企業の CISO や CSIRT に関する 実態調査 2016 付録

付録
企業の CISO や CSIRT に関する
実態調査 2016
- データ集 -
2016年5月10日
目
次
付録 1:
CSIRT 設置企業向けアンケート調査結果 ............................................................................... 1
付録 2:
本アンケート調査結果 ............................................................................................................. 21
付録 1: CSIRT 設置企業向けアンケート調査結果
問 1 貴社の主な業種をお答えください。
(SA)
0%
N=67
農業、林業及び漁業
鉱業及び採石業
建設業
20%
電気、ガス、蒸気及び空調供給業
卸売・小売業
専門・科学・技術サービス業
管理・支援サービス業※
宿泊・飲食サービス業
芸術・娯楽及びレクリエーション
教育
保健衛生及び社会事業
100%
0.0
0.0
35.8
3.0
1.5
16.4
金融・保険業
不動産業
80%
19.4
情報通信業
運輸・保管業
60%
0.0
0.0
1.5
製造業
水供給、下水処理並びに廃棄物管理及び浄化活動
40%
1.5
1.5
0.0
1.5
1.5
1.5
0.0
11.9
その他のサービス業
3.0
その他
※例:物品賃貸・リース業、旅行代理店業等
付録 1-1 回答企業の業種
問 2 貴社の総従業員数(有給役員、正社員・正職員、準社員・準職員、アルバイト等を含む)に
ついて、2014 年度の人数をお答えください。
(SA)
※常時従業者の総数、有給役員及び常時雇用者(正社員・正職員、準社員・準職員、アルバイト等、
1 ヶ月を超える雇用契約者)とし、人材派遣業者からの派遣従業者は含めません。
N=67
3.0%
0.0%
1.5%
50名以下
51名~100名以下
47.8%
23.9%
101名~300名以下
301名~1,000名以下
23.9%
1,001名~5,000名以下
5,001名以上
付録 1-2 回答企業の総従業員数
1
問 3 貴社の 2014 年度の総売上高をお答えください。
(SA)
※貴社の決算期に合わせた回答で構いません。
N=67
0.0%
0.0%
3.0% 1.5%
3.0%
1億円以下
1億円超~5億円以下
6.0%
5億円超~10億円以下
10億円超~100億円以下
20.9%
100億円超~1,000億円以下
1,000億円超
65.7%
不明
無回答
付録 1-3 回答企業の 2014 年度総売上高
問 4 貴社の IT システム・サービスへの依存度について、お伺いします。貴社が利用するITシ
ステム・サービスが停止した場合、貴社のコア事業にどの程度影響が及びますか。
(SA)
N=67
3.0%
0.0%
コア事業に極めて重大な影響が
及ぶ
コア事業に重大な影響が及ぶ
23.9%
コア事業に限定的な影響が及ぶ
73.1%
コア事業への影響は殆どない
付録 1-4 回答企業の IT システム・サービスへの依存度
問 5 貴社の経営層※の情報セキュリティに対する関与について、お伺いします。経営層が、自社
の情報セキュリティリスクや対策を審議する会議等の機会の有無について、当てはまるものをお
選び下さい。
(SA)
※ここでは、「経営層」を組織の経営または業務執行に責任を持つ、取締役、執行役、執行役員を含
めた階層とします。
2
N=67
1.5%
会議等があり、情報セキュリティに
関する意思決定の場として機能して
いる
9.0%
会議等があるが、情報セキュリティ
に関する意思決定の場としては機
能していない
89.6%
経営層が、自社の情報セキュリティ
リスクや対策を審議する場がない
付録 1-5 経営の情報セキュリティに対する関与
問 6(1) 貴社の組織全体のセキュリティ対策を統括する CISO(Chief Information Security
Officer/最高情報セキュリティ責任者)または同等の責任者(以下「CISO 等」という)を設置し
ていますか。
(SA)
N=67
3.0%
経営層としてCISO等を設置
している
23.9%
10.4%
経営層よりも下の階層に、
CISO等を設置している
62.7%
CISO等を設置していない
わからない
付録 1-6 CISO 等設置状況
3
問 6(2) (1)の CISO 等が兼務している役職を全てお選び下さい。
(MA)
0%
N=49
20%
40%
6.1
CEO(Chief Executive Officer, 最高経営責任者)
26.5
CIO(Chief Information Officer, 最高情報責任者)
20.4
CSO(Chief Security Officer, 最高セキュリティ責任者)
28.6
CPO(Chief Privacy Officer, 個人情報保護最高責任者)
14.3
CRO(Chief Risk Officer, 最高リスク管理責任者)
CIRO(Chief Information Risk Officer, 最高情報リスク責
任者)
8.2
32.7
情報システム/セキュリティ担当部門の責任者
4.1
リスク管理部門の責任者
2.0
総務部門の責任者
8.2
兼務なし
22.4
その他
わからない
0.0
付録 1-7 CISO 等兼務状況
4
60%
80%
100%
問 6(3) (1)の CISO 等が有する権限・役割として、当てはまるものを全てお選び下さい。
(MA)
0%
N=49
20%
40%
60%
80%
100%
79.6
情報セキュリティの方針、戦略の立案・計画
65.3
情報セキュリティ対策のフレームワーク、ポリシー、ルールの規定
69.4
情報セキュリティ対策予算の計画・取締役会における合意獲得
53.1
情報セキュリティのリスク評価、監査等の実施
30.6
情報セキュリティ対策の事業者、製品・ツールの選定
40.8
情報セキュリティ対策実施のための社内外の調整・説明
67.3
情報セキュリティ対策実施組織の管理・監督
61.2
情報セキュリティインシデント発生時の指揮・意思決定
36.7
情報セキュリティ対策に関する情報発信
6.1
その他
0.0
わからない
付録 1-8 CISO 等が有する権限・役割
問 7 CISO 等と CSIRT の関係について、当てはまるものを 1 つお選び下さい。
(問 6(1)で、CISO 等
を設置していないと回答した方は、経営層と CSIRT の関係(選択肢:2, 4, 5, 6)について、当
てはまるものを 1 つお選び下さい。
)
(SA)
N=67
CISO等が直接CSIRTに指揮・監督を行う
4.5%
10.4%
CISO等以外の経営層が直接CSIRTに指
揮・監督を行う
37.3%
11.9%
CISO等が関係部門を通して、間接的に
CSIRTの指揮・監督を行う
CISO等以外の経営層が関係部門を通し
て、間接的にCSIRTの指揮・監督を行う
22.4%
CISO等及び経営層はCSIRTに対して指
揮・監督を行わない
13.4%
わからない
5
付録 1-9 CISO 等と CSIRT の関係
問 8(1) 経営層による CSIRT の活動全体に対する定期的な評価を実施していますか。
(SA)
N=67
年単位、またはそれ以上(半期、
四半期等)のペースで実施してい
る
35.8%
複数年単位(3か年、5か年等)の
ペースで実施している
37.3%
定期的ではないが、適宜実施して
いる
26.9%
実施していない
0.0%
付録 1-10 経営層による CSIRT 活動の評価
問 8(2) (1)の評価結果が、CSIRT の活動の改善に反映されていますか。
(SA)
N=43
0.0%
十分に反映されている
4.7%
ある程度反映されている
11.6%
41.9%
あまり反映されていない
41.9%
全く反映されていない
無回答
付録 1-11 経営層による CSIRT 活動の評価に基づく改善の実施
6
問 9 CSIRT の設置目的(またはミッション)として、当てはまるものを全てお選び下さい。(MA)
N=67
0%
20%
40%
60%
80%
100%
インシデント発生及び被害の予防
92.5
インシデント発生時の被害の拡大防止(局限化)
92.5
88.1
インシデントの経験・知見に基づく改善策の実施
20.9
その他
付録 1-12 CSIRT 設置目的
問 10 CSIRT を設置してからの期間をお答え下さい。
(SA)
N=67
1年以内
14.9%
31.3%
1年~2年
19.4%
3年~5年
34.3%
6年以上
付録 1-13 CSIRT 設置期間
問 11 CSIRT の組織内の位置づけとして、最も近いものを 1 つお選び下さい。
(SA)
N=67
経営層直属の独立組織
10.4%
25.4%
経営企画・リスク管理部門内
9.0%
情報システム部門内
総務部門内
10.4%
4.5%
3.0%
品質管理部門内
37.3%
事業部門内
その他
付録 1-14 CSIRT の組織内の位置づけ
7
問 12(1) CSIRT の体制(人数)を、①専任、②兼任、③外部(社外からの出向者等)それぞれに
ついてお答え下さい。(SA)
①専任
N=67
1.5%
0人
13.4%
1人
9.0%
14.9%
2~5人
56.7%
6~10人
10人以上
4.5%
無回答
付録 1-15 CSIRT 組織内の体制 ①専任
②兼任
N=67
0人
1.5%
20.9%
11.9%
4.5%
23.9%
37.3%
1人
2~5人
6~10人
10人以上
無回答
付録 1-16 CSIRT 組織内の体制 ②兼任
③外部(社外からの出向者等)
N=67
1.5%
4.5%
4.5%
0.0%
6.0%
0人
1人
2~5人
6~10人
83.6%
10人以上
無回答
付録 1-17 CSIRT 組織内の体制 ③外部
8
問 12(2) (1)の体制は、設立時と比較して増強されていますか。
(SA)
N=67
1.5%
増強されている
37.3%
縮小している
変わっていない
59.7%
無回答
1.5%
付録 1-18 CSIRT 組織内の体制 ③外部
問 12(3) (2)で 1 とお答えになった方、体制が増強された理由として、当てはまるものを全てお
選び下さい。
(MA)
N=40
0%
20%
40%
60%
80%
100%
62.5
当初想定よりも活動が多いため
52.5
活動の重要性が経営層に理解されたため
25.0
活動実績に対する社内の評価が高いため
30.0
適性の高い人員を確保できたため
17.5
その他
付録 1-19 増強した理由
問 12(4) (2)で 2,3 とお答えになった方、体制が増強されていない理由として、当てはまるもの
を全てお選び下さい。(MA)
9
0%
N=26
20%
当初想定よりも活動が少ないため
0.0
活動の重要性が経営層に理解されなかったため
0.0
40%
60%
80%
100%
3.8
活動実績に対する社内の評価が低いため
34.6
適性の高い人員を確保できないため
0.0
人員が離職や異動したため
19.2
社内から人員確保の協力を得られないため
69.2
その他
付録 1-20 増強していない理由
問 13(1) CSIRT 設立時と比べて、CSIRT の運営予算は増えていますか。(SA)
N=67
設立時より増えている
34.3%
設立時より減っている
43.3%
変わっていない
明確な形で予算が確保されていな
い(兼任者のみのバーチャル組織
の場合等)
22.4%
0.0%
付録 1-21 設立時からの予算増減
問 13(2) (1)で 1 とお答えになった方、予算が増えた理由として、当てはまるものを全てお選び
下さい。(MA)
0%
N=29
20%
40%
60%
80%
79.3
当初想定よりも活動が多いため
62.1
活動の重要性が経営層に理解されたため
24.1
活動の実績に対する社内の評価が高いため
6.9
その他
付録 1-22 予算が増加した理由
10
100%
問 13(3) (1)で 2,3,4 とお答えになった方、予算が増えない理由として、当てはまるものを全て
お選び下さい。
(MA)
0%
N=38
20%
40%
60%
80%
100%
0.0
当初想定よりも活動が少ないため
5.3
活動の重要性が経営層に理解されなかったため
0.0
活動の実績に対する社内の評価が低いため
IT予算やセキュリティ予算に対する制約があるため
18.4
7.9
人員が増えないため
2.6
業績不振のため
71.1
その他
無回答
2.6
付録 1-23 予算が増加しない理由
問 14(1) 現時点において、
貴社の CSIRT が持つ機能について、
それぞれの機能の有効性の評価を、
「①非常に有効」
「②ある程度有効」
「③それほど有効でない」
「④全く有効でない」から 1 つずつ
お選びください。機能自体がない場合は、「⑤機能がない」をお選び下さい。
0%
20%
N=67
情報セキュリティ関連情報の収集・分析
49.3
脆弱性情報ハンドリング
47.8
セキュリティ監査・評価
セキュリティツールの管理・運用
情報セキュリティ対策に関する教育、啓発
①非常に有効
④全く有効でない
80%
35.8
10.4
3.0
1.5
6.0
44.8
41.8
9.0
32.8
②ある程度有効
⑤機能がない
3.0
6.0 7.5
26.9
26.9
4.5
26.9
34.3
53.7
1.5 1.5
6.0
1.5
3.0
9.0
4.5 1.5
13.4
1.5
6.0 6.0
49.3
31.3
26.9
100%
37.3
46.3
19.4
社外組織との連携窓口
その他
60%
46.3
13.4
攻撃等に関する注意喚起
訓練・演習の実施
40%
91.0
③それ程有効でない
無回答
付録 1-24 CSIRT が持つ機能及び有効性(インシデント発生及び被害の予防)
11
10.4 1.5
0%
N=67
20%
40%
60%
100%
1.5
4.5 10.4
44.8
38.8
インシデントの検知
80%
社内外からのインシデント報告窓口
50.7
38.8
1.51.5
6.0 1.5
インシデントに対する初動対応
49.3
43.3
1.5 1.5
3.0 1.5
43.3
インシデントの調査及び分析
40.3
外部機関や関係者への連絡・調整
44.8
1.5
6.0 4.5
49.3
1.5
4.5 4.5
3.0
インシデント後の対外公表、法的対応
その他
①非常に有効
④全く有効でない
41.8
14.9
1.5 1.5
1.5
28.4
10.4
97.0
②ある程度有効
⑤機能がない
③それ程有効でない
無回答
付録 1-25 CSIRT が持つ機能及び有効性(インシデント発生時の拡大防止(局限化)
)
0%
N=67
20%
40%
60%
80%
100%
1.5
31.3
再発防止策の策定
55.2
7.5 3.0 1.5
1.5 1.5
その他
①非常に有効
④全く有効でない
94.0
3.0
②ある程度有効
⑤機能がない
③それ程有効でない
無回答
付録 1-26 CSIRT が持つ機能及び有効性(インシデントの経験・知見に基づく改善策の実施)
12
問 14(2) 現時点において、
(1)の CSIRT 機能の有効性に関する全体評価として、当てはまるもの
を 1 つお選び下さい。
(SA)
N=67
期待したレベルを満たしている
0.0%
11.9%
ある程度期待したレベルを満た
している
16.4%
11.9%
あまり期待したレベルを満たし
ていない
全く期待したレベルを満たして
いない
59.7%
まだ評価できない
付録 1-27 CSIRT 機能の有効性に関する全体評価
問 14(3)
(2)の全体評価に関して、CSIRT の有効性を左右する要素(評価が高い場合は、有効性
に寄与している要素、評価が低い場合は、不足している要素)として、特に重要なものを 3 つま
でお選び下さい。
N=67
0%
20%
40%
60%
80%
100%
80.6
能力・スキルのある人員の確保
22.4
十分な予算の確保
38.8
適切な対応手順の整備・見直し
22.4
機能を実現するための十分な権限の有無
9.0
十分な活動実績
社内における機能の認知
22.4
35.8
社内の既存部門との連携
20.9
外部関係機関との連携
CSIRTコミュニティにおける積極的な情報共有
25.4
20.9
事案から得られた知見に基づく改善
その他 0.0
付録 1-28 機能の有効性に寄与する要素
13
問 15 CSIRT がインシデント対応にあたって有する権限(システム停止、ネットワーク遮断、調査
等)として当てはまるものを 1 つお選び下さい。
(SA)
インシデント対応の判断・意思決定
において全面的な権限を持つ
N=67
10.4%
26.9%
インシデント対応の判断・意思決定
において一部の権限を持つ
19.4%
特定の条件を満たした際に、既存
の判断・意思決定者から権限が委
譲される
43.3%
インシデント対応の判断・意思決定
を行う権限は持たず、支援のみ行う
付録 1-29 インシデント対応権限
問 16 CSIRT がインシデント対応時に連携する部門として、当てはまるものを全てお選び下さい。
(MA)
N=67
0%
20%
40%
60%
80% 100%
95.5
情報システム部門
89.6
経営企画・リスク管理部門
53.7
法務部門
11.9
監査部門
25.4
人事部門
71.6
広報・渉外部門
22.4
その他
付録 1-30 インシデント対応時の連携先
14
問 17 CSIRT のインシデント対応の実効性を高めるため、平常時から実施している取組として、当
てはまるものを全てお選び下さい。
(MA)
0%
N=67
20%
40%
60%
80%
100%
73.1
インシデント対応手順を整備している
53.7
インシデント対応の訓練・演習を実施している
社内の他部門とインシデント発生時の連携を確認
している
61.2
社外組織とインシデント発生時の連携を確認して
いる
40.3
従業員等に対する教育、啓発、注意喚起を行って
いる
79.1
7.5
その他
付録 1-31 インシデント対応への準備
問 18(1) 貴社が過去 5 年間に経験した重大なインシデントの件数として、当てはまるものを 1 つ
お選び下さい。
(SA)
N=66
1.5%
0件
6.0%
11.9%
1件
37.3%
2~5件
6~10件
32.8%
11件以上
10.4%
無回答
付録 1-32 重大インシデントの経験
15
問 18(2) (1)の「重大なインシデント」が判明したきっかけは何ですか。当てはまるものを全てお
選び下さい。
(MA)
N=41
0%
20%
40%
60%
80%
73.2
社内の当事者・関係者から連絡があった
SOC等監視を行う部門(委託先を含む)が発見した
41.5
17.1
社内の監査や調査で発覚した
34.1
顧客や取引先から連絡があった
19.5
警察やセキュリティ関係機関から連絡があった
9.8
セキュリティベンダから連絡があった
26.8
社外の第三者から連絡があった
4.9
その他
付録 1-33 重大インシデントの判明経緯
16
100%
問 18(3) (1)のインシデントが発生した際、対応時に外部サービスを利用しましたか。(MA)
N=41
0%
20%
40%
60%
80%
100%
19.5
ログ分析
36.6
マルウェア解析
19.5
セキュリティ診断
7.3
脅威情報提供・分析サービス
36.6
フォレンジック
SIEM(Security Information and Event
Management )
2.4
SOC(Security Operation Center)
2.4
MSS(Managed Security Service)
7.3
2.4
その他
43.9
外部サービスは利用していない
付録 1-34 インシデント対応における外部サービスの利用
問 18(4) (1)のインシデント経験を踏まえ、どのような改善を行いましたか。当てはまるものを
全てお選び下さい。
(MA)
0%
N=41
20%
CSIRTの設置
40%
60%
80%
39.0
58.5
対応手順の改訂
61.0
セキュリティツール・サービスの導入
53.7
社内外の連携強化
63.4
従業員等に対する再教育、周知徹底
14.6
その他
付録 1-35 インシデント対応における外部サービスの利用
17
100%
問 19 自由記述
 情シス担当者による説明では、役員や一般社員は理解できないので簡潔に分かりやすく
情報を整理するのに時間がかかる。情シス系と管理系のギャップを埋めるには、管理系担
当者が IT リテラシーを高める方が早いが難航中。情報セキュリティリスクについての理解
が不十分。自社や担当業務は無関係と公言する人が大半。
 CSIRT 組織がどの組織の配下に存在すべきか(または、特定の組織の配下に存在すべき
でないか)
、円滑に CSIRT を運営するためにはどのような権限の割当、承認経路を用意す
べきかに関して日々検討しております。
 他社の対応状況、投資額を気にしすぎる。自社のビジネスでどこまで投資し、どのリス
クを許容するというのは、本来会社毎に異なるはず。
 サイバーセキュリティは、国を挙げての取り組みであると認識しており、個の組織とし
てもまた、他の社外組織との連携、コミュニケーションが非常に重要であると考える。情
報システムや情報通信ネットワークへの業務依存が大きくなっている中、環境の安全確保
が最優先と考え今後とも社外組織、専門家と協力して活動に努めたい。
 インシデントの検知レベルをあげても、検知・分析・初動を担当する要員が足りず、追
い付かない。CSIRT を仮想組織とすると、実組織との職務分掌が判りにくい(特にインシ
デント対応時)
 環境問題への対応や安全管理のように、企業に対して情報セキュリティを義務化するよ
うな動きがあると、担当としては非常に進めやすい。その場合、
「やったこと」を定量化
する指標が必要になるが、やってもやらなくても、事故がなければ OK、頑張って非常に
高いレベルでやっていても事故を起こせば NG、と短絡的な評価になることに矛盾を感じ
ている。我々の業界でいえば、現場の安全管理と同じであるが、安全管理においては「や
っていない」ことに対して罰則が明示されていることが大きく異なる。
 経営層に限らず会社全体が情報セキュリティインシデントに対して常にアンテナを張っ
ています。また、例えば、ニュースでインシデントが報じられるとお客様から問い合わせ
(相談等)が発生するため、そのようなケースにおいても、CSIRT がコーディネーション
センターとなって情報の収集やとりまとめ、必要ならばオフィシャルステートメントの作
成などを行っています。CSIRT 設置からまだ日が浅く、人員確保などの組織的に検討をし
ていく事が重要と考えます。
 CSIRT 設置からまだ日が浅く、人員確保などの組織的に検討をしていく事が重要と考え
18
ます。
 CSIRT の存在は IR の一環との認識感が強い。
底辺で活動する部隊と経営層の思いの GAP
を感じる。CSIRT 発足後に重大なインシデントが起こっていない為、起らないのが当たり
前(喉元過ぎれば)となっている様に感じる。危機感は外部刺激からあるが、自社への脅
威との危機感が疎く感じる。
 情報セキュリティの重要性への意識は高まってきたが、具体的な事柄についての認識は
これからと言う状況である。
 兼任者で構成されるため、役割分担や責任範囲が不明確になる傾向がある。インシデン
ト対応のノウハウを展開するために労力が必要であるが、人的資源も限られていて難しい。
製品開発など直接的な売り上げに貢献する活動ではないため、人事上高い評価が得られに
くい。このため、若手にとって仕事内容に魅力がない⇒人が育たない/人が来ない⇒十分な
工数が得られない⇒魅力的なアウトプットを出しにくいという悪循環が回っていると思う
ことがある。
 情報セキュリティに対して一定の認識が経営はもつが、コストと実行性のバランスを考
えると大きな対応が難しいのが現状。社内での活動実績や有効性をアピールしながら専門
的要員の育成や予算の確保はかなり大変であり、これらの活動がある程度企業評価に結び
つく土壌ができることで活躍し易さが増えると考えます。
 日々、インシデントや対応しなければいけない事が発生するため、情報の整理や手順の
見直し整備に多大なワークロードが必要である。また、新しいインシデントの発生ととも
に、予防のための情報収集や外部調査が日を追って追加されるため、その対策が課題であ
る。
 ①CSIRT 人材育成、キャリア形成をどのようにするのかが課題。ローテーションがある
ため、一定レベルの人材を保有した CSIRT を継続することが難しい。②一般企業における
CSIRT 人材のスキルレベルが見えない。自前でどれくらいのレベルの人材を確保すべきな
のか判断できていない。
 継続性が軽くみられていること。コストセンターでは企業の重荷となり、一方事業モデ
ルを採用すれば組織的視点での活動は優先度が低くなる。ただし前者は数年の維持すら困
難となっているから、テンポラリでない組織維持を指向するならばはいずれ後者モデルへ
のシフトが必要となると考える。CSIRT 設置組織への税額控除助成等が取られれば、経営
陣の意思決定に一定量裏付けを伴うことができるのではないか。
19
 ①サイバーセキュリティについては、日々高度化巧妙化しており、防御策の実施を迅速
に行うことを課題として認識している。②サイバーセキュリティ専門要員増加の必要性を
課題として認識している。
 一般的によく言われていることだが、外部から採用するにせよ、社内で育成するにせよ
スキルがある人材が不足している。
 情報セキュリティの重要性や必要性について、経営層に正しく理解してもらうのが困難
な場合がある。
 外部の組織との情報共有・連携に力を入れ、積極的な情報公開に努めています。
 重大なインシデント発生時の決定権・実行権とエスカレーションの確立。また、その訓
練を行うことで、実際のインシデント発生時に効果が発揮できることを期待しています。
サイバー、物理など色々なセキュリティがありますが、明確な組織体制、エスカレーショ
ンの流れができていないので雑多に窓口にやってくる状況なので精査する必要がある。予
知とフォレッジングの観点からログの運用について再考する必要がある。対象範囲は年々
広がるが、現状兼務でかつ限られた人員なので人の確保と優先順位付けで行う状態。
 セキュリティ強化に対する予算が少ないことが一番の問題。作業担当者のモチベーショ
ン維持・向上の施策も大きな課題。
20
付録 2: 本アンケート調査結果
【留意事項】
本頁以降、IPA が実施した「2014 年度情報セキュリティ事象被害状況調査結果」と比較している
項目があるが、調査方法が郵送からウェブアンケートに変更されているため、参考としての位置
付けで掲載している。
貴社の総従業員数(有給役員、正社員・正職員、準社員・準職員、アルバイト等を含む)につい
て、直近の会計年度の人数をお答えください。 [SA]
0%
20 %
19.9
日本(N=588)
40 %
8.5
13.3
米国(N=598)
13.4
13.9
11.9
欧州(N=540)
14.3
11.1
16.3
300名~500名
3,001名~5,000名
60 %
19.9
18.6
80 %
11.2
13.4
22.8
501名~700名
5,001名~10,000名
10.4
16.8
7.7
13.7
701名~1,000名
10,001名以上
100 %
21.2
9.8
12.0
1,001名~3,000名
付録 2-1 従業員数
貴社におけるあなたの役職をお答えください。 [SA]
0%
日本(N=588)
20 %
7.8
40 %
35.0
60 %
80 %
57.1
100 %
0.0
米国(N=598)
15.1
54.0
30.9
0.0
欧州(N=540)
16.3
52.6
31.1
0.0
CISO(Chief Information Security Officer/最高情報セキュリティ責任者)等※
情報システム/セキュリティ担当部門の責任者
情報システム/セキュリティ担当部門の担当者
その他
付録 2-2 役職
21
貴社の主な業種(国際標準産業分類に基づく)をお選びください。 [SA]
0%
20 %
0.2 0.2
日本(N=588) 4.6
0.0
1.7
26.4
0.8 0.3
1.3
米国(N=598)
欧州(N=540)
40 %
0.5
1.3 11.9
20.2
0.9
3.3
16.3
0.6 0.9
60 %
19.0
3.2 4.0
80 %
100 %
0.2 0.7
13.8
4.4
6.6 2.44.9 2.9
0.7 1.0
1.0
0.7 0.8
8.2 2.3 9.2
11.9
11.7 1.0 9.5
2.7 7.7
0.6
11.1
8.5
6.5
12.2 1.5 10.2
5.0
2.0
5.6
4.3 4.8 5.7
農業、林業及び漁業
鉱業及び採石業
建設業
製造業
電気、ガス、蒸気及び空調供給業
水供給、下水処理並びに廃棄物管理及び浄化活動
情報通信業
運輸・保管業
卸売・小売業並びに自動車及びオートバイ修理業
金融・保険業
不動産業
専門・科学・技術サービス業
管理・支援サービス業
宿泊・飲食サービス業
芸術・娯楽及びレクリエーション
教育
保健衛生及び社会事業
その他のサービス業
その他
付録 2-3 業種
貴社の総売上高について、直近の会計年度の金額をお答えください。 [SA]
0%
20 %
日本(N=588)
3.4 7.5
米国(N=598)
2.7 7.4
欧州(N=540)
3.3
12.8
7.4
9.4
10億円未満
100億円~500億円未満
5,000億円~1兆円未満
22.1
13.2
11.9
40 %
60 %
12.6
12.0
19.2
19.4
11.9
10億円~50億円未満
500億円~1,000億円未満
1兆円以上
付録 2-4 総売上高
22
80 %
14.6
6.3
11.0
13.0
12.0
6.3
7.6
11.4
100 %
9.4
15.1
17.2
50億円~100億円未満
1,000億円~5,000億円未満
不明
問 1 貴社の直近の会計年度における IT 関連の投資額及びセキュリティ投資額(セキュリティ関連
製品やソリューションの導入等)について、概算でわかる範囲でお答えください。 [SA]
0%
日本(N=588)
米国(N=598)
欧州(N=540)
20 %
7.5
4.7
40 %
15.1
14.3
17.7
6.9
60 %
21.4
17.4
25.4
10.4
7.7
25.6
13.4
20.4
1千万円未満
1億円~10 億円未満
不明
80 %
24.6
1千万円~5 千万円未満
10億円~50億円未満
100 %
23.6
5.5
15.7
7.6 3.7
11.5
5千万円~1億円未満
50億円以上
付録 2-5 IT 関連投資額
0%
20 %
18.9
日本(N=588)
米国(N=598)
12.5
欧州(N=540)
16.3
40 %
20.2
23.1
60 %
15.6
11.9
15.4
27.2
21.2
22.2
80 %
4.8 1.9
26.7
5.9 3.0
13.7
100 %
18.9
5.6 2.4
12.6
1千万円未満
1千万円~5 千万円未満
5千万円~1億円未満
1億円~10 億円未満
10億円~50億円未満
50億円以上
不明
付録 2-6 セキュリティ投資額
23
問 2 貴社ではセキュリティ投資に関して、その効果を評価していますか。[SA]
0%
20 %
40 %
20.1
日本(N=588)
米国(N=598)
14.5
欧州(N=540)
13.0
60 %
18.2
80 %
33.7
19.2
100 %
28.1
50.5
29.1
15.7
48.7
9.3
定量的評価を実施している
定性的評価を実施している
定量的・定性的評価ともに実施している
評価を実施していない
付録 2-7 セキュリティ投資評価
問 3 貴社の IT システム・サービスへの依存度について、お伺いします。貴社が利用するITシス
テム・サービスが停止した場合、貴社のコア事業にどの程度影響が及びますか。[SA]
0%
日本(N=588)
10 %
20 %
30 %
40 %
50 %
60 %
70 %
90 %
12.1
38.1
44.0
80 %
100 %
5.8
1.5
米国(N=598)
36.3
55.0
7.2
1.1
欧州(N=540)
45.2
45.4
コア事業に極めて重大な影響を及ぼす
コア事業に重大な影響を及ぼす
コア事業に限定的な影響を及ぼす
コア事業への影響は殆どない
付録 2-8 IT システム・サービスへの依存度
24
8.3
問 4.貴社の経営層の情報セキュリティに対する関与について、お伺いします。経営層が、自社の
情報セキュリティリスクや対策を審議する会議等の機会の有無について、当てはまるものをお選
びください。 [SA]
0%
20 %
40 %
60 %
2.8
3.7
37.2
59.1
欧州(N=540)
13.6
34.3
62.9
米国(N=598)
100 %
20.4
66.0
日本(N=588)
80 %
会議等があり、情報セキュリティに関する意思決定の場として機能している
会議等があるが、情報セキュリティに関する意思決定の場としては機能していない
経営層が、自社の情報セキュリティリスクや対策を審議する機会がない
付録 2-9 経営層の情報セキュリティに対する認識
問 5(1). 貴社の組織全体の情報セキュリティ対策を統括する CISO(Chief Information Security
Officer, 最高情報セキュリティ責任者)または同等の責任者(以下「CISO 等」という)を任命し
ていますか。[SA]
0%
日本
(N=588)
20 %
38.3
米国
(N=598)
41.5
欧州
(N=540)
41.3
40 %
60 %
26.0
80 %
25.5
37.3
43.7
経営層としてCISO等を任命している
経営層よりも下の階層に、CISO等を任命している
CISO等を任命していない
わからない
付録 2-10 CISO 等の任命状況
25
100 %
10.2
15.7
11.3
5.5
3.7
問 5(2). (1)で「選択肢 1・2」を選んだ方に伺います。CISO 等が有する権限・役割として、当て
はまるものを全てお選びください。 [MA]
0%
20 %
40 %
60 %
80 %
73.0
69.4
66.7
情報セキュリティの方針、戦略の立案・計画
情報セキュリティ対策のフレームワーク、ポリ
シー、ルールの規定
63.0
62.4
62.3
情報セキュリティ対策予算の計画・取締役会にお
ける合意獲得
62.4
56.7
57.3
53.4
57.7
52.1
情報セキュリティのリスク評価、監査等の実施
40.2
49.5
46.2
情報セキュリティ対策の事業者、製品・ツールの
選定
35.4
50.7
42.0
情報セキュリティ対策実施のための社内外の調
整・説明
情報セキュリティ対策実施組織の管理・監督
44.2
情報セキュリティインシデント発生時の指揮・意思
決定
41.8
43.9
39.7
53.4
25.4
情報セキュリティ対策に関する情報発信
その他
0.3
0.2
0.0
5.3
5.9
2.8
わからない
付録 2-11 CISO 等が有する権限・役割
26
37.8
32.5
61.1
日本(N=378)
米国(N=471)
欧州(N=459)
問 6.貴社では、貴社の国内外拠点(系列会社を含む)の情報セキュリティ対策状況を確認・コン
トロールしていますか。[SA]
0%
20 %
40 %
60 %
80 %
1.3 1.3
5.2
8.9
29.4
53.9
欧州(N=540)
2.5 1.7
4.5
8.7
20.6
62.0
米国(N=598)
0.3 2.2
5.6
6.8
29.1
56.0
日本(N=588)
100 %
十分コントロールできている
一部コントロールできている
確認しているがコントロールできていない
確認していない
拠点なし
わからない
付録 2-12 国内拠点(系列会社を含む)の情報セキュリティ対策の確認状況
0%
日本(N=588)
米国(N=598)
欧州(N=540)
20 %
40 %
12.2
28.6
15.3
26.1
60 %
10.5 3.3
21.6
29.1
4.4
31.5
十分コントロールできている
確認しているがコントロールできていない
拠点なし
80 %
31.1
8.3
30.6
7.9
11.5 2.4
18.5
一部コントロールできている
確認していない
わからない
付録 2-13 海外拠点(系列会社を含む)の情報セキュリティ対策の確認状況
27
100 %
7.0
Q7.貴社では、貴社の業務委託先や物品調達先の情報セキュリティ対策状況を確認していますか。
[SA]
0%
20 %
40 %
28.4
日本(N=588)
60 %
31.3
37.2
欧州(N=540)
100 %
7.8 4.4 3.7 6.1
49.5
42.8
米国(N=598)
80 %
3.3 4.7 6.9
11.0
38.1
12.2
2.4
3.9 6.1
十分確認できている
ある程度確認できている
ほとんど確認できていない
確認していない
委託・調達していない
わからない
付録 2-14 業務委託先の情報セキュリティ対策の確認状況
0%
日本(N=588)
20 %
40 %
33.9
35.5
36.7
31.7
欧州(N=540)
80 %
15.5
44.2
20.6
米国(N=598)
60 %
100 %
6.1 6.0
7.7
12.9
5.9 4.5 7.4
16.3
5.6 4.1 5.7
十分確認できている
ある程度確認できている
ほとんど確認できていない
確認していない
委託・調達していない
わからない
付録 2-15 物品調達先の情報セキュリティ対策の確認状況
28
問 8(1). 貴社では、貴社の情報セキュリティポリシーや情報セキュリティ上のリスクについて、
対外的に公表していますか。[SA]
0%
20 %
60 %
20.2
35.6
米国(N=598)
80 %
6.5
30.4
14.1
25.6
23.5
8.0
12.7
23.9
7.5
100 %
16.3
3.9
33.3
38.4
日本(N=588)
欧州(N=540)
40 %
情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している
情報セキュリティポリシーのみ公表している
情報セキュリティ上のリスクのみ公表している
いずれも公表していない
わからない
付録 2-16 情報セキュリティポリシー・情報セキュリティ上のリスク情報の開示(平時の情報開示)
問 8(2). (1)で「選択肢 1・2・3」を選んだ方に伺います。開示する理由について当てはまるもの
を全てお選びください。 [MA]
0%
20 %
40 %
51.2
49.6
企業価値の向上、差別化につながるため
CSR活動の一環として
47.8
22.5
取引先等からの要請があったため
62.9
3.7
6.2
10.8
0.7
0.0
0.0
56.6
54.5
31.7
29.3
22.7
31.4
21.4
国の政策等で開示が求められているため
その他
80 %
46.7
44.6
44.3
投資家に対する情報公開の一環として
他社が取り組んでいるため
60 %
日本
(N=445)
米国
(N=379)
欧州
(N=341)
付録 2-17 情報セキュリティポリシーや情報セキュリティ上のリスクを開示する理由
29
問 8(3). (1)で「いずれも公表していない」を選んだ方に伺います。開示しない理由として当ては
まるものを全てお選びください。 [MA]
0%
20 %
40 %
60 %
開示義務がない
80 %
56.7
投資家等のステークホルダーからの開示要請が
ない
21.9
25.9
18.3
自社のセキュリティやリスクの情報を開示したくな
い
18.8
開示したいと考えているが、そのためのリソース
(人員・予算・時間等)が不足している
2.8
4.3
46.2
50.0
13.5
日本(N=96)
米国(N=143)
0.0
0.0
0.0
その他
64.6
66.4
欧州(N=164)
付録 2-18 情報セキュリティポリシーや情報セキュリティ上のリスクを開示しない理由
問 9.貴社では、インシデント発生時に対外的に情報を公開する基準を定めていますか。[SA]
0%
日本(N=588)
米国(N=598)
欧州(N=540)
20 %
40 %
47.1
60 %
23.6
43.8
80 %
16.3
31.8
39.1
35.9
12.9
14.0
18.1
インシデント発生時に対外的に情報を公開する基準を定めている
インシデント発生時に対外的に情報を公開する基準を現在検討中である
インシデント発生時に対外的に情報を公開する基準を定めていない
わからない
付録 2-19 インシデント発生時の情報公開基準の策定
30
100 %
10.4
6.9
問 10.貴社ではウイルス感染やサイバー攻撃(不正アクセス、DoS 攻撃、標的型攻撃等)が発生し
た場合の被害額(逸失利益や対策費用等を含む)の推定を行っていますか。 [SA]
0%
20 %
40 %
60 %
80 %
日本(N=588)
55.3
31.0
米国(N=598)
56.2
28.3
行っている
13.8
15.6
7.4
25.7
66.9
欧州(N=540)
行っていない
100 %
わからない
付録 2-20 ウイルス感染・サイバー攻撃発生時の被害額推定
問 11(1). 貴社では、情報セキュリティ上のリスク(情報漏えい、サイバー攻撃等によるシステム
停止等)をリスク分析の対象とし、分析・評価を実施していますか。[SA]
0%
日本(N=588)
米国(N=598)
欧州(N=540)
20 %
40 %
60 %
65.0
80 %
13.9
68.9
12.4
18.4
65.9
22.6
情報セキュリティを対象に入れたリスク分析を実施している
リスク分析を実施しているが、情報セキュリティは対象に入れていない
リスク分析は実施していない
わからない
付録 2-21 リスク分析実施状況
31
100 %
8.7
5.7 7.0
6.7 4.8
問 11(2).(1)で「選択肢 2・3」を選んだ方に伺います。情報セキュリティ上のリスクについて分
析を実施していない理由に当てはまるものを全てお選びください。 [MA]
0%
20 %
経営層がリスクとして認識していないため
40 %
20.3
29.7
26.4
28.4
個人情報等の重要情報を扱っていないため
60 %
34.7
35.4
19.4
IT依存度が低く事業への影響が小さいため
28.5
24.1
32.3
27.8
36.7
インシデント発生時のインパクトを把握できないた
め
リスク評価できる人材が不足しているため
18.4
38.1
27.8
日本(N=155)
米国(N=144)
0.0
0.0
0.6
その他
欧州(N=158)
付録 2-22 情報セキュリティ上のリスク分析を実施しない理由
問 12(1). サイバー保険(情報漏えい等の損害賠償や不正アクセスの原因調査費用等を補償する
保険)に加入していますか。[SA]
0%
日本(N=588)
20 %
40 %
32.3
33.2
米国(N=598)
41.0
欧州(N=540)
41.7
加入している
60 %
100 %
34.5
40.6
43.7
知っているが加入していない
付録 2-23 サイバー保険加入状況
32
80 %
18.4
14.6
知らない
問 12(2). (1)で「加入している」を選択した方に伺います。サイバー保険に加入した理由につい
て、当てはまるものを全てお選びください。 [MA]
0%
20 %
40 %
60 %
80 %
64.5
66.7
リスク分析を行った結果、必要だと判断した
自社や他社におけるサイバー攻撃の被害経験を
踏まえて判断した
39.2
41.3
万一の場合に経済的な損失を抑えたいため
18.0
16.4
11.6
11.6
保険手配の慣習の一環として加入した
その他
84.2
55.8
45.8
政府や業界のガイドライン等で推奨されているた
め
100 %
61.6
59.6
27.4
日本(N=190)
24.9
米国(N=245)
0.0
0.0
0.0
欧州(N=225)
付録 2-24 サイバー保険に加入理由
問 12(3). (1)で「知っているが加入していない」を選択した方に伺います。サイバー保険に加入
していない理由について、当てはまるものを全てお選びください。 [MA]
0%
20 %
40 %
25.6
28.8
リスク分析を行った結果、不要だと判断した(自己
負担で対応可能と判断した)
38.1
22.1
17.3
21.6
商品(補償)内容がよくわからなかった
28.4
25.4
予算に見合わなかった
36.9
28.2
30.9
31.4
他の対策で十分(サイバー攻撃による被害を受
ける可能性は低い)と判断した
5.1
稟議が通らなかった(上長の理解が得られなかっ
た等)
19.8
16.9
9.2
法律・条例・規制等の強制力がないから
21.8
13.6
加入するかどうか検討中
その他
60 %
8.1
13.6
19.0
3.1
3.3
0.8
付録 2-25 サイバー保険未加入理由
33
日本(N=195)
米国(N=243)
欧州(N=236)
問 12(4). サイバー保険に限らず、貴社の事業リスク全般に関する企業向け保険について、加入
の判断を行うのはどちらですか。[SA]
0%
20 %
19.6
日本(N=588)
米国(N=598)
4.3
欧州(N=540)
9.1
4.4
14.4
40 %
13.9
10.9
18.5
60 %
21.9
23.4
9.8
総務部門
経営企画部門
リスク管理委員会等の部門横断的な委員会
案件ごとに担当部門が異なる
わからない
7.7
13.2
20.7
80 %
9.7
財務部門
リスク管理部門
取締役会
その他
付録 2-26 企業向け保険の加入時の判断部署
34
6.5 1.9 14.5
12.5
9.3
100 %
18.3
5.5 1.0
14.7
5.2 1.5 7.6
問 13.貴社が情報セキュリティ対策の必要性を感じたきっかけについて、当てはまるものを全て
お選びください。 [MA]
0%
20 %
40 %
35.5
37.2
国の政策(規制等)
49.8
33.5
46.0
35.6
業界基準の制定
54.6
63.2
55.6
重要情報(個人情報、営業秘密、技術情報等)の
保持
21.8
24.7
23.1
取引先からの要請
34.9
自社のインシデントの発生
23.2
21.7
他社のインシデントの発生
28.1
23.7
22.4
19.4
30.9
22.2
対外(取引先、顧客等のステークホルダー)ア
ピール
19.6
28.6
23.1
セキュリティベンダーからの勧奨
12.6
15.7
12.0
同業他社の対策状況
その他
80 %
38.3
26.6
28.5
法律の制定
60 %
0.7
0.3
0.4
4.1
2.3
3.3
対策の必要性を感じたことはない
付録 2-27 情報セキュリティ対策の必要性を感じたきっかけ
35
日本(N=588)
米国(N=598)
欧州(N=540)
問 14(1). 貴社では情報セキュリティ対策をどのような体制で行っていますか。[SA]
0%
20 %
40 %
60 %
80 %
53.9
日本(N=588)
37.2
57.5
米国(N=598)
31.1
47.8
欧州(N=540)
43.1
100 %
6.3
7.0
6.7
専門部署(担当者)がある
兼務だが担当者が任命されている
組織的には行っていない(各自の対応)
わからない
2.6
4.3
2.4
付録 2-28 情報セキュリティ対策の体制
N=1078
1.9%
0.7%
11.8%
25.4%
60.1%
専門部署(担当者)が
ある
兼務だが担当者が任
命されている
組織的には行っていな
い(各自の対応)
わからない
無回答
付録 2-29(参考)2014 年度情報セキュリティ事象被害状況調査結果(従業員数 300 人以上企業)
36
問 14(2)
.(1)で「選択肢 1 または 2」と回答した方に伺います。セキュリティ対策部門の人数を
専任・兼任別にお答えください。
0%
20 %
40 %
23.5
日本(N=536)
60 %
80 %
47.2
11.7
米国(N=530)
14.0
41.7
17.0
欧州(N=491)
13.0
42.8
17.0
0人
1-5人
6-10人
100 %
11-20人
9.4
10.2
7.8 0.4
13.6
12.2
3.5
12.4
21人-50人
2.6
51人以上
付録 2-30 セキュリティ対策部門の人数(専任者数)
0%
日本(N=536)
20 %
14.6
0人
60 %
47.1
23.2
米国(N=530)
欧州(N=491)
40 %
10.0
15.3
42.9
44.4
1-5人
11-20人
12.4
21人-50人
付録 2-31 セキュリティ対策部門の人数(兼任者数)
37
100 %
10.7
14.4
15.0
6-10人
80 %
7.7 4.6
8.3
5.9 5.3
11.7
6.5
51人以上
問 14(3). 情報セキュリティ業務担当者の量的な充足度及びスキル面等の質的な充足度について、
最も当てはまるものを 1 つお選びください。 [SA]
0%
20 %
40 %
27.6
日本(N=536)
60 %
80 %
53.7
57.9
米国(N=530)
12.3
27.9
62.1
欧州(N=491)
十分である
100 %
4.9
大幅に不足している
9.2
3.9 6.1
27.9
やや不足している
6.3
わからない
付録 2-32 情報セキュリティ業務担当者の量的充足度
0%
日本(N=536)
20 %
40 %
25.2
十分である
5.8
28.7
やや不足している
大幅に不足している
付録 2-33 情報セキュリティ業務担当者の質的充足度
38
100 %
15.1
30.4
61.9
欧州(N=491)
80 %
53.2
54.3
米国(N=530)
60 %
6.5
9.4
3.5 5.9
わからない
問 15.貴社ではどのような情報セキュリティ関連製品やソリューションを導入していますか。導
入済みのものについて、当てはまるものを全てお選びください。 [MA]
0%
20 %
40 %
60 %
80 %
94.9
88.8
86.1
ウイルス対策ソフト・サービス
48.3
41.3
48.0
標的型攻撃対策ツール(サンドボックス)
ウェブ閲覧のフィルタリングソフトウエア
53.5
64.6
68.1
63.4
70.7
60.2
メールフィルタリングソフトウェア(誤送信防止対策製
品、スパムメール対策製品を含む)
32.7
45.7
36.9
情報漏えい対策(DLP)製品
80.3
89.1
83.1
ファイアウォール
56.8
65.7
53.7
VPN
23.0
22.9
18.5
31.0
37.6
37.0
29.4
46.3
40.9
28.4
35.6
36.5
16.8
13.9
10.9
16.3
19.6
16.5
29.9
21.6
23.9
8.7
17.2
13.3
31.8
31.4
30.7
27.9
32.9
31.1
23.8
21.4
25.7
20.9
15.7
16.9
43.5
49.2
39.4
37.8
40.8
32.6
IDS/IPS
アプリケーションファイアウォール(WAFを含む)
アイデンティティ管理/ログオン管理/アクセス許可製
品
ワンタイムパスワード、ICカード、米国Bキーによる個人
認
生体認証(バイオメトリクス)
PKIシステムおよびそのコンポーネントト(電子証明書
の発行、管理、証明サービスを提供するシステム)
ログ情報の統合・分析、システムのセキュリティ状態の
総合的な管理機能(SIEM)
SOC(Security Operation Center)サービス
クライアントPCの設定・状態・動作・ネットワーク接続等
を管理する製品(検疫ネットワークを含む)
モバイルセキュリティ管理(MDM)
デバイス制御製品(USB、スマートフォン等各種デバイ
スの利用管理、書き込み制御機能)
シンクライアント
暗号化製品(ディスク、ファイル、メール等)
ソフトウエアライセンス管理/IT資産管理製品
その他
100 %
1.0
1.3
0.9
付録 2-34 情報セキュリティ関連製品・ソリューションの導入状況
39
日本
(N=588)
米国
(N=598)
欧州
(N=540)
問 16.情報セキュリティ関連被害を防止するために、貴社ではどのような組織面・運用面の対策を
実施していますか。実施している対策について、当てはまるものを全てお選びください。 [MA]
0%
20 %
40 %
60 %
80 %
71.9
53.2
50.4
フロアや施設への入退出管理
71.1
40.1
41.9
機器や記録媒体の持込み・持出しの制限
一般ユーザアカウントの管理ルールの策定(パス
ワードの設定ルール、退職者管理等)
Webサイト管理者権限アカウントの管理ルールの
策定
その他の管理者権限アカウントの管理ルールの
策定
一般ユーザのプログラムインストールの制限(exe
ファイルの実行禁止等)
57.5
52.0
53.7
56.4
52.6
73.3
41.5
50.0
47.2
50.7
47.7
45.6
64.1
65.7
56.1
58.5
重要なシステム・データのバックアップ
42.0
36.5
ハードディスク等の廃棄時の破砕/溶融
外部専門家によるセキュリティ監視サービスの活
用
ログやファイル情報に基づくWebコンテンツの改
ざん検知
定期的なWebコンテンツのセキュリティ診断サー
ビス(脆弱性調査)の活用
24.3
34.6
27.6
32.0
28.1
27.2
31.3
37.5
31.1
34.9
30.0
IT資産構成や設定の文書化
セキュリティポリシーの策定
事業継続計画(BCP)の策定
26.3
情報セキュリティ監査(内部監査)
42.6
38.6
34.9
37.4
36.4
36.0
情報セキュリティ監査(外部監査)
27.0
29.4
21.4
18.5
29.3
30.3
23.3
情報セキュリティマネジメントシステム(ISMS)の
認証取得
セキュリティ人材の育成・採用
29.3
24.4
役員・従業員等に対するセキュリティ教育の実施
2.0
1.3
1.7
その他
付録 2-35 組織面・運用面の対策実施状況
40
49.3
54.4
50.7
52.6
47.5
日本(N=588)
38.4
米国(N=598)
欧州(N=540)
問 17.貴社では、インシデント対応を担当する組織を設置していますか。 [SA]
0%
20 %
40 %
30.3
28.0
48.1
23.9
欧州(N=540)
100 %
31.8
43.8
25.9
米国(N=598)
80 %
48.0
20.2
日本(N=588)
60 %
CSIRTを設置している
CSIRTという名称ではないが、インシデント対応を担当する組織が決まっている
インシデント対応を担当する組織は決まっていない
付録 2-36 インシデント対応担当組織の設置状況
問 18.CSIRT 等(インシデント対応を担当する CSIRT 等の組織)を設置してからの期間に当てはま
るものを 1 つお選びください。 [SA]
0%
20 %
日本(N=401)
5.5
米国(N=417)
3.6
欧州(N=389)
8.2
1年未満
40 %
20.4
60 %
31.2
26.1
80 %
28.4
38.4
39.3
1年~2年
3年~5年
14.5
19.9
30.8
6年以上
付録 2-37 CSIRT 等の設置期間
41
100 %
12.0
15.4
わからない
6.2
問 19.CSIRT 等の組織内の位置づけとして、最も近いものを 1 つお選びください。 [SA]
0%
20 %
13.2
日本(N=401)
40 %
26.7
21.6
米国(N=417)
80 %
26.6
1.7
2.42.4
45.3
31.4
経営層直属の独立組織
総務部門内
その他
100 %
2.0 0.7
5.0
0.7
51.6
23.4
欧州(N=389)
60 %
2.3 1.3
3.3 0.8
37.5
経営企画・リスク管理部門内
品質管理部門内
情報システム部門内
事業部門内
付録 2-38 CSIRT 等の組織内の位置づけ
問 20(1). 貴社の CSIRT 等について、設立時と比較して体制は増強されていますか。[SA]
0%
20 %
40 %
48.9
日本(N=401)
60 %
3.2
7.0
51.2
増強されている
10.3
縮小している
変わっていない
付録 2-39 CSIRT 等の体制増強状況
42
100 %
40.6
64.3
米国(N=417)
欧州(N=389)
80 %
7.2
21.8
33.2
7.0
5.4
わからない
問 20(2). (1)で増強されているとお答えになった方に伺います。体制が増強された理由として、
当てはまるものを全てお選びください。 [MA]
0%
20 %
40 %
51.9
54.3
当初想定していたよりも活動が多いため
80 %
68.4
65.3
69.0
60.8
活動の重要性が経営層に理解されたため
27.6
31.7
26.1
活動実績に対する社内の評価が高いため
11.2
23.1
15.1
適性の高い人員を確保できたため
その他
60 %
1.0
0.0
0.0
日本(N=196)
米国(N=268)
欧州(N=199)
付録 2-40CSIRT 等の体制が増強された理由
43
問 21.貴社の CSIRT 等が持つ機能について、当てはまるものを全てお選びください。 [MA]
0%
20 %
40 %
60 %
55.9
53.5
情報セキュリティ関連情報の収集・分析
72.6
50.6
51.8
49.6
脆弱性情報ハンドリング
66.6
63.8
60.9
セキュリティ監査・評価
セキュリティツールの管理・運用
55.4
51.3
49.9
情報セキュリティ対策に関する教育、啓発
55.1
49.4
44.7
42.4
39.1
44.2
攻撃等に関する注意喚起
33.4
39.3
34.7
訓練・演習の実施
31.4
33.8
27.0
社外組織との連携窓口
44.4
49.2
50.6
インシデントの検知
38.2
41.7
35.2
社内外からのインシデント報告窓口
41.6
46.3
42.2
インシデントに対する初動対応
40.6
48.9
45.2
インシデントの調査及び分析
29.9
26.6
23.7
外部機関や関係者への連絡・調整
26.4
26.1
22.1
インシデント後の対外公表、法的対応
28.7
32.1
31.4
再発防止策の策定
わからない
80 %
4.5
6.2
3.6
付録 2-41 CSIRT 等が持つ機能
44
日本(N=401)
米国(N=417)
欧州(N=389)
問 22(1). 貴社の CSIRT 等の有効性の全体評価として、当てはまるものを 1 つお選びください。
[SA]
0.0
日本(N=401)
米国(N=417)
20.0
40.0
14.0
60.0
80.0
67.1
42.2
48.8
7.0
1.2
4.3
1.5
6.7 1.5
41.4
期待したレベルを満たしている
あまり期待したレベルを満たしていない
まだ評価できない
0.5
5.5
13.0
45.3
欧州(N=389)
100.0
ある程度期待したレベルを満たしている
全く期待したレベルを満たしていない
付録 2-42 CSIRT 等の有効性の全体評価
問 22(2). (1)の全体評価に関して、CSIRT 等の有効性を左右する要素として、特に重要なものを
3 つまでお選びください。 [MA]
0%
20 %
40 %
60 %
56.8
54.2
能力・スキルのある人員の確保
37.6
39.8
十分な予算の確保
54.4
20.0
25.2
28.0
十分な活動実績
26.7
32.6
28.0
社内における機能の認知
13.5
社内の既存部門との連携
24.2
23.7
10.0
12.2
10.5
外部関係機関との連携
10.2
8.4
11.1
CSIRTコミュニティにおける積極的な情報共有
その他
73.3
45.6
55.2
41.9
適切な対応手順の整備・見直し
事案から得られた知見に基づく改善
80 %
4.7
7.9
6.9
0.0
0.2
0.5
付録 2-43 CSIRT 等の有効性を左右する要素
45
日本(N=401)
米国(N=417)
欧州(N=389)
問 23.CSIRT 等がインシデント対応にあたって有する権限(システム停止、ネットワーク遮断、調
査等)として当てはまるものを 1 つお選びください。 [SA]
0%
10 %
20 %
30 %
40 %
50 %
45.9
日本(N=401)
80 %
90 %
10.5
43.2
39.3
欧州(N=389)
70 %
37.9
42.4
米国(N=417)
60 %
100 %
5.7
11.8 2.6
42.7
16.5
1.5
インシデント対応の判断・意思決定において全面的な権限を持つ
インシデント対応の判断・意思決定において一部の権限を持つ
特定の条件を満たした際に、既存の判断・意思決定者から権限が委譲される
インシデント対応の判断・意思決定を行う権限は持たず、支援のみ行う
付録 2-44 インシデント対応時に CSIRT 等が有する権限
問 24(1). 貴社では、直近の会計年度に、ウイルス感染やサイバー攻撃(不正アクセス、DoS 攻撃、
標的型攻撃等)
、内部者(委託者等を含む)による不正の被害が発生しましたか。 [SA]
0%
日本(N=588)
20 %
23.9
欧州(N=540)
24.8
60 %
80 %
35.7
28.7
27.9
米国(N=598)
発生した
40 %
42.3
22.1
38.5
26.7
攻撃はあったが被害には至らなかった
発生していない
付録 2-45 ウイルス感染の発生状況
46
100 %
7.7
11.7
10.0
わからない
N=1078
3.0%
16.6%
0.5%
ウイルスに感染した
21.8%
ウイルスを発見した
が、感染には至らな
かった
ウイルスをまったく発見
しなかった
わからない
58.2%
無回答
付録 2-46(参考)2014 年度情報セキュリティ事象被害状況調査結果(従業員数 300 人以上企業)
0%
20 %
日本(N=588)
9.2
米国(N=598)
11.2
欧州(N=540)
10.4
発生した
40 %
60 %
80 %
52.2
27.9
51.3
26.3
攻撃はあったが被害には至らなかった
発生していない
付録 2-47 サイバー攻撃の発生状況
47
10.7
13.7
54.2
20.9
100 %
12.0
わからない
N=1078
サイバー攻撃で被害に
あった
0.7% 4.8%
サイバー攻撃を受けた
が、被害には至らな
かった
サイバー攻撃をまったく
受けなかった
18.2%
18.6%
わからない
57.7%
無回答
付録 2-48(参考)2014 年度情報セキュリティ事象被害状況調査結果(従業員数 300 人以上企業)
0%
日本(N=588)
20 %
7.3
40 %
10.0
80 %
68.9
米国(N=598)
14.5
15.1
欧州(N=540)
14.6
15.6
発生した
60 %
13.8
50.8
19.6
55.2
攻撃はあったが被害には至らなかった
14.6
発生していない
付録 2-49 内部不正の発生状況
48
100 %
わからない
問 24(2). (1)でウイルス感染が「発生した」または「攻撃はあったが被害には至らなかった」と
回答した方に伺います。感染あるいは発見したウイルスについて、想定される侵入経路に当ては
まるものを全てお選びください。 [MA]
0%
20 %
40 %
60 %
42.5
47.1
インターネット接続(ホームページ閲覧など)
28.5
自らダウンロードしたファイル
40.6
8.4
P2P(Peer to Peer)などのファイル共有ソフト
60.1
53.8
25.8
19.8
25.5
18.5
29.1
USBメモリ等の外部記録媒体
8.7
9.8
10.8
持ち込みクライアント(パソコン)
わからない
100 %
81.4
62.5
62.2
電子メール
その他
80 %
日本
(N=333)
0.0
0.0
0.0
米国
(N=275)
1.5
2.9
3.6
欧州
(N=278)
付録 2-50 想定されるウイルスの侵入経路の想定
0%
N=862
20%
40%
インターネット接続
(ホームページ閲覧など)
29.4
0.6
40.8
USBメモリ等の外部記憶媒体
持ち込みクライアント(パソコン)
2.0
その他
0.7
無回答
100%
69.3
自らダウンロードしたファイル
わからな
80%
60.8
電子メール
P2P(Peer to Peer)などの
ファイル共有ソフト
60%
2.2
0.5
付録 2-51(参考)2014 年度情報セキュリティ事象被害状況調査結果(従業員数 300 人以上企業)
49
問 25(1). Q24(1)でウイルス感染またはサイバー攻撃または内部者による不正の被害が「発生し
た」と回答した方に伺います。貴社が受けた被害内容に当てはまるものを全てお選びください。
[MA]
0%
20 %
40 %
24.0
27.2
25.9
29.1
28.9
21.4
23.6
23.4
顧客情報の漏えい
業務情報(営業秘密を除く)の漏えい
営業秘密の漏えい
17.3
Webサイトの改ざん
30.4
35.6
34.3
24.5
30.4
25.4
Webサイトのサービス機能の低下・停止
14.3
17.3
サイバー攻撃の踏み台としてWebサイトが利用さ
れた
10.2
業務サーバの内容の改ざん・破壊
業務サーバのサービス機能の低下・停止
13.4
21.9
17.3
19.4
18.4
17.8
19.9
18.3
20.9
業務サーバ、Webサーバのウイルス感染
その他
1.5
4.2
10.7
日本(N=196)
米国(N=191)
欧州(N=201)
付録 2-52 被害内容
問 25(2). 貴社が受けた攻撃の手口に当てはまるものを全てお選びください。 [MA]
0%
20 %
ID・パスワードをだまし取られてユーザになりす
まされたことによる不正アクセス
脆弱性(セキュリティパッチの未適用)を突かれ
たことによる不正アクセス
40 %
23.9
30.7
24.4
42.3
SQLインジェクション
17.9
28.2
22.6
DoS(DDoS)攻撃
23.9
28.8
20.1
14.7
14.6
標的型攻撃
その他
60 %
25.0
1.1
4.9
1.2
12.9
11.0
手口はわからない
付録 2-53 攻撃手口
50
21.2
47.3
52.4
日本
(N=184)
米国
(N=163)
欧州
(N=164)
問 25(3). ウイルス感染やサイバー攻撃、内部者による不正等の発生による被害額に関して、①
取引先や顧客等に対する損害賠償額②新たに購入(レンタル・リース含む)した代替機器の費用
③システム構築等で外部に発注した業務の費用④セキュリティサービスベンダーやコンサルタン
ト等に発注した業務の費用⑤その他費用(問い合わせ窓口の設置、謝罪広告の掲載等)の各項目
について、もっとも近いものを 1 つお選びください。 [SA]
0%
20 %
40 %
60 %
80 %
1.5 1.00.50.5 1.5
7.7 3.13.1
11.7
0.0
69.4
日本(N=196)
38.7
米国(N=191)
6.8 3.14.2 5.2 6.8
48.8
欧州(N=201)
発生していない
100万円~150万円未満
400万円~600万円未満
1,000万円以上
100 %
1.6
7.3 4.22.1
19.9
2.0 1.5
7.0 5.04.0 4.0 6.0 2.0 10.9
9.0
50万円未満
150万円~200万円未満
600万円~800万円未満
不明
50万円~100万円未満
200万円~400万円未満
800万円~1,000万円未満
付録 2-54 ウイルス感染やサイバー攻撃、内部者による不正等の発生による被害額
【①取引先や顧客等に対する損害賠償額】
0%
20 %
欧州(N=201)
60 %
27.2
31.8
発生していない
100万円~150万円未満
400万円~600万円未満
1,000万円以上
9.9
80 %
100 %
2.01.01.0 0.51.0
5.1 11.7
8.2 4.6 5.1
59.7
日本(N=196)
米国(N=191)
40 %
6.8 5.2 7.3
17.9
5.8
10.0
50万円未満
150万円~200万円未満
600万円~800万円未満
不明
7.9
8.0
7.3
7.5
1.6
3.1
17.8
1.5 1.0
10.0
6.5 4.0 2.0
50万円~100万円未満
200万円~400万円未満
800万円~1,000万円未満
付録 2-55 ウイルス感染やサイバー攻撃、内部者による不正等の発生による被害額
【②新たに購入(レンタル・リース含む)した代替機器の費用】
51
0%
20 %
40 %
60 %
54.6
日本(N=196)
米国(N=191)
29.8
欧州(N=201)
31.3
9.9
14.4
7.3
6.8 3.7 6.83.1 3.11.6
10.4
9.5
11.2
20.4
1.0 1.5
8.5 4.0 7.0 2.5 10.0
50万円未満
150万円~200万円未満
600万円~800万円未満
不明
発生していない
100万円~150万円未満
400万円~600万円未満
1,000万円以上
100 %
0.5 0.5
5.6 3.14.1 3.12.6 5.6
9.2
7.3
80 %
50万円~100万円未満
200万円~400万円未満
800万円~1,000万円未満
付録 2-56 ウイルス感染やサイバー攻撃、内部者による不正等の発生による被害額
【③システム構築等で外部に発注した業務の費用】
0%
20 %
40 %
60 %
52.6
日本(N=196)
米国(N=191)
27.2
欧州(N=201)
28.4
発生していない
100万円~150万円未満
400万円~600万円未満
1,000万円以上
6.1
7.9
7.3
12.9
9.2
80 %
4.6
0.51.0
3.6
3.6 2.0 5.6
6.3 6.3 6.8 4.7 5.8 5.2 2.6
9.5
12.9
50万円未満
150万円~200万円未満
600万円~800万円未満
不明
9.0
100 %
11.2
19.9
0.5
6.0 5.5 3.02.5 10.0
50万円~100万円未満
200万円~400万円未満
800万円~1,000万円未満
付録 2-57 ウイルス感染やサイバー攻撃、内部者による不正等の発生による被害額
【④セキュリティサービスベンダーやコンサルタント等に発注した業務の費用】
52
0.0
20.0
40.0
60.0
57.1
日本(N=196)
26.2
米国(N=191)
35.3
欧州(N=201)
発生していない
100万円~150万円未満
400万円~600万円未満
1,000万円以上
80.0
1.0 0.5
5.6 2.63.13.62.0 3.6
10.2
13.1
3.7 4.7 6.3
10.4
8.5
100.0
7.3
8.9 2.13.7 5.2
6.5
8.5
6.5
50万円未満
150万円~200万円未満
600万円~800万円未満
不明
10.7
18.8
1.0
6.5 3.5 2.0 11.4
50万円~100万円未満
200万円~400万円未満
800万円~1,000万円未満
付録 2-58 ウイルス感染やサイバー攻撃、内部者による不正等の発生による被害額
【⑤その他費用(問い合わせ窓口の設置、謝罪広告の掲載等)】
問 26.貴社の情報セキュリティ対策を進めるうえでの課題点について、当てはまるものを全てお
選びください。 [MA]
0%
20 %
40 %
28.9
16.4
20.6
経営層のリスク感度が低い
経営層にITやセキュリティの重要性を理解しても
らえない
17.7
18.0
26.2
33.4
28.9
予算が不足している
31.4
27.6
リスクの見える化が困難/不十分
インシデント発生に備えた準備が不十分
その他
16.1
9.4
13.7
11.9
8.5
22.1
21.4
21.3
17.7
2.6
6.9
5.9
付録 2-59 情報セキュリティ対策を進めるうえでの課題点
53
47.8
24.5
26.9
23.7
セキュリティ対策が場当たり的になっている
担当者の専門知識が不足している
39.6
21.3
19.7
19.4
情報セキュリティの取組が企業価値の向上につ
ながると認識されていない
経営とセキュリティの両方を理解している人材が
いない
60 %
日本(N=588)
米国(N=598)
欧州(N=540)
問 27(1)
.
(日本のみ)貴社では情報セキュリティマネジメントシステム(ISMS)認証を取得して
いますか。当てはまるものを 1 つお選びください。 [SA]
N=588
取得している
31.1%
現在、取得に向けた準備を行って
いる
39.1%
現在、取得に向けた検討を行って
いる
10.4%
19.4%
取得していない
付録 2-60 情報セキュリティマネジメントシステム(ISMS)認証取得状況
問 27(2)
.
(日本のみ)(1)で「選択肢 1・2・3」を選択した方に伺います。ISMS を取得する目的
について、当てはまるものを全てお選びください。 [MA]
0%
N=588
20%
40%
60%
80%
81.5
情報セキュリティ管理体制の強化
70.9
従業員の情報セキュリティに対する意識改善
37.0
入札、受注の条件、取引先の要請
45.9
顧客からの信頼確保
37.3
企業イメージの向上
16.8
同業他社との差別化
その他
0.5
付録 2-61 情報セキュリティマネジメントシステム(ISMS)認証取得目的
54
100%
問 27(3)
.
(日本のみ)(1)で「取得している」を選択した方に伺います。ISMS を取得による効果
について、当てはまるものを全てお選びください。 [MA]
0%
N=588
20%
40%
60%
63.0
従業員の情報セキュリティ意識が向上した
33.9
入札権利の取得や受注につながった
41.7
顧客の信頼確保につながった
37.0
企業イメージの向上につながった
同業他社との差別化につながり、競争優位性を確保し
た
その他
100%
68.3
情報セキュリティ管理体制の強化につながった
取得効果は特にない
80%
13.9
4.8
0.9
付録 2-62 情報セキュリティマネジメントシステム(ISMS)認証取得効果
問 28.(日本のみ)貴社で情報セキュリティ対策を検討する際に参照・利用しているガイドライ
ン・標準について、それそれの有効性を「非常に有効」「ある程度有効」「それほど有効でない」
「まったく有効でない」から 1 つずつお選びください。参照・利用していない場合は「参照・利
55
用していない」をお選びください。 [SA]
0%
N=588
20%
40%
ISO/IEC 27000シリーズ(情報セキュリティマネジメントシ
ステムに関する国際規格)
19.4
49.0
情報セキュリティ管理基準(経済産業省)
19.7
49.5
金融機関等コンピュータシステムの安全対策基準
(FISC)
政府機関統一基準(NISC)
13.9
11.2
40.5
38.8
60%
80%
1.4
15.5
1.2
16.0
13.6
2.4
21.1
22.1
14.8
PCI DSS
10.4
38.9
23.8
サイバーセキュリティフレームワーク(NIST)
11.2
39.1
24.0
JIS Q15001(個人情報保護マネジメントシステム)
14.3
組織における内部不正防止ガイドライン(IPA)
12.9
クラウドサービス利用のための情報セキュリティマネジ
メントガイドライン(経済産業省)
クラウドサービス提供における情報セキュリティ対策ガ
イドライン(総務省)
SSL/TLS暗号設定ガイドライン(IPA)
13.3
22.4
4.8
21.3
20.2
12.8
39.8
40.8
36.6
24.0
26.0
10.0
36.6
23.1
まったく有効でない
参照・利用していない
3.1
23.1
35.7
ある程度有効
3.7
3.9
3.2
3.6
それほど有効でない
付録 2-63 参照・利用しているガイドライン
14.6
18.5
18.7
3.1
21.1
9.4
2.2
4.8
23.3
23.8
16.8
2.9
24.1
45.6
非常に有効
56
17.2
23.5
3.2
50.0
41.5
10.7
19.0
3.4
3.1
11.7
CSIRTマテリアル(JPCERT/CC)
CSMS(IEC 62443-2-1)(制御システムセキュリティ)
47.4
43.9
12.4
CSIRTスタータキット(日本シーサート協議会)
48.6
10.5
ISO/IEC 15408(CC:製品・システムの情報セキュリティ
評価基準)
情報セキュリティ早期警戒パートナーシップガイドライ
ン(IPA)
20.9
2.7
12.4
14.5
3.7
25.3
情報セキュリティ対策ベンチマーク(IPA)
個人情報の保護に関するガイドライン(各省庁)
100%
17.0
19.7
20.6
25.0
25.7
26.7
問 29.
(日本のみ)貴社は政府が指定する次の「重要インフラ」分野の事業者に該当しますか。当
てはまるものを 1 つお選びください。 [SA]
N=588
23.8%
52.6%
9.0%
0.7%
0.3%
1.7%
0.7%
0.7%
2.9%
情報通信
鉄道
医療
化学
政府・行政サービス
0.3%
3.6%
1.9%
金融
電力
水道
クレジット
該当しない
1.5%
0.3%
航空
ガス
物流
石油
付録 2-64 重要インフラ事業者
問 30(1)
.
(日本・重要インフラ事業者のみ)貴社の制御システムについて、過去 5 年のうちに、
サイバー攻撃や悪意のあるソフトウェアを原因とするインシデントは発生しましたか。当てはま
るものを 1 つお選びください。 [SA]
N=279
4.3%
インシデントが発生した
12.5%
26.2%
インシデントは発生していない
制御システムは保有していない
57.0%
わからない
付録 2-65 制御システムにおける過去 5 年間のインシデント発生状況
57
問 30(2)
.
(日本・重要インフラ事業者のみ)(1)で「インシデントが発生した」を選択した方に
伺います。インシデントの発生により、貴社の制御システムが停止した期間(複数ある場合は最
長の期間)に最も近いものを 1 つお選びください。 [SA]
1.4%
N=73
1.4%
2.7%
1.4%
停止していない
4時間未満
4~8時間未満
12.3%
8~12時間未満
8.2%
12~24時間未満
53.4%
24時間~3日未満
19.2%
3~6日未満
わからない
付録 2-66 インシデント発生時のシステム停止期間
問 30(3)
.
(日本・重要インフラ事業者のみ)(2)で「選択肢 2~8」を選択した方に伺います。貴
社の制御システムが停止したことによる被害額(逸失利益、復旧費用等)に最も近いものを 1 つ
お選びください。 [SA]
N=33
500万円未満
6.1%
500万円~1,000万円未満
9.1%
1,000万円~3,000万円未満
27.3%
9.1%
3,000万円~5,000万円未満
9.1%
3.0%
12.1%
24.2%
5,000万円~1億円未満
1億円~10億円未満
10億円以上
わからない
付録 2-67 制御システム停止による被害額
58