を促すとともに、継続的な活用によるさらなるレベルアップを支援して、第三者評 価・認証の取得へとつなげることができるとしている。
② ベンチマークを利用した評価を行うことにより、全体の集計結果の平均点と回答企 業(もしくは組織)の点数を比較することが可能となり、回答企業(もしくは組織)
において、重点的に取り組むべきポイントがより明確に分かるといった効果も期待 できる。
③ 全国の平均点と関西地域の平均点を比較することにより、今後企業・自治体が行う 情報セキュリティ対策の取り組みについて一定の方向性を示すことが可能となる。
これらのことを念頭において、アンケート調査を実施した。
図表2−3−1−2.施策ツールとISMS認証などとの基本的関係
出典:「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」平成17年3月 経済産業省
図表2−3−1−3.情報セキュリティ対策のベンチマークのイメージ
出典:「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」平成17年3月 経済産業省
なお、望まれる水準については「企業における情報セキュリティガバナンスのあり方に関する 研究会」報告書では、次のように定義されている。本アンケート調査においても、上記の「望ま れる水準」に準じて評価を行う。
<「望まれる水準」について>
企業の「望まれる水準」を設定する際の目安を明らかにするため、2005 年 1 月に 企業約 6,000 社にアンケートを郵送し、1,633 件の回答を得た。
この 1,633 件のうち、すべての設問に回答した 885 件について「高水準のセキュ リティレベルが要求される層」「相応のセキュリティレベルが望まれる層」「情報セ キュリティ対策が喫緊の課題ではない層」に3分類した上で、対策の取組状況につ いてのトータルスコア(設問当たり最高 5 点で 125 点満点)を算出した。
このアンケートによって、以下のことが言える。
・ 各層のトータルスコアの平均を比較すると、要求されるセキュリティレベルが 高い(さらされているリスクが高い)程、トータルスコアの平均は高く、全体 として対策が進んでいると言える。
・ ただし、各層ともトータルスコアのばらつきは大きく、例えば、高水準のセキ ュリティレベルが要求される層の中にも、低いトータルスコアに留まる企業が ある。
【望まれる水準】
以上のアンケート結果に加え、
① ISMS 認証を取得するに至るレベルは 4.0 であるが、部門別の ISMS 認証取得の 場合は、企業全体として 3.0〜4.0 の間に位置するのではないかと考えられる こと
② 「情報セキュリティ対策が喫緊の課題ではない層」についても、「経営層の承認 のもとに方針やルールを定め、全社的に周知・実施する(= 3 .0)」のレベルを 求めていくことが妥当と考えられること
③ しかしながら、全体平均値を下回る企業が多数存在するため、直ちに①及び② のレベルを求めることは困難と考えられること等を踏まえれば、望まれる水準 としては、「各層の上位1/3における平均値を目標としつつ、各層における全 体平均値に達していない企業については、各層における全体平均値を、早期に 達成すべき暫定的目標として設定する」ことが適当である。
ただし、この「望まれる水準」は、企業の業務内容・IT 依存度の変化といった内 的要因だけではなく、社会全体のネットワーク化の更なる進展といった外的要因に よっても変動していくものであることに十分な留意が必要である。なお、「望まれ る水準」の設定に当たっては、検討の過程で、「相対基準ではなく絶対基準が望ま しい」との意見もあったが、情報セキュリティ対策が十分に進んでいない国内企業 のレベル向上を目指すに当たり、絶対基準の設定が適当かは慎重な検討が必要であ ること、また、既に ISMS 認証基準のような絶対基準もあること等から、現段階で 対策ベンチマークに係る絶対基準は設定しないこととした。この点については、利 用者のニーズも踏まえ、対策ベンチマークの運用を担う機関を中心に、更なる検討 を期待する
出典:「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」平成17年3月 経済産業省
3.2 調査結果 上場企業
企業の情報セキュリティ対策を考えるとき、最近重要視されているのは「情報セキュリティガ バナンス」という考え方である。「情報セキュリティガバナンス」は「社会的責任にも配慮したコ ーポレートガバナンスと、それを支えるメカニズム」を企業内に構築・運用すること」と定義さ れている。いったんセキュリティ事故が発生すると、被害はその企業だけにとどまらず、社会に も大きな影響を与えてしまう。こうしたことを背景に、2007年度のアンケート調査では、「組織 的な取り組み」、「物理的セキュリティの対策」、「情報セキュリティ上の事故対応状況」の計3分 野、15項目について、情報セキュリティ対策ベンチマークを用いて、企業の実態を把握する内容 とした。2007年度のアンケート調査で明らかになったポイントは次のとおりである。
→ 上場企業の「情報セキュリティ対策」結果のポイント
◆ アンケートより
z 2007年度の調査項目であるマネジメント面を評価する「組織的な取り組み状況」、設備面など を評価する「物理的セキュリティの対策」、事故発生時の対応状況などを評価する「情報セキ ュリティ上の事故対応状況」のいずれの項目においても、2005 年度に経済産業省が調査した 結果を上回っていた(平均して、3ポイント以上)。
z その他の項目についても、マネジメント面の評価と概ね同様の結果となっており、チャート図 で見ると、比較的きれいな真円に近い図となり、特に弱い分野は見当たらなかった。
z このような2006年度からの改善理由としては、日本版SOX法に関連したIT全般による内部 統制の見直しに伴った情報漏洩対策を主とした情報セキュリティ対策の見直しが影響してい るものと思われる。
z 情報セキュリティ対策の状況とCIOの関係をみると、CIOとして必要とされている能力や機 能が、充実している企業ほど、情報セキュリティの対策状況も充実しているということである。
z なお、業況別にセキュリティ対策状況を見た場合、業況別による大きな差異は認められないが、
業況が悪化しているとした企業では、比較的セキュリティ対策状況も低い傾向がみられた。
z さらに業種別にセキュリティ対策状況を見た場合、金融業が他の業種に比べて圧倒的に対策状 況がよい傾向が見られた。ただし、この結果は、金融業のサンプル数が4と、かなり少ないた め、この点については注意を要する。
(1)情報セキュリティ全般
図表2−3−2−1−1.項目ごとの平均点分布
情報セキュリティ対策ベンチマークチャート図
0 1 2 3 4 5 情報セキュリティ管理規定
情報セキュリティ推進体制
情報資産の重要度に応じた分類
重要情報の業務行程ごとの安全対策
業務委託契約
従業者との契約
従業者への教育 第三者アクセス 建物や安全区画面の物理的セキュリティ
情報機器の安全な設置 情報記録媒体の適切な管理 実稼働環境の情報セキュリティ対策
情報システムの障害対策 情報セキュリティ事故対応手続き
事業継続への取り組みの実施 実態調査平均値(上場企業)
全国平均
組織的な 取り組み状 況
物理的セキュリティ の対策 情報セキュリティ上 の事故対応状況
2005年度に経済産業省が調査・発表した「企業における情報セキュリティガバナンスのあり方 研究会報告書」での結果との比較では、ほとんどの項目で、全国平均(全体)、全国平均(上場企 業)の結果を上回っている(平均して3ポイント以上)。特に2006年度の調査で弱かったマネジ メント面(=「組織的な取り組み状況」)では、どの項目も平均点が3ポイント以上となっており、
かなり改善された傾向がうかがえる結果になっている。さらに、「情報セキュリティ上の事故対応 状況」についても、「事故対応手続き」や「事業継続への取り組み」といったBCP12に関連する項 目についても、全国平均を大きく上回っていることが分かる。こうした2006年度からの改善の理 由としては、日本版SOX法に関連した内部統制の見直しに伴った情報漏洩対策を主とした情報セ キュリティ対策の見直しが影響しているものと思われる。
以上の結果から関西の上場企業の多くは「企業における情報セキュリティガバナンスのあり方 に関する研究会報告書」で述べられている「望まれる水準」の中にある「ISMS認証取得」に必要 なポイントである「3.0ポイントから4.0ポイント」という要件を満たしていると言える。
12 BCP(Business ContinuITy Plan):潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、
事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されている手順及び情報を文 書化した事業継続の成果物。