2014 年1 月 - IPA2.1. 2012 年の情報セキュリティに関する脅威・被害の傾向...
Transcript of 2014 年1 月 - IPA2.1. 2012 年の情報セキュリティに関する脅威・被害の傾向...
-
2013 年度
情報セキュリティ事象被害状況調査
-報告書-
2014 年 1 月
-
i
-目 次-
1. 調査概要 .......................................................................................................................... 4 1.1. 調査目的 ................................................................................................................... 4 1.2. 調査対象 ................................................................................................................... 4 1.3. 調査期間 ................................................................................................................... 5 1.4. 調査方法 ................................................................................................................... 5 1.5. 回収結果 ................................................................................................................... 5 1.6. 調査項目 ................................................................................................................... 6
2. 調査項目の考え方............................................................................................................ 6 2.1. 2012 年の情報セキュリティに関する脅威・被害の傾向 ........................................ 6 2.2. アンケート調査項目への取り込み ........................................................................... 7 2.3. 過年度調査結果の記法 ........................................................................................... 10
3. 調査結果 ......................................................................................................................... 11 3.1. 回答企業の概要 ....................................................................................................... 11
3.1.1. 業種 .................................................................................................................. 11 3.1.2. 総従業員数 ...................................................................................................... 13 3.1.3. IT 関連の支出総額 .......................................................................................... 14 3.1.4. 電子商取引(EC)業務 .................................................................................. 16 3.1.5. インターネットの利用 .................................................................................... 17 3.1.6. その他の回答企業情報 .................................................................................... 19
3.2. 情報セキュリティ体制の現状 ................................................................................ 20 3.2.1. 情報セキュリティ対策に取り組む基本的な方針の公開 ................................. 20 3.2.2. CISO の有無 ................................................................................................... 21 3.2.3. 情報セキュリティ対策管理の社内体制 .......................................................... 23 3.2.4. 情報セキュリティに関する事故や非常事態への対応体制 ............................. 32 3.2.5. 情報セキュリティ対策教育の実施状況 .......................................................... 33 3.2.6. 情報セキュリティ対策の必要性を感じたきっかけ ........................................ 38
3.3. 情報セキュリティ対策の現状 ................................................................................ 40 3.3.1. 業務におけるスマートフォンやタブレット端末の利用の有無 ...................... 40 3.3.2. 自社の資産や備品でない PC や外部記録媒体の社内ネットワーク接続について ........................................................................................................................ 49 3.3.3. クラウドコンピューティングサービスの利用 ............................................... 51 3.3.4. 情報セキュリティ関連製品やソリューションの導入 .................................... 53 3.3.5. 情報セキュリティ被害防止のための組織・運用面の対策 ............................. 55
-
ii
3.3.6. セキュリティ関連製品・ソリューションの導入や、実施している組織面・運用面の対策費用 ............................................................................................................. 57 3.3.7. セキュリティパッチの適用 ............................................................................ 60 3.3.8. セキュリティパッチを導入しない理由 .......................................................... 62 3.3.9. クライアント(パソコン)へのセキュリティパッチ適用の有無 .................. 63
3.4. コンピュータウイルスによる被害状況 ................................................................. 65 3.4.1. コンピュータウイルス遭遇(感染または発見)経験 .................................... 65 3.4.2. コンピュータウイルスを発見した方法 .......................................................... 67 3.4.3. 感染あるいは発見されたコンピュータウイルスの侵入経路 ......................... 68 3.4.4. ウイルスの感染件数 ....................................................................................... 69 3.4.5. ウイルスに感染したパソコン・サーバ・スマートデバイスの台数 .............. 70 3.4.6. ウイルスの直接的な被害 ................................................................................ 73
3.5. サイバー攻撃(ウイルス以外)について .............................................................. 74 3.5.1. サイバー攻撃との遭遇経験 ............................................................................ 74 3.5.2. サイバー攻撃による被害 ................................................................................ 75 3.5.3. サイバー攻撃の手口 ....................................................................................... 77 3.5.4. 標的型攻撃による被害状況 ............................................................................ 78 3.5.5. 標的型攻撃の具体的な手段 ............................................................................ 79 3.5.6. 標的型攻撃と思われる電子メールの件数 ...................................................... 80
3.6. ウイルス感染やサイバー攻撃の被害により生じた直接的損失 ............................. 81 3.6.1. 電子商取引(EC)が停止した期間 ................................................................ 81 3.6.2. EC サーバ以外の業務遂行上重要なサーバ停止の影響 .................................. 82 3.6.3. 情報管理部門が行った復旧作業人日 .............................................................. 84 3.6.4. システム復旧に関して新たに購入した代替機器の費用 ................................. 85 3.6.5. システム復旧に関して外部に発注した業務の費用 ........................................ 86 3.6.6. 復旧作業以外に発生した追加データ処理作業人日 ........................................ 87 3.6.7. 復旧作業以外に発生した対応作業 ................................................................. 88 3.6.8. ウイルス感染やサイバー攻撃による間接的被害の有無 ................................. 94 3.6.9. 復旧作業以外の対応による外部発注費用 ...................................................... 95 3.6.10. 被害内容や対応状況に関する情報の外部公開 ........................................... 96 3.6.11. 公開した情報の掲載 .................................................................................... 97
3.7. 内部者の不正による被害状況 ................................................................................ 98 3.7.1. 内部者の不正による被害経験 ......................................................................... 98 3.7.2. セキュリティインシデントの原因となった従業員への措置 ......................... 99
4. 考察 ............................................................................................................................. 100 5. 付録 ............................................................................................................................. 102
-
iii
5.1. 総売上高(単体) ................................................................................................ 102 5.2. 経常利益(単体) ................................................................................................ 104 5.3. 規程年間営業日数および1日の営業時間 ............................................................ 106 5.4. 上場の有無 ........................................................................................................... 108 5.5. 海外拠点の有無 .................................................................................................... 109 5.6. 利用しているサーバの台数 ................................................................................... 110
5.6.1. 利用サーバの有無 .......................................................................................... 110 5.6.2. サーバの保有台数 .......................................................................................... 111 5.6.3. 文書管理等特定利用目的以外のサーバ保有の有無 ....................................... 112 5.6.4. 自社設置のウェブアプリケーションサーバの有無 ....................................... 113
5.7. 利用しているクライアント(パソコン)の台数 .................................................. 114
更新履歴 日付 頁番号 修正内容
2014 年 1 月 29 日 P30 P63
本文の数値が誤っていたため、図と同じ数値に訂正
2014 年 2 月 18 日 P63 図 3.3-43:300 人以上企業の数値修正
-
4
1. 調査概要
1.1. 調査目的
近年、組織が保有する情報システムや情報資産をターゲットとしたサイバー攻撃が巧妙
化してきており、特定の組織を狙い撃ちする「標的型攻撃」も流行している。また、ホー
ムページを改ざんすることにより、そのページを閲覧したコンピュータユーザがウイルス
感染するといった被害も発生している。 このように、コンピュータユーザの情報システム等は常に危険にさらされているため、
情報セキュリティ事象に関する被害状況を調査するとともに、被害が発生した際の原因及
び有効な情報セキュリティ対策を含めた実態を把握し、コンピュータユーザに対して適切
な情報セキュリティ対策の実施を促す必要がある。 本調査は情報セキュリティ事象に関して1989年度より継続的に被害状況を調査してきた
取り組みの一環として、最新の動向を反映した上で実施するものであり、より有用な情報
セキュリティ対策に関する情報提供を行うことを目的とする。 1.2. 調査対象
本アンケート調査は、経済産業省の「情報処理実態調査」の発送先リスト及び企業デー
タベースから業種別・従業員数別に約 14,000 件の企業を無作為に抽出した。調査対象となる業種や従業員規模については、統計上の妥当性を確保するため「平成 24 年経済センサス」の日本標準産業分類に基づく従業員数規模毎・業種毎の企業数分布に則って、層別抽出(比
例割当法)を行った。従業員数規模は、300 人以上と 300 人未満で区分したが、本調査はIT を活用している企業が対象となることから、2011 年度調査と同様に小規模事業者(20人以下の企業)を除外した分布を用いた。
なお、本調査では従業員数 300 人以上の企業を大企業または「300 人以上企業」、300 人未満の企業を中小企業または「300 人未満企業」と呼ぶ。
従業員規模・業種毎の調査対象は表 1.2-1 の通りである。
-
5
表 1.2-1 従業員規模・業種毎の調査対象 業種区分 300 人以上企業 300 人未満企業
農林漁業・同協同組合、鉱業 14 53
建設業 265 650
製造業 2,064 1,939
電気・ガス・熱供給・水道業 22 8
情報通信業 382 242
運輸業、郵便業 548 617
卸売業、小売業 1,547 1,527
金融業・保険業 158 33
その他の非製造業 1,841 1,630
教育、学習支援業 78 84
医療、福祉 83 216
(小計) 7,002 6,999
(合計) 14,001
1.3. 調査期間
調査実施期間:2013 年 8 月~10 月 調査対象期間:2012 年 4 月~2013 月 3 月
1.4. 調査方法
基本的に郵送調査法による。但し、アンケートの回収率を高めるため、ウェブと電子メ
ールによる回答を併用した。ウェブによる回答は、ウェブサイトにアンケートを掲載し、
同ウェブサイトから回収した。また、電子メールによる回答は、IPA のウェブサイトに調査票を掲載し、電子メールによって回収した。 1.5. 回収結果
発送数 14,001 件に対して 1,881 件の有効回答があり、回収率は 13.4%であった。大企業ならびに中小企業の内訳は表 1.5-1 のとおりである。
表 1.5-1 アンケート発送数・回収数 発送数 回収数 回収率 全体 14,001 1,881 13.4% 300 人以上企業 7,002 894 12.8% 300 人未満企業 6,999 987 14.1%
-
6
1.6. 調査項目
主な調査項目は下記のとおりである。 (1) 回答企業の概要 (2) 情報セキュリティ体制・対策の現状 (3) コンピュータウイルスによる被害状況 (4) サイバー攻撃による被害状況 (5) 被害により生じた損失
2. 調査項目の考え方
2012 年度の情報セキュリティに関する脅威や被害の傾向を把握するために文献調査を実施し、その結果を基にアンケート調査項目への取り込みを実施した。以下にこれらの調査
結果を報告する。 2.1. 2012 年の情報セキュリティに関する脅威・被害の傾向
情報処理推進機構(IPA)が 2013 年 3 月に取りまとめた「2013 年版 10 大脅威 身近に忍び寄る脅威」1においては、近年の情報セキュリティを取り巻く情報システムの変化を指
摘している。 従来からの攻撃意図は、金銭やいたずら目的であったが、近年顕在化した攻撃意図は、
抗議・報復目的や諜報・スパイ目的などであり、政治・文化的で対立する組織へ攻撃を行
うハクティビストや諜報活動を目的とした攻撃への広がりも考えられる。 このような組織的な攻撃の背景には、インターネットが経済基盤や生活基盤に成長した
ことから、政治的または文化的な情報も収集できる環境になったこと、及びインターネッ
トによって抗議や報復等を意図した者が繋がることで、脅威のグローバル化が進んだこと
が考えられる。 情報セキュリティに関する具体的な脅威・被害としては、政府機関や宇宙航空産業への
サイバー攻撃、遠隔操作ウイルス事件などの様々なセキュリティ事故や事件がメディアで
取り上げられ、社会へ大きなインパクトを与えた。このように 2012 年は、インターネットが経済基盤及び生活基盤へ成長したことに伴って、新たな脅威が顕在化した年であった。
次項に具体的な情報セキュリティの脅威や被害に基づき、アンケート調査項目への取り
込みを検討した結果を報告する。
1 独立行政法人情報処理推進機構「2013 年版 10 大脅威 身近に忍び寄る脅威」を公開 http://www.ipa.go.jp/about/press/20130312_2.html
http://www.ipa.go.jp/about/press/20130312_2.html
-
7
2.2. アンケート調査項目への取り込み
(1) 標的型攻撃の対策状況
2012年には、農林水産省や宇宙航空研究開発機構等が標的型攻撃によって情報流出したと推測される事案が報道され注目を集めた。サイバー空間上での諜報活動が指摘されると
ともに、我が国の政策会議に取上げられるなど、国益にまで影響する問題と認識され、2011年度よりもさらに深刻な事態となっている。 一方、このような標的型攻撃に関する被害事例や対策手法等が公開され、一定の脅威周
知が進んだと考えられるにも関わらず、現在でも標的型攻撃の被害事例が後を絶たない状
況である。本調査では、各企業における対策状況や被害状況が明らかではないことから、
経年変化を確認するために2011年度調査と同様の調査項目を設定するとともに、一部見直しを行った。(調査票:問34~36、本調査報告書:3.5)
(2) スマートデバイスの業務利用とセキュリティ対策
スマートデバイス(スマートフォンやタブレット)の普及に伴いスマートデバイスを対
象とした悪意あるアプリの事例が 2012 年に顕在化した。「theMovie系」と呼ばれるアプリによって、約 3,300台の端末から約 76万人分の個人情報を窃取した事例が報告されている 2。これらの個人情報を収集する手口は、より巧妙化しており、ユーザは被害に気付くことが
難しく、スマートデバイスの業務利用においても対策が必要である。 本調査では、スマートデバイス業務利用状況及びスマートデバイスの業務利用における
情報セキュリティ対策状況が明らかではないため、企業におけるスマートデバイスの利用
ルール等を 2011 年度調査の調査項目に設問を追加した。(調査票:問 13-4、本調査報告書:3.3.1)
また、私有端末の業務利用(BYOD3)の状況に関連する調査項目を新規に追加した。(調査票:問 13-5、本調査報告書:3.3.1)
さらに、私有端末の業務利用に関連して、個人所有のノート PC や USB メモリの企業内への持ち込みや企業内ネットワークへの接続等も考えられることから、私有端末の持ち込
みの方針・運用に関する調査項目を新規に追加した。(調査票:問 25、本調査報告書:3.3.2) (3) クラウドサービス利用と情報セキュリティ対策
クラウドサービスのような外部リソースをデータの保管手段として活用することは、災
害対策を含む可用性向上策として有効な一方、2012 年 6 月に発生したクラウドサーバ事業者のデータ消失事例のように、自組織の管理が及ばない範囲での被害が発生する可能性が
2 「2012 年版 10 大脅威 変化・増大する脅威!」http://www.ipa.go.jp/security/vuln/10threats2012.html 3 BYOD:Bring Your Own Device
http://www.ipa.go.jp/security/vuln/10threats2012.html
-
8
ある。 そのため、本調査ではクラウドサービスの利用状況を確認するとともに、導入検討時に
確認または重視している情報セキュリティ対策に関する調査項目を新規に追加した。(調査
票:問 14 及び問 21、本調査報告書:3.3.3) (4) 情報セキュリティ人材の充足度
情報セキュリティのインシデントが頻繁に紙面を賑わす背景として、各企業における情
報セキュリティ人員不足や教育不足、及び組織的な情報セキュリティ対策体制の不備等が
考えられる。そのため、本調査では情報セキュリティ業務の担当者に対する不足感及び情
報セキュリティ管理業務従事者への教育手法に関する調査項目を新規に追加した。(調査
票:問 17-2~17-3 及び問 18、本調査報告書:3.2.3、3.2.5) さらに、情報セキュリティインシデントへの対策や対応で重要となるCSIRT4等の情報セ
キュリティインシデント時の対応体制構築の状況に関する調査項目を新規に追加した。(調
査票:問 19、本調査報告書:3.2.4) (5) その他
その他の 2012 年の情報セキュリティの事例としては、インターネットバンキング等の金銭窃取を目的としたウイルスがあげられる。これは、通常のインターネットバンキングの
画面に、別の認証画面をポップアップ表示するウイルスや、SpyEye などの海外で有名なウイルスを日本の銀行の認証情報を取得できるように拡張し、悪用された事案が挙げられる。
また、2012 年度の後半からパスワードの流出事案が注目を集めた。オンラインサービスの増加に伴い、複数のオンラインサービスにおいて同一のID/パスワードを使い回しているユーザを狙った事案であり、パスワードリスト攻撃の報告が2012年7月に公表されている 5。 本調査ではインターネットバンキング等の電子商取引(EC6)でのセキュリティ対策や被
害状況の経年変化を確認するとともに、ID/パスワード管理など各企業においてユーザが利用するセキュリティ対策製品等の導入状況を確認するために、2011 年度調査の調査項目を一部変更した。(調査票:問 20~21、本調査報告書:3.3.4、3.3.6)
4 CSIRT:Computer Security Incident Response Team 5 独立行政法人情報処理推進機構:コンピュータウイルス・不正アクセスの届出状況【2012 年 6 月分および上半期】 http://www.ipa.go.jp/about/press/20120704.html 6 EC:Electronic Commerce
-
9
参考文献: <脅威全体の動向>
[1] 株式会社ラック「【JSOC】侵入傾向分析レポート Vol.19」 http://www.lac.co.jp/security/report/2013/06/14_jsoc_01.html
[2] NRI セキュアテクノロジーズ株式会社「サイバーセキュリティ傾向分析レポート2012」 http://www.nri-secure.co.jp/news/2012/0705_report.html
[3] 日本アイ・ビー・エム株式社会「2012 年下半期 Tokyo SOC 情報分析レポート」 http://www-935.ibm.com/services/jp/ja/it-services/soc-report-2012-h2.html
[4] 特定非営利活動法人日本ネットワークセキュリティ協会「2012 年 セキュリティ 10大ニュース」
http://www.jnsa.org/active/news10/ [5] マイクロソフト株式会社「マイクロソフト セキュリティ インテリジェンス レポー
ト 第 14 版」 http://www.microsoft.com/ja-jp/security/resources/sir.aspx
[6] 株式会社インターネットイニシアティブ「Internet Infrastructure Review Vol.19」 http://www.iij.ad.jp/company/development/report/iir/index.html
<標的型攻撃>
[7] 一般社団法人 JPCERT コーディネーションセンター「インシデント報告対応レポート [2013 年 1 月 1 日~2013 年 3 月 31 日]」
http://www.jpcert.or.jp/pr/2013/IR_Report20130415.pdf [8] 特定非営利活動法人日本ネットワークセキュリティ協会「2012 年 情報セキュリテ
ィインシデントに関する調査報告書【上半期 速報版】」 http://www.jnsa.org/result/incident/data/2012H1_incident_survey_sokuhou_v1.0.pdf
<モバイルセキュリティ>
[9] 株式会社シマンテック「インターネットセキュリティ脅威レポート第 18 号」 http://www.symantec.com/ja/jp/threatreport/
[10] トレンドマイクロ株式会社「2012 年度インターネット脅威年間レポート」 http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20130107041
500.html [11] マカフィー株式会社「McAfee 脅威レポート:2012 年第 4 四半期 2013 年の脅威
予測」 http://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/threatreport/
threatreport12q4.pdf
http://www.lac.co.jp/security/report/2013/06/14_jsoc_01.htmlhttp://www.nri-secure.co.jp/news/2012/0705_report.htmlhttp://www-935.ibm.com/services/jp/ja/it-services/soc-report-2012-h2.htmlhttp://www.jnsa.org/active/news10/http://www.microsoft.com/ja-jp/security/resources/sir.aspxhttp://www.iij.ad.jp/company/development/report/iir/index.htmlhttp://www.jpcert.or.jp/pr/2013/IR_Report20130415.pdfhttp://www.jnsa.org/result/incident/data/2012H1_incident_survey_sokuhou_v1.0.pdfhttp://www.symantec.com/ja/jp/threatreport/http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20130107041500.htmlhttp://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20130107041500.htmlhttp://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/threatreport/threatreport12q4.pdfhttp://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/threatreport/threatreport12q4.pdf
-
10
2.3. 過年度調査結果の記法
3 章は、本調査で得られた集計結果を報告するとともに一部の集計結果については経年の特徴的な傾向について説明する。 傾向の説明で特に明記がない場合は、今回の調査結果【2012 年度調査結果】を示すもの
とし、2012 年度調査結果以外を利用する場合は、調査年度を含んだ【2011 年度調査結果】等と示す。また、【時系列】と示した図については、複数年の過去の調査結果を利用したも
のである。
-
11
3. 調査結果 3.1. 回答企業の概要
3.1.1. 業種
回答企業の業種については、企業全体でみると「他のサービス業」が 12.5%と最も多く、次いで「建築業」と「卸売業」が 8.8%、「情報サービス業」が 8.3%である。
図 3.1-1 業種
-
12
参考までに 2012 年度調査結果の回答企業を、2011 年度調査結果、2010 年度調査結果における回答企業の業種と比較すると、「他の製造業」の割合が 2011 年度調査より 11.6 ポイント、「その他のサービス業」は 4.5 ポイント少ない結果となった。
図 3.1-2 業種(時系列)
-
13
3.1.2. 総従業員数
回答企業 1,881 社の内訳を従業員数規模でみると、調査サンプリングの関係上、「300 人未満企業」と「300 人以上企業」でほぼ半々の割合となり、「300 人未満企業」が 52.5%、「300 人以上企業」は 47.5%である。
図 3.1-3 総従業員数(2012 年度)
2011 年度調査結果では、回答企業 1,767 社、「300 人未満企業」は 49.1%、「300 人以上企業」は 51.0%であった。
図 3.1-4 総従業員数(2011 年度)
-
14
3.1.3. IT 関連の支出総額
IT 関連の支出額をみると、全体としては「1 百万~5 百万円未満」が最も多く 18.9%、次いで「2 千万円~5 千万円未満」が 12.4%、「1 億円~4 億円未満」が 11.2%である。
従業員規模別にみると、「300 人以上企業」では「1 億~4 億円未満」が 19.7%、「4 億円以上」が 16.9%である。一方、「300 人未満企業」では「1 百万~5 百万円未満」が 28.1%、「1 百万円未満」が 16.1%である。
図 3.1-5 IT 関連の支出総額(2012 年度)
図 3.1-6 IT 関連の支出総額(2012 年度)(従業員規模別)
-
15
なお、2011 年度調査結果の IT 関連の支出総額は、「2 千万円未満」が最も多く 38.4%であり、次いで「2 千万円~5 千万円未満」が 9.9%である。
従業員規模別にみると、「2 千万円未満」が「300 人以上企業」で 21.2%、「300 人未満企業」で 56.2%である。
図 3.1-7 IT 関連の支出総額(2011 年度)
図 3.1-8 IT 関連の支出総額(2011 年度)(従業員規模別)
-
16
3.1.4. 電子商取引(EC)業務
(1) 電子商取引業務の売上が全体の売上に占める割合 電子商取引業務の売上が全体の売上に占める割合は、「0%」が 62.3%と最も多く、次いで
「10%」が 14.6%である。 従業員規模別にみても「0%」が多く、次いで「10%」が多い傾向は同じである。
図 3.1-9 電子商取引業務の売上が全体の売上に占める割合
図 3.1-10 電子商取引業務の売上が全体の売上に占める割合(従業員規模別)
-
17
3.1.5. インターネットの利用
(1) 正規雇用の従業員
正規雇用の従業員によるインターネット利用について、「ほぼ全員利用できる」が 73.1%、「概ね半数以上は利用可能」が 14.4%である。
従業員規模別にみても、「ほぼ全員利用できる」、「概ね半数以上は利用可能」、「概ね半数
未満が利用可能」の割合は同じ傾向である。
図 3.1-11 インターネットの利用(正規雇用の従業員)
図 3.1-12 インターネットの利用(正規雇用の従業員)(従業員規模別)
-
18
(2) 非正規雇用
非正規雇用の従業員によるインターネット利用について、「ほぼ全員利用できる」が 49.9%、「概ね半数未満が利用可能」が 19.6%である。
従業員規模別にみても「ほぼ全員利用できる」の割合が高いが、「全員利用できない」に
ついては、「300 人以上企業」の 8.1%に比べ、「300 人未満企業」は 13.0%と割合が高い傾向である。
図 3.1-13 インターネットの利用(非正規雇用の従業員)
図 3.1-14 インターネットの利用(非正規雇用の従業員)(従業員規模別)
-
19
3.1.6. その他の回答企業情報
以下の回答企業情報については、5.付録を参照のこと。 総売上高(単体) 経常利益(単体) 規程年間営業日数および1日の営業時間 上場の有無 海外拠点の有無 利用しているサーバの台数
利用サーバの有無 サーバの保有台数 文書管理等特定利用目的以外のサーバ保有の有無 自社設置のウェブアプリケーションサーバの有無
利用しているクライアント(パソコン)の台数
-
20
3.2. 情報セキュリティ体制の現状
3.2.1. 情報セキュリティ対策に取り組む基本的な方針の公開
情報セキュリティ対策に取り組む基本的な方針を「公開していない」が 64.7%、「公開している」が 32.7%であり、これらの傾向は 2011 年度調査結果とほぼ同様である。
従業員規模別にみると、「公開している」のは「300 人以上企業」では 43.0%、「300 人未満企業」では 23.5%であり、この傾向も 2011 年度調査結果とほぼ同様である。
図 3.2-1 情報セキュリティ対策に取り組む基本的な方針の公開の有無
図 3.2-2 情報セキュリティ対策に取り組む基本的な方針の公開の有無(従業員規模別)
-
21
3.2.2. CISO の有無
CISO(Chief Information Security Officer:最高情報セキュリティ責任者)の有無については、「CISO はいない」が 57.7%と最も多く、次いで「兼任者がいる」が 37.6%、「専任者がいる」が 3.4%であり、これらの傾向は 2011 年度調査結果とほぼ同様である。
従業員規模別にみると、「300 人以上企業」では「CISO はいない」が 48.9%、「兼任者がいる」が 45.5%であり、「300 人未満企業」では、それぞれ 65.8%、30.4%であり、これらの傾向は 2011 年度調査結果とほぼ同様である。
図 3.2-3 CISO の有無
図 3.2-4 CISO の有無(従業員規模別)
-
22
(1) CISO の有無と基本方針の公開について
CISO の有無と情報セキュリティ対策の基本的な方針の公開との関連について以下に示す。情報セキュリティ対策の基本的な方針を「公開している」企業は、「公開していない」
企業に比べ、「専任者がいる」の回答が約 4 倍、「兼任者がいる」の回答が約 2 倍であり、「CISOはいない」が約 1/2 である。総じて情報セキュリティ対策の基本的な方針を公開している企業は、CISO が存在し、情報セキュリティ対策体制が整備されている傾向にある。
図 3.2-5 CISO の有無と基本方針の公開の関係
-
23
3.2.3. 情報セキュリティ対策管理の社内体制
情報セキュリティ対策管理の社内体制として、「兼務だが担当責任者が任命されている」
のは 56.6%、「専門部署(担当者)がある」のは 15.7%、「組織的には行っていない(各自の対応)」が 14.8%である。2011 年度調査結果と比べると「兼務だが担当責任者が任命されている」が 7 ポイント増加し、「組織的には行っていない(各自の対応)」が 6.5 ポイント減少した。 従業員規模別にみると、「専門部署(担当者)がある」のは「300 人以上企業」で 21.6%
であるが、「300 人未満企業」では 10.3%である。また、「兼務だが担当責任者が任命されている」のは、「300 人未満企業」、「300 人以上企業」ともに 50%以上である。
図 3.2-6 情報セキュリティ対策管理の社内体制
図 3.2-7 情報セキュリティ対策管理の社内体制(従業員規模別)
-
24
(1) 情報セキュリティ対策管理の社内体制と基本方針の公開について
情報セキュリティ対策管理の社内体制と情報セキュリティ対策の基本的な方針の公開と
の関連についての結果を以下に示す。情報セキュリティ対策の基本的な方針を公開してい
る企業は、公開していない企業に比べ、「専門部門(担当者)がある」の回答が約 2 倍、「兼任だが担当者が任命されている」の回答が 16.5 ポイント多い。また、「外部委託している」、「組織的には行っていない(各自の対応)」が約 1/4 程度であり、総じて情報セキュリティ対策の基本的な方針を公開している企業は情報セキュリティ対策が整備され、外部委託せ
ず自社で対応している傾向にある。
図 3.2-8 情報セキュリティ対策体制と基本方針の公開の関係
-
25
(2) 情報セキュリティ対策部門(専任)の人数
情報セキュリティ対策管理の社内体制として「専門部署(担当者)がある」または「兼
務だが担当責任者が任命されている」と回答した企業では、情報セキュリティ対策部門(専
任)の人数は、「0 人」が 47.0%、「1~2 人」が 12.2%、「3~4 人」が 4.0%、「5~9 人」が2.3%である。
従業員規模別にみると、「300 人以上企業」では「0 人」が 45.1%、「1~2 人」が 12.7%、「3~4 人」は 5.2%、「5~9 人」が 4.0%、「10 人以上」が 1.9%であり、「300 人未満企業」では、それぞれ 49.1%、11.7%、2.7%、0.5%、0%である。
図 3.2-9 セキュリティ対策部門の人数(専任)
図 3.2-10 セキュリティ対策部門の人数(専任)(従業員規模別)
-
26
(3) 情報セキュリティ対策部門(兼任)の人数
情報セキュリティ対策管理の社内体制として「専門部署(担当者)がある」または「兼
務だが担当責任者が任命されている」と回答した企業では、情報セキュリティ対策部門(兼
任)の人数は、「1~2 人」が 47.2%、「3~4 人」が 22.3%、「5~9 人」が 13.1%、「10 人以上」が 8.8%である。
従業員規模別にみると、「300 人以上企業」では、「1~2 人」が 39.7%、「3~4 人」が 23.6%、「5~9 人」が 15.3%、「10 人以上」が 12.1%である。一方、「300 人未満企業」では、それぞれ 55.8%、20.9%、10.6%、5.1%である。
図 3.2-11 セキュリティ対策部門の人数(兼任)
図 3.2-12 セキュリティ対策部門の人数(兼任)(従業員規模別)
-
27
(4) 情報セキュリティ業務担当者の量的な充足度
情報セキュリティ対策管理の社内体制として「専門部署(担当者)がある」または「兼
務だが担当責任者が任命されている」と回答した企業における情報セキュリティ業務の担
当者の量的な充足度については、「やや不足している」が 39.9%、「十分である」が 33.6%、「わからない」が 18.2%である。
従業員規模別にみると、「300 人以上企業」では「やや不足している」が 41.3%、「十分である」が 30.1%、「わからない」が 18.9%である。一方、「300 人未満企業」では、それぞれ、38.2%、37.6%、17.4%である。
図 3.2-13 情報セキュリティ業務担当者の量的な充足度
図 3.2-14 情報セキュリティ業務担当者の量的な充足度(従業員規模別)
-
28
(5) 情報セキュリティ業務担当者の量的な充足度(やや不足)
情報セキュリティ対策管理の社内体制として情報セキュリティ業務の担当者の量的な充
足度が「やや不足している」と回答した企業のおおよその不足人数は、「1 人」が 40.0%、「2 人」が 36.7%、「3 人」が 9.2%である。
従業員規模別にみると、「300 人以上企業」では、「2 人」が 40.7%、「1 人」が 32.8%、「3人」が 10.6%であり、「300 人未満企業」では、それぞれ 31.8%、49.2%、7.4%である。
図 3.2-15 情報セキュリティ業務担当者の量的な充足度(不足人数・やや不足)
図 3.2-16 情報セキュリティ業務担当者の量的な充足度(不足人数・やや不足)
(従業員規模別)
-
29
(6) 情報セキュリティ業務担当者の量的な充足度(大幅に不足)
情報セキュリティ対策管理の社内体制として情報セキュリティ業務の担当者の量的な充
足度が「大幅に不足している」と回答した企業のおおよその不足人数は、「2 人」が 31.4%、「3 人」が 21.9%、「1 人」が 15.2%、「5~9 人」が 11.4%である。
従業員規模別にみると、「300 人以上企業」では、「2 人」が 28.8%、「3 人」と「5~9 人」が 18.2%、「1 人」が 10.6%であり、「300 人未満企業」では、それぞれ 35.9%、28.2%、0%、23.1%である。
図 3.2-17 情報セキュリティ業務担当者の量的な充足度(不足人数・大幅に不足)
図 3.2-18 情報セキュリティ業務担当者の量的な充足度(不足人数・大幅に不足) (従業員規模別)
-
30
(7) 情報セキュリティ業務担当者の量的な充足度(現状人数と不足人数の比較)
情報セキュリティ業務の担当者の量的な充足度が「やや不足している」と回答した企業
で現状人数と不足人数を比較した結果、現状の人数よりも多くの人数が不足していると回
答した企業は、「1~2 人体制」の企業が比較的多く、9.1%が 3 人以上不足している。また、「3~4 人体制」の企業では、4.6%が 5 人以上不足している。
一方、情報セキュリティ業務の担当者の量的な充足度が「大幅に不足している」と回答
した企業では、「1~2 人体制」の企業では 40.0%が 3 人以上不足し、「3~4 人体制」の企業でも 19.0%と高い割合である。
なお、情報セキュリティ業務の担当者の量的な不足数、及び現在のセキュリティ対策部
門の人数の双方の回答票を用いて集計した結果である。
図 3.2-19 情報セキュリティ業務担当者の量的な充足度
(現状人数と不足人数の比較・やや不足)
図 3.2-20 情報セキュリティ業務担当者の量的な充足度 (現状人数と不足人数の比較・大幅に不足)
-
31
(8) 情報セキュリティ業務担当者のスキル面での充足度
情報セキュリティ対策管理の社内体制として「専門部署(担当者)がある」または「兼
務だが担当責任者が任命されている」と回答した企業では、情報セキュリティ業務のスキ
ル面での充足度については、「やや不足している」が 52.9%、「十分である」が 21.9%、「大幅に不足している」が 15.1%である。
従業員規模別にみると、「300 人以上企業」では「やや不足している」が 55.2%、「十分である」が 20.1%、「大幅に不足している」が 14.9%、「わからない」が 9.1%である。「300人未満企業」では、それぞれ 50.2%、24.0%、15.5%、9.8%である。
図 3.2-21 情報セキュリティ業務担当者のスキル面での充足度
図 3.2-22 情報セキュリティ業務担当者のスキル面での充足度(従業員規模別)
-
32
3.2.4. 情報セキュリティに関する事故や非常事態への対応体制
情報セキュリティに関する事故や非常事態(大規模サイバー攻撃の発生等)への対応体
制(CSIRT7)について、「特定の部門ではコンピュータセキュリティインシデントに対応する部門や人が定められている」が 52.7%、「コンピュータセキュリティインシデントに対応する部門や人が定まっていない」が 25.4%である。 従業員規模別をみても「特定の部門ではコンピュータセキュリティインシデントに対応
する部門や人が定められている」、「コンピュータセキュリティインシデントに対応する部
門や人が定まっていない」の割合が高い傾向は同じである。
図 3.2-23 情報セキュリティに関する事故や異常事態への対応体制
図 3.2-24 情報セキュリティに関する事故や異常事態への対応体制(従業員規模別)
7 CSIRT(Computer Security Incident Response Team):コンピュータセキュリティインシデント等に対して、調査し、対応する組織のこと
-
33
3.2.5. 情報セキュリティ対策教育の実施状況
情報セキュリティ対策教育の実施状況については、「役員」、「正社員」、「契約社員・アル
バイト等」は、ともに「関連情報の周知」が最も多く、次いで「特に実施していない」と
いう傾向である。それぞれ、「役員」は、「関連情報の周知」が 48.1%、「特に実施していない」が 36.3%であり、「正社員」は 49.7%、29.4%であり、「契約社員・アルバイト等」は43.3%、38.2%である。 一方、「情報セキュリティ管理業務の従事者」は、「関連情報の周知」が 50.0%と最も多
く、次いで「外部講習会やセミナーの聴講」が 36.2%である。
図 3.2-25 情報セキュリティ対策教育の実施状況
-
34
(1) 役員に対する情報セキュリティ対策教育
役員に対する情報セキュリティ対策教育の実施状況を 2011 年度調査結果と比較すると「特に実施していない」が 6.1 ポイント減少し、「関連情報の周知」が 10.4 ポイント増加した。 従業員規模別にみると、「300 人以上企業」では「関連情報の周知」が 55.4%と最も多く、
次いで「特に実施していない」が 29.8%、「e ラーニング」が 24.4%である。「300 人未満企業」ではそれぞれ、41.4%、42.1%、12.2%であり、「300 人以上企業」に比べ「特に実施していない」の割合が高い傾向にある。
図 3.2-26 情報セキュリティ対策教育の実施状況(役員)(2011 年度調査結果との比較)
図 3.2-27 情報セキュリティ対策教育の実施状況(役員)(従業員規模別)
-
35
(2) 情報セキュリティ管理者に対する情報セキュリティ対策教育
情報セキュリティ管理業務の従事者に対する情報セキュリティ対策教育の実施状況を従
業員規模別にみると、「300 人以上企業」では「関連情報の周知」が 57.2%と最も多く、次いで「外部講習会やセミナーの聴講」が 42.4%、「e ラーニング」が 28.0%、「特に実施していない」が 15.1%である。「300 人未満企業」ではそれぞれ、43.5%、30.6%、13.8%、30.1%であり、「300 人以上企業」に比べ「特に実施していない」の割合が高い傾向である。 なお、2011 年度調査では情報セキュリティ管理業務の従事者に対する情報セキュリティ
対策教育の実施状況の設問がないため比較はできない。
図 3.2-28 情報セキュリティ対策教育の実施状況(情報セキュリティ管理者) (従業員規模別)
-
36
(3) 正社員に対する情報セキュリティ対策教育
正社員に対する情報セキュリティ対策教育の実施状況を2011年度調査結果と比較すると「外部講習会やセミナーの聴講」が 6.9 ポイント、「特に実施していない」が 4.7 ポイント減少し、「関連情報の周知」が 10.5 ポイント増加した。 従業員規模別にみると、「300 人以上企業」では「関連情報の周知」が 58.1%と最も多く、
次いで「e ラーニング」が 29.4%、「社内の自主的な勉強会」が 29.1%である。「300 人未満企業」では「関連情報の周知」が 42.1%と最も多く、次いで「特に実施していない」が 37.3%、「社内の自主的な勉強会」が 24.3%であり、「300 人以上企業」に比べ「特に実施していない」の割合が高い傾向である。
図 3.2-29 情報セキュリティ対策教育の実施状況(正社員)(2011 年度調査結果との比較)
図 3.2-30 情報セキュリティ対策教育の実施状況(正社員)(従業員規模別)
-
37
(4) 契約社員・アルバイト等に対する情報セキュリティ対策教育
契約社員・アルバイト等に対する情報セキュリティ対策教育の実施状況を 2011 年度調査結果と比較すると「外部講習会やセミナーの聴講」が 4.7 ポイント減少し、「関連情報の周知」が 8.8 ポイント増加した。
従業員規模別にみると、「300 人以上企業」では「関連情報の周知」が 52.5%と最も多く、次いで「特に実施していない」が 28.3%である。「300 人未満企業」ではそれぞれ、35.1%、47.1%であり、「300 人以上企業」に比べ「特に実施していない」の割合が高い傾向である。
図 3.2-31 情報セキュリティ対策教育の実施状況(契約社員)
(2011 年度調査結果との比較)
図 3.2-32 情報セキュリティ対策教育の実施状況(契約社員)(従業員規模別)
-
38
3.2.6. 情報セキュリティ対策の必要性を感じたきっかけ
情報セキュリティ対策の必要性を感じたきっかけは「重要情報(個人情報、営業秘密、
技術情報等)の保持が 62.1%、「法令(個人情報保護法等)の制定」が 53.4%である。 「重要情報(個人情報、営業秘密、技術情報等)の保持」、「法令(個人情報保護法等)
の制定」、「自社のセキュリティ事故」、「他社のセキュリティ事故」、「取引先からの要請」
が多い傾向は、2011 年度調査結果と同様である。
図 3.2-33 セキュリティ対策の必要性を感じたきっかけ
図 3.2-34 セキュリティ対策の必要性を感じたきっかけ(2011 年度調査結果との比較)
-
39
従業員規模別にみると、「300 人以上企業」、「300 人未満企業」ともに「重要情報(個人
情報、営業秘密、技術情報等)の保持」、「法令(個人情報保護法等)の制定」、「自社のセ
キュリティ事故」、「他社のセキュリティ事故」、「取引先からの要請」が多い傾向にある。
図 3.2-35 セキュリティ対策の必要性を感じたきっかけ(従業員規模別)
-
40
3.3. 情報セキュリティ対策の現状
3.3.1. 業務におけるスマートフォンやタブレット端末の利用の有無
業務においてスマートフォンやタブレット端末を「利用している」のは 40.6%である。「利用を検討中」は 17.0%である。2011 年度調査結果より「利用している」が 11.1 ポイント、「利用を検討中」が 3.2 ポイント高くなっており、スマートフォンやタブレット端末の利用が進展していることがわかる。
従業員規模別にみると、「300 人以上企業」は「利用している」が 45.6%と最も多く、「利用を検討中」が 19.8%である。一方、「300 人未満企業」では、それぞれ 36.0%、14.5%であり、「300 人未満企業」に比べ「300 人以上企業」での利用が進んでいる。
図 3.3-1 スマートフォンやタブレット端末の利用(時系列)
図 3.3-2 スマートフォンやタブレット端末の利用(従業員規模別)
-
41
(1) 利用している端末
利用している端末は、「タブレット端末(iOS)」が 60.6%、「スマートフォン(iOS)」が45.5%、「スマートフォン(Android 系)」が 45.1%である。 従業員規模別にみても同じ傾向であるが、「タブレット端末(iOS)」については「300 人
未満企業」よりも「300 人以上企業」の利用が 17.3 ポイント高い。
図 3.3-3 利用している端末
図 3.3-4 利用している端末(従業員規模別)
-
42
(2) スマートフォンの利用台数
スマートフォンの利用台数(会社支給及び会社に登録済の私有端末を含む)は、「10~49台」が 28.5%と多く、「無回答」を除いて、「1~4 台」が 11.5%、「100~499 台」が 10.0%と分散している。なお、「0 台」と回答されたものについては、集計から外している。
従業員規模別にみると、「300 人以上企業」では「無回答」を除いて「10~49 台」が 28.4%と最も高く、「100~499 台」が 14.9%、「50~99 台」が 8.9%である。一方、「300 人未満企業」では「10~49 台」が 28.5%、「1~4 台」が 17.6%、「5~9 台」が 13.3%である。
図 3.3-5 利用台数(スマートフォン)
図 3.3-6 利用台数(スマートフォン)(従業員規模別)
-
43
(3) スマートフォンの会社支給台数の比率
スマートフォンの会社支給台数の比率は、「100%」(全て会社支給)が 73.7%であり、次いで「0%」が 5.3%である。従業員規模別をみても、「100%」(全て会社支給)の割合が高い傾向は同じである。 なお、3.3.1.(2)で無回答であったものは総数 N に入れていない。
図 3.3-7 会社支給の比率(スマートフォン)
図 3.3-8 会社支給の比率(スマートフォン)(従業員規模別)
-
44
(4) タブレット端末の利用台数
タブレット端末の利用台数(会社支給及び会社に登録済の私有端末を含む)は、「10~49台」が 32.7%と最も多く、次いで「1~4 台」が 18.8%である。なお、「0 台」と回答されたものについては、集計から外している。 従業員規模別にみると、「300 人以上企業」では「10~49 台」が 37.0%と最も多いが、「300
人未満企業」では「1~4 台」が 30.6%と最も多く、次いで「10~49 台」が 27.4%である。
図 3.3-9 利用台数(タブレット端末)
図 3.3-10 利用台数(タブレット端末)(従業員規模別)
-
45
(5) タブレット端末の会社支給台数の比率
タブレット端末の会社支給台数の比率は、「100%」(全て会社支給)が 86.9%であり、次いで「0%」、「50~60%未満」、「90~100%未満」が 1.7%である。 従業員規模別をみても、「100%」(全て会社支給)の割合が高い傾向は同じである。なお、
3.3.1.(4)で無回答であったものは総数 N に入れていない。
図 3.3-11 会社支給の比率(タブレット端末)
図 3.3-12 会社支給の比率(タブレット端末)(従業員規模別)
-
46
(6) 利用用途
利用用途は、「通話、メール等の連絡」が最も多く 76.5%、次いで「プレゼンテーション、資料提示」が 46.9%、「スケジューラ」が 40.6%である。これらの傾向は 2011 年度調査結果とほぼ同様である。 従業員規模別をみても、「通話、メール等の連絡」、「プレゼンテーション、資料提示」、「ス
ケジューラ」の割合が高い傾向は同じである。
図 3.3-13 利用用途
図 3.3-14 利用用途(従業員規模別)
-
47
(7) スマートフォンやタブレット端末において実施している対策
スマートフォンやタブレット端末において実施している対策は、「端末のパスワード設
定」が 74.3%と最も多く、次いで「利用ルールの策定(アプリケーションの導入制限等)」が 45.6%、「紛失・盗難時のデータ消去」37.5%である。新たに追加した選択肢である「利用ルールの策定」以外は、2011 年度調査結果とほぼ同様の傾向である。 従業員規模別にみると、「300 人以上企業」で 50%以上が実施している対策は、「端末の
パスワード設定」、「紛失・盗難時のデータ消去」、「利用ルールの策定(アプリケーション
の導入制限等)」であるが、「300 人未満企業」では、「端末のパスワード設定」のみである。
図 3.3-15 スマートフォンやタブレット端末において実施している対策 8
図 3.3-16 スマートフォンやタブレット端末において実施している対策(従業員規模別)
8 MDM(Mobile Device Management、モバイル端末管理):モバイル端末と社内システムとの認証、アプリケーションとの同期、外部サービスとの接続等を管理するシステム
-
48
(8) 社員の私有端末の業務利用(BYOD)
社員の私有端末の業務利用は、「認める予定はない」が最も多く 49.8%、次いで「認めている」が 20.3%、「今後、認めるかどうかの検討を予定している」が 15.9%である。従業員規模別をみても「認める予定はない」が最も多く、次いで「認めている」、「今後、認める
かどうかの検討を予定している」の順で割合が高い傾向は同じである。 なお、「認めている」には、スマーフォン及びタブレット端末を全て会社支給している場
合でも社員の私有端末の業務利用を制度的に認めている企業を含んでいる。
図 3.3-17 社員の私有端末の業務利用
図 3.3-18 社員の私有端末の業務利用(従業員規模別)
-
49
3.3.2. 自社の資産や備品でない PC や外部記録媒体の社内ネットワーク接続について
(1) 自社資産以外の PC(私物ノート PC 等)の接続
自社の資産ではないパソコンの社内ネットワークへの接続に関する運用については、「禁
止している(セキュリティ担当者が状況を監視している)」が 36.8%、「禁止している(セキュリティ担当者が状況を監視していない)」が 32.2%、「届け出に応じた許可制としている」が 13.9%である。
従業員規模別にみると、傾向はほぼ同じであるが、「300 人未満企業」では「禁止していない」が約 11 ポイント多い。
図 3.3-19 自社資産でない私物ノート PC 等の社内ネットワーク接続
図 3.3-20 自社資産でない私物ノート PC 等の社内ネットワーク接続(従業員規模別)
-
50
(2) 自社備品以外の外部記録媒体(私物 USB メモリ等)の接続
自社の備品ではない外部記録媒体の社内ネットワークへの接続に関する運用については、
「禁止している(セキュリティ担当者が状況を監視していない)」が 29.0%、「禁止していない」が 28.9%である。
従業員規模別にみると、「300 人以上企業」では「禁止している(セキュリティ担当者が状況を監視している)」が多く、「300 人未満企業」では「禁止していない」が多い傾向にある。
図 3.3-21 自社備品でない USB メモリ等の社内ネットワーク接続
図 3.3-22 自社備品でない USB メモリ等の社内ネットワーク接続
(従業員規模別)
-
51
3.3.3. クラウドコンピューティングサービスの利用
(1) クラウドコンピューティングサービスの利用用途
クラウドコンピューティングサービスの利用については、「クラウドコンピューティング
サービスは利用していない」が 51.8%と最も多く、次いで「電子メールやスケジューラ、各種コミュニケーションのための利用」が 29.4%、「業務アプリケーションの利用」が 15.3%、「ファイルサーバとしての利用」が 10.0%である。 従業員規模別をみても「クラウドコンピューティングサービスは利用していない」、「電
子メールやスケジューラ、各種コミュニケーションのための利用」、「業務アプリケーショ
ンの利用」の順で割合が高い傾向は同じである。
図 3.3-23 クラウドコンピューティングサービスの利用用途
図 3.3-24 クラウドコンピューティングサービスの利用用途(従業員規模別)
-
52
(2) クラウドコンピューティングサービスで確認・重視している情報セキュリティ対策
クラウドコンピューティングサービスを導入する際に情報セキュリティ対策として確
認・重視しているポイントは、「日本国内にサーバを設置している事業者を選択」が 48.7%、「経済産業省や IPA のガイドラインに準拠した事業者を選択する」が 27.3%、「データを定期的に自組織内にバックアップする」が 25.9%である。 従業員規模別をみても「日本国内にサーバを設置している事業者を選択」、「経済産業省
や IPA のガイドラインに準拠した事業者を選択する」、「データを定期的に自組織内にバックアップする」の割合が高い傾向は同じである。
図 3.3-25 クラウドサービスで重視している情報セキュリティ対策
図 3.3-26 クラウドサービスで重視している情報セキュリティ対策(従業員規模別)
-
53
3.3.4. 情報セキュリティ関連製品やソリューションの導入
(1) 導入状況
情報セキュリティ関連製品やソリューションについて、「2011 年度までに導入」及び「2012 年度新規導入」を合計した導入率が高いのは、「セキュリティソフト(クライアントパソコン向け)」が 94.2%、「ファイアウォール」が 82.3%、「セキュリティソフト(ネットワークサーバ向け)」が 80.3%、「セキュリティソフト(ローカルサーバ向け)」が 79.7%である。
図 3.3-27 情報セキュリティ関連製品やソリューションの導入(状況)9
9 SSOとは、シングルサインオンの略で、それぞれ独立した認証を要求する複数のコンピュータを、1回の認証手続きで利用できるようにするためのサービスのことである。
-
54
(2) 導入の時期
2012 年度新規に導入した製品・ソリューションについて、セキュリティ上のトラブルを経験した企業において「2012 年度トラブルの後」に導入した率が高いのは「重要設備の多重化・冗長化」が 9.3%、「ネットワーク検疫システム」が 9.1%、「プロバイダによるウイルスチェックサービス」が 8.3%、「セキュリティソフト(ローカルサーバ向け)」が 7.7%である。
図 3.3-28 情報セキュリティ関連製品やソリューションの導入(時期)
-
55
3.3.5. 情報セキュリティ被害防止のための組織・運用面の対策
(1) 実施状況
情報セキュリティ被害防止のための組織・運用面での対策については、「2011 年度までに導入」及び「2012 年度新規導入」を合計した導入率が高いのは、「重要なシステム・データのバックアップ」が 90.3%、「ハードディスク等の破棄時のデータ消去」が 83.4%、「ユーザの権限によるアクセス権限管理」が 82.5%、「セキュリティパッチの適用」が 70.4%である。
図 3.3-29 情報セキュリティ被害防止のための組織・運用面の対策(実施状況)
-
56
(2) 実施の時期
2012 年度新規に導入した対策について、セキュリティ上のトラブルを経験した企業において「2012 年度トラブルの後」に実施した率が高いのは「情報セキュリティ監査」が 13.0%、「セキュリティパッチの適用」が 8.8%、「機器や記録媒体の持込み・持出しの制限」が 8.6%である。
図 3.3-30 情報セキュリティ被害防止のための組織・運用面の対策(実施時期)
-
57
3.3.6. セキュリティ関連製品・ソリューションの導入や、実施している組織面・運用面
の対策費用
(1) 対策費用
2012 年度にセキュリティ関連製品・ソリューションの導入や実施している組織面・運用面の対策にかけた費用は「1 百万円未満」が 25.7%、「1 百万円~5 百万円未満」が 21.9%、「わからない」が 10.6%である。 従業員規模別にみると、「300 人以上企業」では「1 百万円~5 百万円未満」が 20.7%、「1
百万円未満」が 14.7%であり、「300 人未満企業」では、それぞれ 22.9%、35.8%である。
図 3.3-31 セキュリティ関連製品・ソリューションの導入、組織面・運用面対策の費用
図 3.3-32 セキュリティ関連製品・ソリューションの導入、組織面・運用面対策の費用 (従業員規模別)
-
58
(2) トラブル後の対策費用
2012 年度にセキュリティ関連製品・ソリューションの導入や実施している組織面・運用面の対策にかけた費用そのうち、トラブル後にかけた費用は、「1 百万円未満」が 19.9%、「わからない」が 18.0%である。 従業員規模別にみると、「1 百万円未満」は「300 人以上企業」が 17.9%、「300 人未満企
業」が 21.7%である。
図 3.3-33 情報セキュリティ被害防止のための組織面・運用面の対策(トラブル後)
図 3.3-34 情報セキュリティ被害防止のための組織面・運用面の対策(トラブル後) (従業員規模別)
-
59
(3) 2013 年度の対策費用の予定
2013 年度(2013 年 4 月~2014 年 3 月)のセキュリティ関連製品・ソリューション導入に要する費用は、2012 年度「同程度」が 50.9%、「未定」が 20.0%、「増える」が 19.7%、「減る」が 4.7%である。 従業員規模別にみると、「300 人以上企業」では「同程度」が 49.0%、「増える」が 22.8%
であり、「300 人未満企業」では、それぞれ 52.7%、16.8%である。
図 3.3-35 セキュリティ関連製品・ソリューション導入、組織面・運用面対策
の費用の増減
図 3.3-36 セキュリティ関連製品・ソリューション導入、組織面・運用面対策 の費用の増減(従業員規模別)
-
60
3.3.7. セキュリティパッチの適用
情報セキュリティパッチの適用状況についてみると、「外部公開ネットワークサーバ」の
「ほぼ全サーバに計画的に適用している」は 27.2%であり、「内部利用ローカルサーバ」は35.4%である。 従業員規模別にみると、外部公開ネットワークサーバにおいては「ほぼ全サーバに計画
的に適用している」は、「300 人以上企業」では 29.9%、「300 人未満企業」では 24.7%である。
図 3.3-37 セキュリティパッチの適用
図 3.3-38 外部公開ネットワークサーバへのセキュリティパッチの適用(従業員規模別)
-
61
内部利用ローカルサーバにおいては「ほぼ全サーバに適用している」は、「300 人以上企
業」では 32.4%、「300 人未満企業」では 38.1%である。
図 3.3-39 内部利用ローカルサーバへのセキュリティパッチの適用(従業員規模別)
-
62
3.3.8. セキュリティパッチを導入しない理由
サーバにセキュリティパッチを「ほとんど適用していない」と回答した理由としては、「パ
ッチの適用が悪影響を及ぼすリスクを避けるため」が 70.4%と最も多く、次いで「パッチを適用しなくても問題ないと判断したため」が 30.5%である。
従業員規模別にみると、「300 人以上企業」、「300 人未満企業」ともに「パッチの適用が悪影響を及ぼすリスクを避けるため」が最も多く、次いで「パッチを適用しなくても問題
ないと判断したため」である。
図 3.3-40 セキュリティパッチを導入しなかった理由
図 3.3-41 セキュリティパッチを導入しなかった理由(従業員規模別)
-
63
3.3.9. クライアント(パソコン)へのセキュリティパッチ適用の有無
クライアント(パソコン)へのセキュリティパッチの適用状況は、「常に適用し、適用状
況も把握している」が 36.0%、「常に適用する方針・設定だが、実際の適用状況は不明」が31.3%、「各ユーザに適用を任せている」が 16.7%である。
従業員規模別にみると、「300 人以上企業」では「常に適用し、適用状況も把握している」が 45.5%、「常に適用する方針・設定だが、実際の適用状況は不明」が 27.1%である。「300人未満企業」ではそれぞれ、27.5%、35.1%である。
図 3.3-42 セキュリティパッチ適用の有無
図 3.3-43 セキュリティパッチ適用の有無(従業員規模別)
-
64
クライアント(パソコン)へのセキュリティパッチの適用状況の 2007 年~2012 年度の
比較では、2012 年度において「常に適用し、適用状況も把握している」及び「常に適用する方針・設定だが、実際の適用状況は不明」が僅かながら増加し、「各ユーザに適用を任せ
ている」、「ほとんど適用していない」が僅かながら減少している。
図 3.3-44 セキュリティパッチ適用の有無(2007 年~2012 年度の比較)
-
65
3.4. コンピュータウイルスによる被害状況
3.4.1. コンピュータウイルス遭遇(感染または発見)経験
コンピュータウイルスに遭遇(感染または発見)した経験については、「ウイルスを発見
したが、感染には至らなかった」が 48.8%と最も多く、次いで「ウイルスをまったく発見しなかった」が 26.7%、「コンピュータウイルスに感染した」が 18.3%である。2011 年度調査結果と比べると「コンピュータウイルスに感染した」と「ウイルスを発見したが、感染
には至らなかった」の合計では、3.2 ポイント増加している。 ウイルスに感染した割合を従業員規模別にみると、「300 人以上企業」に比べ、「300 人未
満企業」が「コンピュータウイルスに感染した」が少なく、「ウイルスをまったく発見しな
かった」が多い傾向である。
図 3.4-1 コンピュータウイルス遭遇(感染または発見)経験
図 3.4-2 コンピュータウイルス遭遇(感染または発見)経験(従業員規模別)
-
66
時系列でみると、ウイルス遭遇率は 2002 年のピークを境に、2010 年度まで減少傾向に
あったが、2011 年度から増加傾向に転じ、2012 年度は 71.5%に達した。
図 3.4-3 コンピュータウイルス遭遇(感染または発見)経験(時系列)
注1)遭遇経験ありとは、「ウイルスを発見したが感染には至らなかった」「ウイルスに感染し被害が
あった」との合計を示す。 注2)時系列比較のため、「わからない」「無回答」を除いて再集計している。
-
67
3.4.2. コンピュータウイルスを発見した方法
コンピュータウイルスを発見した方法をみると、全体的には「ウイルス対策ソフト(ク
ライアント型)」が 89.0%と最も多く、次いで「ウイルス対策ソフト(ゲートウェイ型)」が 21.6%となっている。2011 年度調査結果と比べて傾向の大きな変化はみられない。 従業員規模別でみても、「300 人以上企業」と「300 人未満企業」で同じ傾向である。
図 3.4-4 コンピュータウイルスを発見した方法(2011 年度調査結果との比較)
図 3.4-5 コンピュータウイルスを発見した方法(従業員規模別)
-
68
3.4.3. 感染あるいは発見されたコンピュータウイルスの侵入経路
コンピュータウイルスの侵入経路をみると、全体では「インターネット接続(ホームペ
ージ閲覧など)」が 63.2%、「電子メール」51.7%、「USB メモリ等の外部記憶媒体」が 38.0%となっている。2011 年度調査結果と比べると「インターネット接続(ホームページ閲覧など)」が 6.8 ポイント増加し、「USB メモリ等の外部記憶媒体」は 7.5 ポイント減少している。 従業員規模別にみると、「USB メモリ等の外部記憶媒体」が「300 人以上企業」では 45.6%
と多いのに対して、「300 人未満企業」では 29.4%と少なく、他項目に比べ大きな差異がある。これは 2011 年度の傾向と同様である。
図 3.4-6 コンピュータウイルスの侵入経路(2011 年度調査結果との比較)
図 3.4-7 コンピュータウイルスの侵入経路(従業員規模別)
-
69
3.4.4. ウイルスの感染件数
ウイルスの感染件数をみると、「1 件」が 32.8%と最も多く、次いで「5 件以上」が 27.5%と二極分化している。2011 年度調査結果と比べると、「2 件」が 4.6 ポイント多くなっている。 従業員規模別にみると、「300 人以上企業」では「5 件以上」が 32.2%と比較的多いのに
対して、「300 人未満企業」では「1 件」が 37.1%と多くなっている。2011 年度調査結果と比べると、「300 人以上企業」では「2 件」が 5.6 ポイント多くなり、「300 人未満企業」では「5 件以上」が 7.4 ポイント多くなっている。
図 3.4-8 ウイルスの感染件数
図 3.4-9 ウイルスの感染件数(従業員規模別)
-
70
3.4.5. ウイルスに感染したパソコン・サーバ・スマートデバイスの台数
(1) ウイルスに感染したパソコンの台数
ウイルスに感染したパソコンの台数をみると、「1~4 台」が 56.5%と最も多い。 従業員規模別にみると、「300 人以上企業」では「1~4 台」が 50.2%と「300 人未満企業」
の 65.7%に比べると少ない一方で「100 台~999 台」6.3%となっている等、比較的多くのパソコンの感染があった企業も一定程度みられる。
図 3.4-10 ウイルスに感染したパソコンの台数
図 3.4-11 ウイルスに感染したパソコンの台数(従業員規模別)
-
71
(2) ウイルスに感染したサーバの台数
ウイルスに感染したサーバの台数をみると、「0 台」が 66.4%と最も多い。 従業員規模別にみると、「300 人以上企業」では「0 台」が 70.2%と「300 人未満企業」
に比べ多く、「1~4 台」が 6.8%とやや少ない傾向にある。
図 3.4-12 ウイルスに感染したサーバの台数
図 3.4-13 ウイルスに感染したサーバの台数(従業員規模別)
-
72
(3) ウイルスに感染したスマートデバイスの台数
ウイルスに感染したスマートフォン・タブレット端末の台数をみると、「0 台」が 70.7%と最も多く、「5~9 台」が1件と感染数は非常に少ない。従業員規模別にみると、「300 人以上企業」では感染した端末はみられない。
図 3.4-14 ウイルスに感染したスマートフォン・タブレット端末の台数
図 3.4-15 ウイルスに感染したスマートフォン・タブレット端末の台数(従業員規模別)
-
73
3.4.6. ウイルスの直接的な被害
ウイルスの直接的被害をみると、「パソコン単体の停止」が 38.6%と最も多く、次いで「個人の業務停滞」が 32.5%、「特になし」が 26.1%となっている。
従業員規模別にみると、「300 人以上企業」、「300 人未満企業」ともに「パソコン単体の停止」、「個人の業務停滞」、「システム停止・性能低下」が多い傾向は同じである。
2.6%
1.2%
4.3%
11.0%
18.6%
38.6%
7.5%
32.5%
1.7%
1.7%
26.1%
2.3%
0.0% 20.0% 40.0% 60.0% 80.0% 100.0%
情報破壊
情報漏洩
ウイルスメール等の発信
ネットワークの遅延
システム停止・性能低下
パソコン単体の停止
関連部門の業務停滞
個人の業務停滞
取引先への感染拡大
その他
特になし
無回答
(N=345)
図 3.4-16 ウイルスの直接的な被害
2.4%
1.0%
4.4%
9.8%
13.2%
42.0%
8.3%
36.1%
2.0%
1.0%
26.8%
2.0%
2.9%
1.4%
4.3%
12.9%
26.4%
33.6%
6.4%
27.1%
1.4%
2.9%
25.0%
2.9%
0.0% 20.0% 40.0% 60.0% 80.0% 100.0%
情報破壊
情報漏洩
ウイルスメール等の発信
ネットワークの遅延
システム停止・性能低下
パソコン単体の停止
関連部門の業務停滞
個人の業務停滞
取引先への感染拡大
その他
特になし
無回答
300人以上企業(N=205)
300人未満企業(N=140)
図 3.4-17 ウイルスの直接的な被害(従業員規模別)
-
74
3.5. サイバー攻撃(ウイルス以外)について
3.5.1. サイバー攻撃との遭遇経験
サイバー攻撃に遭遇したのは 13.8%であり、その内訳は「サイバー攻撃を受けたが、被害には至らなかった」が 11.4%、「サイバー攻撃で被害にあった」が 2.4%である。遭遇率は、2011 年度調査結果と比較すると、3.9 ポイント増加した。
従業員規模別にみると、遭遇率は「300 人以上企業」で 19.7%、「300 人未満企業」で 8.5%と、「300 人以上企業」の方が多い。
図 3.5-1 サイバー攻撃の遭遇経験
図 3.5-2 サイバー攻撃の遭遇経験(従業員規模別)
-
75
3.5.2. サイバー攻撃による被害
サイバー攻撃を受けた企業の被害内容としては、「Web サイトが改ざんされた」が 40.0%と最も多く、次いで「業務サーバのサービスの機能が低下させられた」が 17.8%である。
従業員規模別にみると、「300 人以上企業」では「Web サイトが改ざんされた」が圧倒的に多いが、「300 人未満企業」では、「Web サイトが改ざんされた」が多い一方で、「Web サイトのサービスの機能が低下させられた」、「業務サーバのサービスが停止させられた」、「業
務サーバのサービスの機能が低下させられた」がともに 21.4%と多くなっている。但し、本設問に関しては「300 人未満企業」の回答数は 14 社と少ないことに留意が必要である。
2011 年度調査結果と比較すると、「Web サイトが改ざんされた」が 26.2 ポイント増加し、「貴社が提供するネットサービスにおいて第三者のなりすましによる不正使用があった」
が 11.6 ポイント減少している。
図 3.5-3 サイバー攻撃による被害(2011 年度調査との比較)
-
76
図 3.5-4 サイバー攻撃による被害(従業員規模別)
-
77
3.5.3. サイバー攻撃の手口
サイバー攻撃の手口で最も多いのは、「DoS 攻撃」の 40.0%であり、次いで「標的型攻撃」の 27.3%である。「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」が 18.5%、「SQL インジェクション」が 8.1%である。
従業員規模別にみると、「300 人以上企業」では、「DoS 攻撃」が 36.4%、「標的型攻撃」が 29.0%、「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」が 21.0%の順に多い。「300 人未満企業」では、「DoS 攻撃」が 47.6%と群を抜いて高く、「標的型攻撃」が 23.8%、「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」が 13.1%である。
図 3.5-5 サイバー攻撃の手口(2011 年度調査結果との比較)
図 3.5-6 サイバー攻撃の手口(従業員規模別)
-
78
3.5.4. 標的型攻撃による被害状況
標的型攻撃を受けた企業の被害状況をみると、「標的型攻撃が原因と考えられるウイルス
感染、不正アクセス、情報漏洩等が確認された」企業は 16.9%であった。 従業員規模別にみると、「300 人以上企業」では 19.6%、「300 人未満企業」では 10.0%と
なっており、従業員数が多い企業での被害率が約 2 倍となっている。
図 3.5-7 標的型攻撃による被害状況
図 3.5-8 標的型攻撃による被害状況(従業員規模別)
-
79
3.5.5. 標的型攻撃の具体的な手段
標的型攻撃の具体的な手段をみると、「同僚や取引先、サービス事業者からのメールを装
い、添付したウイルスファイルを開かせる」が 50.7%と最も多く、次いで「公的機関からのメールを装い、添付したウイルスファイルを開かせる」が 40.8%、「電子メールに表示された URL 経由で攻撃用のウェブサイトに誘導される」が 39.4%であった。 従業員規模別にみると、「300 人以上企業」では「同僚や取引先、サービス事業者からの
メールを装い、添付したウイルスファイルを開かせる」が 54.9%と最も多いのに対して、「300 人未満企業」では「電子メールに表示された URL 経由で攻撃用のウェブサイトに誘導される」が 50.0%で最も多くなっている。
図 3.5-9 標的型攻撃の具体的な手段
図 3.5-10 標的型攻撃の具体的な手段(従業員規模別)
-
80
3.5.6. 標的型攻撃と思われる電子メールの件数
標的型攻撃を受けた企業が 2012 年度(1年間)に受けた「標的型攻撃と思われる電子メール」の件数をみると、「10~99」が 28.2%と最も多く、次いで「1~9」と「100~999」が 16.9%であった。 従業員規模別にみると、「300 人以上企業」では「10~99」が 27.5%と最も多く、次いで
「1~9」が 23.5%、「100~999」が 15.7%である。「300 人未満企業」では、それぞれ 30.0%、0%、20.0%である。
図 3.5-11 標的型攻撃と思われる電子メールの件数
図 3.5-12 標的型攻撃と思われる電子メールの件数(従業員規模別)
-
81
3.6. ウイルス感染やサイバー攻撃の被害により生じた直接的損失
3.6.1. 電子商取引(EC)が停止した期間
「ウイルスに感染した」または「サイバー攻撃で被害があった」企業のうち電子商取引
を行っている企業について、電子商取引の停止期間をみると「停止していない」が 84.3%、「4 時間未満」が 6.0%となっている。24 時間を超える停止があった企業は合わせて 2.2%となっている。
従業員数規模別にみると、「300 人以上企業」では「4 時間未満」から「6 日以上」まで様々な停止期間の企業があるのに対して、「300 人未満企業」では、停止があった企業は全て「4 時間未満」となっている。
図 3.6-1 電子商取引(EC)が停止した期間
図 3.6-2 電子商取引(EC)が停止した期間(従業員規模別)
83.3
85.7
3.8
8.9
1.3
0.0
0.0
0.0
0.0
0.0
2.6
0.0
0.0
0.0
1.3
0.0
7.7
5.4
0% 20% 40% 60% 80% 100%
300人以上企業(N=78)
300人未満企業(N=56)
停止していない 4時間未満 4~8時間未満
8~12時間未満 12~24時間未満 24時間~3日未満
3~6日未満 6日以上 無回答
-
82
3.6.2. EC サーバ以外の業務遂行上重要なサーバ停止の影響
(1) 重要なサーバの停止
ウイルス感染やサイバー攻撃により EC サーバ以外の業務遂行上重要なサーバが停止した期間は、「停止していない」が 80.4%、「24 時間~3 日未満」が、2.2%である。 従業員規模別にみても「停止していない」が多い傾向に差はない。
図 3.6-3 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数
図 3.6-4 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数(従業員規模別)
-
83
(2) 重要サーバの停止による商取引の中断
ウイルス感染やサイバー攻撃に�