調査票 - IPA 独立行政法人 情報処理推進機構

本アンケート調査 調査票
(スクリーニング調査)
設問No
設問文
貴社の総従業員数(有給役員,正社員・正職員,準社員・準職員,
S1
アルバイト等を含む)について、直近の会計年度の人数をお答
えください。選択肢8を選ばれた方は、おおよその数値もお答えく
ださい。
S2
貴社におけるあなたの役職をお答えください。
S3
貴社の主な業種をお選びください。
1
2
3
4
5
6
7
8
1
2
3
4
選択肢
300名未満
300名~500名
501名~700名
701名~1,000名
1,001名~3,000名
3,001名~5,000名
5,001名~10,000名
10,000名以上(約○名)
※
CISO(Chief Information Security Officer/最高情報セキュリティ責任者)等
情報システム/セキュリティ担当部門の責任者
情報システム/セキュリティ担当部門の担当者
その他
※CISO等とは、組織全体の情報セキュリティ対策を統括するCISOまたは同等の責任者を指します
S4
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
貴社の総売上高について、直近の会計年度の金額をお答えくだ 1
さい選択肢8を選ばれた方は、おおよその数値もお答えくださ
2
い。
3
4
5
6
7
8
9
農業、林業及び漁業
鉱業及び採石業
建設業
製造業
電気、ガス、蒸気及び空調供給業
水供給、下水処理並びに廃棄物管理及び浄化活動
情報通信業
運輸・保管業
卸売・小売業並びに自動車及びオートバイ修理業
金融・保険業
不動産業
専門・科学・技術サービス業
管理・支援サービス業
宿泊・飲食サービス業
芸術・娯楽及びレクリエーション
教育
保健衛生及び社会事業
その他のサービス業
その他
10億円未満
10億円~50億円未満
50億円~100億円未満
100億円~500億円未満
500億円~1,000億円未満
1,000億円~5,000億円未満
5,000億円~1兆円未満
1兆円以上(約○兆円)
不明
(本アンケート調査)
設問No
設問文
貴社の直近の会計年度におけるIT関連の投資額及びセキュリ
問1
ティ投資額(セキュリティ関連製品やソリューションの導入等)に
ついて、概算でわかる範囲でお答えください。選択肢6を選ばれ
た方は、おおよその数値もお答えください。
問2
貴社ではセキュリティ投資に関して、その効果を評価しています
か。当てはまるものを1つお選びください。
問3
貴社のITシステム・サービスへの依存度について、お伺いしま
す。貴社が利用するITシステム・サービスが停止した場合、貴社
のコア事業にどの程度影響が及びますか。当てはまるものを1
つお選び下さい。
問4
貴社の経営層※の情報セキュリティに対する関与について、お
伺いします。経営層が、自社の情報セキュリティリスクや対策を
審議する会議等の機会の有無について、当てはまるものをお選
び下さい。(※ここでは、「経営層」を組織の経営または業務執行
に責任を持つ、取締役、執行役、執行役員を含めた階層としま
す。)
貴社の組織全体の情報セキュリティ対策を統括するCISO(Chief
Information Security Officer, 最高情報セキュリティ責任者)また
は同等の責任者(以下「CISO等」という)を設置していますか。当
てはまるものを1つお選び下さい。
問5 (1)
1
2
3
4
5
6
7
1
2
3
4
1
2
3
4
1
2
3
1
2
3
4
(2) (1)で選択肢1・2を選んだ方に伺います。CISO等が有する権限・
1
役割として、当てはまるものを全てお選び下さい。
2
3
4
5
6
7
8
9
10
11
貴社では、貴社の国内外拠点(系列会社を含む)の情報セキュ
問6
1
リティ対策状況を確認・コントロールしていますか。当てはまるも
2
のを1つお選びください。
3
4
5
6
貴社では、貴社の業務委託先や物品調達先の情報セキュリティ 1
問7
対策状況を確認していますか。当てはまるものを1つお選びくだ
2
さい。
3
4
5
6
問8 (1) 貴社では、貴社の情報セキュリティポリシーや情報セキュリティ
1
上のリスクについて、対外的に公表していますか。当てはまるも
2
のを1つお選びください。
3
4
5
(2) (1)で1・2・3を選んだ方に伺います。開示する理由について当て 1
はまるものを全てお選びください。
2
3
4
5
6
7
(3) (1)で4を選んだ方に伺います。開示しない理由として当てはまる 1
ものを全てお選びください。
2
3
4
5
選択肢
1千万円未満
1千万円~5 千万円未満
5千万円~1億円未満
1億円~10 億円未満
10億円~50億円未満
50億円以上(約○億円)
不明
定量的評価を実施している
定性的評価を実施している
定量的・定性的評価ともに実施している
評価を実施していない
コア事業に極めて重大な影響を及ぼす
コア事業に重大な影響を及ぼす
コア事業に限定的な影響を及ぼす
コア事業への影響は殆どない
会議等があり、情報セキュリティに関する意思決定の場として機能している。
会議等があるが、情報セキュリティに関する意思決定の場としては機能していない
経営層が、自社の情報セキュリティリスクや対策を審議する機会がない。
経営層としてCISO等を設置している
経営層よりも下の階層に、CISO等を設置している
CISO等を設置していない
わからない
情報セキュリティの方針、戦略の立案・計画
情報セキュリティ対策のフレームワーク、ポリシー、ルールの規定
情報セキュリティ対策予算の計画・取締役会における合意獲得
情報セキュリティのリスク評価、監査等の実施
情報セキュリティ対策の事業者、製品・ツールの選定
情報セキュリティ対策実施のための社内外の調整・説明
情報セキュリティ対策実施組織の管理・監督
情報セキュリティインシデント発生時の指揮・意思決定
情報セキュリティ対策に関する情報発信
その他()
わからない
十分コントロールできている
一部コントロールできている
確認しているがコントロールできていない
確認していない
拠点なし
わからない
十分確認できている
ある程度確認できている
ほとんど確認できていない
確認していない
委託・調達していない
わからない
情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している
情報セキュリティポリシーのみ公表している
情報セキュリティ上のリスクのみ公表している
いずれも公表していない
わからない
企業価値の向上、差別化につながるため
投資家に対する情報公開の一環として
CSR活動の一環として
取引先等からの要請があったため
国の政策等で開示が求められているため
他社が取り組んでいるため
その他()
開示義務がない
投資家等のステークホルダーからの開示要請がない
自社のセキュリティやリスクの情報を開示したくない
開示したいと考えているが、そのためのリソース(人員・予算・時間等)が不足している
その他()
設問No
設問文
問9
貴社では、インシデント※発生時に対外的に情報を公開する基
準を定めていますか。当てはまるものを1つお選びください。
※ここでインシデントとは、事業運営に影響を与えたり、情報セ
キュリティを脅かしたりする事件や事故のことを指します。
問10
問11 (1)
貴社ではウイルス感染やサイバー攻撃(不正アクセス、DoS攻
撃、標的型攻撃等)が発生した場合の被害額(逸失利益や対策
費用等を含む)の推定を行っていますか。当てはまるものを1つ
お選びください。
貴社では、情報セキュリティ上のリスク(情報漏えい、サイバー
攻撃等)をリスク分析の対象とし、分析・評価を実施しています
か。当てはまるものを1つお選びください。
1
2
3
4
1
2
3 わからない
1
2
3
4
(2) (1)で2・3を選んだ方に伺います。情報セキュリティ上のリスクに
1
ついて分析を実施していない理由に当てはまるものを全てお選
2
びください。
3
4
5
6
問12 (1) サイバー保険(情報漏えい等の損害賠償や不正アクセスの原因 1
調査費用等を補償する保険)に加入していますか。当てはまるも 2
のを1つお選びください。
3
(2) (1)で1を選択した方に伺います。サイバー保険に加入した理由
1
について、当てはまるものを全てお選びください。
2
3
4
5
6
(3) (1)で2を選択した方に伺います。サイバー保険に加入していない 1
理由について、当てはまるものを全てお選びください。
2
3
4
5
6
7
8
(4) サイバー保険に限らず、貴社の事業リスク全般に関する企業向
1
け保険について、加入の判断を行うのはどちらですか。最も近
2
いものを1つお選びください。
3
4
5
6
7
8
9
貴社が情報セキュリティ対策の必要性を感じたきっかけについ
問13
1
て、当てはまるものを全てお選びください。
2
3
4
5
6
7
8
9
10
11
12
問14 (1) 貴社では情報セキュリティ対策をどのような体制で行っています
1
か。当てはまるものを1つお選びください。
2
3
4
(2 ) (1)で1または2と回答した方に伺います。セキュリティ対策部門
の人数を専任・兼任別にお答えください。※いない場合は「0」を
ご記入ください。
(3 ) 情報セキュリティ業務担当者の量的な充足度及びスキル面等の
質的な充足度について、最も当てはまるものを1つお選びくださ
い。
選択肢
インシデント発生時に対外的に情報を公開する基準を定めている
インシデント発生時に対外的に情報を公開する基準を現在検討中である
インシデント発生時に対外的に情報を公開する基準を定めていない
わからない
行っている
行っていない
1
2
3
4
情報セキュリティを対象に入れたリスク分析を実施している
リスク分析を実施しているが、情報セキュリティは対象に入れていない
リスク分析は実施していない
わからない
経営層がリスクとして認識していないため
個人情報等の重要情報を扱っていないため
IT依存度が低く事業への影響が小さいため
インシデント発生時のインパクトを把握できないため
リスク評価できる人材が不足しているため
その他()
加入している
知っているが加入していない
知らない
リスク分析を行った結果、必要だと判断した
自社や他社におけるサイバー攻撃の被害経験を踏まえて判断した
万一の場合に経済的な損失を抑えたいため
政府や業界のガイドライン等で推奨されているため
保険手配の慣習の一環として加入した
その他()
リスク分析を行った結果、不要だと判断した(自己負担で対応可能と判断した)
商品(補償)内容がよくわからなかった
予算に見合わなかった
他の対策で十分(サイバー攻撃による被害を受ける可能性は低い)と判断した
稟議が通らなかった(上長の理解が得られなかった等)
法律・条例・規制等の強制力がないから
加入するかどうか検討中
その他()
総務部門
財務部門
経営企画部門
リスク管理部門
リスク管理委員会等の部門横断的な委員会
取締役会
案件ごとに担当部門が異なる
その他
わからない
法律の制定
国の政策(規制等)
業界基準の制定
重要情報(個人情報、営業秘密、技術情報等)の保持
取引先からの要請
自社のインシデントの発生
他社のインシデントの発生
対外(取引先、顧客等のステークホルダー)アピール
セキュリティベンダーからの勧奨
同業他社の対策状況
その他()
対策の必要性を感じたことはない
専門部署(担当者)がある
兼務だが担当者が任命されている
組織的には行っていない(各自の対応)
わからない
専任者 ( )人
兼任者 ( )人
十分である
やや不足している
大幅に不足している
わからない
設問No
設問文
貴社ではどのような情報セキュリティ関連製品やソリューション
問15
を導入していますか。導入済みのものについて、当てはまるもの
を全てお選びください。
選択肢
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
ウイルス対策ソフト・サービス※1
標的型攻撃対策ツール(サンドボックス※2)
ウェブ閲覧のフィルタリングソフトウエア
メールフィルタリングソフトウェア(誤送信防止対策製品、スパムメール対策製品を含む)
情報漏えい対策(DLP)製品
ファイアウォール
VPN
IDS/IPS※3
※4
アプリケーションファイアウォール(WAF を含む)
※5
アイデンティティ管理/ログオン管理/アクセス許可製品(SSO を含む)
ワンタイムパスワード、ICカード、USBキーによる個人認証
生体認証(バイオメトリクス)
PKIシステムおよびそのコンポーネント(電子証明書の発行、管理、証明サービスを提供するシステム)
ログ情報の統合・分析、システムのセキュリティ状態の総合的な管理機能(SIEM)
SOC(Security Operation Center)サービス
※6
クライアントPCの設定・状態・動作・ネットワーク接続等を管理する製品(検疫ネットワーク を含む)
※7
モバイルセキュリティ管理(MDM )
デバイス制御製品(USB、スマートフォン等各種デバイスの利用管理、書き込み制御機能)
※8
シンクライアント
暗号化製品(ディスク、ファイル、メール等)
ソフトウエアライセンス管理/IT資産管理製品
その他
※ 1ウイルス対策ソフト・サービスには、ネットワークサーバ向け(メールサーバ、Webサーバ)・ローカルサーバ向け
(ファイルサーバ、プリントサーバ)・クライアント向け・プロバイダによるウイルスチェックサービスが含まれます。
※2 サンドボックスとは、外部から受け取ったプログラムを保護された領域で動作させ、システムに影響がないかを検
証するものです。
※3 IDSとは、ネットワーク上などへの不正なアクセスの兆候を検知し、ネットワーク管理者に通報する機能のことで
す。 IPSとは、異常を通知するだけでなく、通信遮断などのネットワーク防御を自動で行う機能のことです。
※4 WAF(Webアプリケーションファイアウォール)とは、ウェブアプリケーションの脆弱性を悪用した攻撃などから ウェ
ブアプリケーションを保護するソフトウエア、またはハードウエアです。
※5 SSO(シングルサインオン)とは、それぞれ独立した認証を要求する複数のコンピュータを、1回の認証手続きで利
用できるようにするためのサービスのことです。
※6 検疫ネットワークとは、持ち込むパソコンを会社内LANに接続する際に、いったん別のネットワークに繋いでウイル
スの検査等を行い、接続が許可されたパソコンであることを確認するシステムのことを指します。
※7 MDM(Mobile Device Management)とは、スマートフォン等の携帯情報端末のシステム設定等を統合的・効率的に
管理するものです。
※8 シンクライアントとは、処理をサーバ側に集中させ、クライアントで必要最小限の処理のみを行うシステムを指しま
す。ここではクライアントとしてパソコンなどを利用し、ファイルの保存をサーバのみで行う場合も含めてください。
問16
情報セキュリティ関連被害を防止するために、貴社ではどのよう
な組織面・運用面の対策を実施していますか。実施している対
策について、当てはまるものを全てお選びください。
問17
貴社では、インシデント対応を担当する組織を設置しています
か。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
1
2
3
フロアや施設への入退出管理
機器や記録媒体の持込み・持出しの制限
一般ユーザアカウントの管理ルールの策定(パスワードの設定ルール、退職者管理等)
Webサイト管理者権限アカウントの管理ルールの策定
その他の管理者権限アカウントの管理ルールの策定
一般ユーザのプログラムインストールの制限(exeファイルの実行禁止等)
重要なシステム・データのバックアップ
ハードディスク等の廃棄時の破砕/溶融
外部専門家によるセキュリティ監視サービスの活用
ログやファイル情報に基づくWebコンテンツの改ざん検知
定期的なWebコンテンツのセキュリティ診断サービス(脆弱性調査)の活用
IT資産構成や設定の文書化
セキュリティポリシーの策定
事業継続計画(BCP)の策定
情報セキュリティ監査(内部監査)
情報セキュリティ監査(外部監査)
情報セキュリティマネジメントシステム(ISMS)の認証取得
セキュリティ人材の育成・採用
役員・従業員等に対するセキュリティ教育の実施
その他
CSIRT※を設置している
CSIRTという名称ではないが、インシデント対応を担当する組織がある
インシデント対応を担当する組織は決まっていない
※Computer Security Incident Response Teamの略。コンピュータセキュリティにかかるインシデントに対処するための
組織。
設問No
選択肢
問18-問23までは問17で1・2を選択した方にのみにお聞きします。
CSIRT等(インシデント対応を担当するCSIRT等の組織)を設置
問18
1 1年未満
してからの期間に当てはまるものを1つお選びください。
2 1年~2年
3 3年~5年
4 6年以上
5 わからない
CSIRT等の組織内の位置づけとして、最も近いものを1つお選び
問19
1 経営層直属の独立組織
下さい。
2 経営企画・リスク管理部門内
3 情報システム部門内
4 総務部門内
5 品質管理部門内
6 事業部門内
7 その他()
問20 (1) 貴社のCSIRT等について、設立時と比較して体制は増強されて
1 増強されている
いますか。当てはまるものを1つお選び下さい。
2 縮小している
3 変わっていない
4 わからない
(2) (1)で1とお答えになった方に伺います。体制が増強された理由と 1 当初想定していたよりも活動が多いため
して、当てはまるものを全てお選び下さい。
2 活動の重要性が経営層に理解されたため
3 活動実績に対する社内の評価が高いため
4 適性の高い人員を確保できたため
5 その他()
貴社のCSIRT等が持つ機能について、当てはまるものを全てお
問21
1 情報セキュリティ関連情報の収集・分析
選びください。
2 脆弱性情報ハンドリング
3 セキュリティ監査・評価
4 セキュリティツールの管理・運用
5 情報セキュリティ対策に関する教育、啓発
6 攻撃等に関する注意喚起
7 訓練・演習の実施
8 社外組織との連携窓口
9 インシデントの検知
10 社内外からのインシデント報告窓口
11 インシデントに対する初動対応
12 インシデントの調査及び分析
13 外部機関や関係者への連絡・調整
14 インシデント後の対外公表、法的対応
15 再発防止策の策定
16 わからない
問22 (1) 貴社のCSIRT等の有効性の全体評価として、当てはまるものを1 1 期待したレベルを満たしている
つお選びください。
2 ある程度期待したレベルを満たしている
3 あまり期待したレベルを満たしていない
4 全く期待したレベルを満たしていない
5 まだ評価できない
(2) (1)の全体評価に関して、CSIRT等の有効性を左右する要素とし
1 能力・スキルのある人員の確保
て、特に重要なものを3つまでお選びください。
2 十分な予算の確保
3 適切な対応手順の整備・見直し
4 十分な活動実績
5 社内における機能の認知
6 社内の既存部門との連携
7 外部関係機関との連携
8 CSIRTコミュニティにおける積極的な情報共有
9 事案から得られた知見に基づく改善
10 その他()
CSIRT等がインシデント対応にあたって有する権限(システム停
問23
1 インシデント対応の判断・意思決定において全面的な権限を持つ
止、ネットワーク遮断、調査等)として当てはまるものを1つお選
2 インシデント対応の判断・意思決定において一部の権限を持つ
び下さい。
3 特定の条件を満たした際に、既存の判断・意思決定者から権限が委譲される
4 インシデント対応の判断・意思決定を行う権限は持たず、支援のみ行う
問24 (1) 貴社では、直近の会計年度に、ウイルス感染やサイバー攻撃
1 発生した
(不正アクセス、DoS攻撃、標的型攻撃等)、内部者(委託者等を 2 攻撃はあったが被害には至らなかった
含む)による不正の被害が発生しましたか。
3 発生していない
4 わからない
(2) (1)でウイルス感染が「1.発生した」または「2.攻撃はあったが被
1 電子メール
害には至らなかった」と回答した方に伺います。感染あるいは発
2 インターネット接続(ホームページ閲覧など)
見したウイルスについて、想定される侵入経路に当てはまるも
3 自らダウンロードしたファイル
のを全てお選びください。
4 P2P(Peer to Peer)などのファイル共有ソフト
5 USBメモリ等の外部記録媒体
6 持ち込みクライアント(パソコン)
7 その他()
8 わからない
設問文
設問No
設問文
問25 (1) 問24(1)でウイルス感染またはサイバー攻撃または内部者によ
る不正の被害が「発生した」と回答した方に伺います。貴社が受
けた被害内容に当てはまるものを全てお選びください。
(2)
貴社が受けた攻撃の手口に当てはまるものを全てお選びくださ
い。
1
2
3
4
5
6
7
8
9
10
11
1
2
3
4
5
6
7
選択肢
顧客情報の漏えい
業務情報(営業秘密を除く)の漏えい
営業秘密の漏えい
Webサイトの改ざん
Webサイトのサービス機能の低下・停止
サイバー攻撃の踏み台としてWebサイトが利用された
業務サーバの内容の改ざん・破壊
業務サーバのサービス機能の低下・停止
業務サーバ、Webサーバのウイルス感染
内部者(委託者等を含む)による不正
その他()
ID・パスワードをだまし取られてユーザになりすまされたことによる不正アクセス
脆弱性(セキュリティパッチの未適用)を突かれたことによる不正アクセス
※1
SQLインジェクション
※2
DoS(DDoS)攻撃
※3
標的型攻撃
その他()
手口はわからない
※1 SQLインジェクションとは、細工されたSQL文をWebサイトの入力欄に埋め込み、データベースを不正に操作する手
法です。
※2 DoS攻撃とは、大量のデータや不正なデータをコンピュータや通信機器に送信し、攻撃対象のシステムを正常に稼
働できない状態に追い込む攻撃です。また、DDoS攻撃はDoS攻撃のうちインターネットに存在する多数の機器から一
斉にデータを送信する攻撃です。
※3 標的型攻撃とは、主に電子メールを用いて特定の組織や個人を狙う手法です。
(3)
問26
問27 (1)
(2)
(3)
ウイルス感染やサイバー攻撃、内部者による不正等の発生によ
る被害額に関して、①取引先や顧客等に対する損害賠償額②
新たに購入(レンタル・リース含む)した代替機器の費用③システ
ム構築等で外部に発注した業務の費用④セキュリティサービス
ベンダーやコンサルタント等に発注した業務の費用⑤その他費
用(問い合わせ窓口の設置、謝罪広告の掲載等)の各項目につ
いて、もっとも近いものを1つお選びください。
1
2
3
4
5
6
7
8
9
10
11
貴社の情報セキュリティ対策を進めるうえでの課題点について、 1
当てはまるものを全てお選びください。
2
3
4
5
6
7
8
9
10
貴社では情報セキュリティマネジメントシステム(ISMS)認証を取 1
得していますか。当てはまるものを1つお選びください。
2
3
4
(1)で1・2・3を選択した方に伺います。ISMSを取得する目的につ
1
いて、当てはまるものを全てお選びください。
2
3
4
5
6
7
(1)で1を選択した方に伺います。ISMSを取得による効果につい
1
て、当てはまるものを全てお選びください。
2
3
4
5
6
7
8
発生していない
50万円未満
50万円~100万円未満
100万円~150万円未満
150万円~200万円未満
200万円~400万円未満
400万円~600万円未満
600万円~800万円未満
800万円~1,000万円以上
1,000万円以上(約○万円)
不明
経営層のリスク感度が低い
経営層にITやセキュリティの重要性を理解してもらえない
予算が不足している
リスクの見える化が困難/不十分
情報セキュリティの取組が企業価値の向上につながると認識されていない
セキュリティ対策が場当たり的になっている
インシデント発生に備えた準備が不十分
経営とセキュリティの両方を理解している人材がいない
担当者の専門知識が不足している
その他()
取得している
現在、取得に向けた準備を行っている
現在、取得に向けた検討を行っている
取得していない
情報セキュリティ管理体制の強化
従業員の情報セキュリティに対する意識改善
入札、受注の条件、取引先の要請
顧客からの信頼確保
企業イメージの向上
同業他社との差別化
その他()
情報セキュリティ管理体制の強化につながった
従業員の情報セキュリティ意識が向上した
入札権利の取得や受注につながった
顧客の信頼確保につながった
企業イメージの向上につながった
同業他社との差別化につながり、競争優位性を確保した
取得効果は特にない
その他()
設問No
設問文
貴社で情報セキュリティ対策を検討する際に参照・利用している
問28
ガイドライン・標準について、それそれの有効性を「①非常に有
効」「②ある程度有効」「③それほど有効でない」「④まったく有効
でない」から1つずつお選びください。参照・利用していない場合
は「⑤参照・利用していない」をお選びください。
問29
貴社は政府が指定する次の「重要インフラ」分野の事業者に該
当しますか。当てはまるものを1つお選びください。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
1
2
3
4
5
6
7
8
9
10
11
12
13
14
選択肢
ISO/IEC 27000シリーズ(情報セキュリティマネジメントシステムに関する国際規格)
情報セキュリティ管理基準(経済産業省)
金融機関等コンピュータシステムの安全対策基準(FISC)
政府機関統一基準(NISC)
情報セキュリティ対策ベンチマーク(IPA)
PCI DSS
サイバーセキュリティフレームワーク(NIST)
個人情報の保護に関するガイドライン(各省庁)
JIS Q15001(個人情報保護マネジメントシステム)
組織における内部不正防止ガイドライン(IPA)
クラウドサービス利用のための情報セキュリティマネジメントガイドライン(経済産業省)
クラウドサービス提供における情報セキュリティ対策ガイドライン(総務省)
SSL/TLS暗号設定ガイドライン(IPA)
ISO/IEC 15408(CC:製品・システムの情報セキュリティ評価基準)
情報セキュリティ早期警戒パートナーシップガイドライン(IPA)
CSIRTマテリアル(JPCERT/CC)
CSIRTスタータキット(日本シーサート協議会)
CSMS(IEC 62443-2-1)(制御システムセキュリティ)
情報通信
金融
航空
鉄道
電力
ガス
医療
水道
物流
化学
クレジット
石油
政府・行政サービス
該当しない
問30は問29で14以外を回答した方のみお聞きします。
問30 (1) 貴社の制御システムについて、過去5年のうちに、サイバー攻撃 1 インシデントが発生した
や悪意のあるソフトウェアを原因とするインシデントは発生しまし 2 インシデントは発生していない
たか。当てはまるものを1つお選びください。
3 制御システムは保有していない
4 わからない
(2) (1)で1を選択した方に伺います。インシデントの発生により、貴
1 停止していない
社の制御システムが停止した期間(複数ある場合は最長の期
2 4時間未満
間)に最も近いものを1つお選びください。
3 4~8時間未満
4 8~12時間未満
5 12~24時間未満
6 24時間~3日未満
7 3~6日未満
8 6日以上
9 わからない
(3) (2)で2~8を選択した方に伺います。貴社の制御システムが停止 1 500万円未満
したことによる被害額(逸失利益、復旧費用等)に最も近いもの
2 500万円~1,000万円未満
を1つお選びください。
3 1,000万円~3,000万円未満
4 3,000万円~5,000万円未満
5 5,000万円~1億円未満
6 1億円~10億円未満
7 10億円以上
8 わからない