画である 2.今季と比較して、かなり増やす(+30~+50%)計画である 3.今季と比較して、小幅に増やす(+10~+30%)計画である 4.今季と比較して、ほぼ同額(-10~+10%)とする計画である 5.今季と比較して、小幅に減らす(-10~-30%)計画である 6.今季と比較して、かなり減らす(-30~-50%)計画である 7.今季と比較して、大幅に減らす(-50%以上)計画である 問49.貴社・団体での情報セキュリティ対策を実施する上での問題点は何ですか。(○はいくつでも) 1.コストがかかりすぎる 6.どこまで行えば良いのか基準が示されていない 2.費用対効果が見えない 7.トップの理解が得られない 3.教育訓練が行き届かない 8.情報を資産として考える習慣がない 4.従業員への負担がかかりすぎる 9.最適なツール・サービスがない 5.対策を構築するノウハウが不足している 10.その他( ) 付録1-12 問50.貴社・団体での情報セキュリティ対策を実施する上で、今後どのような方針に重点を置いた対策 をとっていきたいとお考えですか。考え方①、②の内容と比較して、どのようなお考えをお持ちで あるのか、お選びください。(○は各項目一つ) 考え方① セキュリティ投資は必要最低限に 抑えるべきである。 情報セキュリティ対策としては、問 題発生に対しての応急対応や、再 発防止・被害拡大防止に注力する べきである。 情報セキュリティ対策としては、人 的・技術的な対策によりカバーでき るところを対策すれば十分である。 技術以外の面での対策としては、 従業員等への教育と、適切な情報 提供により対策を促すことが重要 である。 職場とはいえ、従業員等のプライ バシーはある程度考慮したうえで、 情報セキュリティ対策は行われる べきである。 業務実施に負担をかけるほどのセ キュリティ対策は不適当であり、利 便性とのバランスを考慮すべきで ある。 ほ ぼ ① 様 の で 考 あ え る 方 と 同 ど のち 考ら えか 方と にい 近え いば ① ど のち 考ら えか 方と にい 近え いば ② ほ ぼ ② 様 の で 考 あ え る 方 と 同 1 2 3 4 1 2 3 4 情報セキュリティ対策としては、リスクの 検知など、予防上の対策に注力するべき である。 1 2 3 4 情報セキュリティ対策としては、人的・技 術的対策によりカバーできないリスクは 保険によりまかなうべきである。 考え方② 来るべき問題事案に備えて、積極的に投 資を行うべきである。 1 2 3 4 技術以外の面での対策としては、教育は もちろんのこと、規制・罰則などの強制力 のある制度的対応を行うことが重要であ る。 1 2 3 4 職場のセキュリティ保護のためにはシス テム利用状況のモニタリングなどによる プライバシーの侵害はやむをえない。 1 2 3 4 ユーザにシステム利用上・業務上の負担 を強いてでもセキュリティを守るべきであ る。 【全員の方におうかがいします】 貴社・団体において想定される被害状況についておうかがいします。 問51.仮に、不正アクセス等により貴社・団体の情報システムが攻撃された場合、どのような 被害や影響が及ぼされる可能性がありますか。(○はいくつでも) 1.顧客等の人命や健康が脅かされる 2.顧客や取引先等の財産が脅かされる 3.経済活動全般が脅かされる(金融為替取引の停止・混乱や資本逃避等) 4.国民の生活環境が脅かされる(治安悪化や環境汚染等) 5.エネルギー供給や水供給、交通システム等のライフラインが脅かされる 6.行政機能が脅かされる 7.個人のプライバシーが脅かされる 8.社会的に深刻な被害には至らないが、自社の事業活動にとっては深刻な被害になる 9.その他( ) 10.特に深刻な被害にはならない 付録1-13 【全員の方におうかがいします】 貴社・団体で、過去1年間に発生した、ファイル共有ソフトに関する 情報セキュリティ対策についておうかがいいたします。 問52.過去1年間(H22年11月~H23年10月)にファイル共有ソフトの不適切な利用あるいは 同種ソフトに感染するウイルス等の影響により情報漏えい等の被害が生じましたか。 2.被害が生じた 1.被害は生じていない 問53.情報漏えいが生じた際に、どのような経路・状況にて漏えいが生じましたか。(○はいくつでも) 1.貴社・団体が業務利用のために供したPC等から漏えい 2.私物であるPC等から漏えい 3.業務委託先から漏えい 4.退職した職員、以前委託していた業者から漏えい 5.その他 ( ) 問54.ファイル共有ソフトからの情報漏えいを防ぐためにどのような対策を講じていますか。 (○は各項目一つ) 一 年 対 よ 策 り 開 前 始 か ら こ の 対 一 策 年 開 以 始 内 に 今 未 後 対 導 策 入 だ し が た い、 導 入 なの い予 定 は 1 1 1 1 2 2 2 2 3 3 3 3 4 4 4 4 1 2 3 4 6.業務外注先に対して、ファイル共有ソフトを 利用しないように依頼 1 2 3 4 7.その他( 1 2 3 4 対策の種類 1.ファイル共有ソフト削除・停止ツール等の利用 2.ネットワークにおける通信制御 3.ファイル共有ソフト利用者の検知 4.ファイル共有ソフトの利用を禁止する通達 5.ファイル共有ソフトをインストールして いないことの確認書を提出させる ) 付録1-14 【全員の方におうかがいします】 貴社・団体で、過去1年間に発生した、情報セキュリティに関する 被害状況についておうかがいします。 問55.過去1年間(H22年11月~H23年10月)に生じた被害について、次の表に被害件数や 復旧にかかった人日※1を最大6件までご記入ください。数値はおおよそで結構です。 情報セキュリティの被害として「その他」をお選びの方は、「19.(その他)」の行に「総件数」、「被害 時間」、「復旧に掛かった人日」に数値をご記入の上、「被害の内容」に被害状況を具体的にご記 入下さい。 なお、情報セキュリティに関する被害が生じなかった場合は、「情報セキュリティに関する被害は 生じなかった」にチェックマークを記入してください。 ※1 「復旧にかかった人日」とは、復旧処理に要した貴事業体内の職員の稼動人日です。 情報セキュリティ に関する被害 (1~18) 19.(その他) 被害にあった 総件数 業務停止等の 被害時間 復旧に掛かった 人日 件 時間 人日 件 時間 人日 件 時間 人日 件 時間 人日 件 時間 人日 件 時間 人日 件 時間 人日 被害の内容: □ 情報セキュリティに関する被害は生じなかった 問61(16㌻)へお進みください ※「情報セキュリティに関する被害」は次の中から選び、上の表に番号(1~19)で記入して ください。 1.ホームページの改ざん 13.ノートPC盗難 2.メールの不正中継 14.その他情報機器盗難(外部記憶装置等) 3.踏み台(バックドア設置等) 15.Webや掲示板上での貴社・団体に対する誹謗中傷 4.DoS攻撃 16.インターネット上の著作権侵害 5.システム破壊・データ改ざん (記事、写真、ロゴ等の無断使用等) 6.盗聴(キーロガ-含む) 17.ネットワークを利用した詐欺 7.なりすまし(注) 18.フィッシング 8.ウイルス等の感染 19.その他 9.スパイウェアの感染 10.情報漏えい(ファイル共有ソフトによるものを除く) 11.ファイル共有ソフトの利用に伴う情報漏えい 12.内部者のネットワーク悪用(私用メール、ポルノ画像閲覧等) (注)「なりすまし」とは、個人情報を第三者に利用されたり、メールアドレスを詐称されたりして、 本人になりすまされ、不正に利用・悪用されることによる被害のこと。 付録1-15 【問55で「8.ウイルス等の感染」とご回答された方におうかがいします】 問56.ウイルス等の主な感染ルート別の被害件数は何件ですか。(概数で結構です) 感染ルート分類 被害件数 1.電子メール 件 2.社・団体の部外者からの記憶媒体持ち込み 件 3.社・団体の内部者による記憶媒体持ち込み、私物パソコン接続 件 4.ダウンロードしたソフトウェア 件 5.外部へのWebアクセス(Webメール含む) 件 6.外部からの直接アクセス(ファイル共有等) 件 7.その他( ) 件 8.不明 件 (太枠線内にご回答ください) 【問55で外部からの要因により被害があったと思われる方におうかがいします】 問 57. 問 55でご回答になられた被害を受けてから、自社若しくはセキュリティコンサルティング会社 において調査を実施しましたか。 1.実施した 2.実施しなかった 実施した場合について、公開できる範囲でお聞かせください。 発信元(IPアドレス)が特定できたものについて、(○はいくつでも) 1. 国内のプロバイダーに属している個人と思われるものであった 2. 国内で企業が管理しているものと思われるものであった 3. 海外でプロバイダーに属している個人と思われるものであった 4. 海外で企業が管理しているものと思われるものであった 5. 匿名性(proxy 等)を考慮した通信を行ったものであった 6. その他不明 問58. 問55でご回答になられた被害を受けてから、実際にお取りになった対応策は何ですか。 (○はいくつでも) 1.ファイアウォールの設置・強化 2.ウイルス等対策製品の導入・強化 3.最新パッチの適忚 4.ソフトウェアのバージョンアップ 5.認証機能の導入・強化 6.ネットワークの再構築 7.不必要なサービスの停止 8.セキュリティポリシーの策定・見直し 9.セキュリティ教育の実施・強化 10.不正アクセスが行われていないかどうか、ネットワークの監視 11.システム上にセキュリティホールがないかどうかを検査、診断 12.セキュリティコンサルティングの利用 13.セキュリティ監査の実施 14.弁護士への相談 15.その他( ) 16.不明 17.特に何も対忚策を講じていない 付録1-16 問59.どこに被害を届け出ましたか。(○はいくつでも) 1.警察 2.IPA(情報処理振興事業協会) 3.JPCERT/CC(コンピュータ緊急対忚センター) 4.国民生活センター・消費生活センター 5.その他( ) 問61へ お進みください 6.届け出なかった 問60.届け出なかった理由は何ですか。(○はいくつでも) 1.自社・団体の信用が低下するので 5.問題解決にならないので 2.社・団体内で対忚できたので 6.面倒なので 3.届け出義務がないので 7.競合他社に知られたくないので 4.大した被害ではなかったので 8.その他( ) 問61.貴社・団体で、過去1年間(H22年11月~H23年10月)において、問55でご回答になられた 被害で、過失や事故を含めた被害状況について、以下の例を参考に具体的にご記入ください。 <例> ウイルスや不正アクセス等により ・ファイルの破壊があり甚大な被害を被った。 ・会員等の個人情報が流出した。 等 原因として ・IDやパスワードが簡単なものであった。 ・アプリケーションの設定不備であった。 等 被害の状況 発生原因 問62.情報セキュリティ対策を講ずるにあたって困難に感じていること、不正アクセスを受けることを想 定したとき不安に感じること等、ご意見をお聞かせください。 問63.行政に望む情報セキュリティ対策について、ご意見をお聞かせください。 アンケートはこれで終わりです。ご協力ありがとうございました。 付録1-17 2.集計表 業種別回収数 農林・水産・鉱業 農林・水産 鉱業 その他 小計 0 2 2 4 小計 14 10 5 34 12 6 16 29 33 1 9 11 36 216 小計 17 26 7 50 小計 17 10 9 4 1 0 4 45 製造業 食品 繊維 紙・パルプ 科学 薬品 ゴム・窯業 非鉄金属 機械 電気機器 造船 輸送機器 精密機器 その他 不動産・建設 不動産 建築 その他 金融 銀行 証券 保険 クレジット 消費者金融 信用金庫・組合 その他 エネルギー 電力 ガス 水道 石油製造(精製) その他 小計 運輸業 鉄道・地下鉄 航空 陸運 海運 倉庫 その他 小計 7 2 8 2 8 3 30 小計 1 6 1 0 2 10 小計 28 14 0 2 0 28 0 39 20 131 小計 146 0 0 6 152 情報通信 新聞 放送 通信 ISP その他 サービス 流通・卸売 小売 娯楽・アミューズメント 飲食 ホテル・旅行 情報処理・ソフトウェア 警備 医療・福祉 その他 教育 大学 短大 専門学校 その他 行政 都道府県 政令指定都市 7 市町村 9 0 無回答 1 2 19 付録2-1 小計 31 2 134 167 3 827 2. 端末装置の利用環境 整 1 っ人 て 1 い台 るの 環 境 が 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 170 100.0 661 79.9 4 100.0 181 83.8 46 92.0 36 80.0 19 100.0 19 63.3 9 90.0 79 60.3 124 81.6 144 84.7 る数 人 で 共 有 し て い い部 る ・ 課 で 共 有 し て 60 7.3 0 0.0 10 4.6 1 2.0 6 13.3 0 0.0 3 10.0 0 0.0 22 16.8 8 5.3 10 5.9 26 3.1 0 0.0 3 1.4 0 0.0 0 0.0 0 0.0 5 16.7 1 10.0 10 7.6 3 2.0 4 2.4 し支 て店 いや る拠 点 で 共 有 14 1.7 0 0.0 2 0.9 2 4.0 2 4.4 0 0.0 1 3.3 0 0.0 5 3.8 2 1.3 0 0.0 そ の 他 な端 い末 は 利 用 し て い 58 7.0 0 0.0 17 7.9 1 2.0 1 2.2 0 0.0 2 6.7 0 0.0 15 11.5 15 9.9 7 4.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 3. 事業体内のネットワーク利用状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 て ワ ク有 いー と 線 る ク無ネ を 線ッ 併ネ ト 用ッ ワ し トー し ト す て ワべ いー て る ク無 で線 構ネ 築ッ 400 48.4 0 0.0 120 55.6 14 28.0 10 22.2 4 21.1 12 40.0 5 50.0 79 60.3 117 77.0 39 23.4 付録2-2 2 0.2 0 0.0 1 0.5 0 0.0 0 0.0 0 0.0 1 3.3 0 0.0 0 0.0 0 0.0 0 0.0 し ト す て ワべ いー て る ク有 で線 構ネ 築ッ 415 50.2 4 100.0 89 41.2 36 72.0 35 77.8 15 78.9 17 56.7 5 50.0 51 38.9 34 22.4 128 76.6 て L いA なN いを 敷 設 し 1 0.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.8 0 0.0 0 0.0 無 回 答 9 1.1 0 0.0 6 2.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.7 0 0.0 無 回 答 8 1.0 0 0.0 3 1.4 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 5 2.9 4. 無線ネットワークのセキュリティ対策 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 化W E P に よ る 暗 号 402 100.0 0 100.0 236 100.0 24 100.0 15 100.0 8 100.0 24 100.0 10 100.0 155 100.0 248 100.0 81 100.0 159 58.2 0 0 54 22.9 6 25.0 2 13.3 0 0.0 4 16.7 1 10.0 26 16.8 57 23.0 9 11.1 2 (暗W 等W号 E ) P 化 P A 以 / 外 W に P よ A る 切 な 設 定 E S S I D の 適 証M A C ア ド レ ス 認 234 39.6 0 0 65 27.5 11 45.8 5 33.3 3 37.5 8 33.3 4 40.0 49 31.6 61 24.6 28 34.6 131 40.5 0 0 40 16.9 0 0.0 1 6.7 2 25.0 5 20.8 3 30.0 26 16.8 39 15.7 15 18.5 合 計 接 続 し て い る 計 が接 画、 続 中現 し で在 て あ接い る続な をい 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 784 94.8 4 100.0 213 98.6 50 100.0 40 88.9 19 100.0 30 100.0 10 100.0 116 88.5 149 98.0 152 91.0 1 I . E x E E 8 0 2 . 163 32.6 0 0 52 22.0 6 25.0 3 20.0 0 0.0 6 25.0 0 0.0 34 21.9 45 18.1 17 21.0 68 16.9 0 0 16 6.8 1 4.2 1 6.7 3 37.5 1 4.2 1 10.0 13 8.4 23 9.3 9 11.1 電 磁 波 の 遮 蔽 そ の 他 2 0.5 0 0 0 0.0 0 0.0 1 6.7 0 0.0 0 0.0 0 0.0 1 0.6 0 0.0 0 0.0 5. インターネット接続の有無 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 2 0.2 0 0.0 0 0.0 0 0.0 1 2.2 0 0.0 0 0.0 0 0.0 1 0.8 0 0.0 0 0.0 付録2-3 も ず接 な、 続 い接 し 続て のお 計ら 画 33 4.0 0 0.0 0 0.0 0 0.0 4 8.9 0 0.0 0 0.0 0 0.0 13 9.9 1 0.7 15 9.0 無 回 答 8 1.0 0 0.0 3 1.4 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.8 2 1.3 0 0.0 39 9.7 0 0 9 3.8 0 0.0 2 13.3 0 0.0 0 0.0 1 10.0 5 3.2 19 7.7 3 3.7 特 に 行 っ て い な い 5 1.2 0 0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.6 4 1.6 0 0.0 6. インターネット接続点における不正アクセス等防止対策 よ I る D 認、 証パ ス ワ ー ド 等 に 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 786 100.0 8 100.0 818 100.0 151 100.0 161 100.0 88 100.0 103 100.0 34 100.0 423 100.0 663 100.0 730 100.0 入フ ァ イ ア ウ ォ ー ル の 導 429 54.6 2 50.0 125 58.7 26 52.0 18 43.9 12 63.2 11 36.7 6 60.0 55 47.0 101 67.8 72 47.4 ルル 制ー 御タ に よ る プ ロ ト コ 699 88.9 2 50.0 186 87.3 38 76.0 37 90.2 18 94.7 25 83.3 8 80.0 101 86.3 139 93.3 144 94.7 置 P R O X Y サ ー バ の 設 390 49.6 2 50.0 112 52.6 21 42.0 15 36.6 11 57.9 11 36.7 5 50.0 55 47.0 77 51.7 80 52.6 のム侵 導( 入 入 I 検 D知 S ・ ・ 防 I 御 P シ S ス )テ 492 62.6 0 0.0 116 54.5 22 44.0 26 63.4 12 63.2 21 70.0 2 20.0 62 53.0 97 65.1 134 88.2 の非 構武 築装 地 帯 化 ・ 充 実 ) ア ク セ ス ロ グ 収 集 の 強 456 58.0 0 0.0 106 49.8 14 28.0 16 39.0 15 78.9 18 60.0 5 50.0 53 45.3 110 73.8 118 77.6 352 44.8 0 0.0 91 42.7 14 28.0 20 48.8 12 63.2 9 30.0 4 40.0 41 35.0 74 49.7 86 56.6 ( D M Z 242 30.8 0 0.0 55 25.8 7 14.0 15 36.6 7 36.8 5 16.7 3 30.0 24 20.5 55 36.9 71 46.7 そ の 他 し う外 て サ部 いー か なビ ら いス の な接 ど続 をを 提伴 供な 21 2.7 2 50.0 4 1.9 0 0.0 4 9.8 1 5.3 0 0.0 0 0.0 4 3.4 3 2.0 3 2.0 特 に 何 も 行 っ て い な い 98 12.5 0 0.0 21 9.9 8 16.0 10 24.4 0 0.0 3 10.0 1 10.0 28 23.9 7 4.7 20 13.2 5 0.6 0 0.0 2 0.9 1 2.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 1.3 7. 外部からの接続時に利用している認証方法 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 786 100.0 4 100.0 292 100.0 50 100.0 54 100.0 35 100.0 32 100.0 9 100.0 134 100.0 161 100.0 142 100.0 認 I 証D / パ ス ワ ー ド 514 65.4 2 50.0 169 79.3 31 62.0 24 58.5 10 52.6 19 63.3 6 60.0 72 61.5 122 81.9 58 38.2 ワ ワ ーン ド タ イ ム パ ス 51 6.5 0 0.0 22 10.3 3 6.0 5 12.2 3 15.8 1 3.3 1 10.0 11 9.4 4 2.7 1 0.7 証ク I ツン C ーデカ ルバー イ ド ス/ 型 ト 認ー (電 P 子 K 証 I 明 )書 39 5.0 0 0.0 15 7.0 2 4.0 3 7.3 4 21.1 3 10.0 0 0.0 8 6.8 0 0.0 4 2.6 付録2-4 78 9.9 0 0.0 35 16.4 2 4.0 7 17.1 8 42.1 2 6.7 1 10.0 8 6.8 8 5.4 7 4.6 証( バ )指イ 紋オ 等メ で ト の リ 認ク ス 16 2.0 0 0.0 8 3.8 0 0.0 2 4.9 2 10.5 0 0.0 0 0.0 4 3.4 0 0.0 0 0.0 電 話 番 号 規 制 41 5.2 0 0.0 8 3.8 2 4.0 4 9.8 4 21.1 2 6.7 0 0.0 10 8.5 3 2.0 8 5.3 コ ー ル バ ッ ク 11 1.4 0 0.0 2 0.9 0 0.0 1 2.4 2 10.5 0 0.0 0 0.0 3 2.6 1 0.7 2 1.3 そ の 他 96 12.2 0 0.0 21 9.9 4 8.0 7 17.1 0 0.0 2 6.7 0 0.0 11 9.4 12 8.1 39 25.7 認 証 な し 68 8.7 2 50.0 12 5.6 6 12.0 1 2.4 2 10.5 3 10.0 1 10.0 7 6.0 11 7.4 23 15.1 8. ID/パスワードの管理対策 る定パ 以ス 上ワ にー 定ド め長 て を い一 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 514 100.0 10 100.0 569 100.0 94 100.0 88 100.0 36 100.0 49 100.0 16 100.0 263 100.0 336 100.0 133 100.0 さ ド定 せ を期 て強的 い制 に る的パ にス 変ワ 更ー 357 69.5 2 100.0 115 68.0 19 61.3 18 75.0 7 70.0 10 52.6 4 66.7 53 73.6 94 77.0 35 60.3 193 37.5 2 100.0 68 40.2 9 29.0 16 66.7 9 90.0 8 42.1 2 33.3 45 62.5 19 15.6 15 25.9 変簡性パ る ぐ く 異 いでレ I 更単 を ス 。 にな動 。流 ス D さ すチ ワ 削っ 等 用等 を せ ぎェー 除たで しのメ て るッ ド し I 使 て 他ー いも ク の てD用 いのル るのし複 いは し な用ア は、 雑 すな 途ド 138 26.8 0 0.0 42 24.9 6 19.4 5 20.8 5 50.0 5 26.3 0 0.0 30 41.7 37 30.3 8 13.8 330 64.2 2 100.0 122 72.2 20 64.5 15 62.5 8 80.0 12 63.2 6 100.0 45 62.5 73 59.8 26 44.8 なザ I いー D 。でを 使複 わ数 せユ てー い 131 25.5 2 100.0 55 32.5 9 29.0 11 45.8 2 20.0 3 15.8 0 0.0 21 29.2 11 9.0 16 27.6 し 存は I て さ利D いれ用 ・ る な者パ 。 い端 ス よ末 ワ う にー に保 ド 304 59.1 2 100.0 109 64.5 21 67.7 15 62.5 2 20.0 8 42.1 4 66.7 41 56.9 79 64.8 22 37.9 そ の 他 104 20.2 0 0.0 43 25.4 10 32.3 6 25.0 3 30.0 1 5.3 0 0.0 18 25.0 15 12.3 7 12.1 い特 なに い対 。策 は 行 っ て 14 2.7 0 0.0 2 1.2 0 0.0 1 4.2 0 0.0 1 5.3 0 0.0 6 8.3 2 1.6 2 3.4 27 5.3 0 0.0 13 7.7 0 0.0 1 4.2 0 0.0 1 5.3 0 0.0 4 5.6 6 4.9 2 3.4 9. 不正ログイン対策 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 786 100.0 6 100.0 255 100.0 46 100.0 46 100.0 21 100.0 31 100.0 12 100.0 111 100.0 165 100.0 123 100.0 制 ワ同 ー一 ド I のD 繰に り係 返る し誤 入っ 力た のパ 規ス 286 36.4 2 50.0 94 44.1 14 28.0 30 73.2 11 57.9 10 33.3 2 20.0 41 35.0 38 25.5 43 28.3 信正 端規 末の 機利 器用 の者 事が 前使 登用 録す る 通 繰誤同 りっ一 返た I し I P 入D ア 力 ・ ド のパ レ 規ス ス 制ワか ー ら ド の の 37 27.6 0 0.0 16 7.5 1 2.0 3 7.3 2 10.5 0 0.0 1 10.0 1 0.9 9 6.0 4 2.6 付録2-5 217 4.7 1 25.0 72 33.8 11 22.0 9 22.0 5 26.3 9 30.0 6 60.0 30 25.6 40 26.8 34 22.4 なでC 符は A 号読 P のみ C 入取 H 力 り A 要 ・ ( 求入 プ )力 ロ がグ 困ラ 難ム 9 1.1 0 0.0 0 0.0 0 0.0 1 2.4 0 0.0 0 0.0 0 0.0 4 3.4 3 2.0 1 0.7 そ の 他 33 4.2 1 25.0 3 1.4 1 2.0 2 4.9 3 15.8 0 0.0 0 0.0 4 3.4 6 4.0 13 8.6 特 に 実 施 し て い な い 235 29.9 2 50.0 70 32.9 19 38.0 1 2.4 0 0.0 12 40.0 3 30.0 31 26.5 69 46.3 28 18.4 無 回 答 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 10. 外部からの接続許可状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス が体接 提内続 供にを さ 居許 れ る可 る場 し 合て とお 同 り 様、 な社 機 ・ 能団 827 100.0 4 100.0 213 100.0 50 100.0 41 100.0 19 100.0 30 100.0 10 100.0 117 100.0 149 100.0 152 100.0 れ団接 た体続 機内 を 能 に許 が居可 提る し 供場 て さ合い れ よ る る り が 制、 限社 さ ・ 135 16.3 0 0.0 52 24.4 11 22.0 3 7.3 2 10.5 1 3.3 1 10.0 22 18.8 27 18.1 16 10.5 し る現 て が在 い、 、 く 今接 予後続 定接 を 続一 許切 可禁 の止 検し 討て をい 302 36.5 0 0.0 97 45.5 11 22.0 14 34.1 12 63.2 12 40.0 7 70.0 51 43.6 73 49.0 24 15.8 な現 い在 も 無 回 答 、 将 来 も 接 続 を 許 可 し 79 9.6 4 100.0 20 9.4 5 10.0 8 19.5 1 5.3 5 16.7 0 0.0 11 9.4 11 7.4 14 9.2 260 31.4 0 0.0 42 19.7 22 44.0 16 39.0 4 21.1 10 33.3 2 20.0 30 25.6 37 24.8 97 63.8 51 6.2 0 0.0 2 0.9 1 2.0 0 0.0 0 0.0 2 6.7 0 0.0 3 2.6 1 0.7 1 0.7 11. 外部からの接続における接続方法 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 437 100.0 0 100.0 149 100.0 22 100.0 17 100.0 14 100.0 13 100.0 8 100.0 73 100.0 100 100.0 40 100.0 接イ 続ン タ ー ネ ッ ト 経 由 の 334 76.4 0 0 122 81.9 19 86.4 15 88.2 8 57.1 7 53.8 6 75.0 45 61.6 87 87.0 24 60.0 か由( ダ らせイ イ 接ず ン ヤ 続、 タ ル す 直ー ア る 接 ネッ ) 電ッ プ 話 ト 接 回 を続 線経 51 11.7 0 0 12 8.1 2 9.1 2 11.8 2 14.3 3 23.1 1 12.5 12 16.4 4 4.0 13 32.5 付録2-6 両 方 使 用 し て い る 50 11.4 0 0 15 10.1 1 4.5 0 0.0 4 28.6 3 23.1 1 12.5 15 20.5 8 8.0 3 7.5 無 回 答 2 0.5 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 1.4 1 1.0 0 0.0 12. 外部からの接続の利用目的 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 516 100.0 8 100.0 413 100.0 64 100.0 46 100.0 42 100.0 39 100.0 22 100.0 177 100.0 262 100.0 79 100.0 ク メ セー ス ル サ ー バ へ の ア ク W セ e ス b サ ー バ へ の ア 275 53.3 2 50.0 108 63.9 18 66.7 8 32.0 12 80.0 10 55.6 7 87.5 38 45.2 61 55.0 11 20.4 ルス ーケ プジ ウュ ェー アル の等 利グ 用 212 41.1 2 50.0 72 42.6 14 51.9 10 40.0 8 53.3 4 22.2 5 62.5 19 22.6 68 61.3 10 18.5 259 50.2 0 0.0 101 59.8 20 74.1 7 28.0 10 66.7 12 66.7 4 50.0 38 45.2 46 41.4 21 38.9 13. 社外からのスマートフォンによる接続許可状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 516 100.0 4 100.0 169 100.0 27 100.0 25 100.0 15 100.0 18 100.0 8 100.0 84 100.0 111 100.0 54 100.0 い接 る続 を 許 可 し て 125 24.2 0 0.0 44 26.0 8 29.6 3 12.0 3 20.0 0 0.0 0 0.0 20 23.8 40 36.0 6 11.1 い接 な続 いを 許 可 し て 323 62.6 4 100.0 104 61.5 17 63.0 22 88.0 11 73.3 15 83.3 6 75.0 48 57.1 55 49.5 41 75.9 付録2-7 無 回 答 68 13.2 0 0.0 21 12.4 2 7.4 0 0.0 1 6.7 3 16.7 2 25.0 16 19.0 16 14.4 7 13.0 の基 ア幹 ク業 セ務 ス シ ス テ ム へ 173 33.5 4 100.0 72 42.6 10 37.0 9 36.0 4 26.7 6 33.3 5 62.5 32 38.1 23 20.7 7 13.0 ナ情 ン報 ス シ ス テ ム メ ン テ 194 37.6 0 0.0 54 32.0 1 3.7 8 32.0 4 26.7 7 38.9 1 12.5 45 53.6 49 44.1 25 46.3 そ の 他 40 7.8 0 0.0 6 3.6 1 3.7 4 16.0 4 26.7 0 0.0 0 0.0 5 6.0 15 13.5 5 9.3 14. スマートフォンから社内への接続時のセキュリティ対策 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 置 ト ス ワマ ーー ク ト セフ グォ メ ン ン専 ト 用 のネ 設ッ 125 100.0 0 100.0 93 100.0 13 100.0 6 100.0 8 100.0 0 100.0 0 100.0 42 100.0 32 100.0 6 100.0 25 20.0 0 0.0 10 22.7 4 50.0 0 0.0 1 33.3 0 0.0 0 0.0 5 25.0 4 10.0 1 16.7 視ワス ーマ クー ト ト ラフ フォ ィン ッの ク ネ のッ 監 ト 5 4.0 0 0.0 3 6.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 10.0 0 0.0 0 0.0 ス ア M マン A ー ト C ト 証ア フ明ド ォ書レ ン等ス の を、 認用 ク 証いラ た イ ルス ス マ 対ー 策 ト ソフ フォ ト ン 等へ のの 導ウ 入ィ 30 24.0 0 0.0 18 40.9 1 12.5 1 33.3 1 33.3 0 0.0 0 0.0 3 15.0 6 15.0 0 0.0 タス のマ 暗ー 号 ト 化フ ォ ン 内 部 デ ー 21 16.8 0 0.0 7 15.9 1 12.5 0 0.0 1 33.3 0 0.0 0 0.0 8 40.0 1 2.5 2 33.3 3 2.4 0 0.0 3 6.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 ア に制使 プ業限用 リ 務( ア にデ ス プ 限ー マ リ 定 ター ケ 等が トー 残フシ らォョ なンン い側 の 44 35.2 0 0.0 20 45.5 3 37.5 3 100.0 2 66.7 0 0.0 0 0.0 6 30.0 8 20.0 1 16.7 デ策 ス ー( マ タ 端ー の末 ト 遠ロフ 隔ッ ォ 消ク ン 去、 の 等内盗 )部難 対 のアアス 導ッ プ マ 入プ リー デケ ト ーー フ ト シォ すョ ン るンの 仕等 O 組を S み 、 38 30.4 0 0.0 20 45.5 1 12.5 2 66.7 2 66.7 0 0.0 0 0.0 11 55.0 0 0.0 1 16.7 15. 情報セキュリティ対策の必要性 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 非 常 に 感 じ て い る 642 77.6 2 50.0 145 67.1 26 52.0 40 88.9 17 89.5 20 66.7 9 90.0 104 79.4 122 80.3 156 93.4 あ る 程 度 感 じ て い る 159 19.2 2 50.0 61 28.2 21 42.0 4 8.9 2 10.5 9 30.0 0 0.0 22 16.8 28 18.4 10 6.0 付録2-8 あ ま り 感 じ て い な い 感 じ て い な い 13 1.6 0 0.0 4 1.9 2 4.0 1 2.2 0 0.0 0 0.0 0 0.0 4 3.1 2 1.3 0 0.0 無 回 答 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 13 1.6 0 0.0 6 2.8 1 2.0 0 0.0 0 0.0 1 3.3 1 10.0 1 0.8 0 0.0 1 0.6 6 4.8 0 0.0 2 4.5 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 4 20.0 0 0.0 0 0.0 そ の 他 31 24.8 0 0.0 10 22.7 3 37.5 0 0.0 1 33.3 0 0.0 0 0.0 3 15.0 13 32.5 1 16.7 16. 情報セキュリティの必要性の理由 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス の過 被去 害に に不 あ正 っア たク たセ めス 等 801 100.0 12 100.0 876 100.0 167 100.0 221 100.0 95 100.0 120 100.0 46 100.0 519 100.0 674 100.0 725 100.0 74 9.2 0 0.0 20 0.1 1 0.0 4 9.1 3 15.8 1 3.4 2 22.2 6 4.8 26 17.3 11 6.6 染ウ をイ 防ル ぐス た ・ めワ ー ム の 感 674 84.1 4 100.0 171 83.0 33 70.2 41 93.2 14 73.7 24 82.8 6 66.7 103 81.7 131 87.3 146 88.0 めス D テ o ム S ダ攻 ウ撃 ン等 をに 防よ ぐ る たシ れにシ る よス の り テ を犯 ム 防罪 の ぐ等乗 た へっ め悪取 用 り さ等 381 47.6 2 50.0 75 36.4 16 34.0 21 47.7 10 52.6 12 41.4 6 66.7 52 41.3 89 59.3 98 59.0 な顧 も客 の等 と と すの る取 た引 めを 万 全 449 56.1 0 0.0 110 53.4 19 40.4 21 47.7 12 63.2 14 48.3 5 55.6 58 46.0 100 66.7 109 65.7 330 41.2 0 0.0 121 58.7 23 48.9 33 75.0 10 52.6 12 41.4 6 66.7 50 39.7 33 22.0 42 25.3 17. 情報セキュリティ運用、管理専門部署の有無 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 合 計 あ る 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 488 59.0 4 100.0 119 55.1 27 54.0 25 55.6 14 73.7 14 46.7 5 50.0 75 57.3 79 52.0 126 75.4 な い 332 40.1 0 0.0 96 44.4 22 44.0 19 42.2 5 26.3 15 50.0 5 50.0 56 42.7 73 48.0 40 24.0 付録2-9 無 回 答 7 0.8 0 0.0 1 0.5 1 2.0 1 2.2 0 0.0 1 3.3 0 0.0 0 0.0 0 0.0 1 0.6 漏客 イ れ情ン る報 タ の等ー をのネ 防 部ッ ぐ内 ト た情上 め報 に が顧 622 77.7 2 50.0 159 77.2 29 61.7 40 90.9 17 89.5 22 75.9 8 88.9 93 73.8 122 81.3 130 78.3 めにラ セ 与ンキ え ドュ る イ リ 影メ テ 響ー ィ をジ事 防や故 ぐ業が た績ブ 534 66.7 0 0.0 140 68.0 32 68.1 37 84.1 18 94.7 22 75.9 9 100.0 85 67.5 110 73.3 80 48.2 可事 欠業 な を た行 め う 上 で 必 要 不 382 47.7 4 100.0 78 37.9 14 29.8 24 54.5 11 57.9 13 44.8 4 44.4 68 54.0 60 40.0 106 63.9 そ の 他 12 1.5 0 0.0 2 1.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 4 3.2 3 2.0 3 1.8 18. 情報セキュリティに係る管理者、担当者の設置 る専 従 の 担 当 者 を 置 い て い 合 計 827 100.0 4 100.0 225 100.0 53 100.0 47 100.0 21 100.0 28 100.0 9 100.0 127 100.0 133 100.0 179 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 79 9.6 0 0.0 20 9.3 6 12.0 6 13.3 4 21.1 3 10.0 1 10.0 15 11.5 8 5.3 16 9.6 い が情 て情報 も報シ 兼セス 務キテ しュ ム て リ運 いテ用 るィ 管 に理 つ者 に以情 つ外報 いがシ て情ス も報テ 兼セム 務キ運 しュ用 て リ管 いテ理 るィ 者 560 67.7 4 100.0 155 71.8 35 70.0 25 55.6 13 68.4 18 60.0 6 60.0 84 64.1 90 59.2 130 77.8 担 当 者 は 置 い て い な い 138 16.7 0 0.0 39 18.1 8 16.0 13 28.9 4 21.1 3 10.0 1 10.0 19 14.5 17 11.2 33 19.8 50 6.0 0 0.0 11 5.1 4 8.0 3 6.7 0 0.0 4 13.3 1 10.0 9 6.9 18 11.8 0 0.0 19. セキュリティポリシーの策定状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 策 定 し て あ る 611 73.9 2 50.0 149 69.0 41 82.0 42 93.3 19 100.0 23 76.7 6 60.0 105 80.2 62 40.8 161 96.4 現 在 策 定 を 進 め て い る 66 8.0 0 0.0 22 10.2 1 2.0 1 2.2 0 0.0 1 3.3 2 20.0 7 5.3 31 20.4 1 0.6 後策 策定 定は すし るて 予い 定な い が 、 今 105 12.7 2 50.0 30 13.9 4 8.0 0 0.0 0 0.0 4 13.3 1 10.0 14 10.7 48 31.6 2 1.2 付録2-10 策策 定定 のし 予て 定お は ら なず い、 今 後 も 35 4.2 0 0.0 12 5.6 4 8.0 2 4.4 0 0.0 2 6.7 1 10.0 3 2.3 10 6.6 1 0.6 必 要 な い 無 回 答 1 0.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.8 0 0.0 0 0.0 9 1.1 0 0.0 3 1.4 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.8 1 0.7 2 1.2 20. 情報セキュリティ侵害事案発生時の対応策の策定状況 策 定 し て あ る 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 383 46.3 2 50.0 87 40.3 19 38.0 29 64.4 12 63.2 12 40.0 4 40.0 62 47.3 37 24.3 119 71.3 現 在 策 定 を 進 め て い る 76 9.2 2 50.0 17 7.9 2 4.0 2 4.4 2 10.5 2 6.7 2 20.0 6 4.6 30 19.7 10 6.0 策 定 を 検 討 し て い る 要策 性定 は し 感て じい てな いい るが 、 必 106 12.8 0 0.0 35 16.2 8 16.0 5 11.1 0 0.0 6 20.0 2 20.0 14 10.7 27 17.8 9 5.4 い策 定 の 必 要 性 を 感 じ な 241 29.1 0 0.0 69 31.9 19 38.0 8 17.8 4 21.1 9 30.0 2 20.0 45 34.4 57 37.5 28 16.8 14 1.7 0 0.0 5 2.3 2 4.0 0 0.0 1 5.3 1 3.3 0 0.0 3 2.3 1 0.7 1 0.6 21. ウェブサイトの脆弱性を意図的に利用した行為 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 合 計 知 っ て い る 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 708 85.6 4 100.0 173 80.1 36 72.0 39 86.7 16 84.2 25 83.3 8 80.0 107 81.7 142 93.4 156 93.4 知 ら な い 112 13.5 0 0.0 41 19.0 12 24.0 6 13.3 3 15.8 5 16.7 2 20.0 24 18.3 8 5.3 11 6.6 付録2-11 無 回 答 7 0.8 0 0.0 2 0.9 2 4.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 1.3 0 0.0 無 回 答 7 0.8 0 0.0 3 1.4 0 0.0 1 2.2 0 0.0 0 0.0 0 0.0 1 0.8 0 0.0 0 0.0 22. 脆弱性情報を元にした対策について 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 合 計 実 施 し た 実 施 し て い な い 無 回 答 708 100.0 4 100.0 173 100.0 36 100.0 39 100.0 16 100.0 25 100.0 8 100.0 107 100.0 142 100.0 156 100.0 417 58.9 0 0.0 88 50.9 13 36.1 26 66.7 16 100.0 11 44.0 4 50.0 59 55.1 90 63.4 110 70.5 263 37.1 4 100.0 80 46.2 23 63.9 9 23.1 0 0.0 12 48.0 4 50.0 47 43.9 49 34.5 34 21.8 28 4.0 0 0.0 5 2.9 0 0.0 4 10.3 0 0.0 2 8.0 0 0.0 1 0.9 3 2.1 12 7.7 23. 脆弱性調査(ペネトレーションテスト)の有無 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 実 施 し て い る 193 23.3 2 50.0 27 12.5 3 6.0 16 35.6 11 57.9 4 13.3 1 10.0 20 15.3 16 10.5 93 55.7 実 施 し て い な い 617 74.6 2 50.0 184 85.2 44 88.0 28 62.2 7 36.8 25 83.3 9 90.0 110 84.0 134 88.2 73 43.7 無 回 答 17 2.1 0 0.0 5 2.3 3 6.0 1 2.2 1 5.3 1 3.3 0 0.0 1 0.8 2 1.3 1 0.6 付録2-12 24. セキュリティ対策に関する部外チェック等の実施調査 け て い る 合 計 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス I S M S 等 の 認 証 を 受 る る が認 チ、 証 ェ部は ッ外受 ク のけ を専 て 受門 い け家な てにい いよ 66 8.0 0 0.0 11 5.1 5 10.0 1 2.2 3 15.8 2 6.7 1 10.0 30 22.9 3 2.0 9 5.4 138 16.7 0 0.0 35 16.2 6 12.0 19 42.2 7 36.8 2 6.7 4 40.0 13 9.9 12 7.9 40 24.0 で部 す内 まで せの て自 い己 るチ そ の 他 特 に 実 施 し て い な い ェ ッ ク 281 34.0 2 50.0 77 35.6 11 22.0 13 28.9 5 26.3 8 26.7 3 30.0 38 29.0 55 36.2 69 41.3 34 4.1 0 0.0 5 2.3 0 0.0 3 6.7 0 0.0 3 10.0 0 0.0 7 5.3 5 3.3 11 6.6 無 回 答 301 36.4 2 50.0 86 39.8 28 56.0 9 20.0 4 21.1 15 50.0 2 20.0 42 32.1 76 50.0 37 22.2 6 0.7 0 0.0 2 0.9 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.8 1 0.7 0 0.0 25. セキュリティ監査の実施(予定)頻度 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 3 ヶ 月 ご と に 18 2.2 0 0.0 7 3.2 2 4.0 1 2.2 0 0.0 0 0.0 1 10.0 6 4.6 1 0.7 0 0.0 半 年 ご と に 1 年 ご と に 隔 年 そ の 他 ( 2 年 (特 不に 定決 期ま )っ て い な い ) ご と に 45 5.4 0 0.0 18 8.3 5 10.0 2 4.4 3 15.8 2 6.7 2 20.0 8 6.1 3 2.0 1 0.6 248 30.0 0 0.0 72 33.3 10 20.0 19 42.2 7 36.8 9 30.0 2 20.0 46 35.1 19 12.5 64 38.3 付録2-13 10 1.2 0 0.0 2 0.9 0 0.0 1 2.2 0 0.0 1 3.3 0 0.0 2 1.5 0 0.0 4 2.4 17 2.1 0 0.0 2 0.9 0 0.0 3 6.7 0 0.0 0 0.0 0 0.0 3 2.3 4 2.6 5 3.0 183 22.1 2 50.0 42 19.4 10 20.0 9 20.0 4 21.1 6 20.0 4 40.0 24 18.3 36 23.7 46 27.5 実 施 を 予 定 し て い る 実 施 し て い な い 28 3.4 0 0.0 5 2.3 1 2.0 0 0.0 0 0.0 2 6.7 0 0.0 1 0.8 14 9.2 5 3.0 267 32.3 2 50.0 63 29.2 22 44.0 9 20.0 4 21.1 10 33.3 1 10.0 40 30.5 74 48.7 42 25.1 無 回 答 11 1.3 0 0.0 5 2.3 0 0.0 1 2.2 1 5.3 0 0.0 0 0.0 1 0.8 1 0.7 0 0.0 26. 情報セキュリティ教育の実施状況 実 施 し て い る 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 実 施 を 予 定 し て い る 518 62.6 2 50.0 128 59.3 24 48.0 32 71.1 15 78.9 14 46.7 7 70.0 82 62.6 76 50.0 137 82.0 要実 性施 をは 感し じて るい な い が 必 47 5.7 2 50.0 8 3.7 3 6.0 3 6.7 0 0.0 3 10.0 0 0.0 7 5.3 13 8.6 8 4.8 い実 233 28.2 0 0.0 68 31.5 18 36.0 10 22.2 4 21.1 11 36.7 3 30.0 39 29.8 59 38.8 21 12.6 無 回 答 (施 実の 施必 し要 て性 いを な感 いじ )な 24 2.9 0 0.0 10 4.6 5 10.0 0 0.0 0 0.0 2 6.7 0 0.0 3 2.3 4 2.6 0 0.0 5 0.6 0 0.0 2 0.9 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.6 27. 情報セキュリティ教育の目的 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 565 100.0 10 100.0 317 100.0 60 100.0 86 100.0 39 100.0 33 100.0 16 100.0 232 100.0 187 100.0 378 100.0 シ情 ー報 のセ 普キ 及ュ リ テ ィ ポ リ 365 64.6 2 50.0 87 64.0 14 51.9 24 68.6 12 80.0 10 58.8 3 42.9 69 77.5 37 41.6 106 73.1 の社 防 ・ 止団 体 内 の 不 正 行 為 す情 る報 意セ 識キ のュ 向 リ 上テ ィ に 対 331 58.6 2 50.0 84 61.8 16 59.3 22 62.9 10 66.7 7 41.2 4 57.1 56 62.9 37 41.6 93 64.1 545 96.5 4 100.0 128 94.1 25 92.6 35 100.0 15 100.0 15 88.2 7 100.0 87 97.8 87 97.8 141 97.2 付録2-14 自 己 啓 発 115 20.4 2 50.0 18 13.2 5 18.5 5 14.3 2 13.3 1 5.9 2 28.6 19 21.3 25 28.1 36 24.8 そ の 他 4 0.7 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 1.1 1 1.1 2 1.4 28. 情報セキュリティ教育の対象者 員新 ・ 規 職採 員用 の 正 社 合 計 565 100.0 14 100.0 522 100.0 93 100.0 153 100.0 89 100.0 56 100.0 30 100.0 384 100.0 306 100.0 473 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 464 82.1 4 100.0 107 78.7 23 85.2 28 80.0 14 93.3 14 82.4 6 85.7 80 89.9 55 61.8 132 91.0 る管 正理 社職 員に ・ つ 職い 員て い のシ 正ス 社テ 員ム ・ 管 職理 員部 門 340 60.2 4 100.0 86 63.2 15 55.6 24 68.6 14 93.3 10 58.8 5 71.4 59 66.3 37 41.6 85 58.6 対情 策報 のセ 責キ 任ュ 者 リ テ ィ 313 55.4 2 50.0 84 61.8 12 44.4 25 71.4 12 80.0 8 47.1 3 42.9 58 65.2 35 39.3 74 51.0 265 46.9 0 0.0 64 47.1 12 44.4 20 57.1 14 93.3 7 41.2 4 57.1 47 52.8 32 36.0 65 44.8 職そ 員の (他 上の 記正 以社 外員 ) ・ 346 61.2 4 100.0 83 61.0 14 51.9 25 71.4 14 93.3 8 47.1 4 57.1 62 69.7 48 53.9 84 57.9 派 遣 社 員 職関 員連 会 社 の 社 員 ・ 191 33.8 0 0.0 56 41.2 9 33.3 20 57.1 11 73.3 6 35.3 4 57.1 46 51.7 28 31.5 11 7.6 員取 引 先 の 社 員 ・ 職 77 13.6 0 0.0 33 24.3 5 18.5 6 17.1 8 53.3 3 17.6 2 28.6 17 19.1 0 0.0 3 2.1 学 生 ・ 生 徒 18 3.2 0 0.0 4 2.9 2 7.4 1 2.9 1 6.7 0 0.0 1 14.3 6 6.7 1 1.1 1 0.7 そ の 他 74 13.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 14.3 3 3.4 68 76.4 2 1.4 35 6.2 0 0.0 5 3.7 1 3.7 4 11.4 1 6.7 0 0.0 0 0.0 6 6.7 2 2.2 16 11.0 29. 情報セキュリティ教育の実施内容 合 計 シ情 ー報 セ キ ュ リ テ ィ ポ リ 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 565 100.0 22 100.0 818 100.0 134 100.0 195 100.0 111 100.0 84 100.0 35 100.0 512 100.0 402 100.0 786 100.0 413 73.1 2 50.0 108 79.4 22 81.5 25 71.4 14 93.3 12 70.6 4 57.1 72 80.9 43 48.3 110 75.9 る情 ネ報 チシ ケス ッテ ト ム 利 用 に 係 297 52.6 2 50.0 74 54.4 12 44.4 15 42.9 9 60.0 9 52.9 5 71.4 32 36.0 64 71.9 75 51.7 個 人 情 報 の 保 護 ・ 管 理 460 81.4 2 50.0 104 76.5 20 74.1 34 97.1 14 93.3 11 64.7 7 100.0 75 84.3 67 75.3 125 86.2 機 密 情 報 の 保 護 ・ 管 理 387 68.5 2 50.0 113 83.1 21 77.8 25 71.4 11 73.3 11 64.7 5 71.4 61 68.5 36 40.4 102 70.3 ウ イ ル ス ・ ワ ー ム 対 策 382 67.6 2 50.0 103 75.7 15 55.6 16 45.7 13 86.7 12 70.6 3 42.9 62 69.7 61 68.5 95 65.5 ど(情 )パ報 スへ ワの ーア ド ク 管セ 理ス な管 理 394 69.7 2 50.0 102 75.0 14 51.9 29 82.9 13 86.7 12 70.6 3 42.9 65 73.0 53 59.6 100 69.0 付録2-15 接社 続外 ネ ッ ト ワ ー ク へ の 177 31.3 4 100.0 62 45.6 10 37.0 10 28.6 10 66.7 4 23.5 2 28.6 33 37.1 12 13.5 30 20.7 文 書 の 管 理 193 34.2 2 50.0 57 41.9 9 33.3 17 48.6 6 40.0 3 17.6 4 57.1 35 39.3 20 22.5 40 27.6 緊 急 時 の 対 応 173 30.6 4 100.0 51 37.5 7 25.9 7 20.0 7 46.7 3 17.6 2 28.6 36 40.4 13 14.6 43 29.7 リ ソ ンー グシ 対ャ 策ル エ ン ジ ニ ア 64 11.3 0 0.0 12 8.8 2 7.4 6 17.1 3 20.0 1 5.9 0 0.0 10 11.2 8 9.0 22 15.2 性対技 、策術 堅( 的 牢シな 化ス セ 設テキ 定 ムュ な脆 リ ど弱テ ) ィ 81 14.3 0 0.0 19 14.0 1 3.7 5 14.3 5 33.3 1 5.9 0 0.0 16 18.0 14 15.7 20 13.8 サ イ バ ー 犯 罪 の 防 止 76 13.5 0 0.0 13 9.6 1 3.7 6 17.1 6 40.0 4 23.5 0 0.0 12 13.5 11 12.4 23 15.9 そ の 他 5 0.9 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 5.9 0 0.0 3 3.4 0 0.0 1 0.7 30. 情報セキュリティ教育の実施頻度 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 565 100.0 4 100.0 136 100.0 27 100.0 35 100.0 15 100.0 17 100.0 7 100.0 89 100.0 89 100.0 145 100.0 月 に 1 回 以 上 年 に 数 回 25 4.4 0 0.0 13 9.6 1 3.7 1 2.9 0 0.0 0 0.0 0 0.0 4 4.5 3 3.4 3 2.1 年 に 1 回 135 23.9 0 0.0 17 12.5 3 11.1 16 45.7 4 26.7 3 17.6 2 28.6 26 29.2 17 19.1 47 32.4 2 、 3 年 に 1 回 施採 用 、 異 動 時 な ど に 実 そ の 他 無 回 答 262 46.4 2 50.0 66 48.5 12 44.4 10 28.6 11 73.3 8 47.1 4 57.1 36 40.4 45 50.6 67 46.2 24 4.2 0 0.0 6 4.4 2 7.4 0 0.0 0 0.0 1 5.9 1 14.3 4 4.5 3 3.4 7 4.8 83 14.7 2 50.0 29 21.3 9 33.3 5 14.3 0 0.0 3 17.6 0 0.0 12 13.5 8 9.0 15 10.3 21 3.7 0 0.0 2 1.5 0 0.0 3 8.6 0 0.0 1 5.9 0 0.0 5 5.6 5 5.6 5 3.4 15 2.7 0 0.0 3 2.2 0 0.0 0 0.0 0 0.0 1 5.9 0 0.0 2 2.2 8 9.0 1 0.7 し記U を録 S 制媒 B 限体 メ し のモ て持 リ いち等 る出の て業個 い務人 る利所 用有 をの 制P 限C しの を記 U 制録 S 限媒 B し体メ てのモ い持 リ る込等 みの そ の 他 特 に 制 限 は な い 31. 事務所へのPC等の持込、持出制限 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 12 100.0 626 100.0 123 100.0 181 100.0 78 100.0 89 100.0 37 100.0 388 100.0 251 100.0 665 100.0 いち P る出 C しの を持 制込 限み し ・ て持 572 69.2 4 100.0 149 69.0 28 56.0 40 88.9 17 89.5 24 80.0 9 90.0 91 69.5 52 34.2 157 94.0 し 専持 て用込 い のみ る P ・ C持 をち 用出 意し 321 38.8 2 50.0 78 36.1 17 34.0 23 51.1 15 78.9 10 33.3 7 70.0 47 35.9 24 15.8 98 58.7 429 51.9 0 0.0 110 50.9 22 44.0 38 84.4 17 89.5 16 53.3 9 90.0 66 50.4 25 16.4 126 75.4 付録2-16 557 67.4 2 50.0 158 73.1 35 70.0 38 84.4 16 84.2 22 73.3 6 60.0 83 63.4 44 28.9 153 91.6 389 47.0 2 50.0 98 45.4 13 26.0 38 84.4 13 68.4 13 43.3 6 60.0 70 53.4 18 11.8 118 70.7 55 6.7 2 50.0 8 3.7 0 0.0 3 6.7 0 0.0 0 0.0 0 0.0 15 11.5 15 9.9 12 7.2 128 15.5 0 0.0 25 11.6 8 16.0 1 2.2 0 0.0 4 13.3 0 0.0 16 12.2 73 48.0 1 0.6 32. 重要な施設へのPC等の持込、持出制限 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス て持 P いち C る出の し持 をち 制込 限み し ・ 827 100.0 8 100.0 561 100.0 106 100.0 168 100.0 79 100.0 93 100.0 38 100.0 359 100.0 244 100.0 580 100.0 意し持 し専ち て用込 い のみ る P ・ C持 をち 用出 527 63.7 4 100.0 125 57.9 24 48.0 39 86.7 17 89.5 24 80.0 9 90.0 81 61.8 57 37.5 146 87.4 し記U を録 S 制媒 B 限体 メ し のモ て持 リ いち等 る出の 240 29.0 0 0.0 62 28.7 16 32.0 21 46.7 12 63.2 10 33.3 6 60.0 41 31.3 9 5.9 63 37.7 て業個 い務人 る利所 用有 をの 制P 限C しの 400 48.4 2 50.0 97 44.9 15 30.0 35 77.8 17 89.5 16 53.3 9 90.0 64 48.9 33 21.7 112 67.1 472 57.1 0 0.0 123 56.9 26 52.0 33 73.3 16 84.2 22 73.3 6 60.0 71 54.2 42 27.6 132 79.0 み記 U を録 S 制媒 B 限体 メ し のモ て持 リ いち等 る込の そ の 他 379 45.8 2 50.0 89 41.2 11 22.0 35 77.8 17 89.5 14 46.7 8 80.0 65 49.6 26 17.1 112 67.1 特 に 制 限 は な い 48 5.8 0 0.0 14 6.5 2 4.0 3 6.7 0 0.0 3 10.0 0 0.0 10 7.6 10 6.6 6 3.6 172 20.8 0 0.0 51 23.6 12 24.0 2 4.4 0 0.0 4 13.3 0 0.0 27 20.6 67 44.1 9 5.4 33. 重要施設における入退室管理方法 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 483 100.0 83 100.0 173 100.0 75 100.0 59 100.0 22 100.0 314 100.0 275 100.0 486 100.0 規登 制録 者 以 外 の 入 室 428 51.8 2 50.0 104 48.1 25 50.0 29 64.4 12 63.2 12 40.0 8 80.0 73 55.7 66 43.4 96 57.5 記 帳 348 42.1 0 0.0 76 35.2 11 22.0 26 57.8 11 57.9 11 36.7 4 40.0 53 40.5 37 24.3 119 71.3 暗 証 番 号 159 19.2 0 0.0 39 18.1 4 8.0 15 33.3 5 26.3 4 13.3 2 20.0 23 17.6 15 9.9 51 30.5 磁 気 カ ー ド 113 13.7 0 0.0 23 10.6 6 12.0 8 17.8 2 10.5 5 16.7 0 0.0 18 13.7 17 11.2 33 19.8 I C カ ー ド 287 34.7 0 0.0 75 34.7 12 24.0 26 57.8 14 73.7 9 30.0 2 20.0 52 39.7 38 25.0 58 34.7 付録2-17 監 視 カ メ ラ 229 27.7 0 0.0 56 25.9 4 8.0 30 66.7 13 68.4 4 13.3 3 30.0 34 26.0 25 16.4 60 35.9 警 備 員 78 9.4 0 0.0 20 9.3 1 2.0 21 46.7 9 47.4 3 10.0 2 20.0 7 5.3 7 4.6 8 4.8 証( バ )指 イ 紋オ 等メ で ト の リ 認ク ス 137 16.6 0 0.0 26 12.0 1 2.0 12 26.7 8 42.1 3 10.0 0 0.0 21 16.0 10 6.6 56 33.5 し重 な要 いな 施 設 は 存 在 35 4.2 0 0.0 11 5.1 7 14.0 4 8.9 0 0.0 1 3.3 0 0.0 8 6.1 4 2.6 0 0.0 そ の 他 64 7.7 0 0.0 14 6.5 5 10.0 2 4.4 1 5.3 2 6.7 0 0.0 11 8.4 24 15.8 5 3.0 な特 いに 何 も 行 っ て い 100 12.1 2 50.0 39 18.1 7 14.0 0 0.0 0 0.0 5 16.7 1 10.0 14 10.7 32 21.1 0 0.0 34. 暗号化技術の用途 暗 号 メ ー ル 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 6 100.0 368 100.0 66 100.0 99 100.0 45 100.0 46 100.0 19 100.0 221 100.0 257 100.0 277 100.0 化( 記 )フ憶 ァ媒 イ体 ル上 のの 暗情 号報 149 18.0 2 50.0 48 22.2 6 12.0 10 22.2 7 36.8 4 13.3 3 30.0 26 19.8 27 17.8 16 9.6 明認 書証 )情 報 ( 電 子 証 359 43.4 0 0.0 92 42.6 15 30.0 33 73.3 14 73.7 8 26.7 6 60.0 60 45.8 50 32.9 81 48.5 273 33.0 0 0.0 82 38.0 10 20.0 19 42.2 7 36.8 7 23.3 3 30.0 37 28.2 48 31.6 60 35.9 信 S な個 ) L 情人 等報情 の の報 暗通等 号信 の 化( 重 通S要 そ の 他 437 52.8 4 100.0 89 41.2 16 32.0 29 64.4 13 68.4 15 50.0 7 70.0 59 45.0 114 75.0 90 53.9 利 用 し て い な い 23 2.8 0 0.0 6 2.8 2 4.0 2 4.4 1 5.3 0 0.0 0 0.0 6 4.6 1 0.7 5 3.0 164 19.8 0 0.0 51 23.6 17 34.0 6 13.3 3 15.8 12 40.0 0 0.0 33 25.2 17 11.2 25 15.0 35. 重要なシステムの不正アクセス対策状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 16 100.0 750 100.0 132 100.0 254 100.0 94 100.0 101 100.0 52 100.0 526 100.0 636 100.0 808 100.0 い外 な部 いの ネ ッ ト ワ ー ク に 接 続 し て 359 43.4 0 0.0 92 42.6 15 30.0 33 73.3 14 73.7 8 26.7 6 60.0 60 45.8 50 32.9 81 48.5 ネ ネ重 ッッ要 ト ト な ワ ワ基 ーー幹 ク ク業 をと務 構分 シ 築離 ス し しテ てたム い専は る用他 の 331 40.0 4 100.0 34 15.7 4 8.0 21 46.7 7 36.8 7 23.3 5 50.0 49 37.4 86 56.6 114 68.3 入 ワ ア基 しー ウ幹 て クォ業 い アー 務 る ク ルシ セ ・ ス ス ルテ 制ー ム 御 タ専 機( 用 能ネの )ッ フ を トァ 導 イ 375 45.3 4 100.0 70 32.4 15 30.0 28 62.2 9 47.4 9 30.0 8 80.0 59 45.0 85 55.9 88 52.7 る ク シ のス 冗テ 長ム 化の を冗 含長 む化 )( をネ 行ッ っ ト て ワ いー 376 45.5 0 0.0 78 36.1 12 24.0 35 77.8 13 68.4 16 53.3 6 60.0 59 45.0 58 38.2 99 59.3 いデ るー タ の バ ッ ク ア ッ プ を 行 っ て 741 89.6 4 100.0 189 87.5 42 84.0 41 91.1 18 94.7 28 93.3 10 100.0 116 88.5 135 88.8 158 94.6 付録2-18 す緊 る急 仕時 組に みは をシ 導ス 入テ しム て を い自 る動 停 止 66 8.0 0 0.0 19 8.8 2 4.0 2 4.4 3 15.8 0 0.0 1 10.0 9 6.9 19 12.5 11 6.6 る 作 の指 機にア定 能対 カ回 を し ウ数 導てン以 入自 ト 上 し 動失 の て的効 ロ いになグ る制ど イ 限、 ン を不失 か正敗 け操時 263 31.8 0 0.0 74 34.3 8 16.0 34 75.6 12 63.2 6 20.0 3 30.0 48 36.6 31 20.4 46 27.5 る個 人 P C の 接 続 制 限 を 行 っ て い 485 58.6 2 50.0 120 55.6 21 42.0 34 75.6 14 73.7 17 56.7 6 60.0 71 54.2 92 60.5 108 64.7 い無 る線 L A N の 使 用 制 限 を 行 っ て 343 41.5 2 50.0 64 29.6 10 20.0 24 53.3 4 21.1 7 23.3 7 70.0 51 38.9 72 47.4 102 61.1 そ の 他 14 1.7 0 0.0 4 1.9 1 2.0 1 2.2 0 0.0 3 10.0 0 0.0 1 0.8 3 2.0 1 0.6 い上 記 の よ う な 対 策 は 行 っ て い な 17 2.1 0 0.0 6 2.8 2 4.0 1 2.2 0 0.0 0 0.0 0 0.0 3 2.3 5 3.3 0 0.0 36. セキュリティパッチの適用状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス チ を に頻 を確 セ繁 適認 キ( 用 しュ 1 し、 リ ヵ て常テ月 い にィ に る最関 1 新連回 の サ以 パ イ上 ッ ト) パ連回定 ッ サ程期 チ イ 度的 を ト )( 適 を に四 用確 セ半 し認キ期 て しュ~ い、 リ 半 る必テ年 要ィ に な関 1 230 27.8 2 50.0 74 34.3 12 24.0 8 17.8 7 36.8 9 30.0 5 50.0 33 25.2 38 25.0 41 24.6 185 22.4 2 50.0 35 16.2 9 18.0 10 22.2 5 26.3 4 13.3 1 10.0 28 21.4 47 30.9 44 26.3 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 量 が定 で、 期 適 サ的 用ー に しバ確 て の認 い管は る理 し 者て 等い のな 裁い パ ッ チ を 適 用 し て い な い 262 31.7 0 0.0 70 32.4 17 34.0 11 24.4 3 15.8 8 26.7 2 20.0 34 26.0 51 33.6 66 39.5 は問 適題 用が し発 な生 いす る ま で パ ッ チ 34 4.1 0 0.0 10 4.6 6 12.0 3 6.7 1 5.3 2 6.7 0 0.0 8 6.1 2 1.3 2 1.2 分 か ら な い 51 6.2 0 0.0 14 6.5 2 4.0 10 22.2 0 0.0 4 13.3 0 0.0 15 11.5 4 2.6 2 1.2 そ の 他 20 2.4 0 0.0 7 3.2 2 4.0 1 2.2 0 0.0 1 3.3 1 10.0 4 3.1 4 2.6 0 0.0 無 回 答 39 4.7 0 0.0 3 1.4 2 4.0 2 4.4 2 10.5 2 6.7 1 10.0 9 6.9 6 3.9 12 7.2 6 0.7 0 0.0 3 1.4 0 0.0 0 0.0 1 5.3 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 37. 内部からの不正アクセス等への対策の実施状況 合 計 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 28 100.0 1292 100.0 250 100.0 385 100.0 178 100.0 170 100.0 53 100.0 809 100.0 813 100.0 1295 100.0 627 75.8 2 50.0 155 71.8 36 72.0 41 91.1 19 100.0 17 56.7 4 40.0 102 77.9 104 68.4 146 87.4 変定 更期 的 な パ ス ワ ー ド の 420 50.8 2 50.0 101 46.8 20 40.0 33 73.3 13 68.4 14 46.7 4 40.0 72 55.0 48 31.6 113 67.7 ウ許 ェ可 アし のて 制い 限な い ソ フ ト 467 56.5 4 100.0 105 48.6 15 30.0 35 77.8 17 89.5 15 50.0 7 70.0 76 58.0 53 34.9 140 83.8 期ユ 的ー なザ チア ェカ ッ ウ クン ト の 定 300 36.3 0 0.0 99 45.8 16 32.0 31 68.9 14 73.7 14 46.7 2 20.0 50 38.2 33 21.7 40 24.0 ロア グク のセ 分ス 析ロ グ の 取 得 、 472 57.1 2 50.0 104 48.1 20 40.0 33 73.3 18 94.7 14 46.7 5 50.0 79 60.3 82 53.9 115 68.9 テ個 ム人 導認 入証 の た め の シ ス 233 28.2 0 0.0 49 22.7 9 18.0 21 46.7 11 57.9 7 23.3 1 10.0 24 18.3 53 34.9 58 34.7 付録2-19 定 期 的 な バ ッ ク ア ッ プ 644 77.9 4 100.0 165 76.4 32 64.0 36 80.0 18 94.7 23 76.7 8 80.0 99 75.6 114 75.0 145 86.8 出印 、刷 廃物 棄、 を電 管子 理媒 体 の 持 208 25.2 4 100.0 44 20.4 8 16.0 30 66.7 6 31.6 7 23.3 3 30.0 38 29.0 19 12.5 49 29.3 なパ デソ ー コ タン 消廃 去棄 時 の 適 正 665 80.4 4 100.0 162 75.0 40 80.0 39 86.7 19 100.0 27 90.0 8 80.0 94 71.8 112 73.7 160 95.8 の共 禁有 止 I D ・ パ ス ワ ー ド 315 38.1 2 50.0 94 43.5 19 38.0 23 51.1 6 31.6 8 26.7 3 30.0 48 36.6 56 36.8 56 33.5 D侵 フ S入 ァ イ ア ウ ォ )検 の知 導 シ 入 ス テ ム 内 部 ネ ッ ト ワ ー ー 全体 権情 の報 設資 定産 へ の ア ク セ ス ル ク (、 の I 233 28.2 0 0.0 49 22.7 9 18.0 8 17.8 9 47.4 3 10.0 4 40.0 32 24.4 61 40.1 58 34.7 用グ メ 制( ー 限添 ル 等付 の )フフ ァィ イル ルタ のリ 利ン 257 31.1 2 50.0 54 25.0 10 20.0 22 48.9 11 57.9 8 26.7 2 20.0 31 23.7 32 21.1 85 50.9 ア外 ク部 セW ス e 制 b 限サ イ ト へ の 402 48.6 2 50.0 102 47.2 13 26.0 30 66.7 17 89.5 13 43.3 2 20.0 58 44.3 36 23.7 129 77.2 そ の 他 特 に 何 も 行 っ て い な い 11 1.3 0 0.0 1 0.5 0 0.0 2 4.4 0 0.0 0 0.0 0 0.0 3 2.3 4 2.6 1 0.6 21 2.5 0 0.0 8 3.7 3 6.0 1 2.2 0 0.0 0 0.0 0 0.0 3 2.3 6 3.9 0 0.0 38. ログの取得状況 シ業 ョ務 ンア のプ ロ リ グケ ー 合 計 827 100.0 6 100.0 496 100.0 102 100.0 115 100.0 61 100.0 51 100.0 26 100.0 294 100.0 387 100.0 464 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 525 63.5 2 50.0 130 60.2 24 48.0 37 82.2 14 73.7 14 46.7 8 80.0 87 66.4 80 52.6 128 76.6 ア ク セ ス ロ グ のフ ロァ グ イ ア ウ ォ ー ル 680 82.2 4 100.0 163 75.5 33 66.0 41 91.1 19 100.0 20 66.7 8 80.0 102 77.9 135 88.8 154 92.2 (侵 I 入 D検 S 知 )シ のス ロテ グム 518 62.6 0 0.0 127 58.8 23 46.0 22 48.9 17 89.5 10 33.3 5 50.0 64 48.9 119 78.3 130 77.8 そ の 他 210 25.4 0 0.0 52 24.1 10 20.0 11 24.4 9 47.4 2 6.7 5 50.0 29 22.1 45 29.6 47 28.1 取 得 し て い な い 19 2.3 0 0.0 3 1.4 2 4.0 2 4.4 2 10.5 1 3.3 0 0.0 2 1.5 3 2.0 4 2.4 53 6.4 0 0.0 21 9.7 10 20.0 2 4.4 0 0.0 4 13.3 0 0.0 10 7.6 5 3.3 1 0.6 39. ログの保管期間 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 771 100.0 4 100.0 193 100.0 41 100.0 43 100.0 19 100.0 26 100.0 10 100.0 122 100.0 147 100.0 165 100.0 1 週 間 以 下 23 3.0 0 0.0 8 4.1 4 9.8 0 0.0 0 0.0 1 3.8 1 10.0 5 4.1 3 2.0 1 0.6 1 ヶ 月 間 61 8.0 0 0.0 18 9.3 8 19.5 2 4.7 0 0.0 0 0.0 2 20.0 5 4.1 18 12.2 8 4.8 3 ヶ 月 間 58 7.8 0 0.0 19 9.8 1 2.4 2 4.7 0 0.0 1 3.8 2 20.0 5 4.1 19 12.9 9 5.5 付録2-20 6 ヶ 月 間 44 5.8 0 0.0 11 5.7 5 12.2 3 7.0 1 5.3 4 15.4 0 0.0 9 7.4 7 4.8 4 2.4 1 年 間 92 12.1 4 100.0 22 11.4 3 7.3 6 14.0 4 21.1 5 19.2 2 20.0 15 12.3 16 10.9 15 9.1 て特 いに な期 い間 は 決 ま っ 382 50.3 0 0.0 87 45.1 16 39.0 15 34.9 8 42.1 13 50.0 2 20.0 66 54.1 69 46.9 105 63.6 そ の 他 91 12.2 0 0.0 20 10.4 3 7.3 15 34.9 5 26.3 1 3.8 1 10.0 13 10.7 14 9.5 19 11.5 無 回 答 19 0.8 0 0.0 7 3.6 1 2.4 0 0.0 1 5.3 1 3.8 0 0.0 4 3.3 1 0.7 4 2.4 40. 情報セキュリティ対策としてのログの解析頻度 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 合 計 問 題 発 生 時 毎 日 771 100.0 4 100.0 193 100.0 41 100.0 43 100.0 19 100.0 26 100.0 10 100.0 122 100.0 147 100.0 165 100.0 417 54.1 4 100.0 99 51.3 27 65.9 13 30.2 9 47.4 9 34.6 5 50.0 52 42.6 91 61.9 108 65.5 毎 週 毎 月 3 ヶ 月 毎 32 4.2 0 0.0 8 4.1 0 0.0 4 9.3 0 0.0 0 0.0 0 0.0 9 7.4 7 4.8 4 2.4 24 3.1 0 0.0 7 3.6 1 2.4 2 4.7 1 5.3 1 3.8 0 0.0 7 5.7 2 1.4 3 1.8 92 11.9 0 0.0 23 11.9 3 7.3 13 30.2 7 36.8 5 19.2 2 20.0 14 11.5 6 4.1 19 11.5 使 ト ス 用( パ ク イ ラ ウ イェ アア ン対 ト 策 ) ソ のフ ト ス (パ サイ ー ウ バェ )ア の対 使策 用ソ フ 自期パ ら的タ が にー 更更 ン 新新 フ ) すァ る イ (ル 社を 員定 そ の 他 34 4.4 0 0.0 9 4.7 4 9.8 1 2.3 0 0.0 2 7.7 2 20.0 8 6.6 7 4.8 1 0.6 実 施 し て い な い 45 5.8 0 0.0 9 4.7 1 2.4 6 14.0 1 5.3 1 3.8 0 0.0 6 4.9 8 5.4 13 7.9 無 回 答 85 11.0 0 0.0 26 13.5 4 9.8 4 9.3 0 0.0 6 23.1 0 0.0 16 13.1 15 10.2 13 7.9 42 5.4 0 0.0 12 6.2 1 2.4 0 0.0 1 5.3 2 7.7 1 10.0 10 8.2 11 7.5 4 2.4 41. 不正プログラムへの対策 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 26 100.0 1693 100.0 332 100.0 466 100.0 185 100.0 234 100.0 89 100.0 1152 100.0 1106 100.0 1629 100.0 用( ウ ク イ ラル イス ア対 ン策 ト ソ )フ の ト 使 800 96.7 4 100.0 208 96.3 45 90.0 45 100.0 19 100.0 28 93.3 9 90.0 127 96.9 149 98.0 165 98.8 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 6 100.0 279 100.0 47 100.0 119 100.0 42 100.0 43 100.0 18 100.0 207 100.0 120 100.0 321 100.0 ( ウ サイ ール バス )対 の策 使ソ 用フ ト 749 90.6 0 0.0 194 89.8 47 94.0 39 86.7 18 94.7 28 93.3 10 100.0 114 87.0 135 88.8 163 97.6 524 63.4 2 50.0 151 69.9 25 50.0 26 57.8 14 73.7 15 50.0 5 50.0 89 67.9 96 63.2 101 60.5 ル ト 許 制 ウ可 限ェ さ アれ のて イい ンな ス い ト ソ ーフ ロ . ーフ ドァ 制イ 限ル 等 の ダ ウ ン 464 56.1 2 50.0 107 49.5 17 34.0 37 82.2 15 78.9 18 60.0 6 60.0 80 61.1 41 27.0 141 84.4 171 20.7 0 0.0 37 17.1 4 8.0 21 46.7 9 47.4 5 16.7 1 10.0 27 20.6 10 6.6 57 34.1 495 59.9 0 0.0 134 62.0 28 56.0 25 55.6 11 57.9 15 50.0 5 50.0 81 61.8 92 60.5 104 62.3 等プ 駆ロ 除バ サイ ーダ ビの ス ウ のイ 利ル 用ス 125 15.1 0 0.0 45 20.8 11 22.0 9 20.0 5 26.3 7 23.3 2 20.0 22 16.8 15 9.9 9 5.4 更期パ 新的 タ シ にー ス更ン テ新フ ム すァ をる イ 利( ル 用自 を )動定 200 24.2 0 0.0 31 14.4 8 16.0 15 33.3 1 5.3 7 23.3 2 20.0 53 40.5 36 23.7 47 28.1 者期パ が的 タ 手 にー 動更 ン で新 フ 更 すァ 新る イ )( ル 管を 理定 664 80.3 4 100.0 178 82.4 35 70.0 35 77.8 17 89.5 26 86.7 7 70.0 93 71.0 127 83.6 141 84.4 のメ 削ー 除ル まの た添 は付 実フ 行ァ 制イ 限ル 128 15.5 0 0.0 31 14.4 3 6.0 15 33.3 3 15.8 4 13.3 2 20.0 13 9.9 21 13.8 36 21.6 付録2-21 員バパ 自ー ッ ら ジチ がョ に 更ン よ 新ア る )ッ O プS (等 社の 116 14.0 0 0.0 12 5.6 3 6.0 5 11.1 1 5.3 2 6.7 2 20.0 24 18.3 22 14.5 45 26.9 止U S B メ モ リ の 使 用 禁 196 23.7 2 50.0 36 16.7 7 14.0 29 64.4 4 21.1 8 26.7 3 30.0 49 37.4 7 4.6 51 30.5 187 22.6 0 0.0 46 21.3 12 24.0 3 6.7 1 5.3 6 20.0 1 10.0 35 26.7 56 36.8 27 16.2 検 疫 シ ス テ ム の 導 入 96 11.6 2 50.0 17 7.9 5 10.0 8 17.8 6 31.6 1 3.3 4 40.0 11 8.4 22 14.5 20 12.0 用動バパ ) 更ー ッ 新ジチ ショ に ス ン よ テア る ムッ O をプS 利( 等 自の 340 41.1 4 100.0 97 44.9 18 36.0 11 24.4 7 36.8 10 33.3 7 70.0 46 35.1 69 45.4 70 41.9 そ の 他 理バパ 者ー ッ がジチ 手ョ に 動ン よ でア る 更ッ O 新プS )(等 管の 437 52.8 0 0.0 84 38.9 17 34.0 24 53.3 12 63.2 11 36.7 5 50.0 76 58.0 84 55.3 124 74.3 実 施 し て い な い 21 2.5 0 0.0 5 2.3 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 5 3.8 4 2.6 7 4.2 1 0.1 0 0.0 1 0.5 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 42. 現在利用しているスパムメール対策 不 正 中 継 防 止 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 10 100.0 605 100.0 111 100.0 153 100.0 74 100.0 94 100.0 33 100.0 324 100.0 418 100.0 551 100.0 355 42.9 2 50.0 84 38.9 15 30.0 14 31.1 11 57.9 14 46.7 6 60.0 32 24.4 101 66.4 76 45.5 し件フ な をィ い満 ル )たタ す リ メ ン ーグ ル( の特 配定 信の を条 448 54.2 0 0.0 115 53.2 21 42.0 27 60.0 12 63.2 18 60.0 5 50.0 56 42.7 75 49.3 118 70.7 ウ イ ル ス チ ら特 の定 メ ド ー メ ルイ のン み ・ 送ア ・ ド 受レ 信ス か ェ ッ ク 670 81.0 4 100.0 176 81.5 39 78.0 40 88.9 17 89.5 23 76.7 9 90.0 101 77.1 116 76.3 144 86.2 送 ル特 ・ が定 受添 の 信付拡 をさ張 拒れ子 否て を い持 るつ 場フ 合ァ にイ 72 8.7 0 0.0 16 7.4 4 8.0 6 13.3 2 10.5 2 6.7 0 0.0 15 11.5 10 6.6 17 10.2 143 17.3 0 0.0 32 14.8 4 8.0 15 33.3 7 36.8 8 26.7 2 20.0 10 7.6 19 12.5 46 27.5 制利 限用 メ ー ル ソ フ ト の 指 定 ・ 239 28.9 2 50.0 58 26.9 6 12.0 16 35.6 11 57.9 11 36.7 6 60.0 26 19.8 18 11.8 85 50.9 定能 メ な 者ー ど のル )限利 定用 、の 利制 用限 端( 末利 の用 限可 161 19.5 0 0.0 38 17.6 3 6.0 19 42.2 5 26.3 5 16.7 3 30.0 28 21.4 25 16.4 35 21.0 メ プ ー ロ ルバ 対イ 策ダ サに ー よ ビ る ス ス のパ 利ム 用 そ の 他 216 26.1 2 50.0 76 35.2 14 28.0 14 31.1 7 36.8 12 40.0 2 20.0 36 27.5 36 23.7 17 10.2 い電 子 メ ー ル は 使 用 し て い な 39 4.7 0 0.0 7 3.2 1 2.0 1 2.2 2 10.5 0 0.0 0 0.0 8 6.1 13 8.6 7 4.2 特 に 何 も 実 施 し て い な い 11 1.3 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 7 5.3 0 0.0 4 2.4 21 2.5 0 0.0 3 1.4 4 8.0 1 2.2 0 0.0 1 3.3 0 0.0 5 3.8 5 3.3 2 1.2 43. メールの不正中継対策 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 347 100.0 2 100.0 156 100.0 20 100.0 28 100.0 18 100.0 19 100.0 14 100.0 57 100.0 205 100.0 142 100.0 リ修メ レ 正ー ー( ル のオサ 禁ー ー 止 プバ 等ンの ) メ設 ー定 ルの 242 69.7 0 0.0 55 67.9 4 26.7 6 42.9 6 54.5 6 46.2 5 83.3 15 50.0 88 88.0 57 75.0 ト メ ・ ー バル ーサ ジー ョバ ンの ア ソ ッフ プ るフ 遮ァ 断イ ア ウ ォ ー ル に よ 96 27.7 2 100.0 23 28.4 2 13.3 3 21.4 3 27.3 1 7.7 2 33.3 10 33.3 33 33.0 17 22.4 147 42.4 0 0.0 36 44.4 10 66.7 10 71.4 4 36.4 5 38.5 4 66.7 17 56.7 31 31.0 30 39.5 付録2-22 ソ メ フー ト ル のサ 導ー 入バ へ の 対 策 97 28.0 0 0.0 29 35.8 2 13.3 7 50.0 3 27.3 4 30.8 2 33.3 6 20.0 16 16.0 28 36.8 送 信 者 認 証 53 15.3 0 0.0 8 9.9 1 6.7 0 0.0 0 0.0 2 15.4 1 16.7 5 16.7 29 29.0 7 9.2 そ の 他 19 5.5 0 0.0 2 2.5 1 6.7 2 14.3 2 18.2 0 0.0 0 0.0 2 6.7 7 7.0 3 3.9 実 施 し て い な い 無 回 答 7 2.0 0 0.0 3 3.7 0 0.0 0 0.0 0 0.0 1 7.7 0 0.0 2 6.7 1 1.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 44. セキュリティサービスの利用状況 合 計 セ キ ュ リ テ ィ 診 断 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 9 100.0 435 100.0 87 100.0 118 100.0 63 100.0 56 100.0 25 100.0 264 100.0 271 100.0 372 100.0 183 22.1 2 50.0 35 16.2 8 16.0 19 42.2 6 31.6 4 13.3 2 20.0 19 14.5 12 7.9 76 45.5 リ ス ク 分 析 41 5.0 0 0.0 11 5.1 3 6.0 2 4.4 1 5.3 1 3.3 1 10.0 2 1.5 4 2.6 16 9.6 ポ リ シ ー 策 定 60 7.3 0 0.0 21 9.7 2 4.0 6 13.3 2 10.5 1 3.3 0 0.0 9 6.9 8 5.3 11 6.6 セ キ ュ リ テ ィ 監 査 111 13.4 1 25.0 25 11.6 5 10.0 11 24.4 8 42.1 5 16.7 0 0.0 18 13.7 7 4.6 31 18.6 ロ グ 解 析 認 証 サ ー ビ ス 124 15.0 0 0.0 21 9.7 4 8.0 6 13.3 7 36.8 4 13.3 3 30.0 25 19.1 23 15.1 31 18.6 95 11.5 2 50.0 25 11.6 4 8.0 6 13.3 3 15.8 6 20.0 1 10.0 22 16.8 15 9.9 11 6.6 ン ソ ス フ ト ウ ェ ア メ ン テ ナ 145 17.5 0 0.0 33 15.3 4 8.0 8 17.8 4 21.1 5 16.7 3 30.0 28 21.4 33 21.7 27 16.2 ハ ウ ジ ン グ サ ー ビ ス 162 19.6 0 0.0 52 24.1 9 18.0 16 35.6 6 31.6 12 40.0 0 0.0 18 13.7 13 8.6 35 21.0 修社 の外 実で 施の 教 育 に よ る 研 55 6.7 0 0.0 10 4.6 0 0.0 4 8.9 3 15.8 1 3.3 1 10.0 3 2.3 8 5.3 25 15.0 セ キ ュ リ テ ィ 監 視 152 18.4 2 50.0 43 19.9 8 16.0 8 17.8 9 47.4 1 3.3 3 30.0 26 19.8 24 15.8 28 16.8 ウ イ ル ス 等 監 視 215 26.0 0 0.0 60 27.8 15 30.0 15 33.3 9 47.4 8 26.7 5 50.0 34 26.0 27 17.8 42 25.1 セ キ そ の 他 ュ ア シ ス テ ム 構 築 65 7.9 0 0.0 16 7.4 3 6.0 4 8.9 3 15.8 0 0.0 2 20.0 11 8.4 19 12.5 7 4.2 利 用 し て い な い 14 1.7 0 0.0 3 1.4 1 2.0 1 2.2 0 0.0 0 0.0 0 0.0 3 2.3 3 2.0 3 1.8 279 33.7 2 50.0 80 37.0 21 42.0 12 26.7 2 10.5 8 26.7 4 40.0 46 35.1 75 49.3 29 17.4 45. 継続して利用したいセキュリティサービス 合 計 セ キ ュ リ テ ィ 診 断 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 367 100.0 73 100.0 87 100.0 55 100.0 47 100.0 20 100.0 206 100.0 236 100.0 269 100.0 44 5.3 0 0.0 9 4.2 3 6.0 2 4.4 1 5.3 1 3.3 1 10.0 3 2.3 6 3.9 18 10.8 リ ス ク 分 析 50 6.0 0 0.0 18 8.3 1 2.0 4 8.9 2 10.5 1 3.3 0 0.0 9 6.9 7 4.6 8 4.8 ポ リ シ ー 策 定 91 11.0 0 0.0 23 10.6 4 8.0 8 17.8 7 36.8 5 16.7 0 0.0 14 10.7 5 3.3 25 15.0 セ キ ュ リ テ ィ 監 査 103 12.5 0 0.0 18 8.3 3 6.0 6 13.3 7 36.8 4 13.3 2 20.0 16 12.2 22 14.5 25 15.0 ロ グ 解 析 認 証 サ ー ビ ス 81 9.8 0 0.0 18 8.3 4 8.0 7 15.6 3 15.8 6 20.0 1 10.0 17 13.0 15 9.9 10 6.0 144 17.4 0 0.0 34 15.7 4 8.0 8 17.8 3 15.8 5 16.7 3 30.0 28 21.4 33 21.7 26 15.6 ン ソ ス フ ト ウ ェ ア メ ン テ ナ 169 20.4 0 0.0 52 24.1 10 20.0 16 35.6 6 31.6 12 40.0 0 0.0 23 17.6 16 10.5 33 19.8 ハ ウ ジ ン グ サ ー ビ ス 56 6.8 0 0.0 12 5.6 0 0.0 4 8.9 3 15.8 1 3.3 1 10.0 4 3.1 8 5.3 23 13.8 修社 の外 実で 施の 教 育 に よ る 研 147 17.8 2 50.0 42 19.4 8 16.0 6 13.3 9 47.4 1 3.3 3 30.0 18 13.7 21 13.8 37 22.2 セ キ ュ リ テ ィ 監 視 185 22.4 0 0.0 57 26.4 14 28.0 13 28.9 9 47.4 7 23.3 5 50.0 25 19.1 19 12.5 36 21.6 ウ イ ル ス 等 監 視 セ キ そ の 他 ュ ア シ ス テ ム 構 築 65 7.9 0 0.0 18 8.3 3 6.0 4 8.9 3 15.8 0 0.0 2 20.0 11 8.4 18 11.8 6 3.6 13 1.6 0 0.0 3 1.4 1 2.0 1 2.2 0 0.0 0 0.0 0 0.0 3 2.3 4 2.6 1 0.6 特 に な し 217 26.2 2 50.0 63 29.2 18 36.0 8 17.8 2 10.5 4 13.3 2 20.0 35 26.7 62 40.8 21 12.6 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 46. 新規に利用したいセキュリティサービス 合 計 セ キ ュ リ テ ィ 診 断 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 6 100.0 363 100.0 65 100.0 55 100.0 23 100.0 52 100.0 28 100.0 207 100.0 380 100.0 246 100.0 208 25.2 0 0.0 60 27.8 12 24.0 8 17.8 3 15.8 6 20.0 4 40.0 33 25.2 60 39.5 21 12.6 リ ス ク 分 析 132 16.0 1 25.0 33 15.3 5 10.0 3 6.7 1 5.3 3 10.0 1 10.0 14 10.7 43 28.3 28 16.8 ポ リ シ ー 策 定 79 9.6 0 0.0 15 6.9 2 4.0 0 0.0 1 5.3 4 13.3 1 10.0 14 10.7 33 21.7 9 5.4 セ キ ュ リ テ ィ 監 査 165 20.0 0 0.0 33 15.3 3 6.0 4 8.9 2 10.5 8 26.7 5 50.0 19 14.5 52 34.2 39 23.4 ロ グ 解 析 認 証 サ ー ビ ス 88 10.6 0 0.0 23 10.6 5 10.0 6 13.3 1 5.3 0 0.0 1 10.0 12 9.2 28 18.4 12 7.2 49 5.9 0 0.0 16 7.4 1 2.0 2 4.4 0 0.0 5 16.7 1 10.0 7 5.3 11 7.2 6 3.6 付録2-23 ン ソ ス フ ト ウ ェ ア メ ン テ ナ 20 2.4 0 0.0 4 1.9 0 0.0 0 0.0 0 0.0 0 0.0 2 20.0 4 3.1 6 3.9 4 2.4 ハ ウ ジ ン グ サ ー ビ ス 57 6.9 0 0.0 16 7.4 1 2.0 0 0.0 1 5.3 2 6.7 1 10.0 6 4.6 17 11.2 13 7.8 修社 の外 実で 施の 教 育 に よ る 研 88 10.6 0 0.0 17 7.9 4 8.0 4 8.9 3 15.8 2 6.7 3 30.0 13 9.9 23 15.1 19 11.4 セ キ ュ リ テ ィ 監 視 116 14.0 2 50.0 31 14.4 6 12.0 4 8.9 0 0.0 6 20.0 4 40.0 12 9.2 28 18.4 23 13.8 ウ イ ル ス 等 監 視 87 10.5 1 25.0 23 10.6 4 8.0 3 6.7 0 0.0 5 16.7 2 20.0 15 11.5 20 13.2 14 8.4 セ キ ュ ア シ ス テ ム 構 築 76 9.2 0 0.0 17 7.9 3 6.0 1 2.2 0 0.0 3 10.0 2 20.0 9 6.9 22 14.5 19 11.4 そ の 他 特 に な し 10 1.2 0 0.0 2 0.9 0 0.0 2 4.4 0 0.0 0 0.0 0 0.0 2 1.5 1 0.7 3 1.8 251 30.4 2 50.0 73 33.8 19 38.0 18 40.0 11 57.9 8 26.7 1 10.0 47 35.9 36 23.7 36 21.6 47. セキュリティサービスを利用していない理由 が性社 あや ・ り ノ団 、 ウ体 必ハ内 要ウに 性、 高 が技 い な術専 い力門 合 計 279 100.0 4 100.0 95 100.0 21 100.0 20 100.0 2 100.0 10 100.0 5 100.0 59 100.0 88 100.0 32 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 性 さ け社 がれ で ・ な て必団 い い要体 る な内 た人の め員担 、 が当 必確者 要保 だ 31 11.1 0 0.0 10 12.5 3 14.3 3 25.0 1 50.0 0 0.0 1 25.0 6 13.0 5 6.7 2 6.9 35 12.5 0 0.0 11 13.8 1 4.8 3 25.0 0 0.0 1 12.5 2 50.0 7 15.2 7 9.3 3 10.3 の社 蓄 ・ 積団 を体 行内 いに た ノ いウ ハ ウ 31 11.1 0 0.0 11 13.8 3 14.3 4 33.3 0 0.0 2 25.0 1 25.0 5 10.9 4 5.3 1 3.4 コ ス ト を 負 担 で き な い ス要 が求 提に 供合 さ致 れす て る いサ なー いビ 168 60.2 2 0.0 45 56.3 10 47.6 5 41.7 0 0.0 6 75.0 1 25.0 29 63.0 54 72.0 16 55.2 が機 る密 こ情 と報 がの 懸漏 念洩 さに れつ るな 31 11.1 2 0.0 9 11.3 1 4.8 1 8.3 0 0.0 0 0.0 0 0.0 7 15.2 9 12.0 2 6.9 そ の 他 19 6.8 0 0.0 4 5.0 1 4.8 2 16.7 1 50.0 0 0.0 0 0.0 3 6.5 6 8.0 2 6.9 21 7.5 0 0.0 5 6.3 2 9.5 2 16.7 0 0.0 1 12.5 0 0.0 2 4.3 3 4.0 6 20.7 48. 2012年度のセキュリティ投資計画 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 計( 今 画 + 期 で 5 と あ 0 比 る%較 以し 上て )、 に大 増幅 や す 13 1.6 0 0.0 5 2.3 0 0.0 1 2.2 0 0.0 2 6.7 0 0.0 2 1.5 1 0.7 2 1.2 計や今 画す期 で( と あ + 比 る 3 較 0 し ~て + 、 5 か 0 な % り )増 24 2.9 0 0.0 7 3.2 1 2.0 3 6.7 0 0.0 2 6.7 0 0.0 3 2.3 4 2.6 4 2.4 計や今 画す期 で( と あ + 比 る 1 較 0 し ~て + 、 3 小 0 幅 %に )増 95 11.5 0 0.0 34 15.7 8 16.0 6 13.3 0 0.0 3 10.0 4 40.0 13 9.9 13 8.6 13 7.8 る( 今 計‐ 期 画 1 と で 0 比 あ~ 較 る+ し 1 て 0 、 %ほ )ぼ と同 す額 663 80.2 4 100.0 158 73.1 41 82.0 35 77.8 18 94.7 21 70.0 6 60.0 106 80.9 131 86.2 143 85.6 付録2-24 計ら今 画す期 で( と あ‐ 比 る 1 較 0 し ~て ‐、 3 小 0 幅 %に )減 18 2.2 0 0.0 9 4.2 0 0.0 0 0.0 0 0.0 1 3.3 0 0.0 4 3.1 2 1.3 2 1.2 画ら今 です期 あ( と る‐ 比 3 較 0 し ~て ‐、 5 か 0 な ) り 計減 1 0.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.6 でら今 あす期 る( と ‐比 5 較 0 し %て 以、 上大 )幅 計に 画減 1 0.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.8 0 0.0 0 0.0 無 回 答 12 1.5 0 0.0 3 1.4 0 0.0 0 0.0 1 5.3 1 3.3 0 0.0 2 1.5 1 0.7 2 1.2 49. 情報セキュリティ対策実施上の問題点 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 10 100.0 630 100.0 126 100.0 132 100.0 41 100.0 81 100.0 24 100.0 352 100.0 479 100.0 476 100.0 コ ス ト が か か り す ぎ る 450 54.4 2 50.0 114 52.8 22 44.0 27 60.0 5 26.3 16 53.3 4 40.0 71 54.2 94 61.8 95 56.9 費 用 対 効 果 が 見 え な い 493 59.6 2 50.0 149 69.0 23 46.0 31 68.9 11 57.9 18 60.0 3 30.0 82 62.6 84 55.3 90 53.9 い教 育 訓 練 が 行 き 届 か な り従 す業 ぎ員 るへ の 負 担 が か か 314 38.0 0 0.0 69 31.9 17 34.0 13 28.9 9 47.4 8 26.7 4 40.0 51 38.9 67 44.1 75 44.9 204 24.7 0 0.0 46 21.3 10 20.0 13 28.9 2 10.5 6 20.0 3 30.0 33 25.2 48 31.6 43 25.7 付録2-25 ウ対 が策 不を 足構 し築 てす いる る ノ ウ ハ 220 26.6 0 0.0 59 27.3 11 22.0 11 24.4 3 15.8 7 23.3 2 20.0 23 17.6 51 33.6 53 31.7 いかど 基こ 準ま がで 示行 さえ れば て良 いい なの 400 48.4 2 50.0 115 53.2 26 52.0 27 60.0 4 21.1 16 53.3 3 30.0 54 41.2 73 48.0 79 47.3 な ト いッ プ の 理 解 が 得 ら れ 104 12.6 0 0.0 35 16.2 9 18.0 6 13.3 0 0.0 4 13.3 2 20.0 15 11.5 21 13.8 12 7.2 る情 習報 慣を が資 無産 いと し て 考 え 105 12.7 0 0.0 26 12.0 5 10.0 0 0.0 0 0.0 5 16.7 3 30.0 16 12.2 29 19.1 21 12.6 ス最 が適 無な いツ ー ル ・ サ ー ビ 46 5.6 2 50.0 14 6.5 3 6.0 3 6.7 2 10.5 1 3.3 0 0.0 6 4.6 8 5.3 7 4.2 そ の 他 17 2.1 2 50.0 3 1.4 0 0.0 1 2.2 5 26.3 0 0.0 0 0.0 1 0.8 4 2.6 1 0.6 50. 情報セキュリティ対策実施上の方針 (投資方針) 合 計 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 でほ あぼ る① の 考 え 方 と 同 様 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 34 4.1% 0 0% 17 7.9% 4 8.0% 0 0.0% 1 5.3% 2 6.7% 0 0.0% 2 1.5% 8 5.3% 0 0.0% 考ど えち 方ら にか 近と いい え ば ① の 284 34.3% 0 0% 85 39.4% 21 42.0% 13 28.9% 4 21.1% 14 46.7% 4 40.0% 44 33.6% 51 33.6% 48 28.7% 考ど えち 方ら にか 近と いい え ば ② の 404 48.9% 2 50% 92 42.6% 20 40.0% 25 55.6% 11 57.9% 13 43.3% 4 40.0% 70 53.4% 75 49.3% 92 55.1% でほ あぼ る② の 考 え 方 と 同 様 無 回 答 97 11.7% 2 50% 20 9.3% 5 10.0% 7 15.6% 3 15.8% 1 3.3% 2 20.0% 14 10.7% 18 11.8% 25 15.0% 5 0.6% 0 0% 2 0.9% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 1 0.8% 0 0.0% 2 1.2% (事後的対応と予防的対応) 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 同ほ 様ぼ で① あの る考 え 方 と 23 2.8% 0 0.0% 10 4.6% 1 2.0% 1 2.2% 0 0.0% 0 0.0% 0 0.0% 1 0.8% 7 4.6% 3 1.8% ①ど のち 考ら えか 方と にい 近え いば 170 20.6% 0 0.0% 45 20.8% 15 30.0% 4 8.9% 3 15.8% 6 20.0% 1 10.0% 30 22.9% 39 25.7% 27 16.2% 付録2-26 ②ど のち 考ら えか 方と にい 近え いば 505 61.1% 2 50.0% 124 57.4% 23 46.0% 30 66.7% 11 57.9% 22 73.3% 6 60.0% 90 68.7% 87 57.2% 110 65.9% 同ほ 様ぼ で② あの る考 え 方 と 120 14.5% 2 50.0% 35 16.2% 10 20.0% 10 22.2% 5 26.3% 2 6.7% 3 30.0% 9 6.9% 19 12.5% 25 15.0% 無 回 答 6 0.7% 0 0.0% 2 0.9% 1 2.0% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 1 0.8% 0 0.0% 2 1.2% (対応すべき範囲) 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 同ほ 様ぼ で① あの る考 え 方 と ①ど のち 考ら えか 方と にい 近え いば 54 6.5% 0 0.0% 16 7.4% 1 2.0% 3 6.7% 4 21.1% 0 0.0% 1 10.0% 5 3.8% 10 6.6% 14 8.4% 459 55.5% 4 100.0% 120 55.6% 32 64.0% 26 57.8% 7 36.8% 20 66.7% 5 50.0% 69 52.7% 75 49.3% 101 60.5% ②ど のち 考ら えか 方と にい 近え いば 262 31.7% 0 0.0% 65 30.1% 14 28.0% 14 31.1% 7 36.8% 8 26.7% 4 40.0% 47 35.9% 59 38.8% 44 26.3% 同ほ 様ぼ で② あの る考 え 方 と 39 4.7% 0 0.0% 13 6.0% 3 6.0% 2 4.4% 0 0.0% 1 3.3% 0 0.0% 8 6.1% 8 5.3% 4 2.4% 無 回 答 8 1.0% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 1 5.3% 1 3.3% 0 0.0% 2 1.5% 0 0.0% 4 2.4% (非技術的対応) 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 同ほ 様ぼ で① あの る考 え 方 と ①ど のち 考ら えか 方と にい 近え いば 88 10.6% 0 0.0% 24 11.1% 7 14.0% 3 6.7% 1 5.3% 5 16.7% 0 0.0% 9 6.9% 22 14.5% 17 10.2% 347 42.0% 0 0.0% 84 38.9% 17 34.0% 19 42.2% 7 36.8% 12 40.0% 5 50.0% 51 38.9% 79 52.0% 73 43.7% 付録2-27 ②ど のち 考ら えか 方と にい 近え いば 315 38.1% 4 100.0% 87 40.3% 21 42.0% 20 44.4% 10 52.6% 11 36.7% 4 40.0% 49 37.4% 41 27.0% 68 40.7% 同ほ 様ぼ で② あの る考 え 方 と 65 7.9% 0 0.0% 16 7.4% 5 10.0% 3 6.7% 1 5.3% 2 6.7% 1 10.0% 21 16.0% 9 5.9% 7 4.2% 無 回 答 9 1.1% 0 0.0% 5 2.3% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 1 0.8% 1 0.7% 2 1.2% (プラシバシーの考慮) 合 計 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 8 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 同ほ 様ぼ で① あの る考 え 方 と 47 5.7% 0 0.0% 11 5.1% 5 10.0% 1 2.2% 1 12.5% 3 10.0% 2 20.0% 8 6.1% 13 8.6% 3 1.8% ①ど のち 考ら えか 方と にい 近え いば 259 31.3% 2 50.0% 72 33.3% 15 30.0% 4 8.9% 0 0.0% 9 30.0% 1 10.0% 35 26.7% 70 46.1% 51 30.5% ②ど のち 考ら えか 方と にい 近え いば 382 46.2% 2 50.0% 95 44.0% 19 38.0% 33 73.3% 6 75.0% 16 53.3% 6 60.0% 69 52.7% 51 33.6% 85 50.9% 同ほ 様ぼ で② あの る考 え 方 と 無 回 答 119 14.4% 0 0.0% 36 16.7% 11 22.0% 7 15.6% 1 12.5% 2 6.7% 1 10.0% 18 13.7% 18 11.8% 25 15.0% 6 0.7% 0 0.0% 2 0.9% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 1 0.8% 0 0.0% 3 1.8% (利便性とのバランス) 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 同ほ 様ぼ で① あの る考 え 方 と ①ど のち 考ら えか 方と にい 近え いば 89 10.8% 0 0.0% 31 14.4% 8 16.0% 1 2.2% 2 10.5% 0 0.0% 0 0.0% 14 10.7% 21 13.8% 12 7.2% 424 51.3% 2 50.0% 122 56.5% 27 54.0% 20 44.4% 6 31.6% 23 76.7% 4 40.0% 71 54.2% 74 48.7% 75 44.9% 付録2-28 ②ど のち 考ら えか 方と にい 近え いば 265 32.0% 2 50.0% 55 25.5% 14 28.0% 18 40.0% 9 47.4% 6 20.0% 5 50.0% 37 28.2% 51 33.6% 68 40.7% 同ほ 様ぼ で② あの る考 え 方 と 40 4.8% 0 0.0% 6 2.8% 1 2.0% 6 13.3% 2 10.5% 1 3.3% 1 10.0% 8 6.1% 6 3.9% 9 5.4% 無 回 答 6 0.7% 0 0.0% 2 0.9% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 0 0.0% 1 0.8% 0 0.0% 3 1.8% 51. 不正アクセスにより想定される被害 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 373 100.0 84 100.0 121 100.0 47 100.0 48 100.0 22 100.0 265 100.0 291 100.0 484 100.0 脅顧 か客 さ等 れの る人 命 や 健 康 が 68 8.2 0 0.0 2 0.9 1 2.0 1 2.2 2 10.5 1 3.3 1 10.0 24 18.3 8 5.3 28 16.8 が顧 脅客 かや さ取 れ引 る先 等 の 財 産 な停れ経 ど止 る済 ) ・ (活 混金動 乱融全 や為般 資替 が 本取脅 逃引 か 避のさ 258 31.2 0 0.0 65 30.1 13 26.0 36 80.0 7 36.8 8 26.7 3 30.0 40 30.5 23 15.1 63 37.7 境さ国 汚れ民 染るの な( 生 ど 治活 )安環 悪境 化が や脅 環か 57 6.9 0 0.0 12 5.6 5 10.0 17 37.8 3 15.8 0 0.0 1 10.0 4 3.1 3 2.0 12 7.2 43 5.2 0 0.0 2 0.9 1 2.0 0 0.0 1 5.3 0 0.0 0 0.0 4 3.1 1 0.7 34 20.4 52. ファイル共有ソフトの利用に伴う被害 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 な被 い害 は 生 じ て い 805 97.3 4 100.0 208 96.3 48 96.0 43 95.6 18 94.7 29 96.7 10 100.0 128 97.7 150 98.7 166 99.4 被 害 が 生 じ た 無 回 答 12 1.5 0 0.0 3 1.4 1 2.0 2 4.4 1 5.3 0 0.0 0 0.0 2 1.5 2 1.3 1 0.6 10 1.2 0 0.0 5 2.3 1 2.0 0 0.0 0 0.0 1 3.3 0 0.0 1 0.8 0 0.0 0 0.0 付録2-29 れ ラ給エ る イ、 ネ フ交ル ラ通ギ イ シー ンス供 がテ給 脅ムや か等水 さ の供 39 4.7 0 0.0 5 2.3 1 2.0 0 0.0 10 52.6 3 10.0 0 0.0 4 3.1 2 1.3 14 8.4 行 政 機 能 が 脅 か さ れ る 176 21.3 0 0.0 0 0.0 1 2.0 0 0.0 0 0.0 0 0.0 1 10.0 7 5.3 4 2.6 163 97.6 脅個 か人 さの れプ る ラ イ バ シ ー が 578 69.9 0 0.0 90 41.7 26 52.0 40 88.9 13 68.4 15 50.0 9 90.0 92 70.2 140 92.1 153 91.6 刻事は社 な業至会 被活 ら 的 害動 な に に に い深 な と が刻 るっ、 な て自被 は社害 深のに 490 59.3 4 100.0 185 85.6 30 60.0 27 60.0 11 57.9 20 66.7 7 70.0 84 64.1 106 69.7 16 9.6 そ の 他 ら特 なに い深 刻 な 被 害 に は な 6 0.7 0 0.0 2 0.9 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 3 2.0 1 0.6 25 3.0 0 0.0 10 4.6 6 12.0 0 0.0 0 0.0 1 3.3 0 0.0 6 4.6 1 0.7 0 0.0 53. 情報漏洩が生じた際の経路・状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 12 100.0 0 100.0 13 100.0 2 100.0 0 100.0 0 100.0 0 100.0 0 100.0 10 100.0 1 100.0 2 100.0 ど の貴 かた社 らめ ・ 漏 に団 洩供体 しが た業 P 務 C利 な用 5 41.7 0 0.0 2 16.7 1 8.8 0 0.0 0 0.0 0 0.0 0 0.0 2 16.7 0 0.0 0 0.0 ら私 漏物 えで いあ る P C な ど か 7 58.3 0 0.0 4 33.3 1 8.8 0 0.0 0 0.0 0 0.0 0 0.0 2 16.7 0 0.0 1 8.8 業 務 委 託 先 か ら 漏 え い 3 25.0 0 0.0 1 8.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 16.7 0 0.0 0 0.0 え託退 いし職 て し いた た職 業員 者、 か以 ら前 漏委 4 33.3 0 0.0 2 16.7 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 8.8 0 0.0 1 8.8 付録2-30 そ の 他 8 66.7 0 0.0 4 33.3 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 3 25.0 1 8.8 0 0.0 54. ファイル共有ソフトを介した情報漏洩への対応策 用除 フ ・ ァ 停イ 止ル ツ共 ー有 ルソ 等フ の ト 利削 合 計 804 100.0 14 100.0 465 100.0 92 100.0 112 100.0 58 100.0 60 100.0 24 100.0 300 100.0 223 100.0 341 100.0 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 通ネ 信ッ 制 ト 御ワ ー ク に お け る 296 36.8 4 100.0 96 46.6 18 37.5 19 42.2 7 38.9 14 46.7 4 40.0 51 40.2 25 16.8 57 34.8 用フ 者ァ のイ 検ル 知共 有 ソ フ ト 利 370 46.0 2 50.0 84 40.8 18 37.5 19 42.2 10 55.6 13 43.3 6 60.0 57 44.9 74 49.7 86 52.4 利フ 用ァ をイ 禁ル 止共 す有 る ソ 通フ 達 ト の 258 32.1 2 50.0 82 39.8 16 33.3 18 40.0 10 55.6 9 30.0 4 40.0 37 29.1 29 19.5 50 30.5 さいイフ せ こ ンァ る と ス イ の ト ル 確ー 共 認 ル有 書し ソ をてフ 提い ト 出な を 484 60.2 4 100.0 136 66.0 24 50.0 28 62.2 17 94.4 19 63.3 8 80.0 75 59.1 73 49.0 99 60.4 利フ業 用ァ 務 し イ外 な ル注 い共先 よ有に う ソ対 にフ し 依 ト て 頼 を、 87 10.8 0 0.0 27 13.1 8 16.7 10 22.2 5 27.8 0 0.0 0 0.0 32 25.2 2 1.3 3 1.8 そ の 他 150 18.7 2 50.0 35 17.0 8 16.7 11 24.4 8 44.4 3 10.0 2 20.0 40 31.5 18 12.1 23 14.0 無 回 答 48 6.0 0 0.0 5 2.4 0 0.0 7 15.6 1 5.6 2 6.7 0 0.0 8 6.3 2 1.3 23 14.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 55. 過去1年間の情報セキュリティに関する被害 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 827 100.0 5 100.0 285 100.0 65 100.0 56 100.0 22 100.0 40 100.0 10 100.0 170 100.0 209 100.0 221 100.0 ホ ー ム ペ ー ジ の 改 ざ ん メ ー ル の 不 正 中 継 8 1.0 4 100.0 216 100.0 50 100.0 45 100.0 19 100.0 30 100.0 10 100.0 131 100.0 152 100.0 167 100.0 置踏 等み D o S 攻 撃 )台 ( バ ッ ク ド ア 設 3 0.4 0 0.0 2 0.9 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 1.3 4 2.4 12 1.5 0 0.0 0 0.0 1 2.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 1.3 0 0.0 改シ ざス んテ ム 破 壊 ・ デ ー タ 3 0.4 0 0.0 5 2.3 0 0.0 1 2.2 0 0.0 0 0.0 0 0.0 1 0.8 3 2.0 2 1.2 1 0.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 0.8 1 0.7 1 0.6 む盗 )聴 ( キ ー ロ ガ ー 含 0 0.0 0 0.0 1 0.5 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 な り す ま し ウ ィ ル ス 等 の 感 染 5 0.6 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 ス パ イ ウ ェ ア の 感 染 238 28.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 3.3 0 0.0 2 1.5 1 0.7 1 0.6 238 28.8 0 0.0 42 19.4 10 20.0 7 15.6 3 15.8 6 20.0 0 0.0 18 13.7 34 22.4 29 17.4 除有情 く ソ報 )フ漏 ト 洩 に( よフ るァ も イ のル を共 10 1.2 0 0.0 6 2.8 0 0.0 1 2.2 0 0.0 1 3.3 0 0.0 2 1.5 3 2.0 3 1.8 利フ 用ァ にイ 伴ル う共 情有 報ソ 漏フ 洩 ト の 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス ル悪 内 ノ 用部 画( 者 像私 の 閲用 ネ 覧メッ 等ー ト )ルワ 、ー ポク 2 0.2 0 0.0 2 0.9 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 5 3.8 1 0.7 2 1.2 ※被害件数等については「3.10.1. 過去1年間の情報セキュリティに関する被害状況」を参照。 56. ウイルス等の感染ルート別被害状況 合 計 電 子 メ ー ル の社 記 ・ 憶団 媒体 体の 持部 ち外 込者 みか ら 私 る社 物記 ・ パ憶団 ソ 媒体 コ体の ン持内 接ち部 続込者 みに 、 よ ト ダ ウ ウ ェン ア ロ ー ド し た ソ フ むス外 ス外 )(部 Wへ e の b W メ e ー b ルア 含ク セ (部 フか ァ ら イの ル直 共接 有ア 等ク )セ 238 35 34 64 17 48 100.0 23.5 22.8 43.0 11.4 32.2 0 0 0 0 0 0 農林・水産・鉱業 100.0 0.0 0.0 0.0 0.0 0.0 67 17 11 17 6 8 製造業 100.0 18.5 12.0 18.5 6.5 8.7 18 1 3 5 4 5 不動産・建築 100.0 4.8 14.3 23.8 19.0 23.8 7 0 0 3 1 2 金融 100.0 0.0 0.0 17.6 5.9 11.8 9 0 2 3 0 4 エネルギー 業 100.0 0.0 28.6 42.9 0.0 57.1 種 8 2 2 2 0 1 運輸業 100.0 16.7 16.7 16.7 0.0 8.3 2 2 0 0 0 0 情報通信 100.0 100.0 0.0 0.0 0.0 0.0 29 6 5 10 0 4 サービス 100.0 10.9 9.1 18.2 0.0 7.3 40 7 2 11 5 6 教育 100.0 8.6 2.5 13.6 6.2 7.4 46 0 9 13 1 18 行政サービス 100.0 0.0 10.2 14.8 1.1 20.5 ※ルート別被害件数等については「3.10.2. ウイルス等の感染ルート別被害状況」を参照。 全体 付録2-31 6 4.0 0 0.0 2 2.2 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 1.8 3 3.7 0 0.0 そ の 他 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 6 0.7 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 3.3 0 0.0 0 0.0 0 0.0 1 0.6 ノ ー ト P C 盗 難 (そ 外の 部他 記情 憶報 装機 置器 等盗 )難 32 3.9 0 0.0 1 0.5 1 2.0 0 0.0 0 0.0 0 0.0 0 0.0 3 2.3 0 0.0 1 0.6 12 1.5 1 25.0 7 3.2 3 6.0 2 4.4 0 0.0 1 3.3 0 0.0 4 3.1 8 5.3 6 3.6 謗貴 W 中社 e 傷 ・ b 団や 体掲 に示 対板 す上 るで 誹の 4 0.5 0 0.0 3 1.4 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 3 2.3 2 1.3 4 2.4 用真作 イ )、権 ン ロ侵 タ ゴ 害ー 等( ネ の記ッ 無事 ト 断、 上 使写 の 著 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 たネ 詐ッ 欺 ト ワ ー ク を 利 用 し 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 フ ィ ッ シ ン グ そ の 他 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 被 害 は 生 じ な か っ た 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 449 54.3 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 57-1. 被害調査の実施状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 352 100.0 1 100.0 56 100.0 14 100.0 10 100.0 3 100.0 8 100.0 0 100.0 31 100.0 50 100.0 47 100.0 実 施 し た 22 9.6 0 0.0 4 7.1 2 14.3 1 10.0 1 33.3 0 0.0 0 0.0 0 0.0 4 8.0 10 21.3 実 施 し な か っ た 無 回 答 46 24.7 0 0.0 14 25.0 3 21.4 2 20.0 0 0.0 2 25.0 0 0.0 3 9.7 13 26.0 9 19.1 152 65.8 1 100.0 38 67.9 9 64.3 7 70.0 2 66.7 6 75.0 0 0.0 28 90.3 33 66.0 28 59.6 57-2. 被害調査の実施状況 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 22 100.0 0 100.0 1 100.0 1 100.0 3 100.0 0 100.0 0 100.0 0 100.0 0 100.0 4 100.0 7 100.0 れ属国 る し内 もての のいプ でる ロ あ個バ っ人 イ た と ダ 思ー わに 3 13.6 0 0.0 0 0.0 0 0.0 1 100.0 0 0.0 0 0.0 0 0.0 0 0.0 1 25.0 1 10.0 あ い国 っ る内 た と で 思企 わ業 れが る管 も理 のし でて 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 れ属海 る し外 もてで のいプ でる ロ あ個バ っ人 イ たと ダ 思ー わに 7 31.8 0 0.0 1 25.0 1 50.0 1 100.0 0 0.0 0 0.0 0 0.0 0 0.0 1 25.0 3 30.0 付録2-32 あ い海 っ る外 た と で 思企 わ業 れが る管 も理 のし でて 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 行等匿 っ)名 た を性 も 考( の慮 p でし r あた o っ通 x た信 y を 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 そ の 他 不 明 6 27.3 0 0.0 0 0.0 0 0.0 1 100.0 0 0.0 0 0.0 0 0.0 0 0.0 2 50.0 3 30.0 58. 被害にあった時の対応 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 352 100.0 0 100.0 45 100.0 10 100.0 7 100.0 0 100.0 8 100.0 0 100.0 11 100.0 39 100.0 24 100.0 置フ ・ ァ 強イ 化ア ウ ォ ー ル の 設 5 3.4 0 0.0 2 3.6 1 7.1 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 5.1 0 0.0 入 ・ 強 化 ウ イ ル ス 等 対 策 製 品 の 導 25 15.3 0 0.0 8 14.3 3 21.4 2 20.0 0 0.0 1 12.5 0 0.0 2 6.5 7 17.9 2 8.3 最 新 パ ッ チ の 適 用 33 21.2 0 0.0 12 21.4 2 14.3 1 10.0 0 0.0 1 12.5 0 0.0 2 6.5 9 23.1 6 25.0 ン ソ アフ ッ ト プウ ェ ア の バ ー ジ ョ 16 11.0 0 0.0 3 5.4 1 7.1 1 10.0 0 0.0 2 25.0 0 0.0 2 6.5 6 15.4 1 4.2 認 証 機 能 の 導 入 ・ 強 化 ネ ッ ト ワ ー ク の 再 構 築 1 0.4 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 2.6 0 0.0 不 必 要 な サ ー ビ ス の 停 止 2 1.3 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 5.1 0 0.0 8 5.9 0 0.0 1 1.8 0 0.0 1 10.0 0 0.0 1 12.5 0 0.0 1 3.2 1 2.6 3 12.5 策セ 定キ ・ ュ 見 リ 直テ しィ ポ リ シ ー の 3 1.7 0 0.0 1 1.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 3.2 0 0.0 1 4.2 付録2-33 施セ ・ キ 強ュ 化 リ テ ィ 教 育 の 実 19 14.8 0 0.0 7 12.5 1 7.1 0 0.0 0 0.0 3 37.5 0 0.0 2 6.5 3 7.7 3 12.5 ワ い不 ー な正 ク いア のかク 監どセ 視 う ス かが 、行 ネわ ッれ ト て 3 5.5 0 0.0 1 1.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 5.1 0 0.0 かテシ をィ ス 検ホテ 査ー ム 、 ル上 診がに 断なセ いキ かュ ど リ う 4 3.8 0 0.0 2 3.6 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 2.6 1 4.2 テセ ィキ ンュ グ リ のテ 利ィ 用コ ン サ ル 0 0.4 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 セ キ 弁 護 士 へ の 相 談 ュ リ テ ィ 監 査 の 実 施 1 0.8 0 0.0 1 0.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 そ の 他 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 13 6.8 0 0.0 4 7.1 0 0.0 2 20.0 0 0.0 0 0.0 0 0.0 1 3.2 1 2.6 5 20.8 不 明 い特 なに い何 も 対 応 策 を 講 じ て 1 0.8 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 1 4.2 10 2.1 0 0.0 3 5.4 2 14.3 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 4 10.3 1 4.2 59. 被害を受けた時に届け出た行政機関 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 352 100.0 0 100.0 88 100.0 37 100.0 11 100.0 4 100.0 18 100.0 0 100.0 19 100.0 55 100.0 21 100.0 警 察 事 I 業 P 協A 会( )情 報 処 理 振 興 34 9.7 0 0.0 1 1.8 0 0.0 4 10.0 0 0.0 2 3.6 0 0.0 2 3.6 6 9.1 5 23.8 17 4.8 0 0.0 1 1.8 1 1.8 2 3.6 2 3.6 0 0.0 0 0.0 0 0.0 10 18.2 2 9.5 応( セコ ンン タピ ーュ )ー タ 緊 急 対 J P C E R T / C C 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 費国 生民 活生 セ活 ンセ タン ー タ ー ・ 消 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 そ の 他 届 け 出 な か っ た 16 4.5 0 0.0 1 1.8 1 1.8 1 1.8 2 0.0 4 7.2 0 0.0 5 9.0 1 1.8 1 1.8 198 56.3 0 0.0 85 35.7 35 50.0 4 22.0 0 0.0 12 50.0 0 0.0 12 16.1 38 68.2 13 61.9 60. 届け出なかった理由 合 計 全体 農林・水産・鉱業 製造業 不動産・建築 金融 業 種 エネルギー 運輸業 情報通信 サービス 教育 行政サービス 198 100.0 0 100.0 28 100.0 8 100.0 5 100.0 0 100.0 6 100.0 0 100.0 8 100.0 22 100.0 16 100.0 下自 す社 る ・ の団 で体 の 信 用 が 低 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 た社 の ・ で団 体 内 で 対 応 で き 26 38.2 0 0.0 6 30.0 1 14.3 1 25.0 0 0.0 1 25.0 0 0.0 2 40.0 7 46.7 8 61.5 届 け 出 義 務 が な い の で 10 14.7 0 0.0 2 10.0 1 14.3 1 25.0 0 0.0 1 25.0 0 0.0 2 40.0 1 6.7 2 15.4 付録2-34 た大 のし でた 被 害 で は な か っ 38 55.9 0 0.0 12 60.0 3 42.9 3 75.0 0 0.0 3 75.0 0 0.0 2 40.0 10 66.7 5 38.5 で問 題 解 決 に な ら な い の 9 13.2 0 0.0 4 20.0 2 28.6 0 0.0 0 0.0 1 25.0 0 0.0 0 0.0 2 13.3 0 0.0 面 倒 な の で 3 4.4 0 0.0 1 5.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 2 13.3 0 0.0 な競 い合 の他 で社 に 知 ら れ た く 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 0 0.0 そ の 他 7 10.3 0 0.0 3 15.0 1 14.3 0 0.0 0 0.0 0 0.0 0 0.0 2 40.0 0 0.0 1 7.7