第 2 章 アンケート調査
4. 情報セキュリティに関する意識・状況
4.8 被害の防止策
(1)
組織面・運用面の対策の実施全体では、「重要なシステム・データのバックアップ」が最も多く
37.1%、次いで「特に実施していな
い」が
34.2%、「情報(書類などの紙媒体)の施錠管理」で 23.2%である。
企業規模別で見ると、小規模企業で最も多いのは「特に実施していない」で
42.2%、中小企業(100
人 以下)で最も多いのは「重要なシステム・データのバックアップ」で42.7%、中小企業(101
人以上)で最も多いのは「重要なシステム・データのバックアップ」で
71.2%である。
役割別の回答で見ると、経営層で最も多いのは「特に実施していない」で
37.3%、 IT
または情報セキ ュリティ担当者で最も多いのは「重要なシステム・データのバックアップ」で61.2%、一般社員で最も
多いのは「重要なシステム・データのバックアップ」で39.5%である。
業種別の回答で見ると、情報通信業、金融業・保険業とそれ以外の業種では乖離がある。「重要なシス テム・データのバックアップ」と最も多く回答したのは情報通信業で
74.1%、次点は金融業・保険業で
56.3%である。「特に実施していない」と最も多く回答したのは農林漁業で 46.7%である。
図 2-140 被害の防止策(企業規模別)
5.4%
6.0%
2.3%
3.5%
14.0%
20.9%
12.1%
3.9%
11.8%
23.2%
6.1%
11.5%
15.6%
14.4%
8.3%
37.1%
2.3%
2.9%
0.6%
1.0%
8.2%
14.6%
8.5%
1.4%
6.4%
16.0%
2.7%
7.9%
9.4%
7.6%
4.8%
29.8%
7.2%
8.0%
3.4%
4.9%
17.8%
25.9%
14.7%
5.2%
15.6%
28.9%
8.4%
14.1%
19.8%
19.1%
10.2%
42.7%
27.6%
24.5%
11.0%
20.2%
46.6%
47.9%
30.7%
22.7%
41.7%
55.8%
24.5%
31.3%
49.7%
50.3%
32.5%
71.2%
0% 20% 40% 60% 80% 100%
事業継続計画(BCP)の策定
情報セキュリティに関するリスク分析
情報セキュリティマネジメントシステム(ISMS)の認証取得
プライバシーマーク(Pマーク)の取得
セキュリティポリシー(セキュリティの規程やルール)が⽂章化されている
⼀般ユーザアカウントの管理ルールの策定(パスワードの設定ルール等)
Webサイト管理者権限アカウントの管理ルールの策定
IT資産構成や設定の⽂書化
フロアや施設への⼊退出管理
情報(書類などの紙媒体)の施錠管理
セキュリティワイヤー等による機器の固定
外部送信ファイルへのパスワード設定
機器や記録媒体の持込み・持出しの制限
アカウント毎のアクセス制御
⼀般ユーザのプログラムインストールの制限(exeファイルの実⾏禁⽌等)
重要なシステム・データのバックアップ 企業規模別
全体 (n=4215)
⼩規模企業 (n=2192)
中⼩企業(100⼈以下) (n=1860) 中⼩企業(101⼈以上) (n=163)
図 2-141 被害の防止策(企業規模別)
21.1%
12.0%
3.8%
5.6%
6.7%
3.1%
5.4%
7.4%
7.3%
1.0%
1.0%
1.8%
0.9%
0.9%
1.0%
34.2%
5.8%
15.5%
9.1%
2.1%
4.3%
2.9%
1.3%
2.8%
4.0%
3.6%
0.4%
0.5%
1.0%
0.5%
0.4%
1.2%
42.2%
7.5%
25.0%
13.6%
4.9%
6.5%
9.5%
4.5%
7.1%
9.6%
9.5%
1.3%
1.2%
2.4%
1.3%
1.3%
0.8%
27.0%
4.2%
52.1%
32.5%
15.3%
12.9%
25.2%
11.7%
20.2%
29.4%
31.3%
5.5%
4.3%
6.1%
3.7%
2.5%
0.6%
8.6%
0.0%
0% 20% 40% 60% 80% 100%
ハードディスク等の廃棄時の破砕/溶融
セキュリティ監視サービスの活⽤
ログやファイル情報に基づくWebコンテンツの改ざん検知
定期的なWebコンテンツのセキュリティ診断サービス(ぜい弱性調査)の 活⽤
情報セキュリティ監査(内部監査)の実施
情報セキュリティ監査(外部監査)の実施
情報セキュリティ対策の定期的な⾒直し
委託先の情報セキュリティ対策、体制、実施状況などの確認
(内容に応じて)委託先とNDA(機密保持契約)の締結
クラウドサービス利⽤のための情報セキュリティマネジメントガイドライン(経 済産業省ガイドライン)の活⽤
情報セキュリティ管理基準(経済産業省告⽰)の活⽤
SSL/TLS暗号設定ガイドライン(IPAのガイドライン)の活⽤
組織における内部不正防⽌ガイドライン(IPAのガイドライン)の活⽤
中⼩企業における組織的な情報セキュリティ対策ガイドライン(IPAのガイ ドライン)の活⽤
その他
特に実施していない
無回答 企業規模別
全体 (n=4215)
⼩規模企業 (n=2192)
中⼩企業(100⼈以下) (n=1860) 中⼩企業(101⼈以上) (n=163)
図 2-142 被害の防止策(役割別)
5.6%
6.1%
2.3%
3.6%
14.3%
21.2%
12.3%
4.1%
12.0%
23.6%
6.3%
11.7%
16.0%
14.7%
8.5%
37.3%
3.9%
5.0%
2.0%
2.8%
11.2%
17.6%
10.8%
2.8%
9.0%
19.0%
4.3%
9.5%
13.2%
10.6%
6.7%
32.2%
14.7%
13.7%
4.4%
8.6%
31.7%
39.7%
22.5%
13.2%
28.1%
42.9%
17.1%
22.7%
32.4%
36.9%
19.2%
61.2%
5.1%
4.3%
1.6%
2.8%
12.9%
20.9%
9.4%
1.6%
11.2%
28.2%
5.9%
11.9%
14.0%
13.2%
6.8%
39.5%
0% 20% 40% 60% 80% 100%
事業継続計画(BCP)の策定
情報セキュリティに関するリスク分析
情報セキュリティマネジメントシステム(ISMS)の認証取得
プライバシーマーク(Pマーク)の取得
セキュリティポリシー(セキュリティの規程やルール)が⽂章化されている
⼀般ユーザアカウントの管理ルールの策定(パスワードの設定ルール等)
Webサイト管理者権限アカウントの管理ルールの策定
IT資産構成や設定の⽂書化
フロアや施設への⼊退出管理
情報(書類などの紙媒体)の施錠管理
セキュリティワイヤー等による機器の固定
外部送信ファイルへのパスワード設定
機器や記録媒体の持込み・持出しの制限
アカウント毎のアクセス制御
⼀般ユーザのプログラムインストールの制限(exeファイルの実⾏禁⽌等)
重要なシステム・データのバックアップ 役割別
全体 (n=4232) 経営層 (n=3035)
ITや情報セキュリティの社内担当者 (n=590)
⼀般社員 (n=607)
図 2-143 被害の防止策(役割別)
21.4%
12.0%
3.9%
5.6%
6.8%
3.2%
5.5%
7.6%
7.4%
0.9%
0.9%
1.9%
0.9%
0.9%
0.9%
33.8%
5.9%
18.3%
10.8%
2.8%
5.3%
5.3%
2.5%
4.4%
6.2%
5.5%
0.7%
0.6%
1.5%
0.8%
0.7%
1.0%
37.3%
7.0%
40.3%
18.0%
10.2%
6.8%
16.4%
8.3%
12.9%
15.3%
18.8%
2.2%
2.2%
3.7%
1.9%
1.7%
1.2%
17.3%
1.2%
18.1%
11.9%
3.1%
5.6%
5.1%
1.5%
3.5%
7.2%
5.8%
0.7%
1.5%
1.6%
0.8%
1.0%
0.3%
32.5%
4.6%
0% 20% 40% 60% 80% 100%
ハードディスク等の廃棄時の破砕/溶融
セキュリティ監視サービスの活⽤
ログやファイル情報に基づくWebコンテンツの改ざん検知
定期的なWebコンテンツのセキュリティ診断サービス(ぜい弱性調査)の 活⽤
情報セキュリティ監査(内部監査)の実施
情報セキュリティ監査(外部監査)の実施
情報セキュリティ対策の定期的な⾒直し
委託先の情報セキュリティ対策、体制、実施状況などの確認
(内容に応じて)委託先とNDA(機密保持契約)の締結
クラウドサービス利⽤のための情報セキュリティマネジメントガイドライン(経 済産業省ガイドライン)の活⽤
情報セキュリティ管理基準(経済産業省告⽰)の活⽤
SSL/TLS暗号設定ガイドライン(IPAのガイドライン)の活⽤
組織における内部不正防⽌ガイドライン(IPAのガイドライン)の活⽤
中⼩企業における組織的な情報セキュリティ対策ガイドライン(IPAのガイ ドライン)の活⽤
その他
特に実施していない
無回答 役割別
全体 (n=4232) 経営層 (n=3035)
ITや情報セキュリティの社内担当者 (n=590)
⼀般社員 (n=607)
5.6%
6.2%
2.3%
3.7%
14.3%
21.3%
12.3%
4.1%
12.0%
23.6%
1.2%
3.0%
0.6%
0.0%
4.1%
10.7%
6.5%
3.0%
4.7%
18.3%
3.7%
2.7%
1.0%
0.4%
4.8%
16.6%
7.9%
1.0%
3.5%
15.0%
4.1%
3.2%
0.5%
0.8%
6.5%
15.6%
8.7%
1.4%
5.4%
16.0%
23.6%
34.9%
22.6%
29.7%
56.6%
56.6%
44.3%
27.8%
61.3%
63.2%
1.9%
3.7%
1.2%
1.2%
11.2%
14.9%
8.1%
1.9%
6.2%
14.3%
2.2%
2.6%
0.7%
1.1%
5.9%
14.8%
9.2%
0.7%
5.2%
13.3%
1.8%
1.8%
0.6%
1.6%
8.1%
14.1%
8.5%
0.6%
4.6%
11.7%
31.7%
20.1%
3.5%
5.0%
60.3%
53.8%
29.1%
17.1%
45.7%
69.3%
2.4%
2.7%
0.0%
1.2%
8.8%
17.1%
10.1%
1.8%
10.7%
23.8%
4.0%
6.2%
2.1%
4.6%
15.0%
22.3%
11.7%
3.7%
11.4%
25.5%
0% 20% 40% 60% 80% 100%
事業継続計画(BCP)の策定
情報セキュリティに関するリスク分析
情報セキュリティマネジメントシステム(ISMS)の認証取得
プライバシーマーク(Pマーク)の取得
セキュリティポリシー(セキュリティの規程やルール)が⽂章化されている
⼀般ユーザアカウントの管理ルールの策定(パスワードの設定ルール等)
Webサイト管理者権限アカウントの管理ルールの策定
IT資産構成や設定の⽂書化
フロアや施設への⼊退出管理
情報(書類などの紙媒体)の施錠管理 業種別
全体 (n=4270) 農林漁業 (n=169)
建設業 (n=481) 製造業・鉱業・電気・ガス・熱供給・⽔道業 (n=633)
情報通信業 (n=212) 運輸業,郵便業 (n=161)
卸売業 (n=271) ⼩売業 (n=505)
図
2-145
被害の防止策(業種別)6.3%
11.7%
15.9%
14.8%
8.4%
37.4%
21.5%
12.1%
3.9%
5.6%
1.8%
5.9%
5.9%
7.7%
2.4%
30.8%
11.8%
8.9%
1.2%
3.6%
3.7%
4.6%
6.7%
6.2%
2.1%
28.1%
14.8%
12.7%
0.4%
2.9%
2.2%
6.3%
10.6%
13.0%
4.3%
37.0%
17.5%
11.7%
2.1%
4.9%
33.0%
52.4%
55.7%
57.1%
27.4%
74.1%
62.7%
22.6%
25.9%
13.2%
3.7%
4.3%
10.6%
10.6%
6.8%
28.6%
14.3%
9.3%
1.2%
5.0%
1.8%
4.1%
9.6%
9.6%
6.3%
33.2%
14.8%
11.4%
1.1%
5.9%
3.4%
6.3%
9.9%
7.9%
4.8%
26.9%
13.1%
7.9%
0.4%
2.4%
21.1%
46.7%
57.3%
44.7%
36.2%
56.3%
54.3%
23.6%
15.6%
12.1%
4.9%
4.6%
12.5%
8.8%
6.7%
39.0%
18.6%
13.7%
3.0%
5.8%
6.0%
12.0%
15.6%
14.0%
8.8%
38.5%
21.7%
10.7%
3.6%
6.2%
0% 20% 40% 60% 80% 100%
セキュリティワイヤー等による機器の固定
外部送信ファイルへのパスワード設定
機器や記録媒体の持込み・持出しの制限
アカウント毎のアクセス制御
⼀般ユーザのプログラムインストールの制限(exeファイルの実⾏禁⽌等)
重要なシステム・データのバックアップ
ハードディスク等の廃棄時の破砕/溶融
セキュリティ監視サービスの活⽤
ログやファイル情報に基づくWebコンテンツの改ざん検知
定期的なWebコンテンツのセキュリティ診断サービス(ぜい弱性調査)の 活⽤
業種別
全体 (n=4270) 農林漁業 (n=169)
建設業 (n=481) 製造業・鉱業・電気・ガス・熱供給・⽔道業 (n=633)
情報通信業 (n=212) 運輸業,郵便業 (n=161)
卸売業 (n=271) ⼩売業 (n=505)
⾦融業,保険業 (n=199) 不動産業,物品賃貸業 (n=328) サービス業・その他 (n=1311)
6.9%
3.2%
5.5%
7.6%
7.5%
1.0%
1.0%
1.9%
0.9%
0.9%
1.0%
33.9%
5.8%
0.6%
0.6%
1.2%
3.0%
0.6%
0.0%
0.0%
0.6%
0.0%
0.6%
1.2%
46.7%
4.7%
2.3%
1.7%
2.7%
2.7%
1.7%
0.4%
0.2%
0.4%
0.2%
0.0%
0.6%
42.6%
6.9%
2.2%
0.3%
2.8%
3.3%
3.8%
0.8%
0.2%
1.1%
0.3%
0.5%
2.1%
35.7%
5.8%
40.1%
19.3%
31.6%
27.8%
42.9%
5.7%
4.7%
11.8%
6.1%
6.6%
1.9%
3.8%
0.0%
4.3%
2.5%
1.2%
4.3%
3.7%
1.2%
0.0%
0.6%
0.6%
0.0%
0.6%
37.9%
8.1%
3.7%
0.4%
2.2%
3.7%
2.6%
0.0%
0.0%
0.4%
0.7%
0.0%
1.1%
38.4%
5.2%
2.0%
1.0%
1.4%
4.4%
3.2%
0.4%
0.2%
1.8%
0.6%
0.4%
0.2%
42.8%
9.3%
32.2%
14.6%
19.1%
38.2%
31.7%
3.5%
6.5%
3.5%
2.5%
1.5%
1.0%
5.5%
1.0%
3.7%
1.5%
3.7%
5.5%
2.4%
0.3%
1.2%
0.6%
0.6%
0.9%
0.9%
32.3%
4.9%
6.1%
3.1%
5.3%
7.2%
7.2%
0.8%
0.8%
1.8%
0.8%
0.9%
0.7%
32.9%
5.8%
0% 20% 40% 60% 80% 100%
情報セキュリティ監査(内部監査)の実施
情報セキュリティ監査(外部監査)の実施
情報セキュリティ対策の定期的な⾒直し
委託先の情報セキュリティ対策、体制、実施状況などの確認
(内容に応じて)委託先とNDA(機密保持契約)の締結
クラウドサービス利⽤のための情報セキュリティマネジメントガイドライン(経 済産業省ガイドライン)の活⽤
情報セキュリティ管理基準(経済産業省告⽰)の活⽤
SSL/TLS暗号設定ガイドライン(IPAのガイドライン)の活⽤
組織における内部不正防⽌ガイドライン(IPAのガイドライン)の活⽤
中⼩企業における組織的な情報セキュリティ対策ガイドライン(IPAのガイ ドライン)の活⽤
その他
特に実施していない
無回答 業種別
(2)
セキュリティポリシーの規定内容全体では、「基本規程(基本方針)」が最も多く
86.1%、次いで「守秘義務」が 70.9%、「責任者の任
命」で
65.1%である。
企業規模別で見ると、小規模企業で最も多いのは「基本規程(基本方針)」で
83.3%、中小企業(100
人以下)で最も多いのは「基本規程(基本方針)」で86.4%、中小企業(101
人以上)で最も多いのは「基 本規程(基本方針)」で90.3%である。
役割別の回答で見ると、経営層で最も多いのは「基本規程(基本方針)」で
84.1%、IT
または情報セ キュリティ担当者で最も多いのは「基本規程(基本方針)」で91.4%、一般社員で最も多いのは「基本規
程(基本方針)」で83.3%である。
業種別の回答で見ると、情報通信業、金融業・保険業とそれ以外の業種では乖離がある。「基本規程
(基本方針)」と最も多く回答したのは情報通信業と金融業・保険業で
95.0%、次点はで運輸業・郵便業
で
83.3%である。
「守秘義務」と最も多く回答したのは運輸業・郵便業で83.3%、次点は金融業・保険業
で
81.7%である。
「責任者の任命」と最も多く回答したのは金融業・保険業で86.7%、次点は情報通信業
で
80.0%である。
図
2-147
セキュリティポリシーの規定内容(企業規模別)86.1%
53.1%
65.1%
36.1%
44.7%
30.4%
70.9%
52.0%
39.1%
44.6%
12.9%
0.9%
0.2%
0.9%
83.3%
42.2%
61.1%
31.7%
38.9%
20.6%
74.4%
45.6%
35.6%
42.8%
12.2%
1.7%
0.0%
0.6%
86.4%
54.2%
63.9%
36.1%
45.2%
30.1%
68.7%
50.6%
37.0%
42.2%
11.4%
0.6%
0.3%
1.2%
90.8%
73.7%
80.3%
46.1%
56.6%
55.3%
72.4%
73.7%
56.6%
59.2%
21.1%
0.0%
0.0%
0.0%
0% 20% 40% 60% 80% 100%
基本規程(基本⽅針)
詳細規則(対策基準、実施⼿順・運⽤規則等)
責任者の任命
従業員⼜は部署ごとの情報取扱に関する役割明確化
アクセス権限明確化
情報資産の識別、重要度の分類
守秘義務
機器、メール、インターネットアクセスの私的利⽤制限
機器等の取扱、破損、紛失に留意する項⽬
紛失した場合などの届け出義務
著作権侵害
その他
特にはない
無回答 企業規模別
全体 (n=588)
⼩規模企業 (n=180)
中⼩企業(100⼈以下) (n=332) 中⼩企業(101⼈以上) (n=76)
図
2-148
セキュリティポリシーの規定内容(役割別)86.3%
53.4%
65.1%
35.5%
44.6%
29.9%
70.6%
51.9%
38.8%
43.6%
12.7%
0.8%
0.2%
1.0%
84.1%
49.4%
61.8%
32.4%
42.9%
26.2%
73.2%
47.9%
37.4%
44.1%
12.4%
1.5%
0.0%
1.2%
91.4%
62.6%
72.2%
42.2%
47.6%
37.4%
70.6%
58.8%
45.5%
45.5%
16.6%
0.0%
0.5%
0.5%
83.3%
48.7%
62.8%
33.3%
44.9%
28.2%
59.0%
52.6%
29.5%
37.2%
5.1%
0.0%
0.0%
1.3%
0% 20% 40% 60% 80% 100%
基本規程(基本⽅針)
詳細規則(対策基準、実施⼿順・運⽤規則等)
責任者の任命
従業員⼜は部署ごとの情報取扱に関する役割明確化
アクセス権限明確化
情報資産の識別、重要度の分類
守秘義務
機器、メール、インターネットアクセスの私的利⽤制限
機器等の取扱、破損、紛失に留意する項⽬
紛失した場合などの届け出義務
著作権侵害
その他
特にはない
無回答 役割別
全体 (n=605) 経営層 (n=340)
ITや情報セキュリティの社内担当者 (n=187)
⼀般社員 (n=78)