PC環境に関するアンケート SQ1 SQ1 貴社の主な業種をお選びください。 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 水産・農林 鉱業 建設 食品・飲料 繊維工業 衣料・繊維 木材・木製品 家具・装備品 パルプ・紙 化学・化学品・化粧品 薬剤・医薬品 ゴム製品 プラスチック製品 窯業・土石業 鉄鋼・非鉄 金属製品 機械器具 電気機器 輸送用機器 精密機器 情報通信機器 その他製造 化学医薬卸 衣服繊維卸 食料飲料卸 電気機器卸 輸送機器卸 その他機器卸 その他卸 百貨店 スーパー・コンビニエンスストア 衣服・履物小売 食品・飲料小売 各種車輌小売 家庭機具小売 家電・電気器具小売 医薬品・化粧品小売 その他小売 銀行・信託 消費者金融 クレジット 証券・先物 保険 その他金融 不動産 鉄道 道路輸送 水上輸送 航空輸送 倉庫 郵便・運輸サービス 飲食店 旅行 通信 電気・ガス・水道 賃貸・リース 宿泊所・ホテル 理容・美容 娯楽 放送 出版・印刷 広告・調査 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ SQ2 経営者・役員 情報システム担当者または情報セキュリティ担当者 一般社員(情報システム担当者または情報セキュリティ担当者以外) その他の役職・担当 1. 2. 3. 4. 5. 6. 7. 5名以下 6名~20名 21名~50名 51名~100名 101名~300名 301名以上 不明 SQ4 貴社の資本金について、直近会計年度の金額をお答えください。 ○ ○ ○ ○ ○ ○ SQ6 1. 2. 3. 4. SQ3 貴社の総従業員数について、直近集計時の人数をお答えください。 ○ ○ ○ ○ ○ ○ ○ SQ4 SIer/NIer、システムコンサルファーム、ベンダー 情報サービス ソフトウェア 病院・医療 老人福祉・介護 教育 その他サービス 官庁・自治体 その他団体 その他 働いていない SQ2 あなたの主な役職・担当をお答えください。 ○ ○ ○ ○ SQ3 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 1. 2. 3. 4. 5. 6. 5000万円以下 5000万円超~1億円以下 1億円超~2億円以下 2億円超~3億円以下 3億円超 不明 SQ5 貴社では業務でパソコンを使用されていますか。また、その台数をお答えください。※会社全体での利用台数をお答えください。 ○ ○ 1. 2. 使用している⇒約【 】台 使用していない Q1 Q1 貴社において業務で利用されているサーバ、タブレット端末及びスマートフォンの利用状況をお答えください。 1 利 用 し て い る Q1S1 1. Q1S2 2. Q2 Q2 1. 2. Q3 Q4 Q4 4 利 用 し て い る か ど う か わ か ら な い ○ ○ ○ ○ ○ ○ ○ Q2S1 【 】台 Q2S2 【 】台 業務で利用されているスマートフォンやタブレット端末について、以下のうち実施されている対策をお答えください。(いくつでも)(*2) MDM(Mobile Device Management、モバイル端末管理)とは、モバイル端末と社内システムとの認証、アプリケーションとの同期、外 部サービスとの接続等を管理するシステム □ □ □ □ □ □ □ Q3_6FA 3 利 用 し て い な い 貴社において業務で利用されているサーバ、タブレット端末及びスマートフォンの台数は何台ですか?※表示された項目について お答えください。 Q2S1N Q2S2N Q3 <サーバ> <タブレット端末及びス マートフォン> 2 利 用 し て い る が 台 数 は 担 当 外 で わ か ら な い ○ 1. 2. 3. 4. 5. 6. 7. 端末のパスワード設定 紛失・盗難時のデータ消去 セキュリティソフトの導入 MDM*2による端末管理 利用ルールの策定(アプリケーションの導入制限等) その他【 】[ ] 特に実施していない 業務で利用するスマートフォンやタブレット端末について、社員の私有端末の業務利用(BYOD: Bring Your Own Device)を認めて いますか。(ひとつだけ) ○ ○ ○ ○ 1. 2. 3. 4. 認めている 現在、認めるかどうかを検討中 未検討 認める予定はない Q5 Q5 貴社のサーバ・パソコンなどで電子データとして保有している情報はありますか?あてはまるものを全てお答えください。(いくつで も)※紙媒体のみで保有している情報は除きます。選択肢1.2.4.6を回答した場合は、個人情報の数量をわかる範囲でご記入くださ い。 □ □ □ □ □ □ □ □ □ Q6 Q6 1. 2. 3. 4. 5. 6. 7. 8. 9. 自社の顧客の個人情報 ⇒(個人情報の件数:【 】件) 従業員の個人情報 ⇒(個人情報の件数:【 】件) 自社の業務上の機密情報 取引先等(親会社を除く)から預かっている個人情報 ⇒(個人情報の件数:【 】件) 取引先等(親会社を除く)から預かっている業務上の機密情報 親会社から預かっている個人情報 ⇒(個人情報の件数:【 】件) 親会社から預かっている業務上の機密情報 上記いずれも電子データでは保有していない わからない 従業員や顧客の個人情報を取り扱う業務を外部に委託していますか。(それぞれひとつだけ) (従業員の個人情報の例) ・総務 部等が行う給与や社会保険の手続きなどに関わる従業員やその家族に関わる個人情報(顧客の個人情報の例)・営業部やマーケ ティング部等で扱う顧客情報やアンケート、ユーザー登録などで得た個人情報・コールセンター業務等で保有している顧客の個人 情報 1 委 託 し て い る Q6S1 Q6S2 Q7 1. 2. Q7 1. Q7S2 2. Q7S3 3. Q7S4 4. Q8 ○ ○ 3 わ か ら な い ○ ○ 貴社の下記項目における状況について、それぞれお答えください。 Q7S1 Q8 従業員の個人情報 顧客の個人情報 2 委 託 し て い な い ○ ○ ITを十分に活用してい ると思いますか 情報セキュリティ対策は 十分だと思いますか 社員の不正により営業 上の秘密や個人情報な どの情報漏えいが発生 する可能性はないと思 外部からサイバー攻撃 を受け、情報漏えいが 発生する可能性はない と思いますか 1 そ う 思 う 2 や や そ う 思 う 3 あ ま り そ う 思 わ な い 4 思 わ な い 5 わ か ら な い ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 貴社の情報セキュリティへの理解度は高いと思いますか。(ひとつだけ) ○ ○ ○ ○ ○ 1. 2. 3. 4. 5. そう思う ややそう思う あまりそう思わない 思わない まったく思わない Q9 Q9 貴社ではIT投資を過去3年間の間に行いましたか。(ひとつだけ) ○ ○ ○ Q10 Q14_1FA 1. 2. 3. 位置づけている 位置づけていない わからない □ □ □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. クラウドファンディング クラウドソーシング 会計システム 人事システム 給与システム 出退勤管理システム 稟議システム 文書管理システム 生産管理システム コミュニケーションツール その他【 】[ 活用していない ] Q13 貴社では販路開拓にITを活用されていますか。 (ひとつだけ) ○ ○ ○ ○ Q13_3FA Q14 含めている 含めていない わからない Q12 貴社では経営資源の確保や業務の効率化にITを活用されていますか。利用・導入されているサービスやシステムを次の項目から 選択してださい。 (いくつでも) Q12_11FA Q13 1. 2. 3. Q11 貴社ではIT投資が経営戦略として位置づけられていますか。(ひとつだけ) ○ ○ ○ Q12 行った 行っていない わからない Q10 そのIT投資の中に情報セキュリティ対策は含まれていましたか。(ひとつだけ) ○ ○ ○ Q11 1. 2. 3. Q14 1. 2. 3. 4. ホームページを開設している インターネットを活用した流通・決済(例:ネット販売等)をしている その他【 】[ ] 活用していない 貴社はITを活用した商品・サービスを提供していますか。提供している場合は、可能な範囲で概要をご記入ください。(ひとつだけ) ○ ○ 1. 2. 提供している(商品・サービスの概要:【 】)[ 提供していない ] Q15 Q15 貴社はサイバー保険(サイバー攻撃の被害にあったときの補償に特化した保険)や情報漏えい賠償責任保険(商工会議所保険制 度)に加入されていますか。(それぞれひとつずつ) Q15S1 Q15S2 Q16 1. 2. Q17_5FA Q18 Q18_7FA 2 検 討 し て い る が 加 入 し て い な い ( 保 険 未 加 入 ) ○ ○ ○ ○ 3 内 容 を 知 っ て い る が 加 入 す る 予 定 が な い ( 保 険 未 加 入 ) ○ ○ 4 内 容 を 知 ら な い し 加 入 し て い な い ( 保 険 未 加 入 ) 5 加 入 し て い る か ど う か わ か ら な い ○ ○ ○ ○ Q16 社内の情報セキュリティに関するルールや規程から逸脱したことがありますか。(ひとつだけ) ○ ○ ○ ○ ○ Q17 サイバー保険 情報漏えい賠償責任保 険 1 加 入 し て い る 1. 2. 3. 4. 5. よくある たまにある 稀にある ない 情報セキュリティに関するルール等は整備されていない Q17 なぜ、情報セキュリティに関するルール等を逸脱したのですか。(いくつでも) □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. ルールを守ると業務効率が落ちるから ルールが厳しすぎるから 職場のルールを逸脱しても罰則がないから ルールの内容が間違っていると思うから その他【 】[ ] ルールの認識不足で逸脱していることに気がつかなかった Q18 あなたの情報セキュリティに関する相談窓口を教えてください。(いくつでも) □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 社内の担当者 ITベンダ 中小企業診断士 ITコーディネータ 商工会議所・商工会・中小企業団体中央会 情報処理推進機構(IPA) その他【 】[ 特にない ] Q19 Q19 あなたの情報セキュリティに関する情報収集先を教えてください。(いくつでも) Q19_12FA Q20 □ □ □ □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 社内の担当者 ITベンダ 中小企業診断士 ITコーディネータ 商工会議所・商工会・中小企業団体中央会 情報処理推進機構(IPA) 新聞・雑誌 テレビ インターネット 無料のセミナー・実務研修 有料のセミナー・実務研修 その他【 】[ 特にない ] Q20 貴社へ情報セキュリティ対策の専門家を派遣する制度があれば利用してみたいですか。(ひとつだけ) ○ ○ ○ ○ 1. 2. 3. 4. 有償無償に関わらず、機会があれば利用したい 有償でも補助金等で経費負担が軽減されるのであれば利用したい 無償であれば利用したい 利用したいと思わない Q21 Q21 あなたが情報セキュリティ対策の相談先に期待することについてお答えください。 Q22 Q22 貴社の情報セキュリティ対策はどのような体制で行われていますか。(ひとつだけ) ○ ○ ○ ○ Q23 1. 2. 3. 4. 5. 関連情報の周知 (社内メール・回覧・掲示板など) eラーニング*3 外部講習会やセミナーの聴講 社内の研修や勉強会 特に実施していない Q24 情報セキュリティ業務の外部委託(システム子会社への委託を含む)の状況について、もっともあてはまるものをお答えください。 (ひとつだけ) ○ ○ ○ ○ ○ Q25 専門部署(担当者)がある 兼務だが担当者が任命されている 組織的には行っていない(各自の対応) わからない Q23 貴社では従業員に対する情報セキュリティ教育はどのようにされていますか。(いくつでも)■以下は、これからご回答いただく設問 の注釈となります。 (*3)eラーニングとは、パソコン、携帯端末等を使い、ネットワークやCD-ROMで教材を配信し、受講状況や成績 の管理を伴う学習を想定しています。 □ □ □ □ □ Q24 1. 2. 3. 4. 1. 2. 3. 4. 5. ほぼ全てを委託している 戦略・企画業務以外の大半を委託している 一部委託している 委託していない わからない Q25 情報セキュリティ対策の実施内容(プライバシーポリシーや業務情報の取り扱い基準等)を外部に公開していますか。もっともあて はまるものをお答えください。(ひとつだけ) ○ ○ ○ ○ 1. 2. 3. 4. ホームページで公開している 取引先からの要望があれば個別に提示している 公開していない わからない Q26 Q26 貴社では情報セキュリティ関連の被害を防止するために、どのような組織面・運用面の対策を実施していますか。実施している対 策をお答えください。(いくつでも) Q26_26FA □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. セキュリティポリシー(セキュリティの規程やルール)が文章化されている フロアや施設への入退出管理 機器や記録媒体の持込み・持出しの制限 一般ユーザアカウントの管理ルールの策定(パスワードの設定ルール等) Webサイト管理者権限アカウントの管理ルールの策定 一般ユーザのプログラムインストールの制限(exeファイルの実行禁止等) 重要なシステム・データのバックアップ ハードディスク等の廃棄時の破砕/溶融 セキュリティ監視サービスの活用 ログやファイル情報に基づくWebコンテンツの改ざん検知 定期的なWebコンテンツのセキュリティ診断サービス(脆弱性調査)の活用 IT資産構成や設定の文書化 事業継続計画(BCP)の策定 委託先の情報セキュリティ対策実施状況の確認 情報セキュリティに関するリスク分析 情報セキュリティ監査(内部監査)の実施 情報セキュリティ監査(外部監査)の実施 情報セキュリティマネジメントシステム(ISMS)の認証取得 プライバシーマーク(Pマーク)の取得 (内容に応じて)委託先とNDA(機密保持契約)の締結 クラウドサービス利用のための情報セキュリティマネジメントガイドライン(経済産業省ガイドライン)の活用 情報セキュリティ管理基準(経済産業省告示)の活用 SSL/TLS暗号設定ガイドライン(IPAのガイドライン)の活用 組織における内部不正防止ガイドライン(IPAのガイドライン)の活用 中小企業における組織的な情報セキュリティ対策ガイドライン(IPAのガイドライン)の活用 その他【 】[ ] 特に実施しているものはない Q27 貴社では情報セキュリティ関連製品やサービスを導入していますか。導入しているものをお答えください。(いくつでも)■以下は、こ れからご回答いただく設問の注釈となります。(*4)IDSとは、ネットワーク上などへの不正なアクセスの兆候を検知し、ネットワーク 管理者に通報する機能のことです。 IPSとは、異常を通知するだけでなく、通信遮断などのネットワーク防御を自動で行う機能のこ とです。 (*5)WAF(Webアプリケーションファイアウォール)とは、ウェブアプリケーションの脆弱性を悪用した攻撃などから ウェブア プリケーションを保護するソフトウエア、またはハードウエアです。WAFは脆弱性を修正するといった ウェブアプリケーションの実装 Q27 面での根本的な対策ではなく、攻撃による影響を低減する対策です。 (*6)SSO(シングルサインオン)とは、それぞれ独立した認証 を要求する複数のコンピュータを、1回の認証手続きで利用できるようにするためのサービスのことです。(*7)検疫ネットワークと は、持ち込むパソコンを会社内LANに接続する際に、いったん別のネットワークに繋いでウイルスの検査等を行い、接続が許可さ れたパソコンであることを確認するシステムのことを指します。 (*8)シンクライアントとは、処理をサーバ側に集中させ、クライアント で必要最小限の処理のみを行うシステムを指します。ここではクライアントとしてパソコンなどを利用し、ファイルの保存をサーバの みで行う場合も含めてください。 Q27_19FA Q28 □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. ウイルス対策ソフト・サービスの導入 ウェブ閲覧のフィルタリングソフトウエア メールフィルタリングソフトウェア(誤送信防止対策製品、スパムメール対策製品を含む) 情報漏えい対策(DLP)製品 ファイアウォール VPN IDS*4/IPS アプリケーションファイアウォール(WAF*5を含む) アイデンティティ管理/ログオン管理/アクセス許可製品(SSO*6を含む) ワンタイムパスワード、ICカード、USBキー等による個人認証 生体認証(バイオメトリクス) PKIシステムおよびそのコンポーネント(電子証明書の発行、管理、証明サービスを提供するシステム) セキュリティ情報管理システム製品(ログ情報の統合・分析、システムのセキュリティ状態の総合的な管理機能) クライアントPCの設定・状態・動作・ネットワーク接続等を管理する製品(検疫ネットワーク*7を含む) デバイス制御製品(USB、スマートフォン等各種デバイスの利用管理、書き込み制御機能) シンクライアント*8 暗号化製品(ディスク、ファイル、メール等) ソフトウエアライセンス管理/IT資産管理製品 その他【 】[ ] 特に導入しているものはない Q28 情報セキュリティ対策の必要性を感じたきっかけは何ですか。該当するものを下記よりすべてお選びください。(いくつでも) Q28_12FA □ □ □ □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 法令(個人情報保護法等)の制定 業界基準の制定、業界団体の呼びかけ 重要情報(個人情報、営業秘密、技術情報等)の保持 取引先からの要請 自社のセキュリティ事故 他社のセキュリティ事故 対外(取引先、ユーザ等)へのアピール セキュリティベンダーからの勧奨 ITベンダ・専門家(商工会議所・商工会・中小企業団体中央会等)の勧奨 同業他社の対策状況をみたこと マイナンバー制度の開始 その他 (具体的に:【 】)[ ] 対策の必要性を感じたことがない Q29 Q29 貴社では、Windows Updateなどによるパソコンへのセキュリティパッチ(脆弱性の修正)の適用をどのようにされていますか。最も近 いものをお答えください。(ひとつだけ) ○ ○ ○ ○ ○ Q30 Q30 1. 2. 3. 4. 5. 貴社ではサーバにセキュリティパッチ(脆弱性の修正)を適用していますか。最も近いものをお答えください。(それぞれひとつずつ) Q30S1 1. Q30S2 2. Q31 Q31_5FA 常に適用し、適用状況も把握している 常に適用する方針・設定だが、実際の適用状況は不明 各ユーザに適用を任せている ほとんど適用していない わからない 外部に公開している ネットワークサーバ (メールサーバ、Web 内部で利用している ローカルサーバ(ファイ ルサーバ、プリントサー 1 ほ ぼ 全 サ ー バ に 適 用 し て い る 2 ア プ リ ケ ー シ ョ ン に 影 響 が な い こ と を 確 認 で き た も の の み を 適 用 し て い る 3 情 報 セ キ ュ リ テ ィ 対 策 上 重 要 な も の の み を 適 用 し て い る 4 ほ と ん ど 適 用 し て い な い 5 外 部 事 業 者 に 運 用 を 委 託 し て い る の で 、 自 ら 適 用 す る 必 要 が な い 6 該 当 す る よ う な サ ー バ を 利 用 し て い な い 7 わ か ら な い ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Q31 セキュリティパッチを適用しない理由として、当てはまるものをお答えください。(いくつでも) □ □ □ □ □ 1. 2. 3. 4. 5. パッチの適用が悪影響を及ぼすリスクを避けるため パッチ適用以外の手段が有効であるため パッチを適用しなくても問題ないと判断したため パッチの評価や適用に多大なコストがかかるため その他【 】[ ] Q32 貴社では、情報セキュリティに関する事象に対してどの程度脅威と認識していますか。(それぞれひとつずつ)■以下は、これから ご回答いただく設問の注釈となります。(*9) コンピュータウイルスとは、第三者のプログラムやデータベースに対して意図的に何ら かの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能の3つの機能のうち、ひとつ以上を有する ものです。(*10) 本設問では不正アクセスとは、インターネットを介して外部から、サーバやクライアント(パソコン)を許可なく操作 し、不正に情報を読み取る、情報を書き換える、削除するなどの行為すべてを含むものとします。最近の事例としては、Webサイト Q32 の改ざん(書換え)、機密情報の漏洩などが報告されています。(*11) DoS攻撃とはサーバ等の情報システムを構成する機器に対 して、故意に処理能力を大幅に超えるアクセスを行うこと等により、サービスの提供を不能または低下させることを指します。非常 に多数の拠点から同時集中的に攻撃を仕掛けるDDoS(分散型DoS)などと呼ばれるものもあります。(*12) 標的型攻撃とは、主に 電子メールを用いて特定の組織や個人を狙う手法です。典型的な例として、メール受信者の仕事に関係しそうな偽の話題等を含 む本文や件名で騙し、添付ファイル(ウイルス等)のクリックを促す手口が知られています。広告やフィッシング詐欺などを狙い、受 信者の意図に反して無差別かつ大量に送信される「スパムメール」とは区別します。 1 あ ま り 脅 威 で は な い Q32S1 Q32S2 Q32S3 Q32S4 Q32S5 Q32S6 Q32S7 1. 2. 3. 4. 5. 6. 7. Q32S8 8. コンピュータウイルス*9 不正アクセス*10 DoS攻撃*11 標的型攻撃*12 情報漏えい 内部犯行(内部不正) システム機能不全 外部委託先のサービス 停止 3 非 常 に 大 き な 脅 威 で あ る ○ ○ ○ ○ ○ ○ ○ 2 ど ち ら か と い え ば 脅 威 で あ る ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Q33 前問の脅威に対して実施している対策は十分だと感じますか。(それぞれひとつずつ)■以下は、これからご回答いただく設問の注 釈となります。(*9) コンピュータウイルスとは、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように 作られたプログラムであり、自己伝染機能、潜伏機能、発病機能の3つの機能のうち、ひとつ以上を有するものです。(*10) 本設問 では不正アクセスとは、インターネットを介して外部から、サーバやクライアント(パソコン)を許可なく操作し、不正に情報を読み取 る、情報を書き換える、削除するなどの行為すべてを含むものとします。最近の事例としては、Webサイトの改ざん(書換え)、機密 Q33 情報の漏洩などが報告されています。(*11) DoS攻撃とはサーバ等の情報システムを構成する機器に対して、故意に処理能力を 大幅に超えるアクセスを行うこと等により、サービスの提供を不能または低下させることを指します。非常に多数の拠点から同時集 中的に攻撃を仕掛けるDDoS(分散型DoS)などと呼ばれるものもあります。(*12) 標的型攻撃とは、主に電子メールを用いて特定の 組織や個人を狙う手法です。典型的な例として、メール受信者の仕事に関係しそうな偽の話題等を含む本文や件名で騙し、添付 ファイル(ウイルス等)のクリックを促す手口が知られています。広告やフィッシング詐欺などを狙い、受信者の意図に反して無差別 かつ大量に送信される「スパムメール」とは区別します。 Q33S1 1. Q33S2 Q33S3 Q33S4 Q33S5 2. 3. 4. 5. Q33S6 6. Q33S7 7. Q33S8 8. Q34 コンピュータウイルス対 策*9 不正アクセス対策*10 DoS攻撃対策*11 標的型攻撃対策*12 情報漏えい対策 内部犯行(内部不正)対 策 システム機能不全対策 外部委託先のサービス 停止への対策 1 十 分 と 感 じ る 2 ど ち ら か と 言 え ば 十 分 と 感 じ る 3 十 分 と 感 じ な い ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Q34 貴社の情報セキュリティ対策を向上させるために必要と思われることをお選びください。(いくつでも) Q34_11FA □ □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 経営者への情報セキュリティ意識向上 経営者への情報セキュリティ対策方法の教育 従業員の情報セキュリティ意識向上 従業員への情報セキュリティ対策実践教育 市場や顧客からの信頼・評価 情報セキュリティ対策技術の習得・向上、対策ツールの利用・啓発 企業内の体制整備 情報セキュリティ関連法制度の整備 地域での指導者育成や確保、サポートセンターの充実 対策支援費等の補助制度の充実 その他【 】[ ] Q35 貴社では、2014年度1年間(2014年4月 ~2015年3月)に、コンピュータウイルス*13に感染したことがありましたか。一度でもあれ ばお答えください。(ひとつだけ)(*13) コンピュータウイルスとは、第三者のプログラムやデータベースに対して意図的に何らかの被 Q35 害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能の3つの機能のうち、ひとつ以上を有するもので す。 ○ ○ ○ ○ Q36 □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 電子メール インターネット接続 (ホームページ閲覧など) 自らダウンロードしたファイル P2P(Peer to Peer)などのファイル共有ソフト USBメモリ等の外部記憶媒体 持ち込みパソコン その他【 】[ わからない ] Q37 ウイルスに感染した影響で生じた被害としてあてはまるものをお答えください。(いくつでも) Q37_12FA Q38 ウイルスに感染した ウイルスを発見したが、感染には至らなかった ウイルスをまったく発見しなかった わからない Q36 感染あるいは発見したコンピュータウイルスの侵入経路はどのように想定されますか。(いくつでも) Q36_7FA Q37 1. 2. 3. 4. □ □ □ □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. データの破壊 個人情報の漏えい 業務情報(営業秘密を除く)の漏えい 営業秘密の漏えい ウイルスメール等の発信 ネットワークの遅延 システム停止・性能低下 パソコン単体の停止 関連部門の業務停滞 個人の業務停滞 取引先への感染拡大 その他【 】[ 特になし ] 貴社では、2014年度1年間(2014年4月~2015年3月)に、自社のサーバやパソコンがサイバー攻撃(不正アクセス*14、DoS攻撃、 標的型攻撃*15など)にあったことがありましたか。一度でもあればお答えください。(*14) 本設問では不正アクセスとは、インター ネットを介して外部から、サーバやクライアント(パソコン)を許可なく操作し、不正に情報を読み取る、情報を書き換える、削除する Q38 などの行為すべてを含むものとします。最近の事例としては、Webサイトの改ざん、機密情報の漏えいなどが報告されています。 (*15) 標的型攻撃とは、主に電子メールを用いて特定の組織や個人を狙う手法です。典型的な例として、メール受信者の仕事に関 係しそうな偽の話題等を含む本文や件名で騙し、添付ファイル(ウイルス等)のクリックを促す手口が知られています。広告やフィッ シング詐欺などを狙い、受信者の意図に反して無差別かつ大量に送信される「スパムメール」とは区別します。 ○ ○ ○ ○ 1. 2. 3. 4. サイバー攻撃で被害にあった サイバー攻撃を受けたが、被害には至らなかった サイバー攻撃をまったく受けなかった わからない Q39 Q39 貴社では、2014年度1年間(2014年4月~2015年3月)に、内部者(委託者を含む)の不正に起因する情報漏えいやシステムの悪用 等の情報セキュリティ上のトラブルがありましたか。一度でもあればお答えください。 ○ ○ ○ ○ Q40 内部者の不正による被害があった 委託者の不正による被害があった 内部者(委託者を含む)の不正による被害はなかった わからない Q40 貴社が受けたサイバー攻撃の手口にあてはまるものをお答えください。(いくつでも)(*16) SQLインジェクションとは、細工された SQL文をWebサイトの入力欄に埋め込み、データベースを不正に操作する手法です。 □ □ □ □ □ □ □ Q40_6FA Q41 1. 2. 3. 4. 1. 2. 3. 4. 5. 6. 7. ID・パスワードを騙し取られてユーザになりすまされたことによる不正アクセス 脆弱性(セキュリティパッチの未適用)を突かれたことによる不正アクセス SQLインジェクション*16 DoS攻撃 標的型攻撃 その他【 】[ ] 手口はわからない Q41 貴社が受けたサイバー攻撃の被害としてあてはまるものをお答えください。(いくつでも) Q41_10FA □ □ □ □ □ □ □ □ □ □ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 貴社のWebサイトが改ざんされた 貴社のWebサイトのサービスが停止、または機能が低下させられた 業務サーバの内容が改ざんされた 業務サーバのサービスが停止、または機能が低下させられた 貴社が提供するネットサービスにおいて、第三者のなりすましによる不正使用があった 取引先の企業や個人に被害が拡大した 個人情報が盗まれた 業務情報(営業秘密を除く)が盗まれた 営業秘密が盗まれた その他【 】[ ]
© Copyright 2024 ExpyDoc