Comments
Description
Transcript
不正アクセス行為対策等の実態調査 調査報告書
不正アクセス行為対策等の実態調査 調査報告書 平成27年1月 警察庁生活安全局情報技術犯罪対策課 不正アクセス行為対策等の実態調査 目次 1.調査概要 .............................................................................................................................................................. 1 1.1.調査の目的................................................................................................................................................... 1 1.2.調査の対象と調査方法 .......................................................................................................................... 1 1.3.調査内容 ....................................................................................................................................................... 1 1.4.送付、回収状況 ......................................................................................................................................... 2 2.調査結果の概要 ................................................................................................................................................ 3 2.1.総論 ................................................................................................................................................................. 3 2.2.回答事業体の属性等 ............................................................................................................................... 5 2.3.調査結果概要.............................................................................................................................................. 8 3.基本分析 ............................................................................................................................................................ 38 3.1.情報システム等の環境 ........................................................................................................................ 38 3.1.1.端末装置の利用環境 【問8】 .................................................................................................. 38 3.1.2.事業体内のネットワーク利用状況 【問9】 .....................................................................41 3.2.ネットワーク接続環境 ........................................................................................................................ 44 3.2.1.インターネットへの接続の有無【問11】 ..........................................................................44 3.2.2.インターネットへの接続の認証方法【問13】 ................................................................47 3.2.3.ソーシャルネットワーキングサービスの公用アカウントの有無【問16】 ......50 3.2.4.外部からの接続許可状況 【問17】 ......................................................................................53 3.2.5.外部からの接続の利用目的【問19】 ....................................................................................55 3.3.アクセスログ取得状況 ........................................................................................................................ 56 3.3.1.ログの取得状況【問21】 ............................................................................................................ 56 3.3.2.ログの保管期間【問21A】 .......................................................................................................... 58 3.3.3.ログの解析頻度【問21B】 .......................................................................................................... 59 3.3.4.ログを取得・保管している理由【問22】 ..........................................................................60 3.4.Webサイト管理 .........................................................................................................................................61 3.4.1.Webサイトの管理状況【問23】 ................................................................................................ 61 3.4.2.Webサイトのサーバのログ管理【問24】.............................................................................63 3.4.3.連続自動入力プログラムによる不正ログイン攻撃についての調査【問26】 .66 3.5.情報セキュリティ対策 ........................................................................................................................ 69 3.5.1.電子メールに関するセキュリティ対策の実施【問27】 ............................................. 69 3.5.2.メールサーバ等での対策【問28】 .........................................................................................71 3.5.3.添付ファイルの取り扱い【問29】 .........................................................................................74 3.6.情報セキュリティの運用・管理体制 ...........................................................................................75 3.6.1.情報セキュリティ対策の必要性【問30】 ..........................................................................75 3.6.2.情報セキュリティ対策の必要性の理由【問31】 ........................................................... 82 3.6.3.情報セキュリティ運用・管理専門部署の有無【問32】 ............................................. 86 3.6.4.情報セキュリティに係る管理者、担当者の設置【問33】 ........................................ 89 3.6.5.セキュリティポリシーの策定状況【問34】 .....................................................................92 3.6.6.情報セキュリティ侵害事案発生時の対応策の策定状況【問35】 .........................95 3.6.7.ぜい弱性調査(ペネトレーションテスト)の有無【問36】 ................................... 97 3.6.8.セキュリティ対策に関する部外チェック等の実施状況【問37】 ...................... 100 3.6.9.セキュリティ監査の実施(予定)頻度【問38】 ........................................................ 103 3.6.10.国外の支店等営業拠点におけるセキュリティ関連の運用・管理方法【問39】 .............................................................................................................................................................................. 106 3.7.セキュリティ教育 ............................................................................................................................... 108 3.7.1.セキュリティ教育の実施状況【問40】 ............................................................................ 108 3.7.2.情報セキュリティ教育の目的【問41】 ............................................................................ 115 3.7.3.情報セキュリティ教育の対象者【問42】 ....................................................................... 118 3.7.4.情報セキュリティ教育の実施内容【問43】 .................................................................. 121 3.7.5.情報セキュリティ教育の頻度【問44】 ............................................................................ 124 3.8.物理的セキュリティ対策 ................................................................................................................ 128 3.8.1.事務所へのPC等の持込み、持ち出し制限【問45】.................................................... 128 3.8.2. 重要施設へのPC等の持込み、持ち出し制限【問46】 ............................................ 131 3.8.3. 重要施設における入退室の管理方法【問47】 ........................................................... 134 3.9.技術的セキュリティ対策 ................................................................................................................ 137 3.9.1. インターネット接続点における外部からの不正アクセス防止対策【問12】 .............................................................................................................................................................................. 137 3.9.2. ID・パスワードの管理対策【問14】 .............................................................................. 140 3.9.3. 暗号化技術の用途【問48】 .................................................................................................. 143 3.9.4. 重要なシステムの不正アクセス対策状況【問49】 ................................................. 146 3.9.5. セキュリティパッチの適用状況【問50】 ..................................................................... 149 3.9.6. 内部からの不正アクセス等への対策の実施状況【問51】................................... 152 3.9.7. 不正プログラムへの対策【問52】 ................................................................................... 155 3.10.セキュリティ対策費用 ................................................................................................................... 158 3.10.1.現在利用しているセキュリティサービス【問53】 ................................................. 158 3.10.2.今後も継続して利用したいセキュリティサービス【問54】.............................. 162 3.10.3.新規に利用したいセキュリティサービス【問55】 ................................................. 165 3.10.4.セキュリティサービスを利用していない理由【問56】 ....................................... 168 3.10.5. 2015年度の情報セキュリティ投資計画【問57】..................................................... 171 3.10.6.情報セキュリティ対策実施上の問題【問58】 ........................................................... 175 3.11. 情報セキュリティ対策実施上の方針 ................................................................................... 179 3.11.1. 設問内容....................................................................................................................................... 179 3.11.2. 投資に関する考え方【問59-1】 ...................................................................................... 182 3.11.3. 事後的対応と予防的対応に関する考え方【問59-2】 .......................................... 184 3.11.4. 対応すべき範囲に関する考え方【問59-3】 ............................................................. 187 3.11.5. 非技術的対応に関する考え方【問59-4】 .................................................................. 189 3.11.6. プライバシーの考慮に関する考え方【問59-5】.................................................... 191 3.11.7. 利便性とのバランスに関する考え方【問59-6】.................................................... 193 3.12.セキュリティ・インシデントへの対応................................................................................. 196 3.12.1.不正アクセス等により想定される被害【問60】 ...................................................... 196 3.13.情報セキュリティに関する被害状況 ..................................................................................... 199 3.13.1.過去1年間の情報セキュリティに関する被害状況【問61】.............................. 199 3.13.2.ウイルス等の感染ルート別件数【問62】 ..................................................................... 201 3.13.3.被害調査の実施状況【問63】 ............................................................................................. 202 3.13.4.被害に遭った時の対応【問65】 ........................................................................................ 203 3.13.5.被害を受けた時に届け出た行政機関【問66-1】 ...................................................... 206 3.13.6.届け出た理由【問66-2】 ....................................................................................................... 209 3.13.7.届け出なかった理由【問67】 ............................................................................................. 211 3.14. 定性回答.............................................................................................................................................. 214 3.14.1. 過去1年間におけるその他の深刻な被害 ..................................................................... 214 3.14.2. セキュリティ対策の問題点や不安等 ............................................................................ 214 3.14.3. 行政に望む情報セキュリティ対策 ................................................................................. 214 付録資料 1.調査票 ................................................................................................................................................ 付録1-1 2.集計表 ................................................................................................................................................ 付録2-1 1.調査概要 1.1.調査の目的 不正アクセス行為の禁止等に関する法律において、国家公安委員会は、アクセス制御機能を有する特 定電子計算機の不正アクセス行為からの防御に資するため、アクセス制御機能に関する技術の研究開発 の状況等を公表するものとされており、また、国はアクセス制御機能を有する特定電子計算機の不正ア クセス行為からの防御に関する啓発及び知識の普及に努めなければならないとされている。 本調査はインターネット及び企業等のネットワーク上における不正アクセス行為等の現状を把握し、 その分析を試みるとともに、不正アクセス行為に対する防御に関する知識を高め、そのための啓発と知 識の普及に資することを目的とし、併せて今後の不正アクセス防御への官民における取組の推進のため に参考資料として活用されることを意図して実施した。 1.2.調査の対象と調査方法 調査対象は、市販のデータベース(四季報、IT総覧等)に掲載された企業、教育機関(国公立、私立 の大学等)、医療機関、地方公共団体(県・市町村等)、独立行政法人(教育機関及び医療機関に掲げ るものを除く。)、特殊法人から特定の業種、地域に偏りのないよう3,050件を無作為に抽出した。 調査方法は、次の方法で実施した。 ① 電子メールでの回答 アンケートを電子メールにて回答 ② 郵送での回答 調査票を郵送し、期日までに回答を郵送 (調査期間:平成26年11月6日(発送日)~11月28日(締切日)) 1.3.調査内容 付録資料にある調査票「不正アクセス行為対策等の実態に関するアンケート」のとおりである。 1 1.4.送付、回収状況 調査票の送付総数は3,050件。回収総数は602件であった。回収率は19.7%である。 業種 発送数 農林・水産・鉱業 回収数 回収率 35 6 17.1% 1,000 141 14.1% 不動産・建築 210 43 20.5% 金融 200 28 14.0% エネルギー 65 4 6.2% 運輸業 90 17 18.9% 情報通信 270 9 3.3% サービス 470 60 12.8% 教育 380 145 38.2% 行政サービス 330 143 43.3% 6 - 602 19.7% 製造業 無回答 合計 3,050 □ 報告書を見る際の留意点 ・集計結果の比率は、小数第二位を四捨五入し、小数第一位までを百分率(%)で表示しているため、 その数値の合計が100%を前後する場合がある。 ・本文やグラフ中の選択肢は、調査票の言葉を短縮しているものがある。 ・回答数が10未満のもの(例:業種別にみた場合の「農林・水産・鉱業」〔回収数4〕)については、 コメントの対象としていない。 2 2.調査結果の概要 2.1.総論 平成26年度の調査対象については、市販のデータベース(四季報、IT総覧等)に掲載された企業、教 育機関(国公立、私立の大学等)、医療機関、地方公共団体(県・市町村等)、独立行政法人(教育機 関及び医療機関に掲げるものを除く。)、特殊法人から地域、業種に偏りが無いよう無作為に抽出して いる。本調査をまとめると次のような特徴がみられる。 ① 情報システム等の利用について 「端末装置の利用環境」について、「1人1台以上の環境が整っている」が84.1%であり、昨年度と 比較すると、14.5ポイント増加している。「インターネットへの接続の有無」について、「接続して いる」が97.7%であり、昨年度と比較すると、1.3ポイント増加、一昨年度と比較すると、2.8ポイント 増加し、増加傾向がみられる。 また、事業体内のネットワーク利用について、「有線ネットワークと無線ネットワークを併用して いる」が60.6%で、昨年度と比較すると8.1ポイント増加している。「全て有線ネットワークで構築し ている」は38.2%で昨年度と比較すると5.1ポイント減少、一昨年度と比較すると、7.5ポイント減少し、 減少傾向がみられる。 ② アクセスログの取得状況について アクセスログの取得状況は「ファイアウォール・侵入検知システム等(IDS、IPS等)のログ」が84.9% で最も多く、今回選択肢として挙げたすべてのログの種類で6割以上の取得状況となっている。 ③ 情報セキュリティ対策意識 情報セキュリティ対策の必要性について、「非常に感じている」が73.1%で最も多く、「ある程度感 じている」の25.4%と合わせて98.5%と、社・団体等における情報セキュリティに対する意識は非常に 高い。 また、「情報セキュリティの運用、管理を専門に行う部署」が「ある」は55.5%で昨年度と比較する と13.0ポイント増加している。また、情報セキュリティポリシーの策定に関しても「策定してある」 は82.6%で昨年度と比較して25.6ポイント増加し、情報セキュリティ対策に関する整備が進んでいるこ とがうかがえる。 ④ 情報セキュリティ対策の課題 情報セキュリティ対策実施上の問題点について、「費用対効果が見えない」が59.6%で最も多く、「コ ストがかかりすぎる」が49.8%で続いており、昨年度と比較するとそれぞれ5.9ポイント増加、7.4ポイ ント増加し、費用に関する問題がより一層多くなっている。 3 ⑤ 情報セキュリティ被害の状況 過去1年間のセキュリティに関する被害状況について、「被害は生じなかった」は65.8%で、昨年度 と比較すると、2.7ポイント減少している。 被害の具体的な内容では、「ウイルス等の感染」が12.1%であり、減少傾向がみられるが、他の項目 と比較すると依然として多い傾向にある。 総論として、今回の結果から多くの社・団体等がセキュリティ意識の向上や対策に関し、取り組んで いる様子がうかがえる。 一方、情報セキュリティ対策の課題としては、新たな不正アクセスの手段やコンピュータウイルス等 に対して、「費用対効果が見えない」、「コストがかかりすぎる」といった費用面の回答や、多くの社・ 団体等において、情報セキュリティに対して「どこまで対策を施せばいいのか」といった判断基準、「不 正をはたらく側と守る側とでいたちごっこになっている」といった問題があることが分かった。 また、情報セキュリティに関する被害として、継続して「ウイルス等の感染」が多いことから先ずは 「ウイルス等の感染」を防ぐための技術的な支援や意識向上の為の支援、対策する為の金銭面での支援 が必要と考えられる。 4 2.2.回答事業体の属性等 今年度の回収総数は602件であり、業種ごとの回収票数は1.4.「送付・回収状況」に示したとおりであ る。 【全体】不正アクセス禁止法でアクセス管理者による防御措置についての努力義務(SA,n=602)【問1】 4.2% 25.7% 知っている 知らなかった 無回答 70.1% 【全体】従業員規模(SA,n=602)【問3】 5.1% 0.3% 6.6% 21.9% 100人以上300人未満 1,000人以上3,000人未満 6.6% 500人以上1,000人未満 300人以上500人未満 11.8% 100人未満 3,000人以上5,000人未満 18.9% 5,000人以上10,000人未満 10,000人以上 12.6% 無回答 15.9% 5 【全体】予算規模(SA,n=602)【問4】 3.2% 8.1% 100億~300億円未満 14.8% 500億~1,000億円未満 3.5% 50億~100億円未満 4.2% 11.3% 4.5% 1,000億~3,000億円未満 300億~500億円未満 10億円未満 6.5% 30億~50億円未満 10.5% 7.0% 10億~30億円未満 1兆円以上 7.1% 10.5% 5,000億~1兆円未満 9.0% 3,000億~5,000億円未満 金額で示せる適切な指標がない 無回答 【全体】事業所数(SA,n=602)【問5】 6.1% 3.5% 0.5% 16.6% 2~3箇所 6.3% 1箇所 10~29箇所 4~5箇所 11.3% 16.1% 6~9箇所 100~299箇所 50~99箇所 30~49箇所 11.5% 300箇所以上 14.6% 13.5% 6 無回答 【全体】従業員数に占める正社員の割合(SA,n=602)【問6】 0.7% 2.5% 0.3% 4.2% 9割以上 4.2% 26.2% 4.7% 8割以上9割未満 7割以上8割未満 5.0% 6割以上7割未満 4割以上5割未満 5割以上6割未満 11.1% 3割以上4割未満 2割以上3割未満 1割以上2割未満 24.4% 16.8% 1割未満 無回答 【全体】情報通信技術への依存度(SA,n=602)【問7】 4.0% 0.3% 0.2% 情報通信技術がないと事業を継続で きない 情報通信技術がないとかなり支障は でるが、事業を継続できる 28.9% 情報通信技術がないとやや支障はで るが、事業を継続できる 66.6% 情報通信技術がなくとも事業の継続に 支障をきたさない 無回答 7 2.3.調査結果概要 ① 情報システム等の環境 ①-1.端末装置の利用環境【問8】 端末装置の利用環境について、「1人1台の環境が整っている」が84.1%で最も多く、「数人で共有して いる」が8.3%、「支店や拠点で共有している」が1.7%で続いている。 【全体】端末装置の利用環境(SA,n=602) 0.8% 4.8% 0.0% 0.3% 1.7% 1人1台以上の環境が整っ ている 数人で共有している 8.3% 支店や拠点で共有している 部・課で共有している その他 端末は利用していない 無回答 84.1% ①-2.事業体内のネットワーク利用状況【問9】 事業体内のネットワーク利用状況について、 「有線ネットワークと無線ネットワークを併用している」 が60.6%で最も多く、「全て有線ネットワークで構築している」が38.2%で続いている。 【全体】事業体内のネットワーク利用状況(SA,n=602) 0.7% 0.0% 0.5% 60.6% 有線ネットワークと無線ネッ トワークを併用している 全て有線ネットワークで構築 している 38.2% 全て無線ネットワークで構築 している LANを敷設していない 無回答 8 ② ネットワーク接続環境 ②-1.インターネットへの接続の有無【問11】 インターネットへの接続について、「接続している」が97.7%で最も多く、「接続しておらず、接続の 計画もない」は0.5%であった。 【全体】インターネット接続の有無(SA,n=602) 1.8% 0.5% 0.0% 接続している 接続しておらず、接続の計画 もない 接続していないが、現在接 続を計画中である 無回答 97.7% ②-2.外部からの接続許可状況 【問17】 外部から事業体内ネットワークへの接続について、「接続を許可しているが、社・団体内に居る場合 より制限された機能が提供される」が38.6%で最も多く、「現在も、将来も接続を許可しない」が30.1% で続いている。 【全体】外部からの接続許可状況(SA,n=588) 11.4% 0.3% 接続を許可しているが、社・団体内に居 る場合より制限された機能が提供される 38.6% 19.6% 現在も、将来も接続を許可しない 接続を許可しており、社・団体内に居る 場合と同様な機能が提供される 現在、接続を一切禁止しているが、今後 接続許可の検討をしていく予定 無回答 30.1% 9 ②-3.情報システムに接続を許可している情報端末【問18】 情報システムに接続を許可している情報端末について、「業務用で貸与したパソコンの接続を許可し ている」が70.4%で最も多く、「業務用で貸与したスマートフォン、タブレット端末の接続を許可してい る」が49.1%で続いている。 【全体】情報システムに接続を許可している情報端末(MA,n=409) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 業務用で貸与したパソコンの接続を許可している 70.4% 業務用で貸与したスマートフォン、タブレット端末の接続を 許可している 49.1% 個人所有のパソコンの接続を許可している 33.7% 個人所有のスマートフォン、タブレット端末の接続を 許可している 31.3% 接続を許可していない 無回答 11.0% 0.5% ②-4. 外部からの接続の利用目的【問19】 外部からの接続の利用目的について、「メールサーバへのアクセス」が80.9%で最も多く、「スケジュ ール等グループウェアの利用」が76.0%で続いている。 【全体】外部からの接続の利用目的(MA,n=362) 0% 10% 20% 30% 40% 50% 60% メールサーバへのアクセス 80% 90% 80.9% スケジュール等グループウェアの利用 76.0% Web サーバへのアクセス 53.3% 基幹業務システムへのアクセス 50.3% 情報システムメンテナンス その他 70% 34.8% 3.3% 10 100% ③ アクセスログの取得状況 ③-1.ログの取得状況【問21】 アクセスログの取得状況について、「ファイアウォール・侵入検知システム等(IDS、IPS等)のログ」 が84.9%で最も多く、「メールサーバのログ」が81.2%で続いている。 【全体】ログの取得状況(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ファイアウォール・侵入検知システム等(IDS、IPS等)のログ 84.9% メールサーバのログ 81.2% ウェブサーバへのアクセスログ 79.7% 情報システムへの認証ログ 76.1% データベースのログ 73.4% クライアントPCのログ 70.1% プロキシサーバのログ その他 全く取得していない 65.8% 3.3% 2.3% 無回答 3.8% ③-2.ログを取得・保管している理由【問22】 ログを取得・保管している理由について、「不正アクセス等外部からの不正行為を記録し、後で確認 するため」が87.8%で最も多く、 「システムの動作状況を記録し、管理、改善等に役立てるため」が69.6%、 「従業員による情報の持ち出し等内部の不正行為を記録し、後で確認するため」が60.9%で続いている。 【全体】ログを取得・保管している理由(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 不正アクセス等外部からの不正行為を記録し、後で確認するため 87.8% システムの動作状況を記録し、管理、改善等に役立てるため 69.6% 従業員による情報の持ち出し等内部の不正行為を記録し、 後で確認するため 60.9% 法令等により記録が義務付けられているため 16.5% 顧客のアクセスログ等を分析してサービスその他業務に 反映させるため 顧客のアクセスログに基づいて料金を請求するなど、 業務に必要であるため 0.7% その他 1.4% 特に目的はない 0.4% 無回答 0.9% 12.0% 11 ④ Webサイト管理 ④-1.Webサイトの管理状況【問23】 Webサイトの管理状況について、「一部を外部業者に任せている」が47.5%で最も多く、「自ら管理し ている」が25.7%、「全て外部業者に任せている」が25.4%で続いている。 【全体】Webサイトの管理状況(SA,n=602) 0.0% 1.3% 一部を外部業者に任せている 25.4% 47.5% 自ら管理している 全て外部業者に任せている ウェブサイトがない 無回答 25.7% ④-2.Webサイトのサーバのログ管理【問24】 Webサイトのサーバのログ管理について、「特に期間は決まっていない」が43.1%で最も多く、「1年 間」が13.5%、「3か月間」が9.3%で続いている。 【全体】Webサイトのサーバのログ管理(SA,n=594) 4.7% 特に期間は決まっていない 4.9% 1年間 10.9% 3か月間 1.5% 43.1% 1か月間 6か月間 5.4% 1週間以下 6.7% その他 保管はしていない 9.3% 無回答 13.5% 12 ④-3. Webサイトの改ざん対策【問25】 Webサイトの改ざん対策について、「リモートアクセスの接続元を限定している」が52.7%で最も多く、 「管理者用アカウントのパスワードを複雑にしている」が48.0%、「常に最新のパッチを適用している」 が45.6%で続いている。 【全体】Webサイトの改ざん対策(MA,n=594) 0% 10% 20% 30% 40% リモートアクセスの接続元を限定している 70% 80% 90% 100% 48.0% 常に最新のパッチを適用している 45.6% デフォルトアカウントの利用停止または利用制限している 28.3% Web システムの設定状況を定期的に確認している 16.7% Web コンテンツの変更履歴を定期的に確認している 無回答 60% 52.7% 管理者用アカウントのパスワードを複雑にしている その他 50% 15.2% 12.5% 6.1% ④-4.連続自動入力プログラムによる不正ログイン攻撃についての調査【問26】 連続自動入力プログラムによる不正ログイン攻撃についての調査について、「不正ログイン攻撃の存 在は知っていたが、調査は実施していない」が36.7%で最も多く、「利用者にID・パスワード入力を求 めるWebサービスを提供していない」が23.9%で続いている。 【全体】連続自動入力プログラムによる不正ログイン攻撃についての調査(SA,n=594) 4.5% 3.7% 不正ログイン攻撃の存在は知ってい たが、調査は実施していない 12.1% 36.7% 利用者にID・パスワード入力を求め るWebサービスを提供していない 調査した結果、攻撃を受けた事実は 判明しなかった 調査した結果、攻撃を受けた(おそれ がある場合を含む。)ことが判明した 19.0% 不正ログイン攻撃の存在を知らな かったので、調査は実施していない 23.9% 無回答 13 ⑤ 情報セキュリティ対策 ⑤-1.電子メールに関するセキュリティ対策の実施【問27】 電子メールに関するセキュリティ対策の実施について、「自ら実施している」が60.6%で最も多く、「外 部業者(プロバイダ、セキュリティ事業者等)に任せている」が35.5%で続いている。 【全体】電子メールに関するセキュリティ対策の実施(SA,n=602) 0.5% 1.2% 2.2% 自ら実施している 60.6% 外部業者(プロバイダ、セキュ リティ事業者等)に任せている 35.5% 電子メールは使用していない 特に何もしていない 無回答 ⑤-2.メールサーバ等での対策【問28】 メールサーバ等での対策について、「ウイルスチェック」が94.5%で最も多く、「フィルタリング(特 定の条件を満たすメールの配信をしない)」が74.5%、「不正中継防止」が48.2%で続いている。 【全体】メールサーバ等での対策(MA,n=365) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルスチェック 94.5% フィルタリング(特定の条件を満たすメールの配信をしない) 74.5% 不正中継防止 48.2% 利用メールソフトの指定・制限 37.5% メール利用の制限(利用可能者の限定、利用端末の限定等) 35.3% 特定の拡張子を持つファイルが添付されている場合に 送・受信を拒否 SPF(Sender Policy 26.6% 21.4% Framework)の導入 特定ドメイン・アドレスからのメールのみ送・受信 その他送信者認証 DKIM(DomainKeys Identified Mail)の導入 電子署名の利用 その他 無回答 18.1% 6.0% 2.7% 1.1% 2.5% 0.5% 14 ⑤-3.添付ファイルの取り扱い【問29】 電子メールの添付ファイルの取り扱いについて、「ウイルスチェック等をしてから受信している」が 92.9%で最も多い。一方、「特にチェックもせずに受信している」は5.2%であった。 【全体】添付ファイルの取り扱い(SA,n=602) 5.2% 0.3% 0.0% 1.6% ウイルスチェック等をしてから 受信している 特にチェックもせずに受信し ている パスワード設定の添付ファイ ルは受信している 添付ファイル付きの電子メー ルは一切受信しない 無回答 92.9% 15 ⑥ 情報セキュリティの運用・管理体制 ⑥-1.情報セキュリティ対策の必要性【問30】 情報セキュリティ対策の必要性について、「非常に感じている」が73.1%で最も多く、「ある程度感じ ている」が25.4%で続いている。「非常に感じている」、「ある程度感じている」を合わせると98.5%が 情報セキュリティ対策の必要性を感じていると回答している。 【全体】情報セキュリティ対策の必要性(SA,n=602) 1.0% 0.2% 0.3% 非常に感じている 25.4% ある程度感じている あまり感じていない 感じていない 73.1% 無回答 ⑥-2.情報セキュリティ対策の必要性の理由【問31】 情報セキュリティ対策の必要性を感じる理由について、ウイルス・ワームの感染を防ぐため」が85.7% で最も多く、「インターネット上に顧客情報など部内情報が漏れるのを防ぐため」が76.1%、「セキュリ ティ事故がブランドイメージや業績に与える影響を防ぐため」が71.2%で続いている。 【全体】情報セキュリティ対策の必要性の理由(MA,n=593) 0% 20% 40% 60% 80% ウイルス・ワームの感染を防ぐため 100% 85.7% インターネット上に顧客情報等の部内情報が漏れるのを防ぐため 76.1% セキュリティ事故がブランドイメージや業績に与える影響を避けるため 71.2% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐため 67.8% 54.5% DoS攻撃等によるシステムダウンを防ぐため 事業を行う上で必要不可欠なため 48.6% 顧客等との取引を万全なものとするため 39.0% 過去に不正アクセス等の被害にあったため 17.0% 顧客等から要請があるため 13.7% その他 0.7% 無回答 0.2 16 ⑥-3.情報セキュリティ運用・管理専門部署の有無【問32】 情報セキュリティ運用、管理部門について、「ある」が55.5%、「ない」が43.4%で「ある」の回答の 方が12.1ポイント多い。 【全体】情報セキュリティ運用、管理専門部署の有無(SA,n=602) 1.2% ある 43.4% ない 55.5% 無回答 ⑥-4.情報セキュリティに係る管理者、担当者の設置【問33】 情報セキュリティに係る管理者、担当者の設置状況について、「情報システム運用管理者が情報セキ ュリティについても兼務している」が71.8%で最も多く、「情報システム運用管理者以外が情報セキュリ ティについても兼務している」が20.3%で続いており兼務者が多いことが分かる。一方、「担当者は置い ていない」は7.0%となっている。 【全体】情報セキュリティに係る管理者、担当者の設置(MA,n=602) 0% 20% 情報システム運用管理者が情報セキュリティについても 兼務している 40% 60% 80% 71.8% 情報システム運用管理者以外が情報セキュリティに ついても兼務している 20.3% 専従の担当者を置いている 11.5% 担当者は置いていない 7.0% 17 100% ⑥-5.セキュリティポリシーの策定状況【問34】 セキュリティポリシーの策定状況について、「策定してある」が82.6%で最も多く、「策定していない が、今後策定する予定」が8.6%、「現在策定を進めている」が4.2%で続いており、合計すると全体の95.4% となっている。 【全体】セキュリティポリシーの策定状況(SA,n=602) 4.2% 1.0% 0.2% 3.5% 策定してある 8.6% 策定していないが、今後 策定する予定 現在策定を進めている 策定しておらず、今後も 策定の予定はない 非公開情報のため、答え られない 策定する必要がない 82.6% ⑥-6.情報セキュリティ侵害事案発生時の対応策の策定状況【問35】 情報セキュリティ侵害事案が生じた場合の対応策について、「策定してある」が45.0%で最も多く、「策 定していないが、必要性は感じている」が24.3%で続いている。一方、「策定する必要がない」は0.7%と なっている。 【全体】情報セキュリティ侵害事案発生時の対応策の策定状況(SA,n=602) 2.0% 5.5% 2.0% 0.7% 策定してある 0.3% 策定していないが、必要性は 感じている 策定を検討している 8.3% 45.0% 12.0% 策定してあり、訓練も実施して いる 現在策定を進めている 策定していないが、訓練はし ている 非公開情報のため、答えられ ない 策定する必要がない 24.3% 無回答 18 ⑥-7.情報セキュリティ侵害事案発生時の対応策の策定状況【問36】 ぜい弱性調査(ペネトレーションテスト)の有無について、「実施していない」が66.4%、「定期点検 のため実施した」が23.8%であった。何らかの形で実施しているという回答は31.4%であった。 【全体】ぜい弱性調査(ペネトレーションテスト)の有無(SA,n=602) 2.5% 定期点検のため実施した 23.8% 外部からの攻撃を受けた(可 能性を含む。)ため実施した 2.3% 2.0% 3.3% 66.4% 関係業者、団体が被害に遭っ たことを知ったため実施した その他 実施していない 無回答 ⑥-8.セキュリティ対策に関する部外チェック等の実施状況【問37】 セキュリティ対策に関する部外チェック等の実施状況について、「特に実施していない」が60.3%で最 も多く、「認証は取得していないが、部外事業者等専門家によるチェックを受けている」が15.6%、「部 内の専門知識を有する職員がチェックを実施している」が13.1%で続いている。 【全体】セキュリティ対策に関する部外チェック等の実施状況(SA,n=602) 認証は取得していないが、部外事業者 等専門家によるチェックを受けている 1.0% 15.6% 部内の専門知識を有する職員がチェッ クを実施している 13.1% I SMS等情報管理関係の認証を取 得している その他 60.3% 6.3% 特に実施していない 3.7% 無回答 19 ⑥-9.セキュリティ監査の実施(予定)頻度【問38】 セキュリティ監査の実施頻度について、 「実施していない」が33.9%で最も多く、 「1年ごとに」が29.4%、 「特に決まっていない(不定期)」が26.1%で続いている。 【全体】セキュリティ監査の実施(予定)頻度(SA,n=602) 0.7% 1年ごとに 29.4% 33.9% 半年ごとに 3か月ごとに 隔年(2年)ごとに その他 6.5% 0.8% 0.8% 1.8% 特に決まっていない(不 定期) 実施していない 無回答 26.1% ⑥-10.国外の支店等営業拠点におけるセキュリティ関連の運用・管理方法【問39】 国外の支店等営業拠点におけるセキュリティ関連の運用・管理方法について、「国内とほぼ同一の内 容になっている」が11.3%、「支店等が所在する国の規定に従った内容になっている」が6.6%となってい る。一方、「特に規定等は設けていない」は10.0%であった。 【全体】国外の支店等営業拠点におけるセキュリティ関連の運用・管理方法(SA,n=602) 1.0% 国内とほぼ同一の内容に なっている 11.3% 支店等が所在する国の規定 に従った内容になっている 6.6% 4.2% 0.3% 10.0% 国内より簡易な内容になって いる 国内より厳しい内容になって いる 特に規定等は設けていない 66.6% 国外に拠点等がない 無回答 20 ⑦ 情報セキュリティ教育 ⑦-1.セキュリティ教育の実施状況【問40】 情報セキュリティ教育について、「実施している」が69.9%で最も多く、「実施はしていないが必要性 を感じる」が23.6%で続いている。一方、「実施の必要性を感じない(実施していない)」は2.3%となっ ている。 【全体】セキュリティ教育の実施状況(SA,n=602) 2.3% 0.8% 実施している 3.3% 実施はしていないが必要 性を感じる 23.6% 実施を予定している 69.9% 実施の必要性を感じない (実施していない) 無回答 ⑦-2.情報セキュリティ教育の目的【問41】 情報セキュリティ教育の目的について、 「情報セキュリティに対する意識の向上」が95.2%で最も多く、 「情報セキュリティポリシーの普及」が64.4%、「社・団体内の不正行為の防止」が58.3%で続いている。 【全体】情報セキュリティ教育の目的(MA,n=441) 0% 10% 20% 30% 40% 50% 60% 70% 情報セキュリティに対する意識の向上 80% 90% 100% 95.2% 情報セキュリティポリシーの普及 64.4% 社・団体内の不正行為の防止 58.3% 自己啓発 17.7% その他 0.2% 無回答 0.7% 21 ⑦-3.情報セキュリティ教育の対象者【問42】 情報セキュリティ教育の対象者について、新規採用の正社員・職員」が84.4%で最も多く、「管理職に ついている正社員・職員」が60.3%、「その他の正社員・職員」が57.6%、「システム管理部門の正社員・ 職員」が54.0%で続いている。 【全体】情報セキュリティ教育の対象者(MA,n=441) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 新規採用の正社員・職員 84.4% 管理職についている正社員・職員 60.3% その他の正社員・職員 57.6% システム管理部門の正社員・職員 54.0% 情報セキュリティ対策の責任者 45.8% 派遣社員 36.3% 関連会社の社員・職員 15.2% 学生・生徒 15.0% 取引先の社員・職員 100% 3.4% その他 4.8% ⑦-4.情報セキュリティ教育の実施内容【問43】 情報セキュリティ教育の実施内容について、「個人情報の保護・管理」が79.1%で最も多く、「情報セ キュリティポリシー」が75.1%、「機密情報の保護・管理」が74.8%、「情報へのアクセス管理(パスワ ード管理等)」が70.5%で続いている。 【全体】情報セキュリティ教育の実施内容(MA,n=441) 0% 20% 40% 60% 80% 個人情報の保護・管理 79.1% 情報セキュリティポリシー 75.1% 機密情報の保護・管理 74.8% 情報へのアクセス管理 (パスワード管理等) 70.5% ウイルス・ワーム対策 65.8% 情報システム利用に係るネチケット 56.9% 社外ネットワークへの接続 29.0% 緊急時の対応 28.3% 文書の管理 27.0% ソーシャルエンジニアリング対策 23.8% サイバー犯罪の防止 16.3% 技術的なセキュリティ対策 (システムぜい弱性、堅牢化設定等) その他 12.5% 1.6% 22 100% ⑦-5.情報セキュリティ教育の頻度【問44】 情報セキュリティ教育の実施頻度について、「年に1回」が45.1%で最も多く、「年に数回」が27.7%、 「採用・異動時等に実施」が12.5%で続いている。 【全体】情報セキュリティ教育の実施頻度(SA,n=441) 3.2% 3.4% 1.4% 年に1回 6.8% 年に数回 採用、異動時等に実施 12.5% 2、3年に1回 45.1% 月に1回以上 その他 27.7% 無回答 23 ⑧ 物理的セキュリティ対策 ⑧-1.事務所へのPC等の持込み、持ち出し制限【問45】 事務所へのPC等の持込み、持ち出し制限について、 「個人所有のPCの業務利用を制限している」が72.3% で最も多く、「業務用PCの持込み・持ち出しを制限している」が66.9%、「USBメモリ等の外部記録媒体 の持込み、持ち出しを制限している」が55.5%で続いている。 【全体】事務所へのPC等の持込み、持ち出し制限(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人所有のPCの業務利用を制限している 72.3% 業務用PCの持込み・持ち出しを制限している 66.9% 55.5% USBメモリ等の外部記録媒体の持込み、持ち出しを制限している 個人所有のスマートフォン、タブレット端末の業務利用を制限している 40.4% 持込み・持ち出し専用の業務用PCを整備している 39.9% 持込み、持ち出し用のスマートフォン、タブレット端末を整備している 18.6% スマートフォン、タブレット端末の持込みを制限している 11.3% その他 1.8% 特に制限はない 12.5% 無回答 0.7% ⑧-2.重要施設へのPC等の持込み、持ち出し制限【問46】 重要施設へのPC等の持込み、持ち出し制限について、「個人所有のPCの業務利用を制限している」が 65.3%で最も多く、「業務用PCの持込み・持ち出しを制限している」が63.0%、「USBメモリ等の外部記録 媒体の持込み、持ち出しを制限している」が53.3%で続いている。 【全体】重要施設へのPC等の持込み、持ち出し制限(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人所有のPCの業務利用を制限している 65.3% 業務用PCの持込み・持ち出しを制限している 63.0% 53.3% USBメモリ等の外部記録媒体の持込み、持ち出しを制限している 個人所有のスマートフォンの業務利用を制限している 37.5% 持込み・持ち出し専用の業務用PCを整備している 33.6% 持込み、持ち出し用のスマートフォン、タブレット端末を整備している 15.8% スマートフォンの持込みを制限している 15.8% その他 4.0% 特に制限はない 無回答 17.3% 0.8% 24 ⑧-3.重要施設における入退室の管理方法【問47】 重要施設における入退室の管理方法について、「登録者以外の入室規制」が55.8%で最も多く、「記帳」 が44.4%で続いており、制度的対応による管理の実施率が高い。また、「ICカード」が38.7%、「監視カ メラ」が31.9%で技術的対応による管理も行われている。一方、「特に何も行っていない」は7.3%であり、 9割以上が何らかの入退室管理を行っている。 【全体】重要施設における入退室の管理方法(MA,n=602) 0% 10% 20% 30% 40% 50% 登録者以外の入室規制 55.8% 記帳 44.4% ICカード 38.7% 監視カメラ 31.9% 暗証番号 17.6% バイオメトリクス(指紋等での認証) 17.3% 磁気カード 14.1% 警備員 重要な施設は存在しない その他 13.0% 2.5% 5.6% 特に何も行っていない 無回答 60% 7.3% 0.5% 25 70% 80% 90% 100% ⑨ 技術的セキュリティ対策 ⑨-1.インターネット接続点における外部からの不正アクセス防止対策【問12】 インターネット接続点における不正アクセス防止対策について、「ファイアウォールの導入」が95.2% で最も多く、「非武装地帯(DMZ)の構築」が65.8%、「PROXYサーバの設置」が63.3%、「ID、パスワー ド等による認証」が61.2%で続いている。 【全体】インターネット接続点における不正アクセス防止対策(MA,n=588) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ファイアウォールの導入 95.2% 非武装地帯(DMZ)の構築 65.8% PROXYサーバの設置 63.3% ID、パスワード等による認証 61.2% ルータによるプロトコル制御 51.2% アクセスログ収集の強化・充実 51.0% 侵入検知・防御システム(IDS・IPS)の導入 その他 38.9% 1.9% 外部からの接続を伴なうサービス等を提供していない 8.0% 特に何も行っていない 0.5% 無回答 1.2% ⑨-2.ID・パスワードの管理対策【問14】 ID・パスワードの管理対策について、「パスワード長を一定以上に定めている」が77.0%で最も多く、 「異動等で使用しなくなったIDはすぐに削除している」が68.8%、「IDを複数ユーザで使わせていない」 が63.8%で続いている。 【全体】ID・パスワードの管理対策(MA,n=417) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% パスワード長を一定以上に定めている 77.0% 異動等で使用しなくなったIDはすぐに削除している 68.8% 63.8% IDを複数ユーザーで使わせていない 定期的にパスワードを強制的に変更させている 49.9% パスワードの複雑性をチェックし、簡単すぎるものは変更させている 36.5% 27.6% IDをメールアドレス等の他の用途で流用していない 24.5% ID・パスワードは利用者側の端末に保存されないようにしている その他 1.7% 特に対策は行っていない 0.7% 無回答 0.2% 26 ⑨-3.暗号化技術の用途【問48】 暗号化技術の用途について、「個人情報等の重要な情報の通信(SSL等の暗号化通信)」が62.1%で最 も多く、「記憶媒体上の情報(ファイルの暗号化)」が42.0%、「認証情報(電子証明書)」が34.2%で 続いている。 【全体】暗号化技術の用途(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人情報等の重要な情報の通信(SSL 等の暗号化通信) 62.1% 記憶媒体上の情報(ファイルの暗号化) 42.0% 認証情報(電子証明書) 34.2% 暗号メール 21.4% その他 3.7% 利用していない 無回答 14.5% 1.8% ⑨-4.重要なシステムの不正アクセス対策状況【問49】 重要システムの不正アクセス対策について、「データのバックアップを行っている」が91.0%で最も多 く、「個人PCの接続制限を行っている」が54.7%、「システムの冗長化(ネットワークの冗長化を含む) を行っている」が50.8%で続いている。 【全体】重要なシステムの不正アクセス対策状況(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% データのバックアップを行っている 91.0% 個人PCの接続制限を行っている 54.7% システムの冗長化(ネットワークの冗長化を含む)を行っている 50.8% 基幹業務システム専用のファイアウォール・ルータ (ネットワークアクセス制御機能)を導入している 46.5% 無線LAN の使用制限を行っている 44.7% 重要な基幹業務システムは他のネットワークと分離した 専用ネットワークを構築している 43.4% 外部のネットワークに接続していない 35.4% 指定回数以上のログイン失敗時のアカウント失効等、不正操作に 対して自動的に制限をかける機能を導入している 34.6% 緊急時にはシステムを自動停止する仕組みを導入している 7.6% その他 2.0% 上記のような対策は行っていない 1.5% 無回答 0.3% 27 ⑨-5.セキュリティパッチの適用状況【問50】 サーバのセキュリティ確保のためにセキュリティパッチを適用する頻度について、「定期的に確認は していないが、サーバの管理者等の裁量で適用している」が32.9%で最も多く、「頻繁(1か月に1回以 上)にセキュリティ関連サイトを確認し、常に最新のパッチを適用している」が25.9%、「定期的(四半 期~半年に1回程度)にセキュリティ関連サイトを確認し、必要なパッチを適用している」が22.8%で続 いている。 【全体】セキュリティパッチの適用状況(SA,n=602) 2.3% 4.5% 3.5% 定期的に確認はしていないが、サーバの管理者等 の裁量で適用している 1.5% 頻繁(1か月に1回以上)にセキュリティ関連サイト を確認し、常に最新のパッチを適用している 6.6% 定期的(四半期~半年に1回程度)にセキュリティ 関連サイトを確認し、必要なパッチを適用している 32.9% 問題が発生するまでパッチは適用しない パッチを適用していない 22.8% 分からない その他 25.9% 無回答 ⑨-6.内部からの不正アクセス等への対策の実施状況【問51】 内部からの不正アクセス等への対策について、「パソコン廃棄時の適正なデータ消去」が77.9%で最も 多く、「情報資産へのアクセス権の設定」が76.1%、「定期的なバックアップ」が71.9%で続いている。 【全体】内部からの不正アクセス等への対策の実施状況(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% パソコン廃棄時の適正なデータ消去 77.9% 情報資産へのアクセス権の設定 76.1% 定期的なバックアップ 71.9% アクセスログの取得、ログの分析 53.8% 定期的なパスワード変更 52.3% 許可していないソフトウェアの制限 52.3% 外部Webサイトへのアクセス制限 45.0% 共有ID・パスワードの禁止 38.4% ユーザアカウントの定期的なチェック 35.2% 内部ネットワークのファイアウォール、侵入検知システム(IDS)の導入 33.1% メールのフィルタリング(添付ファイルの利用制限等) 32.1% 個人認証のためのシステム導入 28.1% 印刷物、電子媒体の持出し、廃棄管理 23.9% その他 0.5% 特に何も行っていない 1.2% 無回答 1.5% 28 ⑨-7.無線ネットワークのセキュリティ対策【問10】 無線ネットワークのセキュリティ対策について、「WEP以外による暗号化(WPA・WPA2等)」が71.8%で 最も多く、「MACアドレス認証」が44.4%、「ESS-IDの適切な設定」が33.1%で続いている。 【全体】無線ネットワークのセキュリティ対策(MA,n=326) 0% 10% 20% 30% 40% 50% 60% WEP以外による暗号化(WPA・WPA2等) 70% 80% 90% 100% 71.8% MACアドレス認証 44.4% ESS‐IDの適切な設定 33.1% IEEE802.1.x 27.4% WEPによる暗号化 25.7% 電磁波の遮蔽 0.0% その他 8.9% 特に行っていない 0.8% 無回答 2.4% ⑨-8. 不正プログラムへの対策【問52】 不正プログラムへの対策について、 「ウイルス対策ソフト(クライアント)の使用」が96.8%で最も多 く、 「ウイルス対策ソフト(サーバ)の使用」が89.0%、 「パターンファイルを定期的に更新する(自動更 新システムを利用)」が82.2で続いている。 【全体】不正プログラムへの対策(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルス対策ソフト(クライアント)の使用 96.8% ウイルス対策ソフト(サーバ)の使用 89.0% パターンファイルを定期的に更新する(自動更新システムを利用) 82.2% スパイウェア対策ソフト(クライアント)の使用 58.1% 許可されていないソフトウェアのインストール制限 55.0% スパイウェア対策ソフト(サーバ)の使用 53.3% パッチによるOS等のバージョンアップ(自動更新システムを利用) 47.2% パッチによるOS等のバージョンアップ(管理者が手動で更新) 28.6% 27.2% USBメモリの使用禁止 パッチによるOS等のバージョンアップ(社員自らが更新) 18.9% ファイル等のダウンロード制限 18.9% メールの添付ファイルの削除または実行制限 14.1% プロバイダのウイルス等駆除サービスの利用 13.6% 検疫システムの導入 11.6% パターンファイルを定期的に更新する(管理者が手動で更新) 9.1% パターンファイルを定期的に更新する(社員自らが更新) その他 9.0% 1.7% 実施していない 0.0% 無回答 1.0% 29 ⑩ セキュリティ対策状況 ⑩-1.セキュリティサービスの利用状況「現在」【問53】 現在の利用状況について、「利用していない」を除くと、「セキュリティ運用・監視」が26.9%で最も 多く、「ウイルス等監視」が26.2%、「セキュリティ監査」が18.4%、「Webアプリケーション診断」が17.9% で続いている。 【全体】セキュリティサービスの利用状況「現在」(MA,n=602) 0% セキュリティ運用・監視 ウイルス等監視 セキュリティ監査 Webアプリケーション診断 ログ解析 ハウジングサービス 緊急対応 社外での研修による教育の実施 プラットフォーム診断 パッチマネジメント DoS対策 ポリシー策定 セキュアシステム構築 リスク分析 損害保険(不正アクセス等対応) フォレンジックサービス その他 利用していない 無回答 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 26.9% 26.2% 18.4% 17.9% 15.0% 12.8% 11.3% 10.6% 9.3% 7.0% 7.0% 6.6% 6.5% 6.0% 3.8% 2.0% 2.3% 35.4% 1.3% ⑩-2.セキュリティサービスの利用状況「継続」【問54】 継続利用について、「セキュリティ運用・監視」が39.1%で最も多く、「ウイルス等監視」が38.8%、 「セキュリティ監査」が28.1%、「Webアプリケーション診断」が27.6%で続いている。 【全体】セキュリティサービスの利用状況「継続」(MA,n=381) 0% 10% 20% 30% 40% 50% セキュリティ運用・監視 39.1% ウイルス等監視 38.8% セキュリティ監査 28.1% Webアプリケーション診断 27.6% ログ解析 22.0% ハウジングサービス 19.2% 緊急対応 16.3% 社外での研修による教育の実施 16.0% プラットフォーム診断 14.4% パッチマネジメント 10.8% DoS対策 10.2% セキュアシステム構築 9.7% リスク分析 8.4% ポリシー策定 損害保険(不正アクセス等対応) フォレンジックサービス 8.4% 5.5% 3.1% その他 3.1% 無回答 2.4% 30 60% 70% 80% 90% 100% ⑩-3.セキュリティサービスの利用状況「新規」【問55】 新規に利用したいサービスについて、「特になし」を除くと「セキュリティ運用・監視」が16.5%で最 も多く、「ログ解析」が15.0%で続いている。「特にない」は24.4%となっている。 【全体】セキュリティサービスの利用状況「新規」(MA,n=381) 0% セキュリティ運用・監視 ログ解析 リスク分析 セキュリティ監査 社外での研修による教育の実施 Web アプリケーション診断 DoS対策 ポリシー策定 セキュアシステム構築 緊急対応 ウイルス等監視 フォレンジックサービス プラットフォーム診断 パッチマネジメント 損害保険(不正アクセス等対応) ハウジングサービス その他 特にない 無回答 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 16.5% 15.0% 13.6% 13.4% 13.1% 10.2% 8.4% 7.6% 7.6% 7.3% 7.1% 6.6% 6.0% 4.5% 4.2% 1.6% 1.0% 24.4% 11.3% ⑩-4.セキュリティサービスを利用していない理由【問56】 セキュリティサービスを利用していない理由について、「予算がない」が43.7%で最も多く、「価格が 見合わない」が32.9%で続いており、金銭面の理由が上位に挙げられている。 【全体】セキュリティサービスを利用していない理由(MA,n=213) 0% 10% 20% 30% 40% 予算がない 43.7% 価格が見合わない 32.9% 社・団体内の担当者だけで必要な人員が 確保されているため、必要性がない 17.4% 社・団体内にノウハウの蓄積を行いたい 機密情報の漏えいにつながることが懸念される 15.5% 8.5% 社・団体内に高い専門性やノウハウ、 技術力があり、必要性がない 3.3% 要求に合致するサービスが提供されていない 3.3% その他 無回答 50% 16.4% 3.3% 31 60% 70% 80% 90% 100% ⑩-5.2015年度の情報セキュリティ投資計画【問57】 2015年度の情報セキュリティ投資計画について、「今季と比較して、ほぼ同額とする計画である」と する割合が75.9%で最も多い。増やす計画であるとする各項目の合計は20.8%で、減らすとする各項目の 合計は1.3%となっている。 【全体】2015年度の情報セキュリティ投資計画(SA,n=602) 1.7% 0.8% 0.3% 0.2% 2.0% 今季と比較して、ほぼ同額(‐10 ~+10%)とする計画である 2.7% 今季と比較して、小幅に増やす (+10 ~+30%)計画である 16.4% 今季と比較して、かなり増やす (+30 ~+50%)計画である 今季と比較して、大幅に増やす (+50%以上)計画である 今季と比較して、小幅に減らす (‐10 ~‐30%)計画である 今季と比較して、かなり減らす(‐ 30 ~‐50%)計画である 75.9% 今季と比較して、大幅に減らす (‐50%以上)計画である 無回答 ⑩-6.情報セキュリティ対策実施上の問題点【問58】 情報セキュリティ対策実施上の問題点について、「費用対効果が見えない」が59.6%で最も多く、「コ ストがかかりすぎる」が49.8%、「どこまで行えば良いのか基準が示されていない」が46.3%で続いてい る。 【全体】情報セキュリティ対策実施上の問題点(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 費用対効果が見えない 59.6% コストがかかりすぎる 49.8% どこまで行えば良いのか基準が示されていない 46.3% 教育訓練が行き届かない 35.5% 対策を構築するノウハウが不足している 27.4% 従業員への負担がかかりすぎる 20.3% トップの理解が得られない 12.0% 情報を資産として考える習慣がない 11.3% 最適なツール・サービスがない その他 無回答 70% 5.1% 1.8% 0.8% 32 80% 90% 100% ⑪ セキュリティインシデントへの対応 ⑪-1.不正アクセス等により想定される被害【問60】 不正アクセス等により想定される被害について、「個人のプライバシーが脅かされる」が68.8%で最も 多く、「社会的に深刻な被害には至らないが、自社の事業活動にとっては深刻な被害になる」が55.6%で 続いている。一方、「特に深刻な被害にはならない」が2.5%であり、ほぼ全ての社・団体等で不正アク セス等による被害が深刻になると想定している。 【全体】不正アクセス等により想定される被害(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人のプライバシーが脅かされる 68.8% 社会的に深刻な被害には至らないが、自社の事業活動に とっては深刻な被害になる 55.6% 顧客や取引先等の財産が脅かされる 37.4% 行政機能が脅かされる 25.7% 顧客等の人命や健康が脅かされる 10.1% 経済活動全般が脅かされる(金融為替取引の停止・ 混乱や資本逃避等) 8.8% 国民の生活環境が脅かされる(治安悪化や環境汚染等) 7.6% エネルギー供給や水供給、交通システム等の ライフラインが脅かされる 7.0% その他 特に深刻な被害にはならない 無回答 0.8% 2.5% 0.3% 33 ⑫ 情報セキュリティに関する被害状況 ⑫-1.過去1年間の情報セキュリティに関する被害状況【問61】 情報セキュリティに関する被害状況について、「被害は生じなかった」が65.8%で最も多い。被害が生 じたとの回答では、「ウイルス等の感染」が12.1%で最も多い。 【全体】過去1年間の情報セキュリティに関する被害状況(MA,n=602) 0% ウイルス等の感染 端末機器(PC、スマートフォン等)の盗難 Dos攻撃 踏み台(バックドア設置等) 部外からの不正アクセス 電子メールの不正中継 ホームページの改ざん 外部記録媒体の盗難 Web等での誹謗・中傷被害 偽サイト等模倣サイトの開設 フィッシングサイトの開設 ウイルス以外の情報流出 内部の者のネットワーク悪用 システム損壊等による業務妨害 ウイルスによる情報流出 システム損壊、データ改ざん ネットワーク利用詐欺 その他データ盗用(キーロガー含む) その他 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 12.1% 6.1% 3.5% 2.8% 2.7% 2.5% 1.8% 1.7% 1.2% 0.8% 0.7% 0.5% 0.5% 0.3% 0.2% 0.2% 0.0% 0.0% 1.3% 情報セキュリティに関する被害は生じなかった 65.8% 無回答 9.1% ⑫-2.ウイルス等の感染ルート別被害状況【問62】 ウイルス等の感染ルート別被害状況について、 「ウェブサイトへのアクセス」が45.2%で最も多く、 「電 子メール」が37.0%、「ソフトウェアのダウンロード」が26.0%、「社・団体内の者による記録媒体の持込 み(私物機器含む)」が20.5%で続いている。 【全体】ウイルス等の感染ルート別被害状況(MA,n=73) 0% 10% 20% 30% 40% ウェブサイトへのアクセス 45.2% 電子メール 37.0% ソフトウェアのダウンロード 26.0% 社・団体内の者による記録媒体の持込み(私物機器含む) 社・団体の部外者からの記録媒体の持込み(私物機器含む) 外部からの直接アクセス(ファイル共有) 50% 20.5% 8.2% 6.8% その他 11.0% 無回答 19.2% 34 60% 70% 80% 90% 100% ⑫-3.被害に遭った時の対応【問65】 被害に遭った時の対応について、「セキュリティ教育の実施・強化」が32.5%で最も多く、「不正アク セスが行われていないかどうか、ネットワークの監視」が23.8%、「最新パッチの適応」が23.2%で続い ている。一方、被害後も「特に何も対策を講じていない」は11.9%となっている。 【全体】被害に遭った時の対応(MA,n=151) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% セキュリティ教育の実施・強化 32.5% 不正アクセスが行われていないかどうか、ネットワークの監視 23.8% 最新パッチの適応 23.2% ソフトウェアのバージョンアップ 17.2% システム上にセキュリティホールがないかどうか検査、診断 15.2% ウイルス等対策製品の導入・強化 13.9% 不必要なサービスの停止 13.9% ファイアウォールの設置・強化 11.9% セキュリティポリシーの策定・見直し 10.6% ネットワークの再構築 4.0% セキュリティコンサルティングの利用 4.0% 認証機能の導入・強化 セキュリティ監査の実施 弁護士への相談 3.3% 2.0% 0.7% その他 不明 14.6% 0.0% 特に何も対応策を講じていない 無回答 11.9% 9.3% ⑫-4.被害調査の実施状況【問63】 自社若しくはセキュリティコンサルティング会社における被害調査の実施状況について、「実施しな かった」が57.0%、「実施した」が32.5%となっている。 【全体】被害調査の実施状況(MA,n=151) 10.6% 57.0% 実施しなかった 実施した 32.5% 無回答 35 ⑫-5.被害を受けた時に届け出た行政機関【問66-1】 情報セキュリティに関する被害の届出について、「届け出なかった」が54.3%で最も多い。被害を受け た際に届けた行政機関としては、「警察」が23.2%で最も多く、「監督官庁」が13.2%で続いている。 【全体】被害を受けた時に届け出た行政機関(MA,n=151) 0% 10% 20% 警察 その他 60% 9.3% 3.3% 0.0% 4.0% 届け出なかった 無回答 50% 13.2% IPA(情報処理推進機構) 国民生活センター・消費生活センター 40% 23.2% 監督官庁 JPCERT/CC 30% 54.3% 7.3% 36 70% 80% 90% 100% ⑬ 情報セキュリティ対策実施上の方針 情報セキュリティ対策を実施する上での方針について、「投資方針」等6つの項目に関して相対する2 つの考え(①②)を提示し、社・団体等における考え方が①②の考え方のいずれに近いかについて質問 している。 「投資方針」について、「②積極的」とする回答が「①必要最低限」とする回答を上回っている。 「事後的対応と予防的対応」について、「②予防的対応」とする回答が「①問題発生に対する適切な 対応」とする回答を大幅に上回っている。 「対応すべき範囲」について、「①人的・技術的な対策で十分」とする回答が「②保険的対応が必要」 を上回っている。 「非技術的対応」について、「①教育と情報提供を中心とした対応」とする回答が「②規則・罰則も 含む強制力のある対応」とする回答を上回っている。 「プライバシーの考慮」について、「②ある程度のプライバシーの侵害はやむをえない」とする回答 が「①プライバシーはある程度考慮されるべきだ」とする回答を上回っている。 「利便性とのバランス」については、「①利便性とのバランスを考慮」とする回答が「②負担を強い てでもセキュリティを守る」とする回答を大幅に上回っている。 【全体】情報セキュリティ対策実施上の方針(SA,n=602) 0% 10% 20% 投資方針 4.0% 30% 40% 33.4% 50% 60% 70% 80% 53.2% 90% 100% 8.5% 1.0% 事後的対応と予防的対応 4.5% 対応すべき範囲 22.8% 62.3% 9.1% 9.6% 56.0% 31.9% 0.8% 1.5% 1.5% 非技術的対応 12.3% 48.3% 31.2% 7.3% 0.8% プライバシーの考慮 利便性とのバランス 8.0% 35.9% 15.0% 40.7% 49.5% 14.5% 29.2% 1.0% 5.3% 1.0% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 37 どちらかといえば②の考え方に近い 3.基本分析 3.1.情報システム等の環境 3.1.1.端末装置の利用環境 【問8】 【全体】全体では、「1人1台の環境が整っている」が84.1%で最も多く、「数人で共有している」が8.3%、 「支店や拠点で共有している」が1.7%で続いている。一方、「端末は利用していない」に該当は無く、 何らかの形で端末を利用していることが分かる。 【全体】端末装置の利用環境(SA,n=602) 0.8% 4.8% 0.0% 0.3% 1.7% 1人1台以上の環境が整っ ている 数人で共有している 8.3% 支店や拠点で共有している 部・課で共有している その他 端末は利用していない 無回答 84.1% 38 【業種別分析】業種別を見ると、「1人1台の環境が整っている」では、「不動産・建築」が97.7%で最も 多く、「教育」が89.7%で続いている。一方、「サービス」は60.0%で最も少ない。 【業種別分析】端末装置の利用環境 0% 10% 20% 30% 40% 50% 農林・水産・鉱業(n=6) 83.3% 製造業(n=141) 84.4% 60% 70% 80% 90% 100% 16.7% 7.8% 7.1% 0.7% 不動産・建築(n=43) 97.7% 金融(n=28) 2.3% 60.7% 32.1% エネルギー(n=4) 7.1% 100.0% 運輸業(n=17) 76.5% 11.8% 情報通信(n=9) 5.9% 5.9% 100.0% サービス(n=60) 60.0% 18.3% 教育(n=145) 89.7% 6.7% 8.3% 6.7% 3.4% 5.5% 0.7% 行政サービス(n=143) 6.3% 88.8% 0.7% 4.2% 0.7% 全体(n=602) 84.1% 8.3% 1.7% 0.8% 1人1台の環境が整っている 数人で共有している 部・課で共有している 支店や拠点で共有している その他 端末は利用していない 無回答 39 0.3% 4.8% 【経年変化】昨年度と比較すると、「1人1台以上の環境が整っている」が14.5ポイント増加している。 一方、「数人で共有している」、「支店や拠点で共有している」、「部・課で共有している」について は減少している。 【経年変化】端末装置の利用環境 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 84.1% 1人1台以上の環境が整っている 69.6% 82.8% 8.3% 数人で共有している 14.0% 6.9% 支店や拠点で共有している 部・課で共有している その他 1.7% 3.6% 1.6% 0.8% 5.6% 0.7% 4.8% 6.0% 7.7% 平成26年度(n=602) 平成25年度(n=1027) 端末は利用していない 無回答 0.0% 0.1% 0.0% 平成24年度(n=610) 0.3% 1.0% 0.3% 40 100% 3.1.2.事業体内のネットワーク利用状況 【問9】 【全体】全体では、「有線ネットワークと無線ネットワークを併用している」が60.6%で最も多く、「全 て有線ネットワークで構築している」が38.2%で続いている。 【全体】事業体内のネットワーク利用状況(SA,n=602) 0.7% 0.0% 0.5% 60.6% 有線ネットワークと無線ネッ トワークを併用している 全て有線ネットワークで構築 している 38.2% 全て無線ネットワークで構築 している LANを敷設していない 無回答 41 【業種別分析】業種別を見ると、「有線ネットワークと無線ネットワークを併用している」については、 「教育」が83.4%で多い。一方、「全て有線ネットワークで構築している」は「金融」が78.6%、「行政 サービス」が69.2%で多い。 【業種別分析】事業体内のネットワーク利用状況 0% 10% 20% 農林・水産・鉱業(n=6) 30% 70% 90% 100% 23.4% 2.1% 48.8% 21.4% 78.6% 50.0% 運輸業(n=17) 80% 50.0% 51.2% エネルギー(n=4) 50.0% 52.9% 情報通信(n=9) 47.1% 77.8% サービス(n=60) 22.2% 73.3% 教育(n=145) 全体(n=602) 60% 74.5% 不動産・建築(n=43) 行政サービス(n=143) 50% 50.0% 製造業(n=141) 金融(n=28) 40% 25.0% 83.4% 30.1% 0.7% 69.2% 60.6% 0.7% 有線ネットワークと無線ネットワークを併用している 全て有線ネットワークで構築している 無回答 42 1.7% 15.2% 0.7% 0.7% 38.2% 全て無線ネットワークで構築している LANを敷設していない 0.5% 【経年変化】昨年度と比較すると、「有線ネットワークと無線ネットワークを併用している」が8.1ポ イント増加している。一方、「全て有線ネットワークで構築している」は5.1ポイント減少しており、減 少傾向がみられる。 【経年変化】事業体内のネットワーク利用状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 60.6% 有線ネットワークと無線ネットワークを併用している 52.5% 53.4% 38.2% 全て有線ネットワークで構築している 43.3% 45.7% 0.7% 全て無線ネットワークで構築している 2.1% 0.0% 0.0% LANを敷設していない 平成26年度(n=602) 0.7% 平成25年度(n=1027) 0.2% 平成24年度(n=610) 0.5% 無回答 1.4% 0.7% 43 90% 100% 3.2.ネットワーク接続環境 3.2.1.インターネットへの接続の有無【問11】 【全体】全体では、「接続している」が97.7%で最も多く、「接続しておらず、接続の計画もない」は0.5% であった。 【全体】インターネット接続の有無(SA,n=602) 1.8% 0.5% 0.0% 接続している 接続しておらず、接続の計画 もない 接続していないが、現在接 続を計画中である 無回答 97.7% 44 【業種分析別】業種別を見ると、全ての業種においてインターネットへ「接続している」という回答が 多い。 【業種別分析】インターネット接続の有無 0% 10% 20% 30% 40% 農林・水産・鉱業(n=6) 50% 60% 70% 80% 90% 100% 100.0% 製造業(n=141) 98.6% 不動産・建築(n=43) 1.4% 100.0% 金融(n=28) 3.6% 92.9% エネルギー(n=4) 100.0% 運輸業(n=17) 100.0% 情報通信(n=9) 100.0% サービス(n=60) 93.3% 教育(n=145) 3.6% 6.7% 98.6% 行政サービス(n=143) 97.2% 全体(n=602) 97.7% 1.4% 1.4% 1.4% 0.5% 1.8% 接続している 接続しておらず、接続の計画も無い 接続していないが、現在接続を計画中である 無回答 45 【経年変化】経年変化を見ると、インターネットへ「接続している」は他の項目に比べて多く、若干の 増加傾向がみられる。 【経年変化】インターネット接続の有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 97.7% 接続している 96.4% 94.9% 0.5% 接続しておらず、接続の計画もない 0.9% 2.1% 0.0% 接続していないが、現在接続を計画中である 0.4% 平成26年度(n=602) 0.2% 平成25年度(n=1027) 平成24年度(n=610) 1.8% 無回答 2.3% 2.8% 46 3.2.2.インターネットへの接続の認証方法【問13】 【全体】全体では、「ID・パスワード認証」が70.9%で最も多く、「認証なし」は21.9%となっている。 【全体】インターネットへの接続の認証方法(MA,n=588) 0% 10% 20% 30% ID・パスワード認証 ワンタイムパスワード 7.5% 4.6% 2.9% バイオメトリクス(指紋等での認証) 1.4% 電話番号規制 0.5% コールバック 0.2% その他 4.1% 認証なし 無回答 50% 60% 70% 80% 70.9% ICカード・トークンデバイス型認証ツール 電子証明書(PKI) 40% 21.9% 1.9% 47 90% 100% 【業種分析別】業種別を見ると、「ID・パスワード認証」については、「金融」が92.3%で最も多く、「教 育」が78.3%で続いている。「認証なし」については、「サービス」が32.1%で最も多い。 ID・パスワード認証 0% 20% 40% 認証なし 60% 80% 農林・水産・鉱業(n=6) 100% 0% 100.0% 農林・水産・鉱業(n=6) 製造業(n=139) 69.1% 製造業(n=139) 不動産・建築(n=43) 69.8% 不動産・建築(n=43) 金融(n=26) エネルギー(n=4) 運輸業(n=17) 情報通信(n=9) サービス(n=56) 教育(n=143) 行政サービス(n=139) 全体(n=588) 92.3% 金融(n=26) エネルギー(n=4) 50.0% 運輸業(n=17) 64.7% 情報通信(n=9) 66.7% サービス(n=56) 60.7% 教育(n=143) 78.3% 65.5% 70.9% 48 20% 40% 0.0% 25.9% 23.3% 0.0% 25.0% 17.6% 22.2% 32.1% 18.2% 行政サービス(n=139) 23.0% 全体(n=588) 21.9% 60% 80% 100% 【経年変化】昨年度と比較すると、「ID・パスワード認証」は8.2ポイント増加し、「ICカード・トーク ンデバイス型認証ツール」は2.5ポイント増加している。一方、「認証なし」は10.5ポイント減少してい る。 【経年変化】インターネットへの接続の認証方法 0% 10% 20% 30% 40% 50% 60% 70% 80% 70.9% ID・パスワード認証 62.7% 72.2% ICカード・トークンデバイス型認証ツール 電子証明書(PKI) ワンタイムパスワード バイオメトリクス(指紋等での認証) 7.5% 5.0% 7.6% 4.6% 4.8% 10.0% 2.9% 2.5% 7.1% 1.4% 1.1% 2.4% 電話番号規制 0.5% 0.4% 1.4% コールバック 0.2% 0.1% 0.9% その他 4.1% 3.0% 4.5% 平成26年度(n=588) 平成25年度(n=994) 平成24年度(n=580) 21.9% 認証なし 32.4% 16.0% 無回答 1.9% 3.0% 3.6% 49 90% 100% 3.2.3.ソーシャルネットワーキングサービスの公用アカウントの有無【問16】 【全体】全体では、「利用していない」が51.5%、「利用している」が47.4%となっている。 【全体】ソーシャルネットワーキングサービスの公用アカウントの有無(SA,n=588) 1.0% 利用していない 利用している 47.4% 51.5% 無回答 50 【業種分析別】業種別を見ると、「利用している」については、「行政サービス」が73.4%で最も多く、 「教育」が58.0%で続いている。 【業種別分析】ソーシャルネットワーキングサービスの公用アカウントの有無 0% 10% 20% 30% 40% 農林・水産・鉱業(n=6) 金融(n=26) 30.2% 18.6% 教育(n=143) 26.9% 90% 100% 73.1% 75.0% 17.6% 25.0% 82.4% 77.8% 22.2% 39.3% 60.7% 58.0% 行政サービス(n=139) 全体(n=588) 80% 81.4% 情報通信(n=9) サービス(n=56) 70% 69.8% エネルギー(n=4) 運輸業(n=17) 60% 100.0% 製造業(n=139) 不動産・建築(n=43) 50% 39.9% 73.4% 2.1% 24.5% 47.4% 51.5% 利用している 利用していない 51 2.2% 1.0% 無回答 【経年変化】昨年度と比較すると、「利用していない」は10.3ポイント減少し、「利用している」は10.9 ポイント増加している。 【経年変化】ソーシャルネットワーキングサービスの公用アカウントの有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 51.5% 利用していない 61.8% 47.4% 利用している 36.5% 平成26年度(n=588) 無回答 1.0% 平成25年度(n=994) 1.7% 52 100% 3.2.4.外部からの接続許可状況 【問17】 【全体】全体では、「接続を許可しているが、社・団体内に居る場合より制限された機能が提供される」 が38.6%で最も多く、「接続を許可しており、社・団体内に居る場合と同様な機能が提供される」の19.6% と合わせて58.2%が外部からの接続を認めていることが分かる。 一方、「現在も、将来も接続を許可し ない」は30.1%となっている。 【全体】外部からの接続許可状況(SA,n=588) 11.4% 0.3% 接続を許可しているが、社・団体内に居 る場合より制限された機能が提供される 38.6% 19.6% 現在も、将来も接続を許可しない 接続を許可しており、社・団体内に居る 場合と同様な機能が提供される 現在、接続を一切禁止しているが、今後 接続許可の検討をしていく予定 無回答 30.1% 53 【経年変化】昨年度と比較すると、「接続を許可しているが、社・団体内に居る場合より制限された機 能が提供される」は9.0ポイント増加し、「現在も、将来も接続を許可しない」は9.6ポイント減少して いる。 【経年変化】外部からの接続許可状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 38.6% 接続を許可しているが、社・団体内に居る場合より 制限された機能が提供される 29.6% 35.0% 30.1% 現在も、将来も接続を許可しない 39.7% 34.3% 19.6% 接続を許可しており、社・団体内に居る場合と 同様な機能が提供される 17.7% 19.1% 11.4% 現在、接続を一切禁止しているが、今後 接続許可の検討をしていく予定 11.4% 10.7% 平成26年度(n=588) 0.3% 無回答 平成25年度(n=994) 1.6% 平成24年度(n=580) 0.9% 54 90% 100% 3.2.5.外部からの接続の利用目的【問19】 【全体】全体では、「メールサーバへのアクセス」が80.9%で最も多く、「スケジュール等グループウェ アの利用」が76.0%で続いている。 【全体】外部からの接続の利用目的(MA,n=362) 0% 10% 20% 30% 40% 50% 60% メールサーバへのアクセス 80% 90% 80.9% スケジュール等グループウェアの利用 76.0% Web サーバへのアクセス 53.3% 基幹業務システムへのアクセス 50.3% 情報システムメンテナンス その他 70% 34.8% 3.3% 55 100% 3.3.アクセスログ取得状況 3.3.1.ログの取得状況【問21】 【全体】全体では、「ファイアウォール・侵入検知システム等(IDS、IPS等)のログ」が84.9%で最も多 く、「メールサーバのログ」が81.2%で続いている。一方、「全く取得していない」は2.3%であった。 【全体】ログの取得状況(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ファイアウォール・侵入検知システム等(IDS、IPS等)のログ 84.9% メールサーバのログ 81.2% ウェブサーバへのアクセスログ 79.7% 情報システムへの認証ログ 76.1% データベースのログ 73.4% クライアントPCのログ 70.1% プロキシサーバのログ その他 全く取得していない 無回答 65.8% 3.3% 2.3% 3.8% 56 【業種別分析】業種別を見ると、「ファイアウォール・侵入検知システム等(IDS、IPS等)のログ」に ついては、「教育」が95.9%、「金融」が92.9%で9割を超えており、「メールサーバのログ」については 「金融」が92.9%で9割を超えている。 【業種別分析】情報セキュリティ対策の必要性 ファイアウォール・侵入検知システム等 メールサーバのログ (IDS、IPS等)のログ 0% 20% 40% 60% 80% 100% 0% 農林・水産・鉱業(n=6) 83.3% 農林・水産・鉱業(n=6) 製造業(n=141) 83.0% 製造業(n=141) 不動産・建築(n=43) 81.4% 不動産・建築(n=43) 金融(n=28) 92.9% 20% 40% 60% 80% 100% 100.0% 80.9% 79.1% 金融(n=28) 92.9% エネルギー(n=4) 75.0% エネルギー(n=4) 75.0% 運輸業(n=17) 76.5% 運輸業(n=17) 76.5% 情報通信(n=9) 情報通信(n=9) 88.9% サービス(n=60) サービス(n=60) 73.3% 教育(n=145) 95.9% 行政サービス(n=143) 81.8% 全体(n=602) 84.9% ウェブサーバへのアクセスログ 0% 20% 40% 60% 不動産・建築(n=43) 80% 教育(n=145) 81.1% 全体(n=602) 81.2% 0% 100.0% 農林・水産・鉱業(n=6) 不動産・建築(n=43) 74.4% 92.9% エネルギー(n=4) 運輸業(n=17) 76.5% 運輸業(n=17) 行政サービス(n=143) 全体(n=602) 40% 60% 80% 100% 66.7% 78.0% 67.4% 金融(n=28) 75.0% 情報通信(n=9) 20% 製造業(n=141) 78.7% エネルギー(n=4) 教育(n=145) 84.1% 行政サービス(n=143) 100% 金融(n=28) サービス(n=60) 71.7% 情報システムへの認証ログ 農林・水産・鉱業(n=6) 製造業(n=141) 66.7% 82.1% 75.0% 52.9% 情報通信(n=9) 88.9% サービス(n=60) 71.7% 教育(n=145) 86.2% 行政サービス(n=143) 76.2% 全体(n=602) 79.7% 57 88.9% 65.0% 85.5% 72.7% 76.1% 3.3.2.ログの保管期間【問21A】 【全体】全体では、すべてのログの種類で「決めていない」が最も多い。ログの保管期間で最も多いの はすべてのログの種類で「1年間」となっている。 【全体】ログの保管期間 0% 10% ファイアウォール・侵入検知 システム等(IDS 、IPS 等)の 3.1% ログ(n=511) 11.2% 12.9% 6.5% 11.3% 40% 50% 60% 17.0% 70% 80% 90% 34.1% 100% 2.3% 12.3% 12.1% 18.1% 33.8% 2.3% 12.7% 10.4% 6.3% 20.9% 32.3% 1.6% 12.7% 1.0% 情報システムへの認証ログ 7.0% (n=458) 2.8% データベースのログ 6.1% (n=442) 2.7% 4.0% 9.0% 0.6% プロキシサーバのログ 2.0% 10.9% (n=396) クライアントPCのログ (n=422) 30% 0.6% ウェブサーバへの 2.1% 10.2% アクセスログ(n=480) メールサーバのログ 2.7% (n=489) 20% 14.6% 7.3% 15.4% 33.6% 2.5% 11.9% 1.8% 10.5% 5.2% 16.6% 42.6% 2.0% 12.2% 1.1% 8.8% 4.3% 16.3% 45.7% 2.0% 12.7% 1.4% 6.4% 5.0% 15.6% 47.9% 10.7% 5.2% 3.1% 2.1% その他(n=20) 10.0% 5.0% 5.0% 1週間以下 1か月間 30.0% 3か月間 5.0% 5.0% 6か月間 58 1年間 決めていない 40.0% その他 保管していない 無回答 3.3.3.ログの解析頻度【問21B】 【全体】全体では、すべてのログの種類で「問題発生時」が最も多い。 【全体】ログの解析頻度 0% 10% 20% 30% ファイアウォール・侵入検知 システム等(IDS 、IPS 等)の ログ(n=511) 54.4% ウェブサーバへの アクセスログ(n=480) 54.6% 40% 50% 60% 70% 10.2% 80% 14.3% 13.5% 0.6% 6.1% 14.5% 1.3% プロキシサーバのログ (n=396) 58.8% 4.0% 2.3% 60.5% データベースのログ (n=442) 6.3% 57.2% 1.8% 1.1% 3.1% 0.9% 7.5% 2.5% 57.8% 4.0% 6.6% 0.2% その他(n=20) 35.0% 問題発生時 毎日 10.0% 毎週 毎月 59 5.0% 3か月 2.6% 10.0% 10.0% 6か月 決めていない 2.0% 3.0% 1.5% 14.2% 17.0% 1.4% クライアントPCのログ (n=422) 3.5% 14.1% 4.8% 8.7% 1.5% 1.8% 1.3% 11.6% 0.9% 情報システムへの認証ログ (n=458) 2.1% 3.1% 1.7% 1.0% 8.0% 1.4% 2.5% 60.5% 1.4% 1.3% 1.7% 12.7% 2.0% 11.9% 1.4% 2.3% メールサーバのログ (n=489) 100% 1.6% 1.2% 1.8% 7.1% 90% 18.2% 1.7% 3.5% 2.5% 1.6% 2.7% 2.1% 1.4% 5.5% 30.0% その他 未実施 無回答 3.3.4.ログを取得・保管している理由【問22】 【全体】全体では、「不正アクセス等外部からの不正行為を記録し、後で確認するため」が87.8%で最も 多く、「システムの動作状況を記録し、管理、改善等に役立てるため」が69.6%、「従業員による情報の 持ち出し等内部の不正行為を記録し、後で確認するため」が60.9%で続いている。 【全体】ログを取得・保管している理由(MA,n=565) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 不正アクセス等外部からの不正行為を記録し、後で確認するため 87.8% システムの動作状況を記録し、管理、改善等に役立てるため 69.6% 従業員による情報の持ち出し等内部の不正行為を記録し、 後で確認するため 60.9% 法令等により記録が義務付けられているため 16.5% 顧客のアクセスログ等を分析してサービスその他業務に 反映させるため 12.0% 顧客のアクセスログに基づいて料金を請求するなど、 業務に必要であるため 0.7% その他 1.4% 特に目的はない 0.4% 無回答 0.9% 60 3.4.Webサイト管理 3.4.1.Webサイトの管理状況【問23】 【全体】全体では、 「一部を外部業者に任せている」が47.5%で最も多く、 「自ら管理している」が25.7%、 「全て外部業者に任せている」が25.4%で続いている。7割以上が一部または全て外部業者に任せてい る。 【全体】Webサイトの管理状況(SA,n=602) 0.0% 1.3% 一部を外部業者に任せている 25.4% 47.5% 自ら管理している 全て外部業者に任せている ウェブサイトがない 無回答 25.7% 61 【経年変化】昨年度と比較すると、「一部を外部業者に任せている」は10.0ポイント増加している。 【経年変化】Webサイトの管理状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 47.5% 一部を外部業者に任せている 37.5% 25.7% 自ら管理している 25.4% 25.4% 全て外部業者に任せている 31.4% ウェブサイトがない 0.0% 平成26年度(n=602) 3.9% 平成25年度(n=1027) 無回答 1.3% 1.9% 62 100% 3.4.2.Webサイトのサーバのログ管理【問24】 【全体】全体では、「特に期間は決まっていない」が43.1%で最も多く、「1年間」が13.5%、「3か月 間」が9.3%で続いている。一方、「保管はしていない」は4.7%であった。 【全体】Webサイトのサーバのログ管理(SA,n=594) 4.7% 特に期間は決まっていない 4.9% 1年間 10.9% 3か月間 1.5% 43.1% 1か月間 6か月間 5.4% 1週間以下 6.7% その他 保管はしていない 9.3% 無回答 13.5% 63 【業種別分析】業種別を見ると、「金融」を除く全ての業種において、「特に期間は決まっていない」が 最も多い。 【業種別分析】Webサイトのサーバのログ管理 0% 10% 農林・水産・鉱業(n=5) 3.5% 不動産・建築(n=42) 4.8% 4.8% 50% 60% 41.8% 9.5% 90% 100% 12.8% 47.6% 7.1% 16.7% 3.5% 7.1% 2.4% 7.4% 11.1% 12.5% 情報通信(n=8) 80% 40.0% 18.5% 33.3% 33.3% 6.3% 70% 20.0% 15.6% 3.5% 7.1% 7.4% 3.7% 40% 20.0% 11.3% エネルギー(n=3) 運輸業(n=16) 30% 20.0% 0.7% 製造業(n=141) 金融(n=27) 20% 66.7% 12.5% 25.0% サービス(n=59)1.7% 8.5% 1.7% 教育(n=145)0.7% 11.7% 6.3% 37.5% 12.5% 12.5% 15.3% 5.1% 18.5% 11.0% 6.9% 6.3% 12.5% 12.5% 25.0% 12.5% 49.2% 13.8% 6.3% 8.5% 5.1% 7.6% 44.1% 5.1% 1.4% 2.8% 1.4% 行政サービス(n=142) 6.3% 6.3% 1.5% 全体(n=594) 6.7% 4.9% 9.3% 13.4% 5.4% 46.5% 13.5% 43.1% 9.2% 4.2% 7.7% 10.9% 4.7% 4.9% 1週間以下 1か月間 3か月間 6か月間 1年間 特に期間は決まっていない その他 保管はしていない 無回答 64 【経年変化】昨年度と比較すると、「特に期間は決まっていない」が6.7ポイント減少し、「1年間」が 4.1ポイント、「3か月間」が3.3ポイント増加している。 【経年変化】Webサイトのサーバのログ管理 0% 10% 20% 6か月間 1週間以下 その他 保管はしていない 無回答 50% 60% 70% 80% 49.8% 13.5% 1年間 1か月間 40% 43.1% 特に期間は決まっていない 3か月間 30% 9.4% 9.3% 6.0% 6.7% 6.5% 5.4% 3.4% 1.5% 2.6% 10.9% 7.3% 平成26年度(n=594) 平成25年度(n=646) 4.7% 8.8% 4.9% 6.0% 65 90% 100% 3.4.3.連続自動入力プログラムによる不正ログイン攻撃についての調査【問26】 【全体】全体では、「不正ログイン攻撃の存在は知っていたが、調査は実施していない」が36.7%で最も 多く、「調査した結果、攻撃を受けた事実は判明しなかった」が19.0%で続いている。一方、「利用者に ID・パスワード入力を求めるWebサービスを提供していない」は23.9%であった。 【全体】連続自動入力プログラムによる不正ログイン攻撃についての調査(SA,n=594) 4.5% 3.7% 不正ログイン攻撃の存在は知ってい たが、調査は実施していない 12.1% 36.7% 利用者にID・パスワード入力を求め るWebサービスを提供していない 調査した結果、攻撃を受けた事実は 判明しなかった 調査した結果、攻撃を受けた(おそれ がある場合を含む。)ことが判明した 19.0% 不正ログイン攻撃の存在を知らな かったので、調査は実施していない 23.9% 無回答 66 【業種別分析】業種別を見ると、「不正ログイン攻撃の存在は知っていたが、調査は実施していない」 については、「運輸業」が56.3%で最も多く、「教育」が49.0%、「金融」が44.4%と続いている。 【業種別分析】連続自動入力プログラムによる不正ログイン攻撃についての調査 0% 10% 20% 農林・水産・鉱業(n=5) 製造業(n=141) 30% 12.1% 7.1% 金融(n=27) 7.4% 14.3% 60% 70% 32.6% 33.3% 27.7% 9.5% 44.4% サービス(n=59) 教育(n=145) 25.0% 4.9% 12.1% 23.7% 14.5% 21.8% 12.5% 12.5% 23.7% 17.9% 2.4% 14.8% 56.3% 22.0% 5.7% 33.3% 12.5% 25.0% 100% 33.3% 66.7% 情報通信(n=8) 90% 20.0% 5.7% 33.3% 運輸業(n=16) 6.3% 80% 40.0% 16.3% エネルギー(n=3) 全体(n=594) 50% 40.0% 不動産・建築(n=42) 行政サービス(n=142) 40% 37.5% 19.0% 3.4% 33.1% 3.5% 36.7% 20.3% 5.1% 49.0% 32.4% 4.5% 23.9% 調査した結果、攻撃を受けた(おそれがある場合を含む。)ことが判明した 調査した結果、攻撃を受けた事実は判明しなかった 不正ログイン攻撃の存在は知っていたが、調査は実施していない 不正ログイン攻撃の存在を知らなかったので、調査は実施していない 利用者にID・パスワード入力を求めるWebサービスを提供していない 無回答 67 12.5% 5.1% 13.1% 2.1% 4.2% 3.7% 【経年変化】昨年度と比較すると、 「調査を行ったことがない」が 9.7 ポイント減少し、 「調査した結果、 攻撃を受けた事実は判明しなかった」が 4.4 ポイント、 「調査した結果、攻撃を受けた(おそれがある場 合を含む。)ことが判明した」が 3.1 ポイント増加している。 【経年変化】連続自動入力プログラムによる不正ログイン攻撃についての調査 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 41.2% 調査を行ったことがない 50.9% 23.9% 利用者にID・パスワード入力を求める Webサービスを提供していない 21.8% 19.0% 調査した結果、攻撃を受けた事実は判明しなかった 14.6% 12.1% 調査した結果、攻撃を受けた(おそれがある場合を含む。) ことが判明した 平成26年度(n=594) 9.0% 平成25年度(n=458) 3.7% 無回答 3.7% 68 3.5.情報セキュリティ対策 3.5.1.電子メールに関するセキュリティ対策の実施【問27】 【全体】全体では、「自ら実施している」が60.6%で最も多く、「外部業者(プロバイダ、セキュリティ 事業者等)に任せている」が35.5%で続いている。 【全体】電子メールに関するセキュリティ対策の実施(SA,n=602) 0.5% 1.2% 2.2% 自ら実施している 60.6% 外部業者(プロバイダ、セキュ リティ事業者等)に任せている 35.5% 電子メールは使用していない 特に何もしていない 無回答 69 【経年変化】昨年度と比較すると、 「自ら実施している」が 3.7 ポイント増加し、 「特に何もしていない」 が 4.1 ポイント減少している。 【経年変化】電子メールに関するセキュリティ対策の実施 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 60.6% 自ら実施している 56.9% 35.5% 外部業者(プロバイダ、セキュリティ事業者等)に任せている 36.0% 電子メールは使用していない 0.5% 0.3% 特に何もしていない 1.2% 5.3% 無回答 2.2% 1.6% 70 平成26年度(n=602) 平成25年度(n=1027) 3.5.2.メールサーバ等での対策【問28】 【全体】全体では、「ウイルスチェック」が94.5%で最も多く、「フィルタリング(特定の条件を満たす メールの配信をしない)」が74.5%、「不正中継防止」が48.2%で続いている。 【全体】メールサーバ等での対策(MA,n=365) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルスチェック 94.5% フィルタリング(特定の条件を満たすメールの配信をしない) 74.5% 不正中継防止 48.2% 利用メールソフトの指定・制限 37.5% メール利用の制限(利用可能者の限定、利用端末の限定等) 35.3% 特定の拡張子を持つファイルが添付されている場合に送・受信を拒否 SPF(Sender Policy 26.6% 21.4% Framework)の導入 特定ドメイン・アドレスからのメールのみ送・受信 18.1% その他送信者認証 6.0% 2.7% DKIM(DomainKeys Identified Mail)の導入 電子署名の利用 1.1% その他 2.5% 無回答 0.5% 71 【業種別分析】業種別を見ると、「ウイルスチェック」については、「不動産・建築」、「運輸業」が 100.0%で最も多く、「製造業」が95.8%、「教育」が95.5%で続いている。「フィルタリング(特定の条 件を満たすメールの配信をしない)」については、「金融」が81.0%で最も多く、「行政サービス」が80.6% で続いている。 ウイルスチェック フィルタリング (特定の条件を満たすメールの配信をしない) 0% 20% 40% 60% 80% 0% 100% 20% 40% 60% 80% 100% 農林・水産・鉱業(n=5) 100.0% 農林・水産・鉱業(n=5) 製造業(n=72) 95.8% 製造業(n=72) 73.6% 不動産・建築(n=22) 100.0% 不動産・建築(n=22) 72.7% 金融(n=21) エネルギー(n=4) 100.0% 金融(n=21) 90.5% エネルギー(n=4) 75.0% 運輸業(n=11) 100.0% 運輸業(n=11) 情報通信(n=6) 100.0% 情報通信(n=6) サービス(n=28) 89.3% サービス(n=28) 教育(n=89) 95.5% 教育(n=89) 行政サービス(n=103) 93.2% 行政サービス(n=103) 全体(n=365) 94.5% 全体(n=365) 72 81.0% 75.0% 63.6% 66.7% 71.4% 68.5% 80.6% 74.5% 【売上・予算規模別分析】売上・予算規模別を見ると、すべての売上・予算規模で「ウイルスチェック」 が最も多い。 ウイルスチェック フィルタリング (特定の条件を満たすメールの配信をしない) 0% 10億円未満(n=18) 10億~30億円未満(n=21) 20% 40% 60% 80% 100% 0% 94.4% 85.7% 10億円未満(n=18) 30億~50億円未満(n=18) 94.4% 30億~50億円未満(n=18) 97.6% 50億~100 億円未満(n=41) 91.8% 300 億~500 億円未満(n=29) 96.6% 100 億~300 億円未満(n=49) 300 億~500 億円未満(n=29) 500 億~1,000 億円未満(n=44) 95.5% 500 億~1,000 億円未満(n=44) 1,000 億~3,000 億円未満(n=45) 95.6% 1,000 億~3,000 億円未満(n=45) 3,000 億~5,000 億円未満(n=13) 100.0% 3,000 億~5,000 億円未満(n=13) 5,000 億~1 兆円未満(n=18) 94.4% 5,000 億~1 兆円未満(n=18) 1 兆円以上(n=23) 95.7% 1 兆円以上(n=23) 金額で示せる適切な指標がない(n=34) 全体(n=365) 40% 60% 80% 金額で示せる適切な指標がない(n=34) 91.2 94.5% 73 全体(n=365) 100% 55.6% 81.0% 10億~30億円未満(n=21) 50億~100 億円未満(n=41) 100 億~300 億円未満(n=49) 20% 77.8% 68.3% 63.3% 79.3% 75.0% 82.2% 84.6% 77.8% 91.3% 70.6 74.5% 3.5.3.添付ファイルの取り扱い【問29】 【全体】全体では、「ウイルスチェック等をしてから受信している」が92.9%で最も多い。一方、「特に チェックもせずに受信している」は5.2%であった。 【全体】添付ファイルの取り扱い(SA,n=365) 5.2% 0.3% 0.0% 1.6% ウイルスチェック等をしてから 受信している 特にチェックもせずに受信し ている パスワード設定の添付ファイ ルは受信している 添付ファイル付きの電子メー ルは一切受信しない 無回答 92.9% 74 3.6.情報セキュリティの運用・管理体制 3.6.1.情報セキュリティ対策の必要性【問30】 【全体】全体では、「非常に感じている」が73.1%で最も多く、「ある程度感じている」が25.4%で続い ている。「非常に感じている」、「ある程度感じている」を合わせると98.5%が情報セキュリティ対策の 必要性を感じていると回答している。 【全体】情報セキュリティ対策の必要性(SA,n=602) 1.0% 0.2% 0.3% 非常に感じている 25.4% ある程度感じている あまり感じていない 感じていない 73.1% 75 無回答 【業種別分析】業種別を見ると、 「非常に感じている」については、すべての業種で 5 割以上となってお り、特に「金融」が 82.1%で最も多く、「行政サービス」が 81.8%で 8 割を超えている。 【業種別分析】情報セキュリティ対策の必要性 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 農林・水産・鉱業(n=6) 66.7% 33.3% 製造業(n=141) 67.4% 31.2% 不動産・建築(n=43) 69.8% 金融(n=28) 4.7% 14.3% 75.0% 運輸業(n=17) 1.4% 25.6% 82.1% エネルギー(n=4) 29.4% 情報通信(n=9) 88.9% 11.1% 63.3% 教育(n=145) 3.3% 31.7% 72.4% 行政サービス(n=143) 1.7% 26.9% 81.8% 全体(n=602) 3.6% 25.0% 70.6% サービス(n=60) 100% 0.7% 18.2% 73.1% 25.4% 0.2% 1.0% 0.3% 非常に感じている ある程度感じている 76 あまり感じていない 感じていない 無回答 【従業員規模別分析】従業員規模別を見ると、「非常に感じている」が全ての従業員規模で5割以上とな っており、おおむね従業員規模が大きくなるにつれて多く、特に「10,000人以上」が100.0%で情報セキ ュリティ対策の意識が高くなっている。 【従業員規模別分析】情報セキュリティ対策の必要性 0% 10% 20% 100 人未満(n=71) 30% 40% 50% 60% 70% 56.3% 100 人以上300 人未満 (n=132) 90% 38.0% 67.4% 300 人以上500 人未満 (n=76) 80% 5.6% 31.1% 75.0% 500 人以上1,000 人未満 (n=96) 1.3% 1.0% 37.5% 77.2% 3,000 人以上5,000 人未満 (n=40) 21.9% 0.9% 12.5% 87.5% 5,000 人以上10,000人未満 (n=40) 97.5% 10,000人以上(n=31) 100.0% 全体(n=602) 0.8% 23.7% 61.5% 1,000 人以上3,000 人未満 (n=114) 100% 73.1% 2.5% 25.4% 0.3% 1.0% 非常に感じている ある程度感じている 77 あまり感じていない 感じていない 無回答 【売上・予算規模別分析】売上・予算規模別を見ると、「非常に感じている」が全ての売上・予算規模 で5割以上となっている。特に「1兆円以上」が100.0%、「5,000億~1兆円未満」が96.0%、「3,000億~ 5,000億円未満」が90.5%で9割以上であり、情報セキュリティ対策の意識が高くなっている。 【売上・予算規模別分析】情報セキュリティ対策の必要性 0% 10% 20% 30% 40% 10億円未満(n=43) 50% 60% 70% 80% 69.8% 90% 100% 2.3% 25.6% 2.3% 10億~30億円未満(n=39) 56.4% 41.0% 2.6% 30億~50億円未満(n=42) 57.1% 40.5% 2.4% 50億~100 億円未満(n=63) 58.7% 100 億~300 億円未満 (n=89) 75.3% 300 億~500 億円未満 (n=54) 22.5% 72.2% 500 億~1,000 億円未満 (n=68) 2.2% 27.8% 67.6% 1,000 億~3,000 億円未満 (n=63) 1.6% 1.6% 38.1% 32.4% 82.5% 3,000 億~5,000 億円未満 (n=21) 17.5% 9.5% 90.5% 5,000 億~1 兆円未満 (n=25) 96.0% 1 兆円以上(n=27) 100.0% 金額で示せる適切な指標が ない(n=49) 75.5% 全体(n=602) 73.1% 非常に感じている ある程度感じている 78 2.0% 22.4% 25.4% あまり感じていない 感じていない 0.2% 1.0% 無回答 0.3% 【正社員割合別分析】正社員割合別を見ると、「非常に感じている」については、「5割以上6割未満」 が82.1%で最も多い。 【正社員割合別分析】情報セキュリティ対策の必要性 0% 10% 20% 30% 40% 1割未満(n=2) 50% 60% 70% 80% 90% 100% 100.0% 1割以上2割未満(n=4) 75.0% 2割以上3割未満(n=15) 25.0% 53.3% 3割以上4割未満(n=25) 46.7% 64.0% 4割以上5割未満(n=30) 32.0% 76.7% 5割以上6割未満(n=28) 4.0% 20.0% 82.1% 6割以上7割未満(n=67) 17.9% 70.1% 7割以上8割未満(n=101) 3.3% 26.9% 76.2% 21.8% 3.0% 1.0% 1.0% 8割以上9割未満(n=147) 73.5% 25.9% 0.7% 9割以上(n=158) 74.7% 24.1% 1.3% 全体(n=602) 73.1% 25.4% 0.2% 1.0% 0.3% 非常に感じている ある程度感じている 79 あまり感じていない 感じていない 無回答 【情報通信技術への依存度別分析】情報通信技術への依存度別を見ると、「非常に感じている」は「情 報通信技術がないと事業を継続できない」が76.1%で情報セキュリティ対策の意識が高くなっている。 【情報通信技術への依存度別分析】情報セキュリティ対策の必要性 0% 10% 20% 30% 情報通信技術がないと 事業を継続できない(n=401) 40% 50% 60% 70% 76.1% 情報通信技術がないと かなり支障はでるが、 事業を継続できる(n=174) 100% 0.5% 0.2% 29.3% 45.8% 37.5% 情報通信技術がなくとも事業の 継続に支障をきたさない(n=1) 90% 23.2% 69.5% 情報通信技術がないとやや支 障はでるが、事業を継続できる (n=24) 80% 1.1% 12.5% 4.2% 100.0% 全体(n=602) 73.1% 25.4% 0.2% 1.0% 0.3% 非常に感じている ある程度感じている 80 あまり感じていない 感じていない 無回答 【経年変化】昨年度と比較すると、「非常に感じている」が10.3ポイント増加している。 【経年変化】情報セキュリティ対策の必要性 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 73.1% 非常に感じている 62.8% 78.0% 25.4% ある程度感じている 31.0% 20.7% 1.0% あまり感じていない 4.6% 0.7% 0.2% 感じていない 平成26年度(n=602) 0.7% 平成25年度(n=1027) 0.0% 平成24年度(n=610) 0.3% 無回答 1.0% 0.7% 81 100% 3.6.2.情報セキュリティ対策の必要性の理由【問31】 【全体】全体では、「ウイルス・ワームの感染を防ぐため」が85.7%で最も多く、「インターネット上に 顧客情報など部内情報が漏れるのを防ぐため」が76.1%、「セキュリティ事故がブランドイメージや業績 に与える影響を防ぐため」が71.2%で続いている。 【全体】情報セキュリティ対策の必要性の理由(MA,n=593) 0% 20% 40% 60% 80% ウイルス・ワームの感染を防ぐため 100% 85.7% インターネット上に顧客情報等の部内情報が漏れるのを防ぐため 76.1% セキュリティ事故がブランドイメージや業績に与える影響を避けるため 71.2% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐため 67.8% 54.5% DoS攻撃等によるシステムダウンを防ぐため 事業を行う上で必要不可欠なため 48.6% 顧客等との取引を万全なものとするため 39.0% 過去に不正アクセス等の被害にあったため 17.0% 顧客等から要請があるため 13.7% その他 0.7% 無回答 0.2 82 【業種別分析】業種別を見ると、「ウイルス・ワームの感染を防ぐため」については、「金融」が96.3% で最も多く、「運輸業」が94.1%、「教育」が91.7%で続いている。また、「インターネット上に顧客情 報等の部内情報が漏れるのを防ぐため」は「金融」が96.3%、「セキュリティ事故がブランドイメージや 業績に与える影響を避ける」についても「金融」が88.9%で最も多い。 ウイルス・ワームの感染を防ぐため インターネット上の顧客情報等の部内情報が 漏れるのを防ぐため 0% 20% 40% 60% 80% 農林・水産・鉱業(n=6) 100% 0% 20% 40% 60% 農林・水産・鉱業(n=6) 83.3% 80% 100% 66.7% 製造業(n=139) 80.6% 製造業(n=139) 69.8% 不動産・建築(n=41) 80.5% 不動産・建築(n=41) 70.7% 金融(n=27) 金融(n=27) 96.3% エネルギー(n=4) エネルギー(n=4) 75.0% 運輸業(n=17) 94.1% 運輸業(n=17) 情報通信(n=9) 100.0% 情報通信(n=9) サービス(n=57) 73.7% 教育(n=144) 96.3% 91.7% 75.0% 52.9% 100.0% サービス(n=57) 80.7% 教育(n=144) 79.2% 行政サービス(n=143) 87.4% 行政サービス(n=143) 76.9% 全体(n=593) 85.7% 全体(n=593) 76.1% セキュリティ事故がブランドイメージや システムの乗っ取り等により犯罪等への 業績に与える影響を防ぐため 0% 農林・水産・鉱業(n=6) 製造業(n=139) 不動産・建築(n=41) 20% 40% 60% 80% 運輸業(n=17) 情報通信(n=9) サービス(n=57) 教育(n=144) 行政サービス(n=143) 全体(n=593) 100% 0% 農林・水産・鉱業(n=6) 33.3% 製造業(n=139) 75.5% 不動産・建築(n=41) 73.2% 金融(n=27) エネルギー(n=4) 悪用されるのを防ぐため 20% 40% 60% 80% 33.3% 59.7% 53.7% 金融(n=27) 88.9% 81.5% エネルギー(n=4) 75.0% 75.0% 運輸業(n=17) 64.7% 情報通信(n=9) 66.7% サービス(n=57) 75.4% 72.9% 61.5% 83 70.6% 66.7% 54.4% 教育(n=144) 75.7% 行政サービス(n=143) 74.8% 全体(n=593) 71.2% 100% 67.8% DoS攻撃等によるシステムダウンを防ぐため 0% 20% 40% 60% 農林・水産・鉱業(n=6) 80% 事業を行う上で必要不可欠なため 100% 0% 農林・水産・鉱業(n=6) 50.0% 製造業(n=139) 金融(n=27) 情報通信(n=9) 47.4% 50.0% 教育(n=144) 行政サービス(n=143) 63.6% 行政サービス(n=143) 顧客等との取引を万全なものとするため 40% 農林・水産・鉱業(n=6) 60% 80% 製造業(n=139) 金融(n=27) 85.2% 運輸業(n=17) 52.9% 情報通信(n=9) 40% サービス(n=57) 59.6% 8.6% 17.1% 11.1% 50.0% 5.9% 33.3% 14.0% 教育(n=144) 18.8% 行政サービス(n=143) 25.2% 全体(n=593) 39.0% 84 60% 0.0% 情報通信(n=9) 55.6% サービス(n=57) 20% エネルギー(n=4) 50.0% 運輸業(n=17) 全体(n=593) 農林・水産・鉱業(n=6) 39.0% エネルギー(n=4) 行政サービス(n=143) 0% 不動産・建築(n=41) 金融(n=27) 教育(n=144) 100% 52.5% 不動産・建築(n=41) 48.6% 過去に不正アクセス等の被害に遭ったため 50.0% 製造業(n=139) 59.4% 全体(n=593) 54.5% 20% 44.4% 50.9% 65.3% 0% 41.2% サービス(n=57) 教育(n=144) 全体(n=593) 50.0% 情報通信(n=9) 44.4% サービス(n=57) 70.4% 運輸業(n=17) 52.9% 100% 26.8% エネルギー(n=4) 50.0% 80% 38.1% 金融(n=27) 81.5% 運輸業(n=17) 60% 16.7% 不動産・建築(n=41) 34.1% エネルギー(n=4) 40% 製造業(n=139) 37.4% 不動産・建築(n=41) 20% 30.6% 14.7% 17.0% 80% 100% 【経年変化】昨年度と比較すると、「システムの乗っ取り等により犯罪等へ悪用されるのを防ぐため」 が17.4ポイント、「DoS攻撃等によるシステムダウンを防ぐため」が12.9ポイント増加している。 【経年変化】情報セキュリティ対策の必要性の理由 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 85.7% 83.9% 85.0% ウイルス・ワームの感染を防ぐため 76.1% 78.5% 82.1% インターネット上に顧客情報等の部内情報が 漏れるのを防ぐため 71.2% 64.5% 70.3% セキュリティ事故がブランドイメージや業績に 与える影響を避けるため 67.8% システムの乗っ取り等により犯罪等へ 悪用されるのを防ぐため 50.4% 65.4% 54.5% 41.6% DoS攻撃等によるシステムダウンを防ぐため 55.1% 48.6% 47.0% 52.0% 事業を行う上で必要不可欠なため 39.0% 46.1% 40.7% 顧客等との取引を万全なものとするため 17.0% 13.3% 16.3% 過去に不正アクセス等の被害にあったため 13.7% 12.9% 顧客等から要請があるため 平成26年度(n=593) 平成25年度(n=963) 平成24年度(n=602) その他 0.7% 0.6% 0.7% 無回答 0.2% 1.2% 0.2% 85 100% 3.6.3.情報セキュリティ運用・管理専門部署の有無【問32】 【全体】全体では、「ある」が55.5%、「ない」が43.4%で「ある」の回答の方が12.1ポイント多い。 【全体】情報セキュリティ運用、管理専門部署の有無(SA,n=602) 1.2% ある 43.4% ない 55.5% 無回答 86 【業種別分析】業種別を見ると、情報セキュリティ運用・管理専門部署が「ある」については、「製造 業」が61.0%、「金融」が60.7%で多い。一方、情報セキュリティ運用・管理専門部署が「ない」につい ては「不動産・建築」が55.8%、「サービス」が55.0%で多い。 【業種別分析】情報セキュリティ運用、管理専門部署の有無 0% 10% 20% 30% 農林・水産・鉱業(n=6) 80% 90% 100% 16.7% 44.2% 55.8% 60.7% 35.7% 3.6% 100.0% 運輸業(n=17) 教育(n=145) 70% 39.0% エネルギー(n=4) サービス(n=60) 60% 61.0% 金融(n=28) 情報通信(n=9) 50% 83.3% 製造業(n=141) 不動産・建築(n=43) 40% 58.8% 41.2% 44.4% 55.6% 41.7% 55.0% 53.8% 3.3% 45.5% 行政サービス(n=143) 56.6% 41.3% 全体(n=602) 55.5% 43.4% ある ない 87 無回答 0.7% 2.1% 1.2% 【経年変化】昨年度と比較すると、「ある」が13.0ポイント増加し、「なし」が13.7ポイント減少して いる。 【経年変化】情報セキュリティ運用、管理専門部署の有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 55.5% ある 42.5% 59.3% 43.4% ない 57.1% 39.5% 平成26年度(n=602) 平成25年度(n=1027) 1.2% 無回答 平成24年度(n=610) 0.5% 1.1% 88 100% 3.6.4.情報セキュリティに係る管理者、担当者の設置【問33】 【全体】全体では、「情報システム運用管理者が情報セキュリティについても兼務している」が71.8%で 最も多く、「情報システム運用管理者以外が情報セキュリティについても兼務している」が20.3%で続い ており兼務者が多いことが分かる。一方、「担当者は置いていない」は7.0%となっている。 【全体】情報セキュリティに係る管理者、担当者の設置(MA,n=602) 0% 20% 情報システム運用管理者が情報セキュリティについても 兼務している 40% 60% 80% 71.8% 情報システム運用管理者以外が情報セキュリティに ついても兼務している 20.3% 専従の担当者を置いている 11.5% 担当者は置いていない 7.0% 89 100% 【業種別分析】業種別を見ると、「専従の担当者を置いている」については、「運輸業」が23.5%で最も 多い。「情報システム運用管理者が情報セキュリティについても兼務している」については、「サービ ス」、「不動産・建築」が76.7%で最も多い。一方、「担当者は置いていない」については、「運輸業」 の11.8%が最も多い。 情報システム運用管理者が 情報システム運用管理者以外が 情報セキュリティについても兼務している 情報セキュリティについても兼務している 0% 20% 40% 60% 80% 農林・水産・鉱業(n=6) 100% 金融(n=28) エネルギー(n=4) 運輸業(n=17) 情報通信(n=9) 教育(n=145) 71.0% 教育(n=145) 行政サービス(n=143) 72.0% 行政サービス(n=143) 全体(n=602) 71.8% 全体(n=602) 専従の担当者を置いている 農林・水産・鉱業(n=6) 製造業(n=141) 不動産・建築(n=43) 金融(n=28) 20% 40% 行政サービス(n=143) 全体(n=602) 100% 100% 18.6% 23.1% 20.3% 0% 製造業(n=141) 12.1% 不動産・建築(n=43) 7.0% 17.9% 50.0% 23.5% 情報通信(n=9) 教育(n=145) 80% 農林・水産・鉱業(n=6) 運輸業(n=17) 80% 13.3% 担当者は置いていない 0.0% エネルギー(n=4) サービス(n=60) 60% 22.2% サービス(n=60) 76.7% 0% 5.9% 情報通信(n=9) 55.6% サービス(n=60) 0.0% 運輸業(n=17) 64.7% 100% 46.4% エネルギー(n=4) 50.0% 80% 16.3% 金融(n=28) 57.1% 60% 19.9% 不動産・建築(n=43) 76.7% 40% 16.7% 製造業(n=141) 73.8% 不動産・建築(n=43) 20% 農林・水産・鉱業(n=6) 83.3% 製造業(n=141) 0% 33.3% 15.0% 7.6% 90 6.4% 11.6% 0.0% エネルギー(n=4) 0.0% 運輸業(n=17) 11.8% 情報通信(n=9) 11.1% サービス(n=60) 8.3% 教育(n=145) 9.7% 全体(n=602) 11.5% 0.0% 金融(n=28) 行政サービス(n=143) 9.8% 20% 4.2% 7.0% 40% 60% 【経年変化】昨年度と比較すると、情報セキュリティに係る管理者、担当者の設置をしている項目はす べて増加しており、「担当者は置いていない」は14.5ポイント減少している。 【経年変化】情報セキュリティに係る管理者、担当者の設置 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 71.8% 情報システム運用管理者が情報セキュリティについても 兼務している 58.8% 72.5% 20.3% 情報システム運用管理者以外が情報セキュリティに ついても兼務している 19.0% 23.6% 11.5% 専従の担当者を置いている 9.7% 12.5% 7.0% 担当者は置いていない 21.5% 5.1% 平成26年度(n=602) 平成25年度(n=1027) 0.0% 無回答 0.5% 0.2% 91 平成24年度(n=610) 3.6.5.セキュリティポリシーの策定状況【問34】 【全体】全体では、「策定してある」が82.6%で最も多く、「策定していないが、今後策定する予定」が 8.6%、「現在策定を進めている」が4.2%で続いており、合計すると全体の95.4%となっている。 【全体】セキュリティポリシーの策定状況(SA,n=602) 4.2% 1.0% 0.2% 3.5% 策定してある 8.6% 策定していないが、今後 策定する予定 現在策定を進めている 策定しておらず、今後も 策定の予定はない 非公開情報のため、答え られない 82.6% 92 策定する必要がない 【業種別分析】業種別を見ると、セキュリティポリシーを「策定してある」については「金融」が96.4%、 「運輸業」が94.1%、「行政サービス」が93.0%で続いている。一方、「策定しておらず、今後も策定の 予定は無い」、「必要ない」は、全ての業種で1割未満の回答となっている。 【業種別分析】セキュリティポリシーの策定状況 0% 農林・水産・鉱業(n=6) 10% 20% 30% 40% 50% 60% 70% 66.7% 80% 90% 16.7% 100% 16.7% 製造業(n=141) 87.2% 3.5% 8.5% 0.7% 不動産・建築(n=43) 86.0% 4.7% 9.3% 金融(n=28) 96.4% エネルギー(n=4) 100.0% 運輸業(n=17) 94.1% 情報通信(n=9) 5.9% 88.9% サービス(n=60) 教育(n=145) 3.6% 11.1% 1.7% 83.3% 62.1% 9.0% 行政サービス(n=143) 21.4% 5.5% 4.9% 93.0% 1.7% 8.3% 5.0% 2.1% 0.7% 1.4% 全体(n=602) 82.6% 策定してある 策定していないが、今後策定する予定 策定する必要がない 93 4.2% 0.2% 8.6% 3.5% 1.0% 現在策定を進めている 策定しておらず、今後も策定の予定はない 非公開情報のため、答えられない 【経年変化】経年変化を見ると、「策定してある」が25.6ポイント増加しており、「策定しておらず、 今後も策定の予定はない」が12.6ポイント減少している。 【経年変化】セキュリティポリシーの策定状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 82.6% 策定してある 57.0% 82.8% 8.6% 策定していないが、今後策定する予定 16.7% 6.4% 現在策定を進めている 4.2% 4.9% 5.9% 3.5% 策定しておらず、今後も策定の予定はない 16.1% 3.8% 策定する必要がない 0.2% 1.6% 0.2% 平成26年度(n=602) 平成25年度(n=1027) 非公開情報のため、答えられない 無回答 1.0% 3.0% 1.0% 平成24年度(n=610) 0.0% 0.8% 0.0% 94 100% 3.6.6.情報セキュリティ侵害事案発生時の対応策の策定状況【問35】 【全体】全体では、「策定してある」が45.0%で最も多く、「策定していないが、必要性は感じている」 が24.3%で続いている。一方、「策定する必要がない」は0.7%となっている。 【全体】情報セキュリティ侵害事案発生時の対応策の策定状況(SA,n=602) 2.0% 5.5% 2.0% 0.7% 策定してある 0.3% 策定していないが、必要性は 感じている 策定を検討している 8.3% 45.0% 12.0% 策定してあり、訓練も実施して いる 現在策定を進めている 策定していないが、訓練はし ている 非公開情報のため、答えられ ない 策定する必要がない 24.3% 無回答 95 【業種別分析】業種別を見ると、「策定してある」については、「製造業」の56.7%が最も多く、「不動 産・建築」が48.8%、「行政サービス」が46.9%、「サービス」が46.7%で続いている。 【業種別分析】情報セキュリティ侵害事案発生時の対応策の策定状況 0% 10% 農林・水産・鉱業(n=6) 20% 30% 9.3% 48.8% 5.9% 4.7% 8.3% 24.1% 9.3% 1.4% 2.3% 23.3% 2.3% 3.6% 3.6% 3.6% 35.3% 5.9% 44.4% 8.3% 10.3% 24.8% 46.9% 5.5% 策定してあり、訓練も実施している 現在策定を進めている 策定していないが、訓練はしている 策定する必要がない 無回答 96 8.3% 18.3% 5.0% 11.2% 1.4% 25.2% 12.0% 24.3% 2.0% 5.9% 22.2% 31.0% 1.4% 2.1% 45.0% 5.9% 11.1% 46.7% 28.3% 100% 50.0% 41.2% 11.7% 10.5% 90% 42.9% 22.2% 1.4% 80% 7.8% 2.8% 50.0% サービス(n=60) 全体(n=602) 5.0% 46.4% 情報通信(n=9) 行政サービス(n=143) 70% 16.7% 56.7% エネルギー(n=4) 教育(n=145) 60% 66.7% 金融(n=28) 運輸業(n=17) 50% 16.7% 製造業(n=141) 2.1% 不動産・建築(n=43) 40% 1.7% 2.1% 0.7% 2.8% 2.0% 0.3% 0.7% 策定してある 策定を検討している 策定していないが、必要性は感じている 非公開情報のため、答えられない 3.6.7.ぜい弱性調査(ペネトレーションテスト)の有無【問36】 【全体】全体では、「実施していない」が66.4%、「定期点検のため実施した」が23.8%であった。何ら かの形で実施しているという回答は31.4%であった。 【全体】ぜい弱性調査(ペネトレーションテスト)の有無(SA,n=602) 2.5% 定期点検のため実施した 23.8% 外部からの攻撃を受けた(可 能性を含む。)ため実施した 2.3% 2.0% 3.3% 66.4% 関係業者、団体が被害に遭っ たことを知ったため実施した その他 実施していない 無回答 97 【業種別分析】業種別を見ると、「定期点検のため実施した」については、「金融」が53.6%で最も多く、 「サービス」が31.7%、「行政サービス」が28.0%で続いている。一方、「実施していない」については、 「教育」が80.0%で最も多く、「不動産・建築」が79.1%で続いている。 【業種別分析】ぜい弱性調査(ペネトレーションテスト)の有無 0% 農林・水産・鉱業(n=6) 製造業(n=141) 不動産・建築(n=43) 10% 20% 16.7% 21.3% 18.6% 2.1% 4.3% 0.7% 17.6% 3.6% 100% 25.0% 76.5% 22.2% 1.7% 5.0% 5.0% 31.7% 1.4% 3.4% 1.4% 23.8% 90% 39.3% 50.0% 5.9% 28.0% 80% 2.8% 3.6% 55.6% 12.4% 70% 79.1% 25.0% サービス(n=60) 全体(n=602) 60% 68.8% 2.3% 情報通信(n=9) 行政サービス(n=143) 50% 66.7% 53.6% エネルギー(n=4) 教育(n=145) 40% 16.7% 金融(n=28) 運輸業(n=17) 30% 55.0% 80.0% 2.1% 0.7% 2.0% 2.3% 3.3% 66.4% 定期点検のため実施した 関係業者、団体が被害に遭ったことを知ったため実施した 実施していない 98 5.0% 1.4% 60.8% 4.9% 22.2% 外部からの攻撃を受けた その他 無回答 3.5% 2.5% 【経年変化】昨年度と比較すると、 「実施している」が 10.8 ポイント増加し、 「実施していない」が 11.1 ポイント減少している。 【経年変化】内部からの不正アクセス等への対策の実施状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 31.1% 実施している 20.3% 32.6% 66.4% 実施していない 77.5% 65.6% 無回答 平成26年度(n=602) 2.5% 2.2% 1.8% 平成25年度(n=1027) 平成24年度(n=610) ※平成25年度、24年度の選択肢に合わせるため、「定期点検のため実施した」、「外部からの攻撃を受けた(可能 性を含む。)ため実施した」、「関係業者、団体が被害に遭ったことを知ったため実施した」、「その他」を合わせて「実 施している」とした 99 3.6.8.セキュリティ対策に関する部外チェック等の実施状況【問37】 【全体】全体では、「特に実施していない」が60.3%で最も多く、「認証は取得していないが、部外事業 者等専門家によるチェックを受けている」が15.6%、「部内の専門知識を有する職員がチェックを実施し ている」が13.1%で続いている。 【全体】セキュリティ対策に関する部外チェック等の実施状況(SA,n=602) 認証は取得していないが、部外事業者 等専門家によるチェックを受けている 1.0% 15.6% 部内の専門知識を有する職員がチェッ クを実施している 13.1% I SMS等情報管理関係の認証を取 得している その他 60.3% 6.3% 特に実施していない 3.7% 無回答 100 【業種別分析】業種別を見ると、「認証は取得していないが、部外事業者等専門家によるチェックを受 けている」については、「不動産・建築」が20.9%で最も多く、「行政サービス」が20.3%で続いている。 また、「部内の専門知識を有する職員がチェックを実施している」については、「金融」が21.4%で最も 多い。一方、「特に実施していない」については、「教育」が70.3%で最も多い。 【業種別分析】セキュリティ対策に関する部外チェック等の実施状況 0% 10% 農林・水産・鉱業(n=6) 14.2% 20.9% 17.9% エネルギー(n=4) 50% 7.0% 21.7% 21.4% 7.1% 5.9% 2.1% 6.3% 16.6% 20.3% 15.6% 100% 39.3% 25.0% 64.7% 22.2% 13.3% 90% 1.4% 50.0% 11.8% 教育(n=145) 1.4% 10.3% 80% 60.5% 4.7% 33.3% サービス(n=60) 70% 62.4% 3.5% 14.3% 17.6% 情報通信(n=9) 60% 50.0% 25.0% 運輸業(n=17) 全体(n=602) 40% 16.7% 14.9% 7.0% 金融(n=28) 行政サービス(n=143) 30% 33.3% 製造業(n=141)3.5% 不動産・建築(n=43) 20% 13.3% 22.2% 22.2% 46.7% 1.7% 3.3% 70.3% 1.4% 11.2% 4.2% 61.5% 0.7% 13.1% 3.7% 60.3% 1.0% ISMS等情報管理関係の認証を取得している 認証は取得していないが、部外事業者等専門家によるチェックを受けている 部内の専門知識を有する議員がチェックを実施している その他 特に実施していない 無回答 101 【経年変化】昨年度と比較すると、「特に実施していない」が10.4ポイント増加し、増加傾向がみられ る。「認証は取得していないが、部外事業者等専門家によるチェックを受けている」、「部内の専門知 識を有する職員がチェックを実施している」は減少傾向がみられる。 【経年変化】セキュリティ対策に関する部外チェック等の実施状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 15.6% 認証は取得していないが、部外事業者等専門家による チェックを受けている 16.5% 22.5% 13.1% 部内の専門知識を有する職員がチェックを実施している 23.6% 30.7% 6.3% ISMS等情報管理関係の認証を取得している 4.8% 6.7% 3.7% その他 3.3% 5.2% 60.3% 特に実施していない 49.9% 33.9% 1.0% 無回答 2.0% 1.0% 平成26年度(n=602) 平成25年度(n=1027) 平成24年度(n=610) 102 3.6.9.セキュリティ監査の実施(予定)頻度【問38】 【全体】全体では、「実施していない」が33.9%で最も多く、「1年ごとに」が29.4%、「特に決まって いない(不定期)」が26.1%で続いている。「3ヶ月ごとに」、「半年ごとに」、「1年ごとに」、「隔 年(2年)ごとに」、「特に決まっていない(不定期)」を合計すると、6割以上がセキュリティ監査を 実施していることが分かる。 【全体】セキュリティ監査の実施(予定)頻度(SA,n=602) 0.7% 1年ごとに 29.4% 33.9% 半年ごとに 3か月ごとに 隔年(2年)ごとに その他 6.5% 0.8% 0.8% 1.8% 26.1% 103 特に決まっていない(不 定期) 実施していない 無回答 【業種別分析】業種別を見ると、セキュリティ監査を実施するとの回答の合計は、「金融」が78.6%、「サ ービス」が73.4%、「不動産・建築」が72.1%、「行政サービス」が71.4%、「運輸業」が70.6%で7割を超 えている。 【業種別分析】セキュリティ監査の実施(予定)頻度 0% 10% 農林・水産・鉱業(n=6) 製造業(n=141) 20% 30% 40% 16.7% 60% 70% 21.3% 0.7% 14.0% 39.5% 金融(n=28) 3.6% 7.1% 2.3% エネルギー(n=4) 34.0% 16.3% 3.6% 39.3% 教育(n=145)1.4% 18.6% 行政サービス(n=143) 2.1% 22.2% 33.6% 6.5% 全体(n=602) 0.8% 29.4% 29.4% 22.2% 31.7% 0.7% 21.4% 23.5% 5.9% 33.3% 18.3% 1.4% 50.0% 35.3% サービス(n=60)1.7% 100% 27.9% 21.4% 3.6% 50.0% 運輸業(n=17) 5.9% 90% 33.3% 2.8% 30.5% 情報通信(n=9) 80% 50.0% 9.2% 不動産・建築(n=43) 50% 22.2% 21.7% 29.7% 25.0% 49.0% 2.8% 31.5% 1.4% 1.8% 0.8% 26.1% 1.7% 0.7% 28.7% 33.9% 0.7% 3か月ごとに 半年ごとに 1年ごとに 隔年(2年)ごとに その他 特に決まっていない(不定期) 実施していない 無回答 104 【経年変化】昨年度と比較すると、「1年ごとに」が8.5ポイント増加し、「実施していない」が11.3ポ イント減少している。 【経年変化】セキュリティ監査の実施(予定)頻度 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 29.4% 1年ごとに 20.9% 30.0% 26.1% 特に決まっていない(不定期) 21.0% 22.3% 6.5% 半年ごとに 4.3% 7.0% 0.8% 3か月ごとに 1.4% 0.7% 0.8% 隔年(2年)ごとに 1.0% 1.8% 実施を予定している 2.0% 4.3% その他 平成26年度(n=602) 1.8% 平成25年度(n=1027) 1.7% 平成24年度(n=610) 2.0% 33.9% 実施していない 45.2% 31.1% 0.7% 無回答 2.5% 0.8% 105 100% 3.6.10.国外の支店等営業拠点におけるセキュリティ関連の運用・管理方法【問39】 【全体】全体では、「国内とほぼ同一の内容になっている」が11.3%、「支店等が所在する国の規定に従 った内容になっている」が6.6%となっている。一方、「特に規定等は設けていない」は10.0%であった。 【全体】国外の支店等営業拠点におけるセキュリティ関連の運用・管理方法(SA,n=602) 1.0% 国内とほぼ同一の内容に なっている 11.3% 支店等が所在する国の規定 に従った内容になっている 6.6% 4.2% 0.3% 10.0% 国内より簡易な内容になって いる 国内より厳しい内容になって いる 特に規定等は設けていない 66.6% 国外に拠点等がない 無回答 106 【業種別分析】業種別を見ると、「国内とほぼ同一の内容になっている」については、「製造業」が25.5% で最も多く、「金融」が21.4%で続いている。「特に規定等は設けていない」については、「運輸業」が 29.4%で最も多い。 【業種別分析】国外の支店等営業拠点におけるセキュリティ関連の運用・管理方法 0% 10% 農林・水産・鉱業(n=6) 16.7% 製造業(n=141) 不動産・建築(n=43) 40% 10.6% 90% 100% 19.1% 2.1% 71.4% 50.0% 25.0% 29.4% 52.9% 11.1% 16.7% 80% 69.8% 3.6% 5.9% 11.1% 20.6% 11.6% 5.9% 77.8% 6.7% 5.0% 15.0% 53.3% 3.3% 93.1% 2.8% 行政サービス(n=143) 2.1% 3.5% 11.3% 70% 20.6% 0.7% 教育(n=145) 2.1% 4.1% 全体(n=602) 60% 66.7% 25.0% 運輸業(n=17) 5.9% 50% 3.6% 21.4% エネルギー(n=4) サービス(n=60) 1.4% 4.7% 2.3% 11.6% 30% 16.7% 25.5% 金融(n=28) 情報通信(n=9) 20% 91.6% 0.3% 4.2% 6.6% 10.0% 66.6% 国内とほぼ同一の内容になっている 国内より厳しい内容になっている 国内より簡易な内容になっている 支店等が所在する国の規定に従った内容になっている 特に規定等は設けていない 国外に拠点等がない 無回答 107 1.0% 3.7.セキュリティ教育 3.7.1.セキュリティ教育の実施状況【問40】 【全体】全体では、「実施している」が69.9%で最も多く、「実施はしていないが必要性を感じる」が 23.6%で続いている。一方、「実施の必要性を感じない(実施していない)」は2.3%となっている。 【全体】セキュリティ教育の実施状況(SA,n=602) 2.3% 0.8% 実施している 3.3% 実施はしていないが必要 性を感じる 23.6% 実施を予定している 69.9% 実施の必要性を感じない (実施していない) 無回答 108 【業種別分析】業種別を見ると、「実施している」については、「金融」が82.1%で最も多い。一方、「実 施の必要性を感じない(実施していない)」については、「不動産・建築」の9.3%が最も多い。 【業種別分析】情報セキュリティ教育の実施状況 0% 10% 20% 30% 40% 農林・水産・鉱業(n=6) 50% 60% 70% 80% 90% 100% 5.7% 14.2% 0.7% 2.1% 100.0% 製造業(n=141) 77.3% 不動産・建築(n=43) 65.1% 7.0% 金融(n=28) 18.6% 82.1% エネルギー(n=4) 9.3% 3.6% 10.7% 3.6% 100.0% 運輸業(n=17) 76.5% 情報通信(n=9) 23.5% 88.9% サービス(n=60) 11.1% 66.7% 教育(n=145) 56.6% 行政サービス(n=143) 3.5% 69.9% 3.3% 1.4% 1.4% 38.6% 2.1% 72.0% 全体(n=602) 1.7% 28.3% 3.3% 22.4% 23.6% 実施している 実施を予定している 実施はしていないが必要性を感じる 実施の必要性を感じない(実施していない) 無回答 109 2.1% 0.8% 2.3% 【従業員規模別分析】従業員規模別を見ると、「実施している」については、おおむね従業員規模が大 きくなるにつれて多くなり、特に「10,000人以上」が96.8%、「5,000人以上10,000人未満」が92.5%で9 割を超えている。 【従業員規模別分析】情報セキュリティ教育の実施状況 0% 10% 20% 30% 100 人未満(n=71) 47.9% 100 人以上300 人未満 (n=132) 50.0% 300 人以上500 人未満 (n=76) 40% 50% 2.8% 60% 70% 30.3% 4.2% 82.5% 3,000 人以上5,000 人未満 (n=40) 0.9% 80.0% 7.5% 5,000 人以上10,000人未満 (n=40) 92.5% 10,000人以上(n=31) 96.8% 全体(n=602) 69.9% 1.3% 13.5% 14.9% 5.0% 2.5% 3.2% 3.3% 23.6% 実施を予定している 実施はしていないが必要性を感じる 実施の必要性を感じない(実施していない) 110 1.8% 12.5% 実施している 無回答 1.4% 0.8% 2.3% 43.9% 82.3% 1,000 人以上3,000 人未満 (n=114) 100% 14.1% 6.6% 500 人以上1,000 人未満 (n=96) 90% 33.8% 3.0% 61.8% 80% 0.8% 2.3% 【売上・予算規模別分析】売上・予算規模別を見ると、「実施している」については、「5,000億~1兆 円未満」が100.0%で最も多く、「1兆円以上」が96.3%、「3,000億~5,000億円未満」が90.5%で9割以上 となっている。 【売上・予算規模別分析】情報セキュリティ教育の実施状況 0% 10% 20% 10億円未満(n=43) 30% 40% 50% 53.5% 10億~30億円未満(n=39) 60% 2.3% 9.5% 58.7% 100 億~300 億円未満 (n=89) 90% 300 億~500 億円未満 (n=54) 10.3% 2.6% 45.2% 1.6% 71.9% 2.4% 34.9% 2.2% 9.3% 75.0% 1,000 億~3,000 億円未満 (n=63) 4.8% 24.7% 79.6% 500 億~1,000 億円未満 (n=68) 100% 9.3% 2.3% 41.0% 42.9% 50億~100 億円未満(n=63) 80% 32.6% 46.2% 30億~50億円未満(n=42) 70% 4.4% 1.1% 11.1% 19.1% 87.3% 1.5% 6.3% 3.2% 3.2% 3,000 億~5,000 億円未満 (n=21) 90.5% 5,000 億~1 兆円未満 (n=25) 9.5% 100.0% 1 兆円以上(n=27) 96.3% 金額で示せる適切な指標が ない(n=49) 3.7% 65.3% 全体(n=602) 32.7% 69.9% 3.3% 2.0% 0.8% 23.6% 2.3% 実施している 実施を予定している 実施はしていないが必要性を感じる 実施の必要性を感じない(実施していない) 無回答 111 【正社員割合別分析】正社員割合別を見ると、「実施している」については、「7割以上8割未満」が77.2% で最も多い。一方、「実施の必要性を感じない」については、正社員割合が6割以上で回答がある。 【正社員割合別分析】情報セキュリティ教育の実施状況 0% 10% 1割未満(n=2) 20% 30% 40% 50% 60% 70% 50.0% 1割以上2割未満(n=4) 80% 90% 50.0% 75.0% 2割以上3割未満(n=15) 25.0% 66.7% 3割以上4割未満(n=25) 26.7% 68.0% 4割以上5割未満(n=30) 66.7% 5割以上6割未満(n=28) 67.9% 6割以上7割未満(n=67) 64.2% 7割以上8割未満(n=101) 3.3% 4.5% 71.5% 全体(n=602) 4.0% 30.0% 32.1% 68.7% 9割以上(n=158) 6.7% 28.0% 26.9% 77.2% 8割以上9割未満(n=147) 100% 69.9% 4.0% 4.8% 2.5% 3.3% 3.0% 16.8% 23.8% 20.9% 2.0% 2.0% 4.4% 23.6% 2.3% 実施を予定している 実施はしていないが必要性を感じる 実施の必要性を感じない(実施していない) 112 0.7% 0.6% 0.8% 実施している 無回答 1.5% 【情報通信技術への依存度別分析】情報通信技術への依存度別を見ると、「実施している」については、 「情報通信技術がないとやや支障はでるが、事業を継続できる」が75.0%で最も多くなっているが、「実 施の必要性を感じない(実施していない)」についても「情報通信技術がないとやや支障はでるが、事 業を継続できる」が8.3%で最も多くなっている。 【情報通信技術への依存度別分析】情報セキュリティ教育の実施状況 0% 10% 情報通信技術がないと 事業を継続できない(n=401) 20% 30% 40% 50% 60% 70% 71.8% 80% 3.0% 90% 100% 0.7% 22.7% 1.7% 情報通信技術がないと かなり支障はでるが、 事業を継続できる(n=174) 64.9% 4.0% 0.6% 28.2% 2.3% 情報通信技術がないとやや支障 はでるが、事業を継続できる (n=24) 75.0% 情報通信技術がなくとも事業の 継続に支障をきたさない(n=1) 4.2% 8.3% 8.3% 4.2% 100.0% 0.8% 全体(n=602) 69.9% 3.3% 23.6% 2.3% 実施している 実施を予定している 実施はしていないが必要性を感じる 実施の必要性を感じない(実施していない) 無回答 113 【経年変化】昨年度と比較して、「実施している」は21.4ポイント増加し、「実施はしていないが必要 性を感じる」が16.4ポイント、「実施の必要性を感じない(実施していない)」が4.6ポイント減少して いる。 【経年変化】情報セキュリティ教育の実施状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 69.9% 実施している 48.5% 70.2% 23.6% 実施はしていないが必要性を感じる 40.0% 25.2% 3.3% 実施を予定している 2.9% 2.8% 2.3% 実施の必要性を感じない(実施していない) 平成26年度(n=602) 6.9% 平成25年度(n=1027) 1.0% 平成24年度(n=610) 0.8% 無回答 1.7% 0.8% 114 100% 3.7.2.情報セキュリティ教育の目的【問41】 【全体】全体では、「情報セキュリティに対する意識の向上」が95.2%で最も多く、「情報セキュリティ ポリシーの普及」が64.4%、「社・団体内の不正行為の防止」が58.3%で続いている。 *本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象としている。 【全体】情報セキュリティ教育の目的(MA,n=441) 0% 10% 20% 30% 40% 50% 60% 70% 情報セキュリティに対する意識の向上 80% 90% 100% 95.2% 情報セキュリティポリシーの普及 64.4% 社・団体内の不正行為の防止 58.3% 自己啓発 17.7% その他 0.2% 無回答 0.7% 115 【業種別分析】業種別を見ると、全ての業種において、「情報セキュリティに対する意識の向上」が最も 多い。 情報セキュリティに対する意識の向上 80% 85% 90% 95% 情報セキュリティポリシーの普及 100% 農林・水産・鉱業(n=6) 0% 100.0% 製造業(n=117) 金融(n=24) 農林・水産・鉱業(n=6) エネルギー(n=4) 100.0% エネルギー(n=4) 運輸業(n=13) 100.0% 運輸業(n=13) 情報通信(n=8) 100.0% 情報通信(n=8) 教育(n=85) 行政サービス(n=108) 99.1% 全体(n=441) 農林・水産・鉱業(n=6) 60% 80% 製造業(n=117) 不動産・建築(n=31) 100.0% 56.5% 76.9% 64.4% 20% 40% 9.4% 12.9% 4.2% 25.0% 7.7% 情報通信(n=8) 75.0% サービス(n=40) 72.5% 教育(n=85) 51.8% 行政サービス(n=108) 69.4% 全体(n=441) 58.3% 116 60% 16.7% エネルギー(n=4) 運輸業(n=13) 15.4% サービス(n=40) 全体(n=441) 金融(n=24) 66.7% 情報通信(n=8) 行政サービス(n=108) 65.0% 農林・水産・鉱業(n=6) エネルギー(n=4) 教育(n=85) 87.5% 0% 45.2% 金融(n=24) 運輸業(n=13) 100% 52.1% 不動産・建築(n=31) 61.5% 自己啓発 50.0% 製造業(n=117) 100.0% 行政サービス(n=108) 社・団体内の不正行為の防止 40% 45.8% 全体(n=441) 95.2% 20% 54.8% 教育(n=85) 95.3% 100% 64.1% サービス(n=40) 87.5% 80% 50.0% 金融(n=24) 95.8% 0% 60% 不動産・建築(n=31) 90.3% サービス(n=40) 40% 製造業(n=117) 94.0% 不動産・建築(n=31) 20% 37.5% 20.0% 17.6% 30.6% 17.7% 80% 100% 【経年変化】昨年度と比較すると、「情報セキュリティに対する意識の向上」が2.8ポイント、「情報セ キュリティポリシーの普及」が3.8ポイント増加している。 【経年変化】情報セキュリティ教育の目的 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 95.2% 92.4% 93.3% 情報セキュリティに対する意識の向上 64.4% 60.6% 66.5% 情報セキュリティポリシーの普及 58.3% 59.1% 社・団体内の不正行為の防止 67.0% 17.7% 21.0% 26.3% 自己啓発 平成26年度(n=441) その他 0.2% 0.8% 1.6% 無回答 0.7% 5.7% 2.5% 平成25年度(n=528) 平成24年度(n=445) 117 3.7.3.情報セキュリティ教育の対象者【問42】 【全体】全体では、「新規採用の正社員・職員」が84.4%で最も多く、「管理職についている正社員・職 員」が60.3%、「その他の正社員・職員」が57.6%、「システム管理部門の正社員・職員」が54.0%で続い ている。上位4項目はいずれも正社員・職員に対する教育となっていることが分かる。 * 本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象としている。 【全体】情報セキュリティ教育の対象者(MA,n=441) 0% 10% 20% 30% 40% 50% 60% 70% 新規採用の正社員・職員 60.3% その他の正社員・職員 57.6% システム管理部門の正社員・職員 54.0% 情報セキュリティ対策の責任者 45.8% 派遣社員 36.3% 関連会社の社員・職員 15.2% 学生・生徒 15.0% その他 90% 84.4% 管理職についている正社員・職員 取引先の社員・職員 80% 3.4% 4.8% 118 100% 【業種別分析】業種別を見ると、「新規採用の正社員・職員」については、「不動産・建築」が93.5%で 最も多く、「行政サービス」が91.7%と続いている。「管理職についている正社員・職員」については、 「金融」が87.5%で最も多い。 新規採用の正社員・職員 0% 20% 40% 60% 管理職についている正社員・職員 80% 農林・水産・鉱業(n=6) 100% 0% 88.0% 不動産・建築(n=31) 93.5% 金融(n=24) 運輸業(n=13) その他の正社員・職員 農林・水産・鉱業(n=6) 80% 100% 不動産・建築(n=31) 54.8% 金融(n=24) 70.8% エネルギー(n=4) 100.0% 91.7% 100.0% 製造業(n=117) 80% 100% 0% 20% 40% 不動産・建築(n=31) 60% 41.0% 70.8% エネルギー(n=4) 75.0% 100.0% 運輸業(n=13) 53.8% 38.5% 情報通信(n=8) 75.0% 62.5% サービス(n=40) 57.5% 教育(n=85) 35.3% 行政サービス(n=108) 49.1% 全体(n=441) 45.8% 119 100% 25.8% 金融(n=24) 66.7% 80% 50.0% 製造業(n=117) 41.9% 35.5% 情報通信(n=8) 全体(n=441) 54.0% 農林・水産・鉱業(n=6) エネルギー(n=4) 教育(n=85) 51.9% 派遣社員 50.0% 金融(n=24) 行政サービス(n=108) 75.0% 38.8% 全体(n=441) 57.6% サービス(n=40) 75.0% 行政サービス(n=108) 62.0% 運輸業(n=13) 53.8% 教育(n=85) 情報セキュリティ対策の責任者 不動産・建築(n=31) 33.3% サービス(n=40) 55.0% 50.6% 100% エネルギー(n=4) 運輸業(n=13) 農林・水産・鉱業(n=6) 80% 51.6% 情報通信(n=8) 60% 60% 金融(n=24) 62.5% 40% 40% 不動産・建築(n=31) 61.5% 20% 20% 50.4% 運輸業(n=13) 0% 60.3% 製造業(n=117) 情報通信(n=8) 全体(n=441) 64.8% 農林・水産・鉱業(n=6) 54.7% 行政サービス(n=108) 70.0% 40.0% 0% 50.0% 製造業(n=117) 教育(n=85) 87.5% システム管理部門の正社員・職員 60% サービス(n=40) 76.9% 全体(n=441) 84.4% 40% 100.0% 行政サービス(n=108) 91.7% 20% 87.5% 教育(n=85) 行政サービス(n=108) 0% 58.1% サービス(n=40) 75.0% 69.4% 全体(n=441) 59.0% 不動産・建築(n=31) 情報通信(n=8) 87.5% 教育(n=85) 100% 33.3% 製造業(n=117) 運輸業(n=13) 84.6% サービス(n=40) 80% エネルギー(n=4) 100.0% 情報通信(n=8) 60% 金融(n=24) 87.5% エネルギー(n=4) 40% 農林・水産・鉱業(n=6) 83.3% 製造業(n=117) 20% 57.5% 31.8% 16.7% 36.3% 【経年変化】昨年度と比較して、 「その他の正社員・職員」を除くすべての項目で増加しており、 「学生・ 生徒」は 7.8 ポイント増加している。 【経年変化】情報セキュリティ教育の対象者 0% 10% 20% 30% 40% 50% 60% 70% 90% 84.4% 84.3% 84.7% 新規採用の正社員・職員 60.3% 59.7% 62.9% 管理職についている正社員・職員 57.6% 63.1% 66.3% その他の正社員・職員 54.0% 50.6% 55.5% システム管理部門の正社員・職員 45.8% 40.7% 48.8% 情報セキュリティ対策の責任者 36.3% 29.9% 34.8% 派遣社員 15.2% 11.7% 16.0% 関連会社の社員・職員 平成26年度(n=441) 15.0% 学生・生徒 80% 7.2% 平成25年度(n=528) 15.5% 平成24年度(n=445) 取引先の社員・職員 3.4% 2.8% 3.8% その他 4.8% 3.8% 5.4% 無回答 0.0% 5.5% 1.6% 120 100% 3.7.4.情報セキュリティ教育の実施内容【問43】 【全体】全体では、 「個人情報の保護・管理」が79.1%で最も多く、 「情報セキュリティポリシー」が75.1%、 「機密情報の保護・管理」が74.8%、「情報へのアクセス管理(パスワード管理等)」が70.5%で続いて いる。 * 本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象としている。 【全体】情報セキュリティ教育の実施内容(MA,n=441) 0% 10% 20% 30% 40% 50% 60% 70% 80% 個人情報の保護・管理 79.1% 情報セキュリティポリシー 75.1% 機密情報の保護・管理 74.8% 情報へのアクセス管理(パスワード管理等) 70.5% ウイルス・ワーム対策 65.8% 情報システム利用に係るネチケット 56.9% 社外ネットワークへの接続 29.0% 緊急時の対応 28.3% 文書の管理 27.0% ソーシャルエンジニアリング対策 23.8% サイバー犯罪の防止 16.3% 技術的なセキュリティ対策 (システムぜい弱性、堅牢化設定等) その他 90% 12.5% 1.6% 121 100% 【業種別分析】次に挙げた業種別で見ると、「個人情報の保護・管理」については、「金融」で87.5%、 「行政サービス」で87.0%、「運輸業」で84.6%、「サービス」で82.5%と他の業種と比較して多い。 個人情報の保護・管理 0% 20% 40% 情報セキュリティポリシー 60% 80% 農林・水産・鉱業(n=6) 0% 100% 20% 40% 農林・水産・鉱業(n=6) 66.7% 60% 80% 100% 50.0% 製造業(n=117) 69.2% 製造業(n=117) 76.9% 不動産・建築(n=31) 71.0% 不動産・建築(n=31) 77.4% 金融(n=24) 金融(n=24) 87.5% エネルギー(n=4) 100.0% 運輸業(n=13) 機密情報の保護・管理 農林・水産・鉱業(n=6) 20% 40% 60% 80% 農林・水産・鉱業(n=6) 50.0% 製造業(n=117) 不動産・建築(n=31) 80.6% 不動産・建築(n=31) 金融(n=24) 行政サービス(n=108) 全体(n=441) エネルギー(n=4) 75.0% 運輸業(n=13) 76.9% 情報通信(n=8) 87.5% サービス(n=40) 20% 40% 60% 80% サービス(n=40) 82.5% 教育(n=85) 63.5% 行政サービス(n=108) 72.2% 全体(n=441) 74.8% 122 100% 33.3% 73.5% 67.7% 金融(n=24) 83.3% 情報通信(n=8) 教育(n=85) 75.1% 0% 100% 79.5% 運輸業(n=13) 79.6% 情報へのアクセス管理(パスワード等) 製造業(n=117) エネルギー(n=4) 71.8% 全体(n=441) 79.1% 0% 80.0% 行政サービス(n=108) 87.0% 全体(n=441) 87.5% 教育(n=85) 78.8% 行政サービス(n=108) 69.2% サービス(n=40) 82.5% 教育(n=85) 100.0% 情報通信(n=8) 87.5% サービス(n=40) エネルギー(n=4) 運輸業(n=13) 84.6% 情報通信(n=8) 54.2% 79.2% 75.0% 61.5% 75.0% 72.5% 77.6% 63.0% 70.5% 【経年変化】昨年度と比較すると、「個人情報の保護・管理」が減少傾向にあり、2.0ポイント減少して いる。「文書の管理」が10.3ポイント、「緊急時の対応」が7.9ポイント減少し、「情報システム利用に 係るネチケット」が7.7ポイント増加している。 【経年変化】情報セキュリティ教育の実施内容 0% 20% 40% 60% 80% 79.1% 81.1% 82.7% 個人情報の保護・管理 情報セキュリティポリシー 75.1% 73.1% 75.1% 機密情報の保護・管理 74.8% 70.1% 74.8% 70.5% 67.4% 71.9% 情報へのアクセス管理(パスワード管理等) 65.8% 62.1% 69.4% ウイルス・ワーム対策 56.9% 49.2% 50.3% 情報システム利用に係るネチケット 29.0% 33.1% 29.0% 社外ネットワークへの接続 28.3% 緊急時の対応 36.2% 33.5% 27.0% 文書の管理 37.3% 29.7% 23.8% 22.2% 18.7% ソーシャルエンジニアリング対策 16.3% 15.7% 22.0% サイバー犯罪の防止 平成26年度(n=441) 平成25年度(n=528) 12.5% 14.4% 18.9% 技術的なセキュリティ対策 (システムぜい弱性、堅牢化設定等) その他 無回答 1.6% 1.5% 1.8% 0.0% 5.3% 1.6% 123 平成24年度(n=445) 100% 3.7.5.情報セキュリティ教育の頻度【問44】 【全体】全体では、「年に1回」が45.1%で最も多く、「年に数回」が27.7%、「採用・異動時等に実施」 が12.5%で続いている。 * 本項目は、情報セキュリティ教育を実施あるいは実施を予定している社・団体等を対象としている。 【全体】情報セキュリティ教育の実施頻度(SA,n=441) 3.2% 3.4% 1.4% 年に1回 6.8% 年に数回 採用、異動時等に実施 12.5% 2、3年に1回 45.1% 月に1回以上 その他 27.7% 無回答 124 【業種別分析】業種別を見ると、「年に1回」については、「運輸業」が53.8%で最も多く、「行政サー ビス」が53.7%で続いている。年に1回以上(「月に1回以上」、「年に数回」、「年に1回」の合計)を 見ると、「金融」が91.7%で最も多く、「サービス」が80.0%で続いている。 【業種別分析】情報セキュリティ教育の実施頻度 0% 10% 農林・水産・鉱業(n=6) 20% 16.7% 製造業(n=117) 3.4% 30% 60% 12.0% 41.9% 25.8% 58.3% 行政サービス(n=108) 0.9% 全体(n=441) 3.2% 1.7% 25.8% 3.2% 3.2% 4.2% 7.7% 4.2% 15.4% 87.5% 5.9% 2.6% 16.2% 53.8% 7.5% 100% 50.0% 23.1% 情報通信(n=8) 90% 29.2% 50.0% 運輸業(n=13) 80% 33.3% 45.3% エネルギー(n=4) 70% 33.3% 18.8% 金融(n=24) 4.2% 教育(n=85) 50% 16.7% 不動産・建築(n=31) サービス(n=40) 40% 12.5% 27.5% 45.0% 24.7% 7.5% 47.1% 25.0% 5.9% 53.7% 27.7% 45.1% 3.7% 6.8% 月に1回以上 年に数回 年に1回 2、3年に1回 採用、異動時等に実施 その他 無回答 125 10.0% 2.5% 9.4% 7.1% 12.0% 1.9% 2.8% 12.5% 1.4% 3.4% 【従業員規模別分析】従業員規模別を見ると、年に1回以上については、「3,000人以上5,000人未満」が 85.8%で最も多く、「5,000人以上10,000人未満」が83.7%で続いている。 【従業員規模別分析】情報セキュリティ教育の実施頻度 0% 10% 100 人未満(n=36) 2.8% 100 人以上300 人未満 2.9% (n=70) 300 人以上500 人未満 (n=52) 20% 1,000 人以上3,000 人未満 3.2% (n=95) 3,000 人以上5,000 人未満 2.9% (n=35) 全体(n=441) 3.2% 50% 60% 44.4% 27.1% 70% 80% 26.3% 34.3% 4.3% 21.2% 10.8% 49.5% 2.8% 11.4% 7.7% 50.6% 100% 19.4% 10.0% 38.5% 18.1% 90% 5.6% 44.3% 25.0% 1.2% 14.5% 5.3% 48.6% 9.5% 2.4% 5.3% 1.1% 5.7% 5.7% 2.9% 2.7% 5,000 人以上10,000人未満 2.7% (n=37) 10,000人以上(n=31) 40% 25.0% 7.7% 500 人以上1,000 人未満 2.4% (n=83) 30% 40.5% 40.5% 41.9% 2.7% 35.5% 27.7% 6.5% 45.1% 6.8% 5.4% 5.4% 12.9% 12.5% 3.2% 1.4% 3.4% 月に1回以上 年に数回 年に1回 2、3年に1回 採用、異動時等に実施 その他 無回答 126 【経年変化】昨年度と比較すると、「年に1回」が1.3ポイント増加し最も多い。 【経年変化】情報セキュリティ教育の実施頻度 0% 10% 20% 30% 40% 70% 80% 90% 27.7% 27.8% 24.7% 年に数回 12.5% 13.1% 10.3% 採用、異動時等に実施 月に1回以上 60% 45.1% 43.8% 49.2% 年に1回 2、3年に1回 50% 6.8% 4.4% 6.3% 3.2% 2.1% 2.9% 平成26年度(n=441) 平成25年度(n=528) その他 3.4% 3.2% 4.7% 無回答 1.4% 5.7% 1.8% 平成24年度(n=445) 127 100% 3.8.物理的セキュリティ対策 3.8.1.事務所へのPC等の持込み、持ち出し制限【問45】 【全体】全体では、「個人所有のPCの業務利用を制限している」が72.3%で最も多く、「業務用PCの持込 み・持ち出しを制限している」が66.9%、「USBメモリ等の外部記録媒体の持込み、持ち出しを制限して いる」が55.5%で続いている。 【全体】事務所へのPC等の持込み、持ち出し制限(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人所有のPCの業務利用を制限している 72.3% 業務用PCの持込み・持ち出しを制限している 66.9% 55.5% USBメモリ等の外部記録媒体の持込み、持ち出しを制限している 個人所有のスマートフォン、タブレット端末の業務利用を制限している 40.4% 持込み・持ち出し専用の業務用PCを整備している 39.9% 持込み、持ち出し用のスマートフォン、タブレット端末を整備している 18.6% スマートフォン、タブレット端末の持込みを制限している その他 11.3% 1.8% 特に制限はない 無回答 12.5% 0.7% 128 【業種別分析】業種別を見ると、「個人所有のPCの業務利用を制限している」については、「金融」が 96.4%で最も多く、「行政サービス」が87.4%、「製造業」が82.3%、「サービス」が81.7%で続いている。 個人所有のPCの業務利用を制限している 0% 農林・水産・鉱業(n=6) 20% 40% 60% 80% 業務用PCの持込み・持ち出しを制限している 0% 100% 金融(n=28) 75.0% エネルギー(n=4) 運輸業(n=17) 76.5% 運輸業(n=17) 情報通信(n=9) 77.8% 情報通信(n=9) 全体(n=602) 68.8% 62.8% 92.9% 75.0% 64.7% 55.6% サービス(n=60) 81.7% 70.0% 教育(n=145) 35.9% 行政サービス(n=143) 40.0% 行政サービス(n=143) 87.4% 86.7% 全体(n=602) 72.3% 66.9% USB メモリ等の外部記録媒体の持込み、持ち出しを制限している 0% 20% 40% 60% 80% 農林・水産・鉱業(n=6) 100% 83.3% 製造業(n=141) 64.5% 不動産・建築(n=43) 44.2% 金融(n=28) 89.3% エネルギー(n=4) 50.0% 運輸業(n=17) 64.7% 情報通信(n=9) 88.9% サービス(n=60) 教育(n=145) 100% 金融(n=28) 96.4% エネルギー(n=4) 教育(n=145) 80% 83.3% 不動産・建築(n=43) 79.1% サービス(n=60) 60% 製造業(n=141) 82.3% 不動産・建築(n=43) 40% 農林・水産・鉱業(n=6) 50.0% 製造業(n=141) 20% 58.3% 22.8% 行政サービス(n=143) 69.2% 全体(n=602) 55.5% 129 【経年変化】昨年度と比較すると、「個人所有のPCの業務利用を制限している」が13.4ポイント増加し 最も多く、上位2項目はいずれも増加している。また、比較できる項目すべてで昨年度と比較して増加し ている。 【経年変化】事務所へのPC等の持込み、持ち出し制限 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 72.3% 個人所有のPCの業務利用を制限している 58.9% 69.7% 66.9% 63.2% 73.4% 業務用PCの持込み・持ち出しを制限している 55.5% USBメモリ等の外部記録媒体の持込み、 持ち出しを制限している 個人所有のスマートフォン、タブレット端末の 業務利用を制限している 40.4% 31.3% 32.8% 持込み・持ち出し専用の業務用PCを整備している 39.9% 34.9% 35.9% 18.6% 持込み、持ち出し用のスマートフォン、 タブレット端末を整備している スマートフォン、タブレット端末の持込みを制限している 11.3% 5.8% 6.4% 平成26年度(n=602) 平成25年度(n=1027) その他 1.8% 2.4% 3.3% 12.5% 19.3% 13.3% 特に制限はない 無回答 平成24年度(n=610) 0.7% 1.1% 0.2% ※割合表示のないものについては、新規の調査項目 130 3.8.2. 重要施設へのPC等の持込み、持ち出し制限【問46】 【全体】全体では、「個人所有のPCの業務利用を制限している」が65.3%で最も多く、「業務用PCの持込 み・持ち出しを制限している」が63.0%、「USBメモリ等の外部記録媒体の持込み、持ち出しを制限して いる」が53.3%で続いている。 【全体】重要施設へのPC等の持込み、持ち出し制限(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人所有のPCの業務利用を制限している 65.3% 業務用PCの持込み・持ち出しを制限している 63.0% 53.3% USBメモリ等の外部記録媒体の持込み、持ち出しを制限している 個人所有のスマートフォンの業務利用を制限している 37.5% 持込み・持ち出し専用の業務用PCを整備している 33.6% 持込み、持ち出し用のスマートフォン、タブレット端末を整備している 15.8% スマートフォンの持込みを制限している 15.8% その他 4.0% 特に制限はない 無回答 17.3% 0.8% 131 【業種別分析】業種別を見ると、「個人所有のPCの業務利用を制限している」については、「金融」が 92.9%で最も多く、「運輸業」が82.4%で続いている。「業務用PCの持込み・持ち出しを制限している」 については、「金融」が92.9%で最も多く、「行政サービス」が80.4%で続いている。 個人所有のPCの業務利用を制限している 0% 農林・水産・鉱業(n=6) 20% 40% 60% 80% 業務用PCの持込み・持ち出しを制限している 100% 金融(n=28) 92.9% 運輸業(n=17) 行政サービス(n=143) 全体(n=602) 63.1% 60.5% 金融(n=28) 92.9% 75.0% 70.6% 情報通信(n=9) 77.8% 55.6% サービス(n=60) 70.0% 教育(n=145) 37.2% 68.3% 37.2% 行政サービス(n=143) 76.9% 全体(n=602) 65.3% 132 100% 66.7% 運輸業(n=17) 82.4% サービス(n=60) 80% エネルギー(n=4) 75.0% 情報通信(n=9) 60% 不動産・建築(n=43) 55.8% エネルギー(n=4) 40% 製造業(n=141) 73.8% 不動産・建築(n=43) 20% 農林・水産・鉱業(n=6) 50.0% 製造業(n=141) 教育(n=145) 0% 80.4% 63.0% 【経年変化】昨年度と比較すると、「個人所有のPCの業務利用を制限している」が11.8ポイント増加し 最も多く、上位2項目はいずれも増加している。また、比較できる項目すべてで昨年度と比較して増加し ている。 【経年変化】重要施設へのPC等の持込み、持ち出し制限 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 65.3% 個人所有のPCの業務利用を制限している 53.5% 66.4% 63.0% 62.3% 業務用PCの持込み・持ち出しを制限している 71.5% 53.3% USBメモリ等の外部記録媒体の持込み、 持ち出しを制限している 37.5% 30.7% 31.8% 個人所有のスマートフォンの業務利用を 制限している 33.6% 30.9% 28.7% 持込み・持ち出し専用の業務用PCを 整備している 15.8% 持込み、持ち出し用のスマートフォン、 タブレット端末を整備している 15.8% 10.7% 13.9% スマートフォンの持込みを制限している その他 4.0% 4.3% 5.4% 平成25年度(n=1027) 17.3% 21.7% 14.6% 特に制限はない 無回答 平成26年度(n=602) 平成24年度(n=610) 0.8% 2.6% 0.5% ※割合表示のないものについては、新規の調査項目 133 3.8.3. 重要施設における入退室の管理方法【問47】 【全体】全体では、「登録者以外の入室規制」が55.8%で最も多く、「記帳」が44.4%で続いており、制 度的対応による管理の実施率が高い。また、「ICカード」が38.7%、「監視カメラ」が31.9%で技術的対 応による管理も行われている。一方、「特に何も行っていない」は7.3%であり、9割以上が何らかの入退 室管理を行っている。 【全体】重要施設における入退室の管理方法(MA,n=602) 0% 10% 20% 30% 40% 50% 登録者以外の入室規制 55.8% 記帳 44.4% ICカード 38.7% 監視カメラ 31.9% 暗証番号 17.6% バイオメトリクス(指紋等での認証) 17.3% 磁気カード 14.1% 警備員 重要な施設は存在しない その他 13.0% 2.5% 5.6% 特に何も行っていない 無回答 60% 7.3% 0.5% 134 70% 80% 90% 100% 【業種別分析】業種別を見ると、「登録者以外の入室規制」については、「金融」が92.9%で最も多い。 「記帳」については、「運輸業」が64.7%で最も多く、「行政サービス」が63.6%で続いている。 登録者以外の入室規制 0% 農林・水産・鉱業(n=6) 製造業(n=141) 不動産・建築(n=43) 20% 40% 記帳 60% 80% 農林・水産・鉱業(n=6) サービス(n=60) 教育(n=145) 行政サービス(n=143) 全体(n=602) 製造業(n=141) 59.6% 不動産・建築(n=43) 53.5% 92.9% 20% 40% 60% 30.2% 金融(n=28) 情報通信(n=9) 44.4% 46.4% 75.0% 64.7% 33.3% サービス(n=60) 58.3% 教育(n=145) 49.0% 46.7% 29.0% 行政サービス(n=143) 51.7% 全体(n=602) 55.8% 135 100% 41.1% 運輸業(n=17) 64.7% 80% 33.3% エネルギー(n=4) 50.0% 運輸業(n=17) 情報通信(n=9) 0% 33.3% 金融(n=28) エネルギー(n=4) 100% 63.6% 44.4% 【経年変化】昨年度と比較すると、入退室管理の手段について「登録者以外の入室規制」が17.5ポイン ト増加し最も多く、「重要な施設は存在しない」を除くすべての項目で増加している。 【経年変化】重要施設における入退室の管理方法 0% 20% 40% 60% 80% 55.8% 登録者以外の入室規制 38.3% 53.6% 44.4% 記帳 32.1% 48.9% 38.7% ICカード 26.7% 35.7% 31.9% 26.8% 31.6% 監視カメラ 17.6% 17.1% 21.6% 暗証番号 バイオメトリクス(指紋等での認証) 17.3% 13.9% 17.7% 磁気カード 14.1% 12.2% 17.0% 13.0% 11.8% 14.4% 警備員 重要な施設は存在しない 2.5% 5.8% 1.1% 平成26年度(n=602) その他 5.6% 5.2% 7.4% 平成25年度(n=1027) 平成24年度(n=610) 7.3% 特に何も行っていない 26.6% 7.7% 無回答 0.5% 1.7% 0.5% 136 100% 3.9.技術的セキュリティ対策 3.9.1. インターネット接続点における外部からの不正アクセス防止対策【問12】 【全体】全体では、「ファイアウォールの導入」が95.2%で最も多く、「非武装地帯(DMZ)の構築」が 65.8%、「PROXYサーバの設置」が63.3%、「ID、パスワード等による認証」が61.2%で続いている。「特 に何も行っていない」は0.5%であり、ほぼ全ての社・団体等において不正アクセス防止対策が取られて いることが分かる。 【全体】インターネット接続点における不正アクセス防止対策(MA,n=588) 0% 10% 20% 30% 40% 50% 60% 70% 80% ファイアウォールの導入 95.2% 非武装地帯(DMZ)の構築 65.8% PROXYサーバの設置 63.3% ID、パスワード等による認証 61.2% ルータによるプロトコル制御 51.2% アクセスログ収集の強化・充実 51.0% 侵入検知・防御システム(IDS・IPS)の導入 その他 90% 100% 38.9% 1.9% 外部からの接続を伴なうサービス等を提供していない 8.0% 特に何も行っていない 0.5% 無回答 1.2% 137 【業種分析別】業種別を見ると、「ファイアウォールの導入」については、「金融」、「運輸業」が100.0% で最も多い。「非武装地帯(DMZ)の構築」については、「教育」が75.5%、「PROXYサーバの設置」につ いては、「運輸業」が82.4%、「ID、パスワード等による認証」については、「金融」が88.5%で最も多 い。 ファイアウォールの導入 0% 20% 40% 非武装地帯(DMZ)の構築 60% 80% 農林・水産・鉱業(n=6) 100% 0% 92.1% 不動産・建築(n=43) 100.0% エネルギー(n=4) 運輸業(n=17) 情報通信(n=9) 100.0% 情報通信(n=9) サービス(n=56) 96.4% サービス(n=56) 教育(n=143) 98.6% 教育(n=143) 行政サービス(n=139) 97.1% 行政サービス(n=139) 全体(n=588) 95.2% 全体(n=588) PROXYサーバの設置 40% 60% 80% 教育(n=143) 75.0% 70.6% 66.7% 42.9% 75.5% 69.1% 65.8% 20% 40% 60% 80% 65.5% 48.8% 金融(n=26) 65.4% エネルギー(n=4) 50.0% 運輸業(n=17) 82.4% 88.5% 50.0% 64.7% 情報通信(n=9) 44.4% サービス(n=56) 46.4% 77.8% 51.8% 教育(n=143) 53.8% 行政サービス(n=139) 82.0% 全体(n=588) 63.3% 138 100% 33.3% 製造業(n=139) 不動産・建築(n=43) 行政サービス(n=139) 全体(n=588) 農林・水産・鉱業(n=6) 46.5% 運輸業(n=17) サービス(n=56) 73.1% 0% 63.3% 金融(n=26) 情報通信(n=9) 100% 83.3% 製造業(n=139) エネルギー(n=4) 48.8% ID、パスワード等による認証 農林・水産・鉱業(n=6) 不動産・建築(n=43) 64.7% 金融(n=26) 100.0% 100% 66.7% 製造業(n=139) 運輸業(n=17) 20% 80% エネルギー(n=4) 75.0% 0% 60% 不動産・建築(n=43) 86.0% 金融(n=26) 40% 農林・水産・鉱業(n=6) 83.3% 製造業(n=139) 20% 69.2% 52.5% 61.2% 【経年変化】昨年度と比較すると、外部からの不正アクセス等を防止するための対策はすべての項目で 増加している。特に、「非武装地帯(DMZ)の構築」は昨年度と比較して23.7ポイント増加している。 【経年変化】インターネット接続点における不正アクセス防止対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 95.2% ファイアウォールの導入 84.4% 95.0% 65.8% 非武装地帯(DMZ)の構築 42.1% 67.8% 63.3% 47.7% PROXYサーバの設置 69.1% 61.2% 57.3% 63.3% ID、パスワード等による認証 51.2% 47.6% 57.4% ルータによるプロトコル制御 51.0% アクセスログ収集の強化・充実 39.4% 56.2% 38.9% 侵入検知・防御システム(IDS・IPS)の導入 30.5% 40.5% その他 外部からの接続を伴なうサービス等を提供していない 1.9% 3.2% 3.8% 8.0% 10.7% 10.0% 平成26年度(n=588) 平成25年度(n=994) 平成24年度(n=580) 特に何も行っていない 0.5% 2.5% 0.5% 無回答 1.2% 2.2% 0.5% 139 3.9.2. ID・パスワードの管理対策【問14】 【全体】全体では、「パスワード長を一定以上に定めている」が77.0%で最も多く、「異動等で使用しな くなったIDはすぐに削除している」が68.8%、「IDを複数ユーザで使わせていない」が63.8%で続いてい る。一方、「特に対策は行っていない」は0.7%であった。 【全体】ID・パスワードの管理対策(MA,n=417) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% パスワード長を一定以上に定めている 77.0% 異動等で使用しなくなったIDはすぐに削除している 68.8% 63.8% IDを複数ユーザーで使わせていない 定期的にパスワードを強制的に変更させている 49.9% パスワードの複雑性をチェックし、簡単すぎるものは変更させている 36.5% 27.6% IDをメールアドレス等の他の用途で流用していない 24.5% ID・パスワードは利用者側の端末に保存されないようにしている その他 1.7% 特に対策は行っていない 0.7% 無回答 0.2% 140 【業種別分析】業種別を見ると、「パスワード長を一定以上に定めている」については、「金融」が95.8% で最も多く、「運輸業」が90.9%で続いている。「異動等で使用しなくなったIDはすぐに削除している」 については、「サービス」が85.3%で最も多い。 パスワード長を一定以上に定めている 異動等で使用しなくなったIDはすぐに 削除している 0% 農林・水産・鉱業(n=6) 20% 40% 60% 80% 0% 不動産・建築(n=30) 73.3% 95.8% 金融(n=24) エネルギー(n=2) 100.0% エネルギー(n=2) 運輸業(n=11) 90.9% 83.3% 情報通信(n=6) サービス(n=34) 82.4% サービス(n=34) 全体(n=417) 60% 80% 100% 100.0% 教育(n=112) 75.9% 行政サービス(n=91) 64.8% 全体(n=417) 77.0% 141 72.9% 66.7% 83.3% 100.0% 運輸業(n=11) 情報通信(n=6) 行政サービス(n=91) 40% 製造業(n=96) 84.4% 金融(n=24) 教育(n=112) 20% 農林・水産・鉱業(n=6) 33.3% 製造業(n=96) 不動産・建築(n=30) 100% 72.7% 83.3% 85.3% 66.1% 52.7% 68.8% 【経年変化】昨年度と比較すると、「パスワード長を一定以上に定めている」が5.4ポイント増加し最も 多い。一方、「特に対策は行っていない」は他の項目と比較して少なく、減少している。 【経年変化】ID・パスワードの管理対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 77.0% 71.6% 74.0% パスワード長を一定以上に定めている 68.8% 64.0% 67.8% 異動等で使用しなくなったIDはすぐに削除している 63.8% 59.6% 58.2% IDを複数ユーザーで使わせていない 49.9% 50.6% 42.5% 定期的にパスワードを強制的に変更させている 36.5% 27.9% 27.4% パスワードの複雑性をチェックし、簡単すぎるものは変更させている 27.6% 31.3% 22.2% IDをメールアドレス等の他の用途で流用していない 24.5% 26.2% 25.8% ID・パスワードは利用者側の端末に保存されないようにしている その他 1.7% 2.4% 2.1% 平成26年度(n=417) 平成25年度(n=623) 平成24年度(n=419) 0.7% 特に対策は行っていない 14.8% 3.3% 0.2% 無回答 29.9% 0.5% 142 3.9.3. 暗号化技術の用途【問48】 【全体】全体では、「個人情報等の重要な情報の通信(SSL等の暗号化通信)」が62.1%で最も多く、「記 憶媒体上の情報(ファイルの暗号化)」が42.0%、「認証情報(電子証明書)」が34.2%で続いている。 一方、暗号化技術を「利用していない」は14.5%であった。 【全体】暗号化技術の用途(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人情報等の重要な情報の通信(SSL 等の暗号化通信) 62.1% 記憶媒体上の情報(ファイルの暗号化) 42.0% 認証情報(電子証明書) 34.2% 暗号メール その他 21.4% 3.7% 利用していない 無回答 14.5% 1.8% 143 【業種別分析】業種別を見ると、「個人情報等の重要な情報の通信(SSL等の暗号化通信)」については、 「金融」が85.7%で最も多く、「教育」が76.6%、「サービス」が71.7%、「運輸業」が70.6%で続いてい る。「記憶媒体上の情報(ファイルの暗号化)」については、「金融」が85.7%で最も多い。 個人情報等の重要な情報の通信 記憶媒体上の情報(ファイルの暗号化) (SSL等の暗号化通信) 0% 農林・水産・鉱業(n=6) 20% 40% 60% 80% 40% 60% 不動産・建築(n=43) 55.8% 27.9% 85.7% エネルギー(n=4) 25.0% 情報通信(n=9) サービス(n=60) 71.7% 教育(n=145) 47.1% 情報通信(n=9) 77.8% サービス(n=60) 50.0% 運輸業(n=17) 70.6% 教育(n=145) 76.6% 行政サービス(n=143) 51.7% 全体(n=602) 62.1% 144 100% 54.6% 金融(n=28) 85.7% 運輸業(n=17) 80% 66.7% 製造業(n=141) 金融(n=28) 全体(n=602) 20% 農林・水産・鉱業(n=6) 51.8% 不動産・建築(n=43) 行政サービス(n=143) 0% 33.3% 製造業(n=141) エネルギー(n=4) 100% 55.6% 40.0% 27.6% 37.1% 42.0% 【経年変化】昨年度と比較すると、すべての項目で増加しており、「個人情報等の重要な情報の通信(SSL 等の暗号化通信)」が16.5ポイント増加し最も多い。 【経年変化】暗号化技術の用途 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 62.1% 個人情報等の重要な情報の通信(SSL等の暗号化通信) 45.6% 62.1% 42.0% 記憶媒体上の情報(ファイルの暗号化) 32.1% 46.7% 34.2% 認証情報(電子証明書) 28.6% 35.6% 21.4% 暗号メール 14.7% 21.6% 3.7% その他 平成26年度(n=602) 3.3% 平成25年度(n=1027) 2.6% 平成24年度(n=610) 14.5% 利用していない 31.9% 11.8% 1.8% 無回答 1.9% 2.5% 145 3.9.4. 重要なシステムの不正アクセス対策状況【問49】 【全体】全体では、「データのバックアップを行っている」が91.0%で最も多く、「個人PCの接続制限を 行っている」が54.7%、「システムの冗長化(ネットワークの冗長化を含む)を行っている」が50.8%で 続いている。 【全体】重要なシステムの不正アクセス対策状況(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% データのバックアップを行っている 91.0% 個人PCの接続制限を行っている 54.7% システムの冗長化(ネットワークの冗長化を含む)を行っている 50.8% 基幹業務システム専用のファイアウォール・ルータ (ネットワークアクセス制御機能)を導入している 46.5% 無線LAN の使用制限を行っている 44.7% 重要な基幹業務システムは他のネットワークと分離した 専用ネットワークを構築している 43.4% 外部のネットワークに接続していない 35.4% 指定回数以上のログイン失敗時のアカウント失効等、不正操作に 対して自動的に制限をかける機能を導入している 34.6% 緊急時にはシステムを自動停止する仕組みを導入している 7.6% その他 2.0% 上記のような対策は行っていない 1.5% 無回答 0.3% 146 【業種別分析】業種別を見ると、「データのバックアップを行っている」については、「金融」が100.0% で最も多く、「不動産・建築」が95.3%、「製造業」が92.9%、「行政サービス」が91.6%で続いている。 データのバックアップを行っている 0% 農林・水産・鉱業(n=6) 20% 40% 60% 80% 個人PCの接続制限を行っている 100% 0% 92.9% 製造業(n=141) 不動産・建築(n=43) 95.3% 不動産・建築(n=43) 金融(n=28) 100.0% 金融(n=28) 運輸業(n=17) 情報通信(n=9) サービス(n=60) 教育(n=145) 40% 農林・水産・鉱業(n=6) 66.7% 製造業(n=141) エネルギー(n=4) 20% 60% 80% 50.0% 53.9% 39.5% 92.9% エネルギー(n=4) 75.0% 75.0% 運輸業(n=17) 88.2% 100.0% 52.9% 情報通信(n=9) 66.7% サービス(n=60) 83.3% 89.7% 教育(n=145) 行政サービス(n=143) 91.6% 行政サービス(n=143) 全体(n=602) 91.0% 全体(n=602) 147 100% 51.7% 33.8% 74.1% 54.7% 【経年変化】昨年度と比較すると、不正アクセス対策はすべての項目で増加しており、「対策は行って いない」は他の項目と比較して回答が少ない状態が続いており、不正アクセス対策が継続して行われて いることが分かる。 【経年変化】重要なシステムの不正アクセス対策状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 91.0% 82.0% 90.3% データのバックアップを行っている 54.7% 48.5% 60.2% 個人PCの接続制限を行っている 50.8% システムの冗長化(ネットワークの冗長化を含む)を 行っている 36.4% 50.5% 46.5% 41.4% 50.3% 基幹業務システム専用のファイアウォール・ルータ (ネットワークアクセス制御機能)を導入している 44.7% 無線LANの使用制限を行っている 34.9% 46.4% 43.4% 35.4% 43.6% 重要な基幹業務システムは他のネットワークと分離した 専用ネットワークを構築している 35.4% 31.5% 36.2% 外部のネットワークに接続していない 34.6% 指定回数以上のログイン失敗時のアカウント失効等、不正 操作に対して自動的に制限をかける機能を導入している 24.0% 35.1% 7.6% 7.1% 9.3% 緊急時にはシステムを自動停止する仕組みを導入している その他 2.0% 1.6% 1.0% 平成26年度(n=602) 平成25年度(n=1027) 平成24年度(n=610) 上記のような対策は行っていない 無回答 1.5% 5.7% 1.6% 0.3% 1.6% 0.5% 148 3.9.5. セキュリティパッチの適用状況【問50】 【全体】全体では、「定期的に確認はしていないが、サーバの管理者等の裁量で適用している」が32.9% で最も多く、「頻繁(1か月に1回以上)にセキュリティ関連サイトを確認し、常に最新のパッチを適 用している」が25.9%、「定期的(四半期~半年に1回程度)にセキュリティ関連サイトを確認し、必要 なパッチを適用している」が22.8%で続いている。 【全体】セキュリティパッチの適用状況(SA,n=602) 2.3% 4.5% 3.5% 定期的に確認はしていないが、サーバの管理者等 の裁量で適用している 1.5% 頻繁(1か月に1回以上)にセキュリティ関連サイト を確認し、常に最新のパッチを適用している 6.6% 定期的(四半期~半年に1回程度)にセキュリティ 関連サイトを確認し、必要なパッチを適用している 32.9% 問題が発生するまでパッチは適用しない パッチを適用していない 22.8% 分からない その他 25.9% 無回答 149 【業種別分析】業種別を見ると、セキュリティパッチを定期的、あるいは問題発生前に適用していると する割合(「頻繁にセキュリティ関連サイトを確認し、常に最新のパッチを適用している」、「定期的 にセキュリティ関連サイトを確認し、必要なパッチを適用している」、「定期的に確認はしていないが、 サーバの管理者等の裁量で適用している」の合計)について、 「教育」が86.9%、 「行政サービス」が85.4%、 「製造業」が80.1%、「サービス」が80.0%で8割以上となっている。 【業種別分析】セキュリティパッチの適用状況 0% 10% 農林・水産・鉱業(n=6) 20% 70% 21.4% 2.3% 10.7% 10.7% 29.4% 11.8% 22.8% 2.8% 4.7% 23.5% 38.6% 20.3% 1.4% 7.1% 4.7% 30.8% 32.9% 5.9% 11.1% 8.3% 0.7% 6.7% 1.7% 1.7% 1.7% 6.9% 2.8% 2.1% 0.7% 2.1% 4.9% 2.8% 2.1% 2.8% 4.5% 6.6% 3.5% 2.3% 1.5% 頻繁(1ヵ月に1回以上)にセキュリティ関連サイトを確認し、常に最新のパッチを適用している 定期的(四半期~半年に1回程度)にセキュリティ関連サイトを確認し、必要なパッチを適用している 定期的に確認はしていないが、サーバの管理者等の裁量で適用している パッチを適用していない 問題が発生するまでパッチは適用しない 分からない その他 無回答 150 1.4% 25.0% 25.0% 34.3% 100% 7.1% 3.6% 10.7% 33.3% 25.5% 25.9% 14.0% 50.0% 41.7% 22.8% 90% 7.1% 55.6% 13.3% 80% 16.7% 34.9% 23.5% 情報通信(n=9) 全体(n=602) 11.6% 25.0% 5.9% 60% 39.0% 35.7% エネルギー(n=4) 行政サービス(n=143) 15.6% 27.9% 金融(n=28) 教育(n=145) 50% 50.0% 25.5% 不動産・建築(n=43) サービス(n=60) 40% 33.3% 製造業(n=141) 運輸業(n=17) 30% 【経年変化】昨年度と比較すると、「定期的に確認はしていないが、サーバの管理者等の裁量で適用し ている」が7.2ポイント増加し最も多い。また、セキュリティパッチを定期的、あるいは問題発生前に適 用しているとする割合は昨年度68.6%に対し今年度が81.6%で13.0ポイント増加している。 【経年変化】セキュリティパッチの適用状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 定期的に確認はしていないが、サーバの管理者等の裁量で 適用している 32.9% 25.7% 28.0% 頻繁(1か月に1回以上)にセキュリティ関連サイトを確認し、 常に最新のパッチを適用している 25.9% 26.6% 28.9% 22.8% 16.3% 26.9% 定期的(四半期~半年に1回程度)にセキュリティ関連サイト を確認し、必要なパッチを適用している 6.6% 6.0% 7.5% 問題が発生するまでパッチは適用しない 4.5% 5.6% 4.1% パッチを適用していない 2.3% 分からない 14.5% 2.1% 平成26年度(n=602) その他 3.5% 3.6% 1.5% 無回答 1.5% 1.8% 1.0% 151 平成25年度(n=1027) 平成24年度(n=610) 3.9.6. 内部からの不正アクセス等への対策の実施状況【問51】 【全体】全体では、「パソコン廃棄時の適正なデータ消去」が77.9%で最も多く、「情報資産へのアクセ ス権の設定」が76.1%、「定期的なバックアップ」が71.9%で続いている。一方、「特に何も行っていな い」は1.2%であり、ほぼ全ての社・団体等において何らかの対策を実施していることが分かる。 【全体】内部からの不正アクセス等への対策の実施状況(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% パソコン廃棄時の適正なデータ消去 77.9% 情報資産へのアクセス権の設定 76.1% 定期的なバックアップ 71.9% アクセスログの取得、ログの分析 53.8% 定期的なパスワード変更 52.3% 許可していないソフトウェアの制限 52.3% 外部Webサイトへのアクセス制限 45.0% 共有ID・パスワードの禁止 38.4% ユーザアカウントの定期的なチェック 35.2% 内部ネットワークのファイアウォール、侵入検知システム(IDS)の導入 33.1% メールのフィルタリング(添付ファイルの利用制限等) 32.1% 個人認証のためのシステム導入 28.1% 印刷物、電子媒体の持出し、廃棄管理 23.9% その他 0.5% 特に何も行っていない 1.2% 無回答 1.5% 152 【業種別分析】業種別を見ると、「パソコン廃棄時の適正なデータの消去」については、「運輸業」が 94.1%で最も多く、「金融」が89.3%、「行政サービス」が81.1%で続いている。「情報資産へのアクセス 権の設定」については、「金融」が92.9%で最も多く、「定期的なバックアップ」についても「金融」が 85.7%で最も多い。 パソコン廃棄時の適正なデータ消去 0% 農林・水産・鉱業(n=6) 製造業(n=141) 不動産・建築(n=43) 20% 40% 60% 情報資産へのアクセス権の設定 80% 農林・水産・鉱業(n=6) 50.0% 運輸業(n=17) サービス(n=60) 教育(n=145) 行政サービス(n=143) 全体(n=602) 100% 76.7% 92.9% 75.0% 運輸業(n=17) 76.5% 情報通信(n=9) 88.9% 100.0% サービス(n=60) 75.0% 70.0% 教育(n=145) 77.2% 77.2% 行政サービス(n=143) 81.1% 74.1% 全体(n=602) 77.9% 76.1% 定期的なバックアップ 0% 80% エネルギー(n=4) 94.1% 情報通信(n=9) 60% 金融(n=28) 89.3% 75.0% 40% 73.0% 不動産・建築(n=43) 69.8% 20% 83.3% 製造業(n=141) 75.2% 金融(n=28) エネルギー(n=4) 0% 100% 20% 農林・水産・鉱業(n=6) 40% 60% 80% 100% 66.7% 製造業(n=141) 78.7% 不動産・建築(n=43) 74.4% 金融(n=28) 85.7% エネルギー(n=4) 75.0% 運輸業(n=17) 64.7% 情報通信(n=9) 100.0% サービス(n=60) 78.3% 教育(n=145) 60.0% 行政サービス(n=143) 69.9% 全体(n=602) 71.9% 153 【経年変化】昨年度と比較すると、対策状況はすべての項目で増加しており、 「パソコン廃棄時の適正な データ消去」が 6.9 ポイント増加し最も多い。「特に何も行っていない」は 8.1 ポイント減少している。 【経年変化】内部からの不正アクセス等への対策の実施状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 77.9% 71.0% 79.8% パソコン廃棄時の適正なデータ消去 情報資産へのアクセス権の設定 61.1% 78.9% 71.9% 66.5% 79.3% 定期的なバックアップ アクセスログの取得、ログの分析 43.0% 定期的なパスワード変更 38.8% 53.8% 61.0% 52.3% 48.9% 52.3% 46.3% 56.4% 許可していないソフトウェアの制限 45.0% 37.0% 49.5% 外部Webサイトへのアクセス制限 38.4% 31.5% 42.8% 共有ID・パスワードの禁止 35.2% 24.2% 32.5% ユーザアカウントの定期的なチェック 内部ネットワークのファイアウォール、侵入検知システム(IDS) の導入 33.1% 30.4% 37.5% メールのフィルタリング (添付ファイルの利用制限等) 32.1% 29.0% 37.7% 28.1% 23.4% 33.6% 個人認証のためのシステム導入 23.9% 23.6% 28.0% 印刷物、電子媒体の持出し、廃棄管理 その他 76.1% 0.5% 0.8% 0.8% 平成26年度(n=602) 特に何も行っていない 1.2% 1.5% 無回答 1.5% 1.7% 0.5% 154 9.3% 平成25年度(n=1027) 平成24年度(n=610) 3.9.7. 不正プログラムへの対策【問52】 【全体】全体では、「ウイルス対策ソフト(クライアント)の使用」が96.8%で最も多く、「ウイルス対 策ソフト(サーバ)の使用」が89.0%、「パターンファイルを定期的に更新する(自動更新システムを利 用)」が82.2%で続いている。一方、「実施していない」は0.0%で、全ての社・団体等で何らかの対策を 実施していることが分かる。 【全体】不正プログラムへの対策(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルス対策ソフト(クライアント)の使用 96.8% ウイルス対策ソフト(サーバ)の使用 89.0% パターンファイルを定期的に更新する(自動更新システムを利用) 82.2% スパイウェア対策ソフト(クライアント)の使用 58.1% 許可されていないソフトウェアのインストール制限 55.0% スパイウェア対策ソフト(サーバ)の使用 53.3% パッチによるOS等のバージョンアップ(自動更新システムを利用) 47.2% パッチによるOS等のバージョンアップ(管理者が手動で更新) 28.6% 27.2% USBメモリの使用禁止 パッチによるOS等のバージョンアップ(社員自らが更新) 18.9% ファイル等のダウンロード制限 18.9% メールの添付ファイルの削除または実行制限 14.1% プロバイダのウイルス等駆除サービスの利用 13.6% 検疫システムの導入 11.6% パターンファイルを定期的に更新する(管理者が手動で更新) 9.1% パターンファイルを定期的に更新する(社員自らが更新) 9.0% その他 1.7% 実施していない 0.0% 無回答 1.0% 155 【業種別分析】業種別を見ると、「パターンファイルの定期的な更新」については、全ての業種で「パ ターンファイルを定期的に更新する(自動更新システムを利用)」が7割以上である。また、「ウイルス 対策ソフトのインストール制限」については、「不動産・建築」、「教育」、「行政サービス」がそれ ぞれの項目で9割を超えている。 ウイルス対策ソフトのインストール制限 0% 20% 40% 60% 80% パターンファイルの定期的な更新 0% 100% 農林・水産・鉱業(n=6) 100.0% 83.3% 農林・水産・鉱業(n=6) 製造業(n=141) 97.9% 87.9% 製造業(n=141) 不動産・建築(n=43) 97.7% 90.7% 不動産・建築(n=43) 金融(n=28) 96.4% 89.3% 金融(n=28) 75.0% 75.0% エネルギー(n=4) 100.0% 88.2% 情報通信(n=9) 100.0% 100.0% 教育(n=145) 教育(n=145) 行政サービス(n=143) 95.1% 92.3% 行政サービス(n=143) 全体(n=602) 96.8% 89.0% 全体(n=602) 100% 85.8% 76.7% 82.1% 21.4% 0.0% 75.0% 0.0% 0.0% 88.2% 5.9% 33.3% 77.8% 0.0% 13.3% サービス(n=60) 98.6% 90.3% 80% 83.3% 0.0% 3.6% 情報通信(n=9) 78.3% 60% 5.0% 2.3% 運輸業(n=17) 93.3% サービス(n=60) 40% 0.0% 1.4% エネルギー(n=4) 運輸業(n=17) 20% 0.0% 76.7% 8.3% 17.2% 85.5% 11.7% 9.8% 78.3% 13.3% 9.0% 82.2% 9.1% パターンファイルを定期的に更新する(社員自らが更新) パターンファイルを定期的に更新する(自動更新システムを利用) パターンファイルを定期的に更新する(管理者が手動で更新) ウィルス対策ソフト(クライアント)の使用 ウィルス対策ソフト(サーバ)の使用 許可されていないソフトウェアの パッチによるOS等のバージョンアップ インストール制限 0% 20% 40% 60% 80% 農林・水産・鉱業(n=6) 製造業(n=141) 48.9% 不動産・建築(n=43) 44.2% 金融(n=28) エネルギー(n=4) 75.0% 運輸業(n=17) 運輸業(n=17) 70.6% 情報通信(n=9) 情報通信(n=9) 55.6% サービス(n=60) サービス(n=60) 61.7% 教育(n=145) 30.3% 行政サービス(n=143) 全体(n=602) 金融(n=28) 85.7% エネルギー(n=4) 教育(n=145) 農林・水産・鉱業(n=6) 66.7% 製造業(n=141) 不動産・建築(n=43) 0% 100% 行政サービス(n=143) 75.5% 全体(n=602) 55.0% 20% 40% 60% 0.0% 80% 100% 83.3% 0.0% 14.2% 20.6% 11.6% 46.8% 51.2% 20.9% 3.6% 39.3% 32.1% 0.0% 75.0% 0.0% 5.9% 47.1% 17.6% 33.3% 0.0% 77.8% 25.0% 45.0% 21.7% 35.9% 42.8% 42.8% 11.2% 49.0% 32.2% 18.9% 47.2% 28.6% パッチによるOS等のバージョンアップ(社員自らが更新) パッチによるOS等のバージョンアップ(自動更新システムを利用) パッチによるOS等のバージョンアップ(管理者が手動で更新) 許可されていないソフトウェアのインストール制限 156 【経年変化】昨年度と比較すると、不正プログラムへの対策は「プロバイダのウイルス等駆除サービス の利用」を除くすべての項目で増加しており、「ウイルス対策ソフト(クライアント)の使用」が6.3ポ イント増加し最も多い。一方、「実施していない」とする割合は1.7ポイント減少し0.0%となっている。 【経年変化】不正プログラムへの対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 96.8% 90.5% 96.2% ウイルス対策ソフト(クライアント)の使用 89.0% 82.4% 90.0% ウイルス対策ソフト(サーバ)の使用 パターンファイルを定期的に更新する(自動更新システムを利用) 68.6% 58.1% 51.2% 59.0% スパイウェア対策ソフト(クライアント)の使用 許可されていないソフトウェアのインストール制限 44.1% 55.0% 54.9% 53.3% 46.1% 53.0% スパイウェア対策ソフト(サーバ)の使用 47.2% 43.6% 45.2% パッチによるOS等のバージョンアップ(自動更新システムを利用) 28.6% 22.7% 31.1% パッチによるOS等のバージョンアップ(管理者が手動で更新) 27.2% 22.1% 21.8% USBメモリの使用禁止 18.9% 14.9% 20.2% パッチによるOS等のバージョンアップ(社員自らが更新) 18.9% 15.1% 19.0% ファイル等のダウンロード制限 メールの添付ファイルの削除または実行制限 14.1% 13.4% 17.7% プロバイダのウイルス等駆除サービスの利用 13.6% 17.4% 14.1% 11.6% 10.5% 15.1% 検疫システムの導入 9.1% 8.2% 10.2% パターンファイルを定期的に更新する(管理者が手動で更新) パターンファイルを定期的に更新する(社員自らが更新) 82.2% 9.0% 6.4% 9.0% その他 1.7% 1.6% 1.3% 平成26年度(n=602) 実施していない 0.0% 1.7% 0.0% 平成24年度(n=610) 無回答 1.0% 1.2% 0.5% 157 平成25年度(n=1027) 88.4% 3.10.セキュリティ対策費用 3.10.1.現在利用しているセキュリティサービス【問53】 【全体】全体では、「利用していない」を除くと、「セキュリティ運用・監視」が26.9%で最も多く、「ウ イルス等監視」が26.2%、「セキュリティ監査」が18.4%、「Webアプリケーション診断」が17.9%で続い ている。 【全体】セキュリティサービスの利用状況「現在」(MA,n=602) 0% 10% 20% 30% セキュリティ運用・監視 26.9% ウイルス等監視 26.2% セキュリティ監査 18.4% Webアプリケーション診断 17.9% ログ解析 15.0% ハウジングサービス 12.8% 緊急対応 11.3% 社外での研修による教育の実施 10.6% プラットフォーム診断 9.3% パッチマネジメント 7.0% DoS対策 7.0% ポリシー策定 6.6% セキュアシステム構築 6.5% リスク分析 6.0% 損害保険(不正アクセス等対応) 3.8% フォレンジックサービス 2.0% その他 2.3% 利用していない 無回答 40% 35.4% 1.3% 158 50% 60% 70% 80% 90% 100% 【業種別分析】業種別を見ると、「セキュリティ運用・監視」については、「金融」が57.1%で最も多い。 「ウイルス等監視」については、「金融」が39.3%で最も多く、「行政サービス」が38.5%で続いている。 「セキュリティ監査」については、「サービス」が25.0%で最も多く、「Webアプリケーション診断」に ついては、「金融」が35.7%で最も多く、「行政サービス」が30.8%で続いている。 【現在利用】 セキュリティ運用・監視 0% 農林・水産・鉱業(n=6) 20% 40% 60% ウイルス等監視 80% 0% 100% 農林・水産・鉱業(n=6) 0.0% 製造業(n=141) 金融(n=28) エネルギー(n=4) 25.0% 運輸業(n=17) 17.6% 情報通信(n=9) サービス(n=60) 教育(n=145) エネルギー(n=4) 25.0% 運輸業(n=17) 23.5% 行政サービス(n=143) 28.7% 行政サービス(n=143) 全体(n=602) 26.9% 全体(n=602) セキュリティ監査 農林・水産・鉱業(n=6) 20% 40% 60% 80% 100% 0.0% 不動産・建築(n=43) 金融(n=28) 17.9% 金融(n=28) 行政サービス(n=143) 全体(n=602) 40% 16.3% 18.6% 教育(n=145) 20% 16.7% 不動産・建築(n=43) サービス(n=60) 26.2% 農林・水産・鉱業(n=6) 製造業(n=141) 情報通信(n=9) 38.5% 0% 17.7% 運輸業(n=17) 16.6% Webアプリケーション診断 製造業(n=141) エネルギー(n=4) 28.3% 教育(n=145) 23.4% 0% 66.7% サービス(n=60) 28.3% 100% 39.3% 情報通信(n=9) 44.4% 80% 18.6% 金融(n=28) 57.1% 60% 20.6% 不動産・建築(n=43) 14.0% 40% 0.0% 製造業(n=141) 27.0% 不動産・建築(n=43) 20% 60% 9.3% 35.7% エネルギー(n=4) 25.0% 50.0% 運輸業(n=17) 11.8% 35.3% 情報通信(n=9) 22.2% 44.4% サービス(n=60) 25.0% 教育(n=145) 12.4% 行政サービス(n=143) 24.5% 全体(n=602) 18.4% 159 15.0% 2.1% 30.8% 17.9% 80% 100% 【売上・予算規模別分析】売上・予算規模別を見ると、「セキュリティ運用・監視」については、「3,000 億~5,000億円未満」が52.4%で最も多く、「1兆円以上」が51.9%で続いている。「ウイルス等監視」に ついては、「3,000億~5,000億円未満上」が52.4%で最も多く、「1兆円以上」が44.4%、「5,000億~1兆 円未満」が44.0%で続いている。 【現在利用】 セキュリティ運用・監視 0% 20% 40% ウイルス等監視 60% 80% 100% 30.2% 10億円未満(n=43) 52.4% セキュリティ監査 10億円未満(n=43) 10億~30億円未満(n=39) 26.2% Webアプリケーション診断 40% 60% 80% 100% 14.0% 0% 10億円未満(n=43) 5.1% 10億~30億円未満(n=39) 20% 19.0% 30億~50億円未満(n=42) 20.6% 50億~100 億円未満(n=63) 9.5% 100 億~300 億円未満(n=89) 9.0% 16.9% 7.4% 300 億~500 億円未満(n=54) 500 億~1,000 億円未満(n=68) 20.6% 500 億~1,000 億円未満(n=68) 1,000 億~3,000 億円未満(n=63) 20.6% 1,000 億~3,000 億円未満(n=63) 3,000 億~5,000 億円未満(n=21) 19.0% 3,000 億~5,000 億円未満(n=21) 36.0% 5,000 億~1 兆円未満(n=25) 16.7% 14.8% 23.5% 28.6% 33.3% 40.0% 5,000 億~1 兆円未満(n=25) 48.1% 1 兆円以上(n=27) 55.6% 1 兆円以上(n=27) 金額で示せる適切な指標がない(n=49) 18.4% 金額で示せる適切な指標がない(n=49) 16.3% 全体(n=602) 18.4% 全体(n=602) 17.9% 160 60% 4.7% 30億~50億円未満(n=42) 100 億~300 億円未満(n=89) 40% 2.6% 50億~100 億円未満(n=63) 300 億~500 億円未満(n=54) 100% 20.4% 全体(n=602) 26.9% 80% 44.4% 1 兆円以上(n=27) 金額で示せる適切な指標がない(n=49) 32.7% 20% 52.4% 44.0% 5,000 億~1 兆円未満(n=25) 51.9% 1 兆円以上(n=27) 0% 25.4% 3,000 億~5,000 億円未満(n=21) 32.0% 全体(n=602) 20.6% 1,000 億~3,000 億円未満(n=63) 3,000 億~5,000 億円未満(n=21) 金額で示せる適切な指標がない(n=49) 11.1% 500 億~1,000 億円未満(n=68) 30.2% 5,000 億~1 兆円未満(n=25) 27.0% 300 億~500 億円未満(n=54) 22.1% 1,000 億~3,000 億円未満(n=63) 100% 21.3% 100 億~300 億円未満(n=89) 29.6% 300 億~500 億円未満(n=54) 500 億~1,000 億円未満(n=68) 80% 31.0% 50億~100 億円未満(n=63) 14.6% 60% 25.6% 30億~50億円未満(n=42) 22.2% 50億~100 億円未満(n=63) 40% 34.9% 10億~30億円未満(n=39) 19.0% 100 億~300 億円未満(n=89) 20% 10億円未満(n=43) 23.1% 10億~30億円未満(n=39) 30億~50億円未満(n=42) 0% 【経年変化】昨年度と比較すると、「利用していない」が9.9ポイント減少しているが、35.4%で最も多 い回答となっている。サービスを利用しているとの回答については、「セキュリティ運用・監視」が26.9% で最も多く、6.6ポイント増加している。 【経年変化】セキュリティサービスの利用状況「現在」 0% 10% 20% 30% セキュリティ運用・監視 26.9% 20.3% 24.6% ウイルス等監視 26.2% 27.3% 25.7% 40% 50% 60% 70% 80% 90% 100% 18.4% 11.3% 14.6% セキュリティ監査 17.9% 14.9% 22.8% Webアプリケーション診断 15.0% 11.5% 18.2% ログ解析 12.8% 11.5% 15.6% ハウジングサービス 緊急対応 11.3% 9.6% 9.3% 社外での研修による教育の実施 10.6% 7.7% 9.7% プラットフォーム診断 9.3% 6.8% 10.7% パッチマネジメント 7.0% 4.0% DoS対策 7.0% 4.9% ポリシー策定 6.6% 5.4% 5.2% セキュアシステム構築 6.5% 5.3% 5.2% リスク分析 6.0% 3.9% 3.9% 平成26年度(n=602) 平成25年度(n=1027) 平成24年度(n=610) 3.8% 損害保険(不正アクセス等対応) フォレンジックサービス 2.0% 1.2% 1.5% その他 2.3% 2.0% 1.6% 35.4% 利用していない 45.3% 37.4% 無回答 1.3% 1.3% 1.0% ※割合表示のないものについては、新規の調査項目 161 3.10.2.今後も継続して利用したいセキュリティサービス【問54】 【全体】全体では、「セキュリティ運用・監視」が39.1%で最も多く、「ウイルス等監視」が38.8%、「セ キュリティ監査」が28.1%、「Webアプリケーション診断」が27.6%で続いている。 【全体】セキュリティサービスの利用状況「継続」(MA,n=381) 0% 10% 20% 30% 40% 50% セキュリティ運用・監視 39.1% ウイルス等監視 38.8% セキュリティ監査 28.1% Webアプリケーション診断 27.6% ログ解析 22.0% ハウジングサービス 19.2% 緊急対応 16.3% 社外での研修による教育の実施 16.0% プラットフォーム診断 14.4% パッチマネジメント 10.8% DoS対策 10.2% セキュアシステム構築 9.7% リスク分析 8.4% ポリシー策定 8.4% 損害保険(不正アクセス等対応) 5.5% フォレンジックサービス 3.1% その他 3.1% 無回答 2.4% 162 60% 70% 80% 90% 100% 【業種別分析】業種別を見ると、「セキュリティ運用・監視」については、「金融」が59.3%で最も多く、 「製造業」が45.8%、「教育」が43.3%で続いている。「ウイルス等監視」については、「行政サービス」 が50.5%で最も多い。「セキュリティ監査」については、「サービス」が38.5%で最も多く、「Webアプリ ケーション診断」については、「運輸業」が41.7%で最も多い。 【継続希望】 セキュリティ運用・監視 0% 農林・水産・鉱業(n=4) 20% 40% 60% ウイルス等監視 80% 100% 0% 農林・水産・鉱業(n=4) 0.0% 製造業(n=83) 45.8% 不動産・建築(n=26) 19.2% 金融(n=27) 59.3% エネルギー(n=3) 33.3% 運輸業(n=12) 16.7% 情報通信(n=8) 30.8% 教育(n=67) 43.3% 不動産・建築(n=26) 30.8% 金融(n=27) 33.3% エネルギー(n=3) 33.3% 運輸業(n=12) 33.3% 33.3% 教育(n=67) 34.3% 全体(n=381) 39.1% 全体(n=381) セキュリティ監査 農林・水産・鉱業(n=4) 製造業(n=83) 不動産・建築(n=26) 金融(n=27) 40% 運輸業(n=12) 情報通信(n=8) サービス(n=39) 教育(n=67) 行政サービス(n=107) 全体(n=381) 50.5% 38.8% Webアプリケーション診断 60% 80% 100% 0% 0.0% 27.7% 20% 40% 25.0% 製造業(n=83) 26.5% 37.0% エネルギー(n=3) 33.3% 66.7% 運輸業(n=12) 16.7% 41.7% 情報通信(n=8) 25.0% 50.0% サービス(n=39) 38.5% 教育(n=67) 23.9% 行政サービス(n=107) 32.7% 全体(n=381) 28.1% 163 80% 15.4% 金融(n=27) 18.5% 60% 農林・水産・鉱業(n=4) 不動産・建築(n=26) 30.8% エネルギー(n=3) 100% 75.0% サービス(n=39) 行政サービス(n=107) 80% 0.0% 32.5% 37.4% 20% 60% 製造業(n=83) 行政サービス(n=107) 0% 40% 情報通信(n=8) 50.0% サービス(n=39) 20% 20.5% 4.5% 41.1% 27.6% 100% 【経年変化】昨年度と比較すると、「セキュリティ運用・監視」が1.4ポイント増加し最も多く、「ウイ ルス等監視」が9.8ポイント減少し、第2位となっている。 【経年変化】セキュリティサービスの利用状況「継続」 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 39.1% 37.7% 38.3% セキュリティ運用・監視 38.8% ウイルス等監視 48.6% 39.6% 28.1% 21.5% 21.8% セキュリティ監査 27.6% 25.9% Webアプリケーション診断 34.6% 22.0% 20.2% 26.9% ログ解析 19.2% 19.7% 22.6% ハウジングサービス 16.3% 18.9% 14.9% 緊急対応 社外での研修による教育の実施 16.0% 14.2% 16.8% プラットフォーム診断 14.4% 12.4% 16.8% パッチマネジメント 10.8% 8.0% DoS対策 10.2% 9.1% セキュアシステム構築 リスク分析 ポリシー策定 9.7% 9.8% 8.0% 8.4% 7.3% 7.7% 平成26年度(n=381) 平成25年度(n=549) 平成24年度(n=376) 8.4% 8.0% 6.6% 5.5% 損害保険(不正アクセス等対応) フォレンジックサービス 3.1% 2.2% 2.4% その他 3.1% 2.4% 2.4% 無回答 2.4% 3.8% 1.6% ※割合表示のないものについては、新規の調査項目 164 3.10.3.新規に利用したいセキュリティサービス【問55】 【全体】全体では、「特になし」を除くと「セキュリティ運用・監視」が16.5%で最も多く、「ログ解析」 が15.0%で続いている。「特にない」は24.4%となっている。 【全体】セキュリティサービスの利用状況「新規」(MA,n=381) 0% 10% 20% セキュリティ運用・監視 16.5% ログ解析 15.0% リスク分析 13.6% セキュリティ監査 13.4% 社外での研修による教育の実施 13.1% Web アプリケーション診断 10.2% DoS対策 8.4% ポリシー策定 7.6% セキュアシステム構築 7.6% 緊急対応 7.3% ウイルス等監視 7.1% フォレンジックサービス 6.6% プラットフォーム診断 6.0% パッチマネジメント 4.5% 損害保険(不正アクセス等対応) 4.2% ハウジングサービス 1.6% その他 1.0% 特にない 無回答 30% 24.4% 11.3% 165 40% 50% 60% 70% 80% 90% 100% 【業種別分析】業種別を見ると、「特になし」を除くと、「セキュリティ運用・監視」については、「行 政サービス」が20.6%で最も多く、「製造業」が20.5%で続いている。「ログ解析」については、「運輸 業」が41.7%で最も多い。 【新規利用希望】 新規利用希望:セキュリティ監査/リスク分析 セキュリティ運用・監視 0% 20% 農林・水産・鉱業(n=4) 40% 60% ログ解析 80% 0% 100% 20% 40% 農林・水産・鉱業(n=4) 25.0% 20.5% 製造業(n=83) 不動産・建築(n=26) 19.2% 不動産・建築(n=26) 11.5% 金融(n=27) 11.1% エネルギー(n=3) 運輸業(n=12) 情報通信(n=8) サービス(n=39) 教育(n=67) 行政サービス(n=107) 全体(n=381) 11.1% 14.5% エネルギー(n=3) 0.0% 66.7% 運輸業(n=12) 8.3% 情報通信(n=8) 25.0% 12.8% 10.4% 20.6% 16.5% 166 80% 50.0% 製造業(n=83) 金融(n=27) 60% 41.7% 25.0% サービス(n=39) 10.3% 教育(n=67) 11.9% 行政サービス(n=107) 15.0% 全体(n=381) 15.0% 100% 【経年変化】昨年度と比較すると、「特になし」は3.8ポイント減少している。「セキュリティ運用・監 視」が3.4ポイント減少しているが、最も多い。 【経年変化】セキュリティサービスの利用状況「新規」 0% 10% 20% 50% 60% 70% 80% 90% 100% 15.0% 11.3% 11.5% ログ解析 13.6% 17.7% 17.2% リスク分析 13.4% 17.1% 20.8% セキュリティ監査 13.1% 15.3% 11.5% 社外での研修による教育の実施 10.2% 11.1% 11.5% Webアプリケーション診断 8.4% 6.4% ポリシー策定 7.6% 8.4% 9.7% セキュアシステム構築 7.6% 9.3% 7.7% 緊急対応 7.3% 8.6% 9.5% ウイルス等監視 7.1% 6.9% 7.4% フォレンジックサービス 6.6% 4.2% 4.9% プラットフォーム診断 40% 16.5% 19.9% 15.4% セキュリティ運用・監視 DoS対策 30% 6.0% 7.1% 8.7% 平成26年度(n=381) パッチマネジメント 4.5% 5.1% 平成25年度(n=549) 平成24年度(n=610) 4.2% 損害保険(不正アクセス等対応) ハウジングサービス その他 1.6% 3.5% 4.8% 1.0% 1.5% 0.5% 24.4% 28.2% 28.0% 特にない 無回答 11.3% 9.1% 10.8% ※割合表示のないものについては、新規の調査項目 167 3.10.4.セキュリティサービスを利用していない理由【問56】 【全体】全体では、「予算がない」が43.7%で最も多く、「価格が見合わない」が32.9%で続いており、 金銭面の理由が上位に挙げられている。 【全体】セキュリティサービスを利用していない理由(MA,n=213) 0% 10% 20% 30% 40% 予算がない 43.7% 価格が見合わない 32.9% 社・団体内の担当者だけで必要な人員が 確保されているため、必要性がない 17.4% 社・団体内にノウハウの蓄積を行いたい 機密情報の漏えいにつながることが懸念される 15.5% 8.5% 社・団体内に高い専門性やノウハウ、 技術力があり、必要性がない 3.3% 要求に合致するサービスが提供されていない 3.3% その他 無回答 50% 16.4% 3.3% 168 60% 70% 80% 90% 100% 【業種別分析】業種別を見ると、「予算がない」については、「行政サービス」が54.3%で最も多く、「教 育」が52.6%で続いている。「価格が見合わない」については、「製造業」が41.8%で最も多い。 予算がない 0% 20% 価格が見合わない 40% 60% 農林・水産・鉱業(n=2) 80% 0% 100% 農林・水産・鉱業(n=2) 50.0% 製造業(n=55) 0.0% 金融(n=1) エネルギー(n=0) 0.0% エネルギー(n=0) 運輸業(n=5) サービス(n=20) 情報通信(n=1) 0.0% 35.0% 100.0% 0.0% 20.0% 0.0% サービス(n=20) 30.0% 52.6% 教育(n=76) 31.6% 行政サービス(n=35) 54.3% 行政サービス(n=35) 31.4% 全体(n=213) 32.9% 43.7% 169 100% 17.6% 教育(n=76) 全体(n=213) 80% 41.8% 運輸業(n=5) 60.0% 60% 0.0% 不動産・建築(n=17) 29.4% 金融(n=1) 情報通信(n=1) 40% 製造業(n=55) 32.7% 不動産・建築(n=17) 20% 【経年変化】昨年度と比較すると、コスト面での理由が増加しており、昨年度、今年度ともに上位に挙 げられており、引き続きコスト面の課題が大きくなっていることが分かる。 【経年変化】セキュリティサービスを利用していない理由 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 43.7% 37.6% 予算がない 53.9% 32.9% 28.6% 32.0% 価格が見合わない 17.4% 12.7% 7.0% 社・団体内の担当者だけで必要な人員が 確保されているため、必要性がない 15.5% 14.4% 16.2% 社・団体内にノウハウの蓄積を行いたい 機密情報の漏えいにつながることが懸念される 8.5% 7.1% 5.3% 社・団体内に高い専門性やノウハウ、技術力があり、 必要性がない 3.3% 8.2% 9.2% 平成26年度(n=213) 要求に合致するサービスが提供されていない 3.3% 4.3% 2.2% 16.4% 13.1% 12.7% その他 無回答 3.3% 8.2% 3.5% 170 平成25年度(n=465) 平成24年度(n=228) 3.10.5. 2015年度の情報セキュリティ投資計画【問57】 【全体】全体では、「今季と比較して、ほぼ同額とする計画である」とする割合が75.9%で最も多い。増 やす計画であるとする各項目の合計は20.8%で、減らすとする各項目の合計は1.3%となっている。 【全体】2015年度の情報セキュリティ投資計画(SA,n=602) 1.7% 0.8% 0.3% 0.2% 2.0% 今季と比較して、ほぼ同額(‐10 ~+10%)とする計画である 2.7% 今季と比較して、小幅に増やす (+10 ~+30%)計画である 16.4% 今季と比較して、かなり増やす (+30 ~+50%)計画である 今季と比較して、大幅に増やす (+50%以上)計画である 今季と比較して、小幅に減らす (‐10 ~‐30%)計画である 75.9% 今季と比較して、かなり減らす(‐ 30 ~‐50%)計画である 今季と比較して、大幅に減らす (‐50%以上)計画である 無回答 171 【業種別分析】業種別を見ると、「今季と比較して、投資額を増やす」については、「不動産・建築」 が32.6%で最も多く、「製造業」が31.9%で続いている。「今季と比較して、ほぼ同額」については、「教 育」が89.7%で最も多く、「行政サービス」が81.1%で続いている。 【業種別分析】2015年度の情報セキュリティ投資計画 0% 10% 20% 農林・水産・鉱業(n=6) 不動産・建築(n=43) 50% 60% 70% 4.7% 64.5% 25.6% 78.6% 25.0% 5.9% 11.8% 情報通信(n=9) 教育(n=145) 2.1% 10.0% 2.7% 全体(n=602) 1.7% 2.8% 0.7% 75.0% 11.8% 70.6% 44.4% 16.7% 68.3% 4.1% 2.8% 行政サービス(n=143) 2.1% 100% 7.1% 44.4% 1.7% 90% 67.4% 14.3% エネルギー(n=4) 80% 50.0% 29.8% 2.3% 金融(n=28) サービス(n=60) 40% 50.0% 1.4% 製造業(n=141) 0.7% 運輸業(n=17) 30% 3.3% 0.7% 0.7% 89.7% 11.2% 11.1% 2.1% 0.7% 81.1% 16.4% 75.9% 1.4% 1.4% 0.3% 今季と比較して、大幅に増やす(+50%以上)計画である 今季と比較して、かなり増やす(+30~+50%)計画である 今季と比較して、小幅に増やす(+10~+30%)計画である 今季と比較して、ほぼ同額(‐10~+10%)とする計画である 今季と比較して、小幅に減らす(‐10~‐30%)計画である 今季と比較して、かなり減らす(‐30~‐50%)計画である 今季と比較して、大幅に減らす(‐50%以上)計画である 無回答 172 2.0% 0.8% 0.2% 【売上・予算規模別分析】売上・予算規模別を見ると、「今季と比較して、投資額を増やす」について は、「5,000億~1兆円未満」が48.0%で最も多く、「1兆円以上」が37.0%で続いている。「今季と比較し て、ほぼ同額」では、「30億~50億円未満」が92.9%で最も多い。 【売上・予算規模別分析】2015年度の情報セキュリティ投資計画 0% 10% 20% 30% 40% 10億円未満(n=43) 4.7% 50% 60% 70% 80% 90% 100% 2.3% 86.0% 4.7% 2.3% 10億~30億円未満(n=39) 2.6% 10.3% 30億~50億円未満(n=42) 87.2% 4.8% 92.9% 2.4% 50億~100 億円未満(n=63) 3.2% 12.7% 1.6% 77.8% 1.6% 100 億~300 億円未満 (n=89) 1.6% 1.6% 2.2% 21.3% 300 億~500 億円未満 1.9% (n=54) 13.0% 500 億~1,000 億円未満 1.5% (n=68) 1.1% 2.2% 7.4% 76.5% 27.0% 3,000 億~5,000 億円未満 4.8% (n=21) 5,000 億~1 兆円未満 4.0% (n=25) 85.2% 19.1% 1,000 億~3,000 億円未満 4.8% (n=63) 1 兆円以上(n=27) 69.7% 3.4% 66.7% 28.6% 12.0% 2.9% 1.6% 52.4% 32.0% 14.3% 52.0% 29.6% 63.0% 金額で示せる適切な指標 がない(n=49) 4.1% 6.1% 2.0% 2.7% 全体(n=602) 16.4% 1.7% 今季と比較して、大幅に増やす(+50%以上)計画である 81.6% 75.9% 2.0% 4.1% 0.3% 2.0% 0.8% 0.2% 今季と比較して、かなり増やす(+30~+50%)計画である 今季と比較して、小幅に増やす(+10~+30%)計画である 今季と比較して、ほぼ同額(‐10~+10%)とする計画である 今季と比較して、小幅に減らす(‐10~‐30%)計画である 今季と比較して、かなり減らす(‐30~‐50%)計画である 今季と比較して、大幅に減らす(‐50%以上)計画である 無回答 173 【経年変化】昨年度と比較すると、 「今季と比較してほぼ同額とする計画である」が 6.1 ポイント減少し ているが、最も多い。「今季と比較して、投資額を増やす」は 7.0 ポイント増加し、「今季と比較して、 投資額を減らす」は 0.2 ポイントの増加となっており、投資額を増やす動きがみられる。 【経年変化】2015 年度の情報セキュリティ投資計画 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 75.9% 82.0% 81.8% 今季と比較して、ほぼ同額(‐10~+10%)とする計画である 16.4% 8.4% 10.2% 今季と比較して、小幅に増やす(+10~+30%)計画である 今季と比較して、かなり増やす(+30~+50%)計画である 2.7% 3.4% 2.6% 今季と比較して、大幅に増やす(+50%以上)計画である 1.7% 2.0% 1.1% 今季と比較して、小幅に減らす(‐10~‐30%)計画である 0.8% 1.0% 2.1% 今季と比較して、かなり減らす(‐30~‐50%)計画である 0.3% 0.1% 0.5% 平成26年度(n=602) 平成25年度(n=1027) 今季と比較して、大幅に減らす(‐50%以上)計画である 無回答 0.2% 0.0% 0.3% 2.0% 3.1% 1.3% 174 平成24年度(n=610) 3.10.6.情報セキュリティ対策実施上の問題【問58】 【全体】全体では、「費用対効果が見えない」が59.6%で最も多く、「コストがかかりすぎる」が49.8%、 「どこまで行えば良いのか基準が示されていない」が46.3%で続いている。 【全体】情報セキュリティ対策実施上の問題点(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 費用対効果が見えない 59.6% コストがかかりすぎる 49.8% どこまで行えば良いのか基準が示されていない 46.3% 教育訓練が行き届かない 35.5% 対策を構築するノウハウが不足している 27.4% 従業員への負担がかかりすぎる 20.3% トップの理解が得られない 12.0% 情報を資産として考える習慣がない 11.3% 最適なツール・サービスがない その他 無回答 70% 5.1% 1.8% 0.8% 175 80% 90% 100% 【業種別分析】業種別を見ると、「費用対効果が見えない」については、「製造業」が75.2%で最も多く、 「運輸業」が64.7%、「金融」が64.3%で続いている。「コストがかかりすぎる」については、「運輸業」 が58.8%で最も多く、「製造業」が54.6%、「教育」が53.8%で続いている。「どこまで行えば良いのか基 準が示されていない」については、「製造業」が53.9%で最も多い。 費用対効果が見えない 0% 農林・水産・鉱業(n=6) 20% 40% コストがかかりすぎる 60% 80% エネルギー(n=4) 教育(n=145) 行政サービス(n=143) 全体(n=602) 50.0% 75.0% 運輸業(n=17) 58.8% 情報通信(n=9) 77.8% 55.6% サービス(n=60) 56.7% 45.0% 教育(n=145) 53.1% 53.8% 行政サービス(n=143) 48.3% 全体(n=602) 49.8% 59.6% どこまで行えば良いのか基準が示されていない 0% 20% 農林・水産・鉱業(n=6) 40% 60% 100% 33.3% 製造業(n=141) 53.9% 不動産・建築(n=43) 48.8% 金融(n=28) 42.9% エネルギー(n=4) 100.0% 運輸業(n=17) 情報通信(n=9) 80% 47.1% 0.0% サービス(n=60) 48.3% 教育(n=145) 46.9% 行政サービス(n=143) 39.9% 全体(n=602) 46.3% 176 100% 25.6% エネルギー(n=4) 64.7% 48.3% 80% 54.6% 金融(n=28) 100.0% 60% 50.0% 不動産・建築(n=43) 64.3% 情報通信(n=9) 40% 製造業(n=141) 60.5% 運輸業(n=17) 20% 農林・水産・鉱業(n=6) 75.2% 金融(n=28) サービス(n=60) 0% 50.0% 製造業(n=141) 不動産・建築(n=43) 100% 【売上・予算規模別分析】売上・予算規模別を見ると、「費用対効果が見えない」については、「3,000 億~5,000億円未満」が90.5%で最も多く、「1兆円以上」が74.1%、「5,000億~1兆円未満」が72.0%で続 いている。「コストがかかりすぎる」については、「5,000億~1兆円未満」が72.0%で最も多く、「3,000 億~5,000億円未満」が61.9%、「500億~1,000億円未満」が60.3%で続いている。「どこまで行えば良い のか基準が示されていない」については、「3,000億~5,000億円未満」が71.4%で最も多く、「1兆円以 上」が55.6%、「100億~300億円未満」が50.6%で続いている。 費用対効果が見えない 0% 10億円未満(n=43) 10億~30億円未満(n=39) 30億~50億円未満(n=42) 50億~100 億円未満(n=63) 100 億~300 億円未満(n=89) 300 億~500 億円未満(n=54) 20% 40% コストがかかりすぎる 60% 80% 0% 100% 34.9% 56.4% 50.0% 62.9% 41.9% 41.0% 100 億~300 億円未満(n=89) 300 億~500 億円未満(n=54) 500 億~1,000 億円未満(n=68) 67.6% 500 億~1,000 億円未満(n=68) 1,000 億~3,000 億円未満(n=63) 68.3% 1,000 億~3,000 億円未満(n=63) 90.5% 3,000 億~5,000 億円未満(n=21) 金額で示せる適切な指標がない(n=49) 全体(n=602) 46.9% 42.7% 55.6% 60.3% 46.0% 61.9% 72.0% 1 兆円以上(n=27) 44.4% 金額で示せる適切な指標がない(n=49) 42.9% 全体(n=602) 59.6% どこまで行えば良いのか基準が示されていない 0% 20% 40% 60% 80% 44.2% 10億円未満(n=43) 25.6% 10億~30億円未満(n=39) 45.2% 30億~50億円未満(n=42) 47.6% 50億~100 億円未満(n=63) 50.6% 100 億~300 億円未満(n=89) 42.6% 300 億~500 億円未満(n=54) 500 億~1,000 億円未満(n=68) 47.1% 1,000 億~3,000 億円未満(n=63) 47.6% 71.4% 3,000 億~5,000 億円未満(n=21) 32.0% 5,000 億~1 兆円未満(n=25) 55.6% 1 兆円以上(n=27) 金額で示せる適切な指標がない(n=49) 49.0% 全体(n=602) 46.3% 177 100% 100% 52.4% 5,000 億~1 兆円未満(n=25) 74.1% 1 兆円以上(n=27) 80% 50.0% 3,000 億~5,000 億円未満(n=21) 72.0% 5,000 億~1 兆円未満(n=25) 60% 10億円未満(n=43) 50億~100 億円未満(n=63) 59.3% 40% 10億~30億円未満(n=39) 30億~50億円未満(n=42) 54.0% 20% 49.8% 【経年変化】昨年度と比較すると、「費用対効果が見えない」が5.9ポイント増加し最も多い。上位3項 目は増加している。 【経年変化】情報セキュリティ対策実施上の問題点 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 59.6% 53.7% 59.2% 費用対効果が見えない 49.8% 42.4% 50.7% コストがかかりすぎる 46.3% 45.5% 42.3% どこまで行えば良いのか基準が示されていない 35.5% 37.3% 40.8% 教育訓練が行き届かない 27.4% 32.6% 29.5% 対策を構築するノウハウが不足している 20.3% 21.5% 28.2% 従業員への負担がかかりすぎる トップの理解が得られない 12.0% 10.1% 12.6% 情報を資産として考える習慣がない 11.3% 10.9% 12.5% 平成26年度(n=602) 平成25年度(n=1027) 最適なツール・サービスがない 5.1% 5.0% 7.4% その他 1.8% 3.5% 1.0% 無回答 0.8% 3.1% 1.3% 178 平成24年度(n=610) 100% 3.11. 情報セキュリティ対策実施上の方針 3.11.1. 設問内容 本調査では、情報セキュリティ対策実施上の方針について、 「投資方針」等6つの項目に関して尋ねた。 具体的には、各項目について相対する2つの考え(①②)を提示し、社・団体等における考え方が①②の どちらの考え方に近いかを尋ねている。各項目について、「①とほぼ同様」「どちらかといえば①に近 い」「どちらかといえば②に近い」「②とほぼ同様」のいずれか1つを回答する形式となっている。 本調査で尋ねた6つの項目と、それぞれにおいて示した、相対する2つの考え方は下記の通りとなって いる。 調査対象とした基本的な考え方と相対する2つの考え ①として提示した考え方 ②として提示した考え方 1.投資方針 セキュリティ投資は必要最低限に抑えるべきである。 来るべき問題事案に備えて、積極的に投資を行うべきであ る。 2.事後的対応と予防的対応 情報セキュリティ対策としては、問題発生に対しての応急 情報セキュリティ対策としては、リスクの検知等、予防上の対 対応や、再発防止・被害拡大防止に注力するべきである。 策に注力するべきである。 3.対応すべき範囲 情報セキュリティ対策としては、人的・技術的な対策により 情報セキュリティ対策としては、人的・技術的対策により カバーできるところを対策すれば十分である。 カバーできないリスクは保険によりまかなうべきである。 4.非技術的対応 技術以外の面での対策としては、従業員等への教育と、適 技術以外の面での対策としては、教育はもちろんのこと、規 切な情報提供により対策を促すことが重要である。 制・罰則等の強制力のある制度的対応を行うことが重要であ る。 5.プライバシーの考慮 職場とはいえ、従業員等のプライバシーはある程度考慮し 職場のセキュリティ保護のためにはシステム利用状況のモニ たうえで、情報セキュリティ対策は行われるべきである。 タリング等によるプライバシーの侵害はやむをえない。 6.利便性とのバランス 業務実施に負担をかけるほどのセキュリティ対策は不 ユーザにシステム利用上・業務上の負担を強いてでもセ 適当であり、利便性とのバランスを考慮すべきである。 キュリティを守るべきである。 179 【全体】「投資方針」については、「①セキュリティ投資は必要最低限度に抑えるべきである」に近い とする割合が37.4%、「②来るべき問題事案に備えて、積極的に投資を行うべきである」に近いとする割 合が61.7%となっており、「積極的」とする割合が「必要最低限」とする割合を24.3ポイント上回ってい る。 「事後的対応と予防的対応」については、「①情報セキュリティ対策としては、問題発生に対しての 応急対応や、再発防止・被害拡大防止に注力するべきである」に近いとする割合が27.3%、「②情報セキ ュリティ対策としては、リスクの検知等、予防上の対策に注力するべきである」に近いとする割合が71.9% となっており、「予防的対応」とする割合が「問題発生への適切な対応」とする割合を44.6ポイントと 大幅に上回っている。 「対応すべき範囲」については、「①情報セキュリティ対策としては、人的・技術的な対策によりカ バーできるところを対策すれば十分である」に近いとする割合が65.1%、「②情報セキュリティ対策とし ては、人的・技術的対策によりカバーできないリスクは保険によりまかなうべきである」に近いとする 割合が33.4%となっており、「人的・技術的な対策で十分」とする割合が「保険的対応が必要」を31.7ポ イント上回っている。 「非技術的対応」については、「①技術以外の面での対策としては、従業員等への教育と、適切な情 報提供により対策を促すことが重要である」に近いとする割合が60.6%、「②技術以外の面での対策とし ては、教育はもちろんのこと、規制・罰則等の強制力のある制度的対応を行うことが重要である」に近 いとする割合が38.5%となっており、「教育と情報提供を中心とした対応」とする割合が「規則・罰則も 含む強制力のある対応」を22.1ポイント上回っている。 「プライバシーの考慮」については、「①職場とはいえ、従業員等のプライバシーはある程度考慮し たうえで、情報セキュリティ対策は行われるべきである」に近いとする割合が43.9%、「②職場のセキュ リティ保護のためにはシステム利用状況のモニタリング等によるプライバシーの侵害はやむをえない」 に近いとする割合が55.2%となっており、「ある程度のプライバシーの侵害はやむをえない」とする割合 が「プライバシーはある程度考慮されるべきだ」とする割合を11.3ポイント上回っている。 「利便性とのバランス」については、「①業務実施に負担をかけるほどのセキュリティ対策は不適当 であり、利便性とのバランスを考慮すべきである」に近いとする割合が64.5%、「②ユーザにシステム利 用上・業務上の負担を強いてでもセキュリティを守るべきである」とする34.5%となっており、「利便性 とのバランスを考慮」とする割合が「負担を強いてでもセキュリティを守る」とする割合を30.0ポイン ト上回っている。 180 【全体】情報セキュリティ対策実施上の方針(SA,n=602) 0% 10% 20% 投資方針 4.0% 30% 40% 33.4% 50% 60% 70% 80% 53.2% 90% 100% 8.5% 1.0% 事後的対応と予防的対応 4.5% 対応すべき範囲 22.8% 62.3% 9.1% 9.6% 56.0% 31.9% 0.8% 1.5% 1.5% 非技術的対応 12.3% 48.3% 31.2% 7.3% 0.8% プライバシーの考慮 利便性とのバランス 8.0% 35.9% 15.0% 40.7% 49.5% 14.5% 29.2% 1.0% 5.3% 1.0% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 181 どちらかといえば②の考え方に近い 3.11.2. 投資に関する考え方【問59-1】 情報セキュリティに対する投資方針については、下記に挙げる2つの考え方のいずれに近いかを尋ねて いる。 ①として提示した考え方 ②として提示した考え方 セキュリティ投資は必要最低限に抑えるべきである。 来るべき問題事案に備えて、積極的に投資を行うべきである。 【業種別分析】業種別を見ると、投資方針に関して「①必要最低限」の割合が多い業種は、「製造業」 が48.2%、「不動産・建築」が44.2%となっている。その他の業種では、「②積極的投資」の割合が多い のは特に「金融」が71.5%、「行政サービス」、「運輸業」が70.6%で7割以上となっている。 【業種別分析】投資方針 0% 10% 農林・水産・鉱業(n=6) 20% 30% 16.7% 70% 42.6% 44.2% 21.4% 11.1% 行政サービス(n=143) 2.8% 全体(n=602) 4.0% 8.5% 3.6% 58.8% 0.7% 2.3% 3.6% 11.8% 77.8% 30.0% 教育(n=145) 4.8% 100% 50.0% 29.4% サービス(n=60) 5.0% 90% 9.3% 67.9% 50.0% 運輸業(n=17) 80% 33.3% 37.2% エネルギー(n=4) 情報通信(n=9) 60% 44.7% 7.0% 金融(n=28) 3.6% 50% 50.0% 製造業(n=141) 3.5% 不動産・建築(n=43) 40% 11.1% 53.3% 33.1% 56.6% 25.9% 58.0% 33.4% 1.4% 4.1% 12.6% 53.2% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 182 11.7% 8.5% 0.7% 1.0% どちらかといえば②の考え方に近い 【経年変化】昨年度と比較すると、「①必要最低限」は2.8ポイントの増加、「②積極的投資」は1.2ポ イントの減少となっている。 【経年変化】投資方針 0% 10% 平成26年度(n=602) 4.0% 平成25年度(n=1027) 20% 30% 40% 33.4% 6.2% 60% 70% 80% 90% 53.2% 28.4% 平成24年度(n=610) 3.9% 50% 51.3% 30.3% 8.5% 11.6% 54.3% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 183 100% 10.8% 1.0% 2.4% 0.7% 3.11.3. 事後的対応と予防的対応に関する考え方【問59-2】 情報セキュリティ対策については、下記に挙げる2つの考え方のいずれに近いかを尋ねている。 ①として提示した考え方 ②として提示した考え方 情報セキュリティ対策としては、問題発生に対しての応急対応 情報セキュリティ対策としては、リスクの検知等、予防上の や、再発防止・被害拡大防止に注力するべきである。 対策に注力するべきである。 【業種別分析】業種別を見ると、全ての業種で「②予防的対応」が「①事後的対応」と比べて多くなっ ている。特に「②予防的対応」が多いのは、「金融」の85.7%である。 【業種別分析】事後的対応と予防的対応 0% 10% 農林・水産・鉱業(n=6) 金融(n=28) 2.3% 40% 50% 60% 24.1% 20.9% 62.8% 14.3% 行政サービス(n=143) 4.9% 全体(n=602) 4.5% 0.7% 3.6% 75.0% 52.9% 33.3% 6.2% 100% 14.0% 41.2% サービス(n=60) 5.0% 90% 9.2% 71.4% 運輸業(n=17) 80% 61.7% 25.0% 情報通信(n=9) 70% 66.7% 10.7% エネルギー(n=4) 教育(n=145) 30% 33.3% 製造業(n=141) 4.3% 不動産・建築(n=43) 20% 5.9% 66.7% 20.0% 61.7% 22.1% 62.8% 23.8% 22.8% 7.6% 60.1% 11.2% 62.3% 9.6% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 184 11.7% 1.7% 1.4% 0.8% どちらかといえば②の考え方に近い 【売上・予算規模別分析】売上・予算規模別を見ると、全ての売上・予算規模で「②予防的対応」が「① 事後的対応」比べて多くなっている。特に「②予防的対応」が多いのは、 「100億~300億円未満」の78.7%、 「10億円~30億円未満」の77.0%、「1,000億円~3,000億円未満」の76.2%、「30億~50億円未満」の76.1% である。 【売上・予算規模別分析】事後的対応と予防的対応 0% 10% 20% 10億円未満(n=43) 7.0% 10億~30億円未満(n=39) 7.7% 15.4% 30億~50億円未満(n=42) 7.1% 16.7% 300 億~500 億円未満 3.7% (n=54) 金額で示せる適切な指標が ない(n=49) 8.2% 全体(n=602) 4.5% 80% 90% 100% 16.3% 66.7% 10.3% 69.0% 7.1% 57.1% 27.8% 20.6% 3.7% 70% 66.3% 1,000 億~3,000 億円未満 3.2% (n=63) 1 兆円以上(n=27) 60% 58.1% 16.9% 25.0% 5,000 億~1 兆円未満 4.0% (n=25) 50% 34.9% 500 億~1,000 億円未満 1.5% (n=68) 3,000 億~5,000 億円未満 4.8% (n=21) 40% 18.6% 50億~100 億円未満(n=63) 4.8% 100 億~300 億円未満 3.4% (n=89) 30% 12.4% 59.3% 64.7% 61.9% 23.8% 9.3% 7.4% 63.0% 22.4% 22.8% 4.0% 11.1% 55.1% 10.2% 4.1% 62.3% 9.6% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 185 1.5% 14.3% 68.0% 22.2% 1.1% 14.3% 57.1% 24.0% 3.2% 0.8% 【経年変化】昨年度と比較すると、「①事後的対応」は3.3ポイントの増加、「②予防的対応」は1.6ポ イントの減少となっている。 【経年変化】事後的対応と予防的対応 0% 平成26年度(n=602) 4.5% 平成25年度(n=1027) 3.6% 平成24年度(n=610) 3.3% 10% 20% 30% 40% 50% 60% 22.8% 70% 80% 90% 62.3% 20.4% 59.1% 17.5% 62.0% 9.6% 14.4% 16.2% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 186 100% 0.8% 2.5% 1.0% 3.11.4. 対応すべき範囲に関する考え方【問59-3】 情報セキュリティ対策において対応するべき範囲については、下記に挙げる2つの考え方のいずれに近い かを尋ねている。 ①として提示した考え方 ②として提示した考え方 情報セキュリティ対策としては、人的・技術的な対策によりカ 情報セキュリティ対策としては、人的・技術的対策により バーできるところを対策すれば十分である。 カバーできないリスクは保険によりまかなうべきである。 【業種別分析】業種別を見ると、「サービス」を除くすべての業種で「①人的・技術的な対策で十分」 が「②保険的な対応が必要」を上回っている。 【業種別分析】対応すべき範囲 0% 10% 農林・水産・鉱業(n=6) 20% 30% 40% 16.7% 9.9% 59.6% 不動産・建築(n=43) 9.3% 60.5% 7.1% エネルギー(n=4) 11.8% 情報通信(n=9) 11.1% 教育(n=145) 70% 全体(n=602) 9.1% 100% 2.1% 30.2% 3.6% 32.1% 3.6% 50.0% 70.6% 17.6% 33.3% 6.2% 9.8% 90% 28.4% 53.6% 8.3% 行政サービス(n=143) 80% 16.7% 50.0% 運輸業(n=17) サービス(n=60) 60% 66.7% 製造業(n=141) 金融(n=28) 50% 55.6% 40.0% 43.3% 54.5% 6.7% 35.9% 58.7% 56.0% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 187 29.4% 31.9% 1.7% 1.4% 2.1% 1.4% 0.7% 1.5% 1.5% どちらかといえば②の考え方に近い 【経年変化】昨年度と比較すると、「①人的・技術的な対策で十分」は7.1ポイントの増加、「②保険的 な対応が必要」は5.4ポイントの減少となっている。 【経年変化】対応すべき範囲 0% 10% 平成26年度(n=602) 9.1% 平成25年度(n=1027) 8.1% 平成24年度(n=610) 9.2% 20% 30% 40% 56.0% 49.9% 50% 60% 70% 80% 90% 31.9% 34.2% 53.8% 32.0% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 188 100% 1.5% 1.5% 4.6% 3.3% 3.8% 1.3% 3.11.5. 非技術的対応に関する考え方【問59-4】 技術以外の面での対応については、下記に挙げる2つの考え方のいずれに近いかを尋ねている。 ①として提示した考え方 ②として提示した考え方 技術以外の面での対策としては、従業員等への教育と、適切 技術以外の面での対策としては、教育はもちろんのこと、 な情報提供により対策を促すことが重要である。 規制・罰則等の強制力のある制度的対応を行うことが重要 である。 【業種別分析】業種別を見ると、「不動産・建築」を除くすべての業種で「①教育と情報提供を中心と した対応」が「②規則・罰則も含む強制力のある対応」を上回っている。 【業種別分析】非技術的対応 0% 10% 20% 農林・水産・鉱業(n=6) 製造業(n=141) 不動産・建築(n=43) 金融(n=28) 30% 50.0% 12.1% 50% 60% 70% 16.7% 9.3% 16.7% 9.2% 32.1% 10.0% 23.5% 44.4% 40.0% 11.8% 22.2% 33.3% 15.0% 教育(n=145) 13.1% 53.8% 27.6% 行政サービス(n=143) 13.3% 53.1% 28.7% 全体(n=602) 12.3% 48.3% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 189 3.6% 3.6% 25.0% 64.7% 33.3% 0.7% 7.0% 75.0% 情報通信(n=9) 100% 44.2% 53.6% 運輸業(n=17) 90% 34.8% 39.5% 7.1% 80% 16.7% 43.3% エネルギー(n=4) サービス(n=60) 40% 31.2% 1.7% 1.4% 4.1% 4.9% 7.3% 0.8% どちらかといえば②の考え方に近い 【経年変化】昨年度と比較すると、「①教育と情報提供を中心とした対応」は4.1ポイントの増加、「② 規則・罰則も含む強制力のある対応」は2.3ポイントの減少となっている。 【経年変化】非技術的対応 0% 平成26年度(n=602) 平成25年度(n=1027) 平成24年度(n=610) 10% 12.3% 12.5% 11.6% 20% 30% 40% 48.3% 44.0% 43.9% 50% 60% 70% 80% 90% 31.2% 32.9% 35.7% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 190 100% 7.3% 7.9% 7.7% 0.8% 2.7% 1.0% 3.11.6. プライバシーの考慮に関する考え方【問59-5】 従業員等のプライバシーの取扱いについては、下記に挙げる2つの考え方のいずれに近いかを尋ねてい る。 ①として提示した考え方 ②として提示した考え方 職場とはいえ、従業員等のプライバシーはある程度考慮した 職場のセキュリティ保護のためにはシステム利用状況 うえで、情報セキュリティ対策は行われるべきである。 のモニタリング等によるプライバシーの侵害はやむをえ ない。 【業種別分析】業種別を見ると、「教育」、「運輸業」を除く業種で「②プライバシーの侵害はやむを えない」が「①プライバシーはある程度考慮すべき」を上回っている。 【業種別分析】プライバシーの考慮 0% 10% 農林・水産・鉱業(n=6) 製造業(n=141) 30% 5.7% 50% 29.8% 70% 80% 32.1% 75.0% 22.2% サービス(n=60) 5.0% 29.4% 22.2% 行政サービス(n=143) 7.0% 全体(n=602) 8.0% 5.9% 5.9% 44.4% 36.7% 14.5% 3.6% 25.0% 58.8% 情報通信(n=9) 11.1% 36.7% 50.3% 28.7% 40.7% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 191 20.0% 27.6% 49.7% 35.9% 0.7% 18.6% 35.7% 運輸業(n=17) 100% 15.6% 48.8% 21.4% 90% 33.3% 48.2% 30.2% 7.1% 60% 33.3% エネルギー(n=4) 教育(n=145) 40% 33.3% 不動産・建築(n=43) 2.3% 金融(n=28) 20% 1.7% 6.2% 1.4% 14.7% 14.5% 1.0% どちらかといえば②の考え方に近い 【経年変化】昨年度と比較すると、「①プライバシーはある程度考慮すべき」は1.3ポイントの減少、「② プライバシーの侵害はやむをえない」は3.4ポイントの増加となっている。 【経年変化】プライバシーの考慮 0% 平成26年度(n=602) 平成25年度(n=1027) 平成24年度(n=610) 10% 20% 30% 8.0% 35.9% 7.7% 37.5% 7.2% 40% 50% 60% 70% 80% 40.7% 41.1% 34.6% 43.8% 90% 14.5% 10.7% 13.6% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 192 100% 1.0% 3.0% 0.8% 3.11.7. 利便性とのバランスに関する考え方【問59-6】 情報セキュリティ対策と利便性との兼ね合いについては、下記に挙げる2つの考え方のいずれに近いか を尋ねている。 ①として提示した考え方 ②として提示した考え方 業務実施に負担をかけるほどのセキュリティ対策は不適当 ユーザにシステム利用上・業務上の負担を強いて であり、利便性とのバランスを考慮すべきである。 でもセキュリティを守るべきである。 【業種別分析】業種別を見ると、すべての業種で「①利便性とのバランスを考慮」が「②負担を強いて でもセキュリティを守る」を上回っている。 【業種別分析】利便性とのバランス 0% 10% 20% 30% 農林・水産・鉱業(n=6) 金融(n=28) 教育(n=145) 行政サービス(n=143) 全体(n=602) 70% 50.4% 11.6% 80% 7.1% 50.0% 2.3% 3.6% 35.3% 33.3% 55.6% 16.7% 48.3% 19.3% 15.0% 17.9% 1.4% 75.0% 64.7% 10.5% 100% 5.7% 23.3% 21.4% 25.0% 11.1% 90% 23.4% 62.8% 運輸業(n=17) サービス(n=60) 60% 33.3% 19.1% エネルギー(n=4) 情報通信(n=9) 50% 66.7% 製造業(n=141) 不動産・建築(n=43) 40% 30.0% 51.0% 42.7% 24.8% 39.2% 49.5% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い ほぼ②の考え方と同様である 無回答 193 1.7% 3.3% 3.4% 1.4% 7.7% 29.2% 5.3% 1.0% どちらかといえば②の考え方に近い 【従業員規模別分析】従業員規模別を見ると、すべての業種で「①利便性とのバランスを考慮」が「② 負担を強いてでもセキュリティを守る」を上回っており、特に「3,000人以上5,000人未満」について多 い回答となっている。 【従業員規模別分析】利便性とのバランス 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 100 人未満(n=71) 16.9% 52.1% 25.4% 5.6% 100 人以上300 人未満 (n=132) 17.4% 50.0% 28.0% 4.5% 300 人以上500 人未満 (n=76) 14.5% 46.1% 500 人以上1,000 人未満 (n=96) 13.5% 47.9% 29.2% 45.6% 32.5% 1,000 人以上3,000 人未満 (n=114) 14.9% 3,000 人以上5,000 人未満 (n=40) 15.0% 5,000 人以上10,000人未満 (n=40) 10,000人以上(n=31) 全体(n=602) 10.0% 55.0% 57.5% 12.9% 48.4% 15.0% 49.5% 35.5% 22.5% 3.9% 7.3% 5.3% 5.0% 5.0% 9.7% 29.2% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 194 1.8% 2.5% 27.5% 29.0% 2.1% 5.3% 1.0% 【経年変化】昨年度と比較すると、「①利便性とのバランスを考慮」は3.1ポイントの増加、「②負担を 強いてでもセキュリティを守る」は0.8ポイントの減少となっている。 【経年変化】利便性とのバランス 0% 平成26年度(n=602) 平成25年度(n=1027) 10% 20% 30% 40% 15.0% 12.5% 49.5% 48.9% 50% 60% 70% 80% 90% 29.2% 29.3% 100% 5.3% 1.0% 6.0% 3.3% 平成24年度(n=610) 12.0% 50.7% 31.5% ほぼ①の考え方と同様である どちらかといえば①の考え方に近い どちらかといえば②の考え方に近い ほぼ②の考え方と同様である 無回答 195 5.1% 0.8% 3.12.セキュリティ・インシデントへの対応 3.12.1.不正アクセス等により想定される被害【問60】 【全体】全体では、「個人のプライバシーが脅かされる」が68.8%で最も多く、「社会的に深刻な被害に は至らないが、自社の事業活動にとっては深刻な被害になる」が55.6%で続いている。一方、「特に深刻 な被害にはならない」が2.5%であり、ほぼ全ての社・団体等で不正アクセス等による被害が深刻になる と想定している。 【全体】不正アクセス等により想定される被害(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 個人のプライバシーが脅かされる 68.8% 社会的に深刻な被害には至らないが、自社の事業活動に とっては深刻な被害になる 55.6% 顧客や取引先等の財産が脅かされる 37.4% 行政機能が脅かされる 25.7% 顧客等の人命や健康が脅かされる 10.1% 経済活動全般が脅かされる(金融為替取引の停止・ 混乱や資本逃避等) 8.8% 国民の生活環境が脅かされる(治安悪化や環境汚染等) 7.6% エネルギー供給や水供給、交通システム等の ライフラインが脅かされる 7.0% その他 特に深刻な被害にはならない 無回答 0.8% 2.5% 0.3% 196 【業種別分析】業種別で見ると、「個人のプライバシーが脅かされる」については、「行政サービス」 が90.2%で最も多く、「金融」が89.3%、「教育」が87.6%で続いている。「社会的に深刻な被害には至ら ないが、自社の事業活動にとっては深刻な被害になる」では、「製造業」が83.7%で最も多く、「サービ ス」が76.7%、「不動産・建築」が72.1%で続いている 個人のプライバシーが脅かされる 社会的に深刻な被害には至らないが、 自社の事業活動にとっては深刻な被害になる 0% 農林・水産・鉱業(n=6) 製造業(n=141) 不動産・建築(n=43) 20% 40% 60% 80% 運輸業(n=17) 情報通信(n=9) サービス(n=60) 20% 40% 60% 農林・水産・鉱業(n=6) 80% 83.7% 不動産・建築(n=43) 53.5% 89.3% 72.1% 金融(n=28) 32.1% エネルギー(n=4) 50.0% 50.0% 運輸業(n=17) 52.9% 55.6% サービス(n=60) 55.0% 76.7% 教育(n=145) 87.6% 行政サービス(n=143) 52.9% 情報通信(n=9) 66.7% 90.2% 行政サービス(n=143) 全体(n=602) 68.8% 197 100% 66.7% 製造業(n=141) 38.3% 教育(n=145) 全体(n=602) 0% 50.0% 金融(n=28) エネルギー(n=4) 100% 67.6% 7.0% 55.6% 【経年変化】昨年度と比較すると、「個人のプライバシーが脅かされる」が0.4ポイント増加し最も多 い。 【経年変化】不正アクセス等により想定される被害 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 68.8% 68.4% 76.2% 個人のプライバシーが脅かされる 55.6% 55.7% 53.8% 社会的に深刻な被害には至らないが、自社の 事業活動にとっては深刻な被害になる 37.4% 31.0% 32.5% 顧客や取引先等の財産が脅かされる 25.7% 17.6% 28.9% 行政機能が脅かされる 10.1% 12.1% 10.2% 顧客等の人命や健康が脅かされる 8.8% 6.2% 7.7% 経済活動全般が脅かされる(金融為替取引の停止・ 混乱や資本逃避等) 国民の生活環境が脅かされる(治安悪化や環境汚染等) 7.6% 6.0% 7.4% エネルギー供給や水供給、交通システム等の ライフラインが脅かされる 7.0% 6.7% 7.9% その他 特に深刻な被害にはならない 無回答 0.8% 1.7% 0.7% 2.5% 5.3% 1.6% 0.3% 1.7% 0.8% 198 平成26年度(n=602) 平成25年度(n=1027) 平成24年度(n=610) 3.13.情報セキュリティに関する被害状況 3.13.1.過去1年間の情報セキュリティに関する被害状況【問61】 【全体】全体では、「被害は生じなかった」が65.8%で最も多い。被害が生じたとの回答では、「ウイル ス等の感染」が12.1%で最も多い。 【全体】過去1年間の情報セキュリティに関する被害状況(MA,n=602) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルス等の感染 12.1% 端末機器(PC、スマートフォン等)の盗難 6.1% Dos攻撃 3.5% 踏み台(バックドア設置等) 2.8% 部外からの不正アクセス 2.7% 電子メールの不正中継 2.5% ホームページの改ざん 1.8% 外部記録媒体の盗難 1.7% Web等での誹謗・中傷被害 1.2% 偽サイト等模倣サイトの開設 0.8% フィッシングサイトの開設 0.7% ウイルス以外の情報流出 0.5% 内部の者のネットワーク悪用 0.5% システム損壊等による業務妨害 0.3% ウイルスによる情報流出 0.2% システム損壊、データ改ざん 0.2% ネットワーク利用詐欺 0.0% その他データ盗用(キーロガー含む) 0.0% その他 1.3% 情報セキュリティに関する被害は生じなかった 65.8% 無回答 9.1% 199 【経年変化】昨年度と比較すると、項目の変更が多いため、一概には比較できないが、「ウイルス等の 感染」が4.0ポイント減少しているが、最も多い。 【経年変化】過去1年間の情報セキュリティに関する被害状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 12.1% 16.1% 18.0% 6.1% ウイルス等の感染 端末機器(PC、スマートフォン等)の盗難 Dos攻撃 踏み台(バックドア設置等) 部外からの不正アクセス 電子メールの不正中継 ホームページの改ざん 外部記録媒体の盗難 Web等での誹謗・中傷被害 偽サイト等模倣サイトの開設 フィッシングサイトの開設 ウイルス以外の情報流出 内部の者のネットワーク悪用 システム損壊等による業務妨害 ウイルスによる情報流出 システム損壊、データ改ざん ネットワーク利用詐欺 その他データ盗用(キーロガー含む) その他 3.5% 2.4% 1.8% 2.8% 1.7% 1.5% 2.7% 2.5% 1.7% 1.5% 1.8% 3.4% 1.8% 1.7% 1.4% 1.1% 1.2% 0.5% 0.7% 0.8% 0.7% 0.8% 0.3% 0.5% 0.5% 2.1% 0.7% 0.3% 0.2% 平成25年度(n=1027) 0.2% 0.2% 0.7% 0.0% 0.0% 0.0% 0.0% 平成24年度(n=610) 1.3% 1.3% 1.6% 65.8% 68.5% 68.0% 情報セキュリティに関する被害は生じなかった 無回答 平成26年度(n=602) 9.1% 7.3% 5.6% 200 3.13.2.ウイルス等の感染ルート別件数【問62】 【全体】全体では、「ウェブサイトへのアクセス」が45.2%で最も多く、「電子メール」が37.0%、「ソ フトウェアのダウンロード」が26.0%、「社・団体内の者による記録媒体の持込み(私物機器含む)」が 20.5%で続いている。 * 本項目は、過去1 年間においてウイルス等の感染被害が生じた社・団体等を対象としている。 【全体】ウイルス等の感染ルート別被害状況(MA,n=73) 0% 10% 20% 30% 40% ウェブサイトへのアクセス 45.2% 電子メール 37.0% ソフトウェアのダウンロード 26.0% 社・団体内の者による記録媒体の持込み(私物機器含む) 社・団体の部外者からの記録媒体の持込み(私物機器含む) 外部からの直接アクセス(ファイル共有) 50% 20.5% 8.2% 6.8% その他 11.0% 無回答 19.2% 201 60% 70% 80% 90% 100% 3.13.3.被害調査の実施状況【問63】 【全体】全体では、「実施しなかった」が57.0%、「実施した」が32.5%となっている。 * 本項目は、過去 1 年間において情報セキュリティに関する被害が生じた社・団体等を対象としている。 【全体】被害調査の実施状況(SA,n=151) 10.6% 57.0% 実施しなかった 実施した 32.5% 無回答 202 3.13.4.被害に遭った時の対応【問65】 【全体】全体では、「セキュリティ教育の実施・強化」が32.5%で最も多く、「不正アクセスが行われて いないかどうか、ネットワークの監視」が23.8%、「最新パッチの適応」が23.2%で続いている。一方、 被害後も「特に何も対策を講じていない」は11.9%となっている。 * 本項目は、過去1 年間において情報セキュリティに関する被害が生じた社・団体等を対象としている。 【全体】被害に遭った時の対応(MA,n=151) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% セキュリティ教育の実施・強化 32.5% 不正アクセスが行われていないかどうか、ネットワークの監視 23.8% 最新パッチの適応 23.2% ソフトウェアのバージョンアップ 17.2% システム上にセキュリティホールがないかどうか検査、診断 15.2% ウイルス等対策製品の導入・強化 13.9% 不必要なサービスの停止 13.9% ファイアウォールの設置・強化 11.9% セキュリティポリシーの策定・見直し 10.6% ネットワークの再構築 4.0% セキュリティコンサルティングの利用 4.0% 認証機能の導入・強化 3.3% セキュリティ監査の実施 弁護士への相談 2.0% 0.7% その他 不明 14.6% 0.0% 特に何も対応策を講じていない 無回答 11.9% 9.3% 203 【業種別分析】業種別を見ると、「セキュリティ教育の実施・強化」については、「製造業」が36.6%で 最も多く、「行政サービス」が31.6%で続いている。「不正アクセスが行われていないかどうか、ネット ワークの監視」については、「サービス」が40.0%で最も多く、「最新パッチの適応」については、「教 育」が36.5%で最も多い。 セキュリティ教育の実施・強化 不正アクセスが行われていないかどうか、 ネットワークの監視 0% 20% 40% 60% 80% 農林・水産・鉱業(n=1) 100% 0% 44.4% 金融(n=4) 0.0% 金融(n=4) 0.0% 66.7% エネルギー(n=3) 33.3% 33.3% 運輸業(n=3) 0.0% 運輸業(n=3) 情報通信(n=2) 0.0% 情報通信(n=2) サービス(n=15) 教育(n=52) 19.5% 不動産・建築(n=9) 25.0% エネルギー(n=3) 0.0% サービス(n=15) 26.7% 40.0% 教育(n=52) 28.8% 行政サービス(n=19) 31.6% 行政サービス(n=19) 全体(n=151) 32.5% 全体(n=151) 23.1% 31.6% 23.8% 最新パッチの適応 0% 農林・水産・鉱業(n=1) 20% 40% 14.6% 不動産・建築(n=9) 22.2% 金融(n=4) 0.0% エネルギー(n=3) 0.0% 運輸業(n=3) 0.0% 情報通信(n=2) 50.0% サービス(n=15) 26.7% 教育(n=52) 行政サービス(n=19) 全体(n=151) 60% 0.0% 製造業(n=41) 60% 36.5% 15.8% 23.2% 204 80% 80% 100% 100.0% 製造業(n=41) 36.6% 不動産・建築(n=9) 40% 農林・水産・鉱業(n=1) 100.0% 製造業(n=41) 20% 100% 【経年変化】昨年度と比較すると、「セキュリティ教育の実施・強化」が8.7ポイント増加し最も多い。 【経年変化】被害に遭った時の対応 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 32.5% 23.8% 23.1% セキュリティ教育の実施・強化 23.8% 不正アクセスが行われていないかどうか、ネットワークの監視 13.3% 11.8% 23.2% 最新パッチの適応 38.7% 28.2% 17.2% 23.4% 20.0% ソフトウェアのバージョンアップ 15.2% 13.3% 11.3% システム上にセキュリティホールがないかどうか検査、診断 13.9% 23.4% 16.4% ウイルス等対策製品の導入・強化 13.9% 10.9% 5.1% 不必要なサービスの停止 11.9% 11.3% 6.2% ファイアウォールの設置・強化 10.6% 4.8% 4.1% セキュリティポリシーの策定・見直し ネットワークの再構築 4.0% 4.4% 1.5% セキュリティコンサルティングの利用 4.0% 2.4% 1.0% 認証機能の導入・強化 3.3% 6.0% 0.5% セキュリティ監査の実施 2.0% 3.2% 0.5% 弁護士への相談 0.7% 1.2% 2.1% 14.6% 21.4% 21.0% その他 不明 0.0% 0.8% 0.0% 平成26年度(n=151) 平成25年度(n=248) 11.9% 16.5% 6.7% 特に何も対応策を講じていない 9.3% 8.9% 無回答 17.4% 205 平成24年度(n=195) 3.13.5.被害を受けた時に届け出た行政機関【問66-1】 【全体】全体では、「届け出なかった」が54.3%で最も多い。被害を受けた際に届けた行政機関としては、 「警察」が23.2%で最も多く、「監督官庁」が13.2%で続いている。 * 本項目は、過去1 年間において情報セキュリティに関する被害が生じた社・団体等を対象としている。 【全体】被害を受けた時に届け出た行政機関(MA,n=151) 0% 10% 20% 警察 その他 60% 9.3% 3.3% 0.0% 4.0% 届け出なかった 無回答 50% 13.2% IPA(情報処理推進機構) 国民生活センター・消費生活センター 40% 23.2% 監督官庁 JPCERT/CC 30% 54.3% 7.3% 206 70% 80% 90% 100% 【業種別分析】業種別を見ると、被害を受けた際に届けた行政機関としては、「警察」については、「行 政サービス」が31.6%で最も多く、「製造業」が26.8%、「サービス」が26.7%で続いている。「監督官庁」 については、「教育」が23.1%で最も多く、「行政サービス」21.1%が続いている。 警察 0% 監督官庁 20% 40% 農林・水産・鉱業(n=1) 80% 100% 0% 100.0% 製造業(n=41) 不動産・建築(n=9) 60% 製造業(n=41) 26.8% 不動産・建築(n=9) 11.1% 金融(n=4) 農林・水産・鉱業(n=1) 33.3% エネルギー(n=3) 運輸業(n=3) 33.3% 運輸業(n=3) サービス(n=15) 教育(n=52) 行政サービス(n=19) 全体(n=151) 0.0% 26.7% 2.4% 11.1% 207 33.3% サービス(n=15) 0.0% 全体(n=151) 23.2% 0.0% 0.0% 行政サービス(n=19) 31.6% 25.0% 情報通信(n=2) 教育(n=52) 15.4% 40% 0.0% 金融(n=4) 25.0% エネルギー(n=3) 情報通信(n=2) 20% 23.1% 21.1% 13.2% 60% 80% 100% 【経年変化】昨年度と比較すると、「届け出なかった」が3.9ポイント増加し最も多い。被害を受けた際 に届けた行政機関としては、「警察」は10.3ポイント、「監督官庁」が5.5ポイント、「JIPA(情報処理 推進機構)」が2.4ポイント増加し、「JPCERT/CC」が0.3ポイント減少している。 【経年変化】被害を受けた時に届け出た行政機関 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 23.2% 警察 12.9% 12.3% 13.2% 7.7% 監督官庁 9.3% 6.9% 7.2% IPA(情報処理推進機構) JPCERT/CC 国民生活センター・消費生活センター その他 3.3% 3.6% 1.0% 0.0% 0.0% 0.0% 平成26年度(n=151) 平成25年度(n=248) 平成24年度(n=195) 4.0% 4.4% 7.2% 54.3% 50.4% 59.5% 届け出なかった 7.3% 無回答 20.2% 19.5% ※割合表示のないものについては、新規の調査項目 208 3.13.6.届け出た理由【問66-2】 【全体】全体では、「届け出義務があるため」が46.6%で最も多く、「事案解決を求めて」が36.2%、「被 害拡大を阻止するため」が31.0%で続いている。 * 本項目は、被害届を行政機関に届け出た社・団体等を対象としている。 【全体】届け出た理由(MA,n=58) 0% 10% 20% 30% 40% 届け出義務があるため 46.6% 事案解決を求めて 36.2% 被害拡大を阻止するため 31.0% 行政機関からの指導により 19.0% 関係者(株主等)への説明責任を果たすため 解決方法を知るため 15.5% 5.2% 報道されたため 1.7% 情報セキュリティ事業者からの意見により 1.7% 法律職(弁護士等)からの意見により 0.0% 利用者からの指摘により 0.0% その他 無回答 50% 8.6% 1.7% 209 60% 70% 80% 90% 100% 【業種別分析】 * 母数が少ないため、コメントは省略する。 届け出義務があるため 0% 農林・水産・鉱業(n=1) 20% 40% 事案解決を求めて 60% 80% 0% 農林・水産・鉱業(n=1) 0.0% 製造業(n=12) 不動産・建築(n=2) 50.0% 金融(n=1) 100.0% 100.0% 情報通信(n=1) サービス(n=5) 0.0% サービス(n=5) 57.1% 54.5% 210 100% 0.0% 75.0% 0.0% 100.0% 50.0% 100.0% 0.0% 60.0% 教育(n=21) 19.0% 行政サービス(n=11) 18.2% 全体(n=58) 46.6% 80% 運輸業(n=1) 0.0% 全体(n=58) 60% 金融(n=1) 情報通信(n=1) 行政サービス(n=11) 40% エネルギー(n=2) 0.0% 運輸業(n=1) 教育(n=21) 20% 製造業(n=12) 41.7% 不動産・建築(n=2) エネルギー(n=2) 100% 36.2% 3.13.7.届け出なかった理由【問67】 【全体】全体では、「大した被害ではなかったので」が58.5%で最も多く、「社・団体内で対応できたの で」が39.0%で続いている。 * 本項目は、被害届を行政機関に届け出なかった社・団体等を対象としている。 【全体】届け出なかった理由(MA,n=82) 0% 10% 20% 30% 40% 50% 大した被害ではなかったので 39.0% 届け出義務がないので 17.1% 問題解決にならないので 11.0% 届け出するべきなのかわからなかった 11.0% 面倒なので 3.7% どこに届ければいいかわからなかった 3.7% 競合他社に知られたくないので 1.2% 0.0% その他 無回答 70% 58.5% 社・団体内で対応できたので 自社・団体の信用が低下するので 60% 11.0% 1.2% 211 80% 90% 100% 【業種別分析】 * 母数が少ないため、コメントは省略する。 大した被害ではなかったので 0% 農林・水産・鉱業(n=0) 20% 40% 60% 80% 100% 0% 農林・水産・鉱業(n=0) 0.0% 製造業(n=26) エネルギー(n=0) 0.0% 運輸業(n=2) 100.0% 運輸業(n=2) 情報通信(n=1) 100.0% 情報通信(n=1) サービス(n=9) 行政サービス(n=5) 全体(n=82) 教育(n=30) 46.7% 20.0% 58.5% 212 80% 100% 33.3% 50.0% 0.0% 50.0% 100.0% サービス(n=9) 66.7% 教育(n=30) 60% 19.2% 金融(n=2) 50.0% 40% 0.0% 不動産・建築(n=6) 66.7% 金融(n=2) 20% 製造業(n=26) 73.1% 不動産・建築(n=6) エネルギー(n=0) 社・団体内で対応できたので 66.7% 46.7% 行政サービス(n=5) 40.0% 全体(n=82) 39.0% 【経年変化】昨年度と比較すると、すべての項目で減少しており、「大した被害ではなかったので」が 14.3ポイント減少しているが最も多く、「社・団体内で対応できたので」は2.2ポイント減少している。 【経年変化】届け出なかった理由 0% 10% 20% 30% 40% 50% 33.8% 社・団体内で対応できたので 24.1% 届け出するべきなのかわからなかった 問題解決にならないので 5.1% 3.7% 8.8% 3.1% 無回答 100% 72.8% 39.0% 36.8% 11.0% 16.0% 6.2% 面倒なので その他 90% 11.0% 17.6% 6.2% 3.7% 9.6% 4.6% 競合他社に知られたくないので 80% 17.1% 20.0% どこに届ければいいかわからなかった 自社・団体の信用が低下するので 70% 58.5% 大した被害ではなかったので 届け出義務がないので 60% 平成26年度(n=151) 平成25年度(n=125) 平成24年度(n=195) 1.2% 2.4% 0.5% 0.0% 0.8% 1.0% 11.0% 16.0% 7.7% 1.2% 33.6% 39.0% ※割合表示のないものについては、新規の調査項目 213 3.14. 定性回答 3.14.1. 過去1年間におけるその他の深刻な被害 「特定のシステムが原因で意図しない情報発信が行われていた」といった特定のシステムをインスト ールした結果、意図しない外部への情報発信がなされていたり、「ユーザーアカウントへの不正アクセ ス」や「侵入されたサーバから外部IPへ向けてDos攻撃への参加に利用された」などといった事例が挙が っている。 3.14.2. セキュリティ対策の問題点や不安等 対策上の問題点・不安点としては、「コスト」、「人材不足」、「対策に対する不安」等に分けられ る。 「コスト」としては、「費用対効果が見えづらいため予算の確保が難しい」、「対策を講じるための コストが年々増えている」といった声が挙げられている。 「人材不足」としては、「担当者のスキル不足」、「専従職員がいない」、「従業員の感染に対する 意識の低さ」といった専門に対応する人材が不足していることや、意識の問題などが挙げられた。 「対策に対する不安」としては、「不正をはたらく側の方が技量が勝っており、一企業では対応しき れない」、「不正アクセスの調査に必要なログが取れているかわからない」、「技術が日進月歩のため、 ついていくことが大変である」といった新手の不正アクセスに対する不安や、現在の対策が有効なもの なのかという不安が多く挙げられていた。 3.14.3. 行政に望む情報セキュリティ対策 行政に望む情報セキュリティ対策についての意見では、「一般企業がここまで対応すれば大丈夫であ るというガイドラインを提示してもらいたい」、「情報セキュリティ対策にあたり、補助金制度の実施 や税制上の優遇措置」、「法律の整備」、「情報提供や勉強会、セミナーの実施」といった、費用面で の補助、基準等のガイドライン作成、情報提供、法整備を望む声が多かった。 214