「NCA会員様向け調査」 調査票 ※回答に先立って、「調査ご協力のお願い」シートの内容をご覧ください。 Ⅰ.貴社についてお伺いします。 問1 貴社の主な業種をお答えください。(1つ選択) 1 2 3 4 5 6 7 8 9 10 問2 農業、林業及び漁業 鉱業及び採石業 建設業 製造業 電気、ガス、蒸気及び空調供給業 水供給、下水処理並びに廃棄物管理及び浄化活動 情報通信業 運輸・保管業 卸売・小売業 金融・保険業 11 12 13 不動産業 専門・科学・技術サービス業 管理・支援サービス業※ (※例:物品賃貸・リース業、旅行代理店業等) 14 15 16 17 18 19 宿泊・飲食サービス業 芸術・娯楽及びレクリエーション 教育 保健衛生及び社会事業 その他のサービス業 その他 貴社の総従業員数(有給役員,正社員・正職員,準社員・準職員,アルバイト等を含む)について、2014年 度の人数をお答えください。(1つ選択) ※常時従業者の総数、有給役員及び常時雇用者(正社員・正職員、準社員・準職員、アルバイト等、1ヶ月を超える雇用契約 者)とし、人材派遣業者からの派遣従業者は含めません。 1 2 3 4 5 6 問3 50名以下 51名~100名以下 101名~300名以下 301名~1,000名以下 1,001名~5,000名以下 5,001名以上 貴社の2014年度の総売上高をお答えください。 (1つ選択) ※貴社の決算期に合わせた回答で構いません。 ※営業活動を行わない組織の場合は、当該年度における収入高とします。 1 2 3 4 5 6 7 問4 1億円以下 1億円超~5億円以下 5億円超~10億円以下 10億円超~100億円以下 100億円超~1,000億円以下 1,000億円超 不明 貴社のITシステム・サービスへの依存度について、お伺いします。貴社が利用するITシステム・サービ スが停止した場合、貴社のコア事業にどの程度影響が及びますか。当てはまるものを1つお選び下さ い。 1 2 3 4 コア事業に極めて重大な影響が及ぶ コア事業に重大な影響が及ぶ コア事業に限定的な影響が及ぶ コア事業への影響は殆どない Ⅱ. 貴社の経営層の情報セキュリティに対する認識についてお伺いします。 問5 貴社の経営層※の情報セキュリティに対する関与について、お伺いします。経営層が、自社の情報セ キュリティリスクや対策を審議する会議等の機会の有無について、当てはまるものをお選び下さい。 ※ここでは、「経営層」を組織の経営または業務執行に責任を持つ、取締役、執行役、執行役員を含めた階層とします。 1 2 3 問6(1) 会議等があり、情報セキュリティに関する意思決定の場として機能している 会議等があるが、情報セキュリティに関する意思決定の場としては機能していない 経営層が、自社の情報セキュリティリスクや対策を審議する場がない 貴社の組織全体のセキュリティ対策を統括するCISO(Chief Information Security Officer/最高情報セ キュリティ責任者)または同等の責任者(以下「CISO等」という)を設置していますか。当てはまるものを 1つお選び下さい。 1 2 3 4 経営層としてCISO等を設置している 経営層よりも下の階層に、CISO等を設置している CISO等を設置していない わからない 「3 CISO等を設置していない」「4 わからない」と答えた方は、問7へお進みください。 (2) (1)のCISO等が兼務している役職を全てお選び下さい。 1 2 3 4 5 6 7 8 9 10 11 12 (3) (1)のCISO等が有する権限・役割として、当てはまるものを全てお選び下さい。 1 2 3 4 5 6 7 8 9 10 11 問7 CEO(Chief Executive Officer, 最高経営責任者) CIO(Chief Information Officer, 最高情報責任者) CSO(Chief Security Officer, 最高セキュリティ責任者) CPO(Chief Privacy Officer, 個人情報保護最高責任者) CRO(Chief Risk Officer, 最高リスク管理責任者) CIRO(Chief Information Risk Officer, 最高情報リスク責任者) 情報システム/セキュリティ担当部門の責任者 リスク管理部門の責任者 総務部門の責任者 兼務なし その他 →ご記入ください わからない 情報セキュリティの方針、戦略の立案・計画 情報セキュリティ対策のフレームワーク、ポリシー、ルールの規定 情報セキュリティ対策予算の計画・取締役会における合意獲得 情報セキュリティのリスク評価、監査等の実施 情報セキュリティ対策の事業者、製品・ツールの選定 情報セキュリティ対策実施のための社内外の調整・説明 情報セキュリティ対策実施組織の管理・監督 情報セキュリティインシデント発生時の指揮・意思決定 情報セキュリティ対策に関する情報発信 その他 →ご記入ください わからない CISO等とCSIRTの関係について、当てはまるものを1つお選び下さい。(問6(1)で、CISO等を設置してい ないと回答した方は、経営層とCSIRTの関係(選択肢:2, 4, 5, 6)について、当てはまるものを1つお選び 下さい。) 1 2 3 4 5 6 CISO等が直接CSIRTに指揮・監督を行う CISO等以外の経営層が直接CSIRTに指揮・監督を行う CISO等が関係部門を通して、間接的にCSIRTの指揮・監督を行う CISO等以外の経営層が関係部門を通して、間接的にCSIRTの指揮・監督を行う CISO等及び経営層はCSIRTに対して指揮・監督を行わない わからない 問8(1) 経営層によるCSIRTの活動全体に対する定期的な評価を実施していますか。評価の実施状況として、 当てはまるものを1つお選び下さい。 1 2 3 4 年単位、またはそれ以上(半期、四半期等)のペースで実施している 複数年単位(3か年、5か年等)のペースで実施している 定期的ではないが、適宜実施している 実施していない 「4 実施していない」と答えた方は、問9へお進みください。 (2) (1)の評価結果が、CSIRTの活動の改善に反映されていますか。当てはまるものを1つお選び下さい。 1 2 3 4 十分に反映されている ある程度反映されている あまり反映されていない 全く反映されていない Ⅲ. 貴社のCSIRTについてお伺いします。 問9 CSIRTの設置目的(またはミッション)として、当てはまるものを全てお選び下さい。 1 2 3 4 問10 1年未満 1年~2年 3年~5年 6年以上 CSIRTの組織内の位置づけとして、最も近いものを1つお選び下さい。 1 2 3 4 5 6 7 問12(1) その他 →ご記入ください CSIRTを設置してからの期間をお答え下さい。 1 2 3 4 問11 インシデント発生及び被害の予防 インシデント発生時の被害の拡大防止(局限化) インシデントの経験・知見に基づく改善策の実施 経営層直属の独立組織 経営企画・リスク管理部門内 情報システム部門内 総務部門内 品質管理部門内 事業部門内 その他 →ご記入ください CSIRTの体制(人数)を、①専任、②兼任、③外部(社外からの出向者等)それぞれについてお答え下さ い。(1つ選択) ①専任 0人 1人 2~5人 6~10人 10人以上 ②兼任 ③外部(社外か らの出向者等) (2) (1)の体制は、設立時と比較して増強されていますか。当てはまるものを1つお選び下さい。 1 2 3 (3) (2)で1とお答えになった方、体制が増強された理由として、当てはまるものを全てお選び下さい。 1 2 3 4 5 (4) 活動実績に対する社内の評価が高いため 適性の高い人員を確保できたため その他 →ご記入ください 当初想定よりも活動が少ないため 活動の重要性が経営層に理解されなかったため 活動実績に対する社内の評価が低いため 適性の高い人員を確保できないため 人員が離職や異動したため 社内から人員確保の協力を得られないため その他 →ご記入ください 設立時より増えている 設立時より減っている 変わっていない 明確な形で予算が確保されていない(兼任者のみのバーチャル組織の場合等) (1)で1とお答えになった方、予算が増えた理由として、当てはまるものを全てお選び下さい。 1 2 3 4 (3) 活動の重要性が経営層に理解されたため CSIRT設立時と比較して、CSIRTの運営予算は増えていますか。当てはまるものを1つお選び下さい。 1 2 3 4 (2) 当初想定よりも活動が多いため (1)で2,3とお答えになった方、体制が増強されていない理由として、当てはまるものを全てお選び下さ い。 1 2 3 4 5 6 7 問13(1) 増強されている 縮小している 変わっていない 当初想定よりも活動が多いため 活動の重要性が経営層に理解されたため 活動の実績に対する社内の評価が高いため その他 →ご記入ください (1)で2,3,4とお答えになった方、予算が増えない理由として、当てはまるものを全てお選び下さい。 1 2 3 4 5 6 7 当初想定よりも活動が少ないため 活動の重要性が経営層に理解されなかったため 活動の実績に対する社内の評価が低いため IT予算やセキュリティ予算に対する制約があるため 人員が増えないため 業績不振のため その他 →ご記入ください 問14(1) 現時点において、貴社のCSIRTが持つ機能について、それぞれの機能の有効性の評価を、「①非常に 有効」「②ある程度有効」「③それほど有効でない」「④全く有効でない」から1つずつお選びください。機 能自体がない場合は、「⑤機能がない」をお選び下さい。 ①非常に有 ②ある程 効 度有効 ③それ程有 効でない ④全く有効で ⑤機能がな ない い ①非常に有 ②ある程 効 度有効 ③それ程有 効でない ④全く有効で ⑤機能がな ない い インシデントの経験・知見に基づく改善 ①非常に有 ②ある程 策の実施 効 度有効 17 再発防止策の策定 ③それ程有 効でない ④全く有効で ⑤機能がな ない い インシデント発生及び被害の予防 1 情報セキュリティ関連情報の収集・分析 2 脆弱性情報ハンドリング 3 セキュリティ監査・評価 4 セキュリティツールの管理・運用 5 情報セキュリティ対策に関する教育、啓発 6 攻撃等に関する注意喚起 7 訓練・演習の実施 8 社外組織との連携窓口 9 その他↓下記にご記入ください。 インシデント発生時の拡大防止(局限 化) 10 インシデントの検知 11 社内外からのインシデント報告窓口 12 インシデントに対する初動対応 13 インシデントの調査及び分析 14 外部機関や関係者への連絡・調整 15 インシデント後の対外公表、法的対応 16 その他↓下記にご記入ください。 18 その他↓下記にご記入ください。 (2) 現時点において、(1)のCSIRT機能の有効性に関する全体評価として、当てはまるものを1つお選び下 さい。 1 2 3 4 5 (3) 期待したレベルを満たしている ある程度期待したレベルを満たしている あまり期待したレベルを満たしていない 全く期待したレベルを満たしていない まだ評価できない (2)の全体評価に関して、CSIRTの有効性を左右する要素(評価が高い場合は、有効性に寄与してい る要素、評価が低い場合は、不足している要素)として、特に重要なものを3つまでお選び下さい。 能力・スキルのある人員の確保 1 十分な予算の確保 2 適切な対応手順の整備・見直し 3 機能を実現するための十分な権限の有無 4 十分な活動実績 5 社内における機能の認知 6 社内の既存部門との連携 7 外部関係機関との連携 8 CSIRTコミュニティにおける積極的な情報共有 9 10 事案から得られた知見に基づく改善 11 その他 →ご記入ください 問15 CSIRTがインシデント対応にあたって有する権限(システム停止、ネットワーク遮断、調査等)として当て はまるものを1つお選び下さい。 1 2 3 4 問16 CSIRTがインシデント対応時に連携する部門として、当てはまるものを全てお選び下さい。 1 2 3 4 5 6 7 問17 情報システム部門 経営企画・リスク管理部門 法務部門 監査部門 人事部門 広報・渉外部門 その他 →ご記入ください CSIRTのインシデント対応の実効性を高めるため、平常時から実施している取組として、当てはまるも のを全てお選び下さい。 1 2 3 4 5 6 問18(1) インシデント対応の判断・意思決定において全面的な権限を持つ インシデント対応の判断・意思決定において一部の権限を持つ 特定の条件を満たした際に、既存の判断・意思決定者から権限が委譲される インシデント対応の判断・意思決定を行う権限は持たず、支援のみ行う インシデント対応手順を整備している インシデント対応の訓練・演習を実施している 社内の他部門とインシデント発生時の連携を確認している 社外組織とインシデント発生時の連携を確認している 従業員等に対する教育、啓発、注意喚起を行っている その他 →ご記入ください 貴社が過去5年間に経験した重大なインシデントの件数として、当てはまるものを1つお選び下さい。 1 2 3 4 5 0件 1件 2~5件 6~10件 11件以上 「1 0件」を選択した方は問19にお進みください。 (2) (1)の「重大なインシデント」が判明したきっかけは何ですか。当てはまるものを全てお選び下さい 社内の当事者・関係者から連絡があった 1 SOC等監視を行う部門(委託先を含む)が発見した 2 社内の監査や調査で発覚した 3 顧客や取引先から連絡があった 4 警察やセキュリティ関係機関から連絡があった 5 セキュリティベンダから連絡があった 6 社外の第三者から連絡があった 7 その他 →ご記入ください 8 (3) (1)のインシデントが発生した際、対応時に外部サービスを利用しましたか。当てはまるものを全てお選び下さい。 1 2 3 4 5 6 7 8 9 10 ログ分析 マルウェア解析 セキュリティ診断 脅威情報提供・分析サービス フォレンジック SIEM(Security Information and Event Management ) SOC(Security Operation Center) MSS(Managed Security Service) その他 →ご記入ください 外部サービスは利用していない (4) (1)のインシデント経験を踏まえ、どのような改善を行いましたか。当てはまるものを全てお選び下さい。 1 2 3 4 5 6 問19 CSIRTの設置 対応手順の改訂 セキュリティツール・サービスの導入 社内外の連携強化 従業員等に対する再教育、周知徹底 その他 →ご記入ください 上記の設問にかかわらず、情報セキュリティに対する経営層の認識やCSIRTの取組み等に関して、日 頃から感じている課題や問題意識等ありましたら、ご自由に記述下さい。 設問は以上です。ご協力、ありがとうございました。
© Copyright 2024 ExpyDoc
