モバイル 端 末 からの 機 密 データ 漏 えいにおける 経 済 的 リスク 2016 年 2 月 Ponemon Institute 発 行 第 一 部 はじめに Lookout の 協 賛 によって 実 施 された 本 調 査 は 近 年 爆 発 的 に 増 えたモバイル 端 末 の 業 務

モバイル端末からの機密データ漏えいにおける

経済的リスク

協賛：Lookout

調査実施：Ponemon Institute LLC

発行日: 2016 年 2 月

モバイル端末からの機密データ漏えいにおける

経済的リスク

2016 年 2 月 Ponemon Institute 発行 第一部 はじめに Lookout の協賛によって実施された本調査は、近年爆発的に増えたモバイル端末の業務利用によって、 こうした端末が取扱注意情報および機密情報へアクセスする際に引き起す経済的リスクの理解を目的と しています。この報告書ではマルウェアの感染や社員の端末を標的にするハッキングが甚大な経済的 影響を及ぼす可能性について検証します。 本報告書でも触れていますが、たった 1 台のモバイル端末のマルウェア感染からモバイル端末 1 台あ たり平均 9,485 ドルという損失が企業に降りかかることがわかっています。さらに、モバイル端末が不正 侵入され、認証情報を盗まれることで企業の機密情報にアクセスされるまで被害が拡大した場合、その 攻撃の調査および復旧にかかる費用は、モバイル端末 1 台あたり平均 21,042 ドルにものぼります。こ うした損失額の算定は、攻撃またはモバイル端末への不正侵入によって対応が必要となる項目、例え ばヘルプデスクサポートや IT セキュリティサポートのほか、業務停止における損失やリスクにさらされた データの価値をベースに算出しています。損失額の算定方法の詳細は本報告書の 13 ページの表 2.お よび 16 ページの表 3.で説明しています。 今回、調査対象となった 588 人は「Global 2000」と認定される企業に勤務し、モバイル 端末の業務利用について社内の管理・セキ ュリティ体制に精通している、アメリカ国内の IT および IT セキュリティ分野の従事者です。 その職務範囲には、会社支給のモバイル端 末だけでなく社員の私用端末（BYOD）も含 めたセキュリティ対策および監視が含まれま す。 図 1.で示されるように、社員のモバイル端末 で閲覧できる企業データは多く存在すると回 答者の 55%が考えており、この傾向は減少 の様子を見せていません。実際、回答者は 社員のモバイル端末内にある業務関連のデ ータ量は過去 12 か月間に平均で 43%増加 したと考えています。 その他、本報告書の主要なポイントを以下に まとめしました： 現在、社員のモバイル端末を狙ったデータ侵害が多数発生している。 回答者の 83%がモバイル端末はハッキングされやすいと述べています。さらに、データ侵害の原因がモ バイル端末内の企業データに対するセキュリティ対策が不十分であったためだと考える回答者が 70% にものぼります。実際、67%の回答者が、モバイル端末経由で企業の機密情報漏えいが発生したことが 「確実」または「その可能性が高い」と述べています。 業務で使用するモバイル端末に潜むリスクの現状に、企業が対応していない。 図 1.社員のモバイル端末に保存されている企業 データは多く存在すると思いますか？ 55% 33% 12% 0% 10% 20% 30% 40% 50% 60% はい いいえ わからない

回答者の 74%が、社員による機密データの保存あるいはアクセスが過去 2 年間で急激に増大している と述べています。それにも関わらず、許可していない機密データへ社員が不正にアクセスすることを防止 するための対策に留意していると答えた企業は、回答者のわずか 33%でした。同様に、社員のモバイ ル端末に保存される機密データの保護対策を行っていると述べたのは、回答者の 36%にとどまりました。 さらに、社員がモバイル端末でアクセスする機密情報の保護に優先的に対応しなければならないと考え ている回答者は、わずか 39%でした。 多くの企業が社員に対し企業データのアクセスおよび保存についてのガイドラインを設けていない。 社員にアクセス許可している（または許可しない）企業データの種類を定めていると回答した企業は回答 者のわずか 41%で、社員のモバイル端末に保存できる企業データの種類をポリシーで定義していると 回答したのは回答者の 30%だけでした。 モバイル端末内のマルウェアは検出されないことが多い。 本調査で取り上げた企業で業務利用されているモバイル端末の平均台数は 53,844 台で、そのうちの 平均 3%、つまり約 1,723 台の端末がマルウェア感染していると考えられています。しかし、実際に調 査・復旧対象になった感染モバイル端末は平均わずか 26%（448 台）でした。これら 448 台の端末に対 し、企業が支払った直接費用の平均は 1,280 万ドルでした。仮に感染端末 1,723 台すべてを検査対象 とした場合には、その平均費用は 2,640 万ドルにも上ると推定されます。 この状況に対処すべく、来年はモバイルセキュリティに対する予算を増加する予定。 本調査で取り上げた企業の IT 分野の年間平均予算は 1 億 9,500 万ドルで、そのうち平均 14%がセキ ュリティに振り向けられています。今後 12 か月のうちに IT セキュリティの平均予算は 3,276 万ドルに、 またモバイルセキュリティに対する平均予算は 598 万 4,160 ドルに増加すると見込まれています。 社員がアクセスしている業務関連の機密データは、IT セキュリティ担当者が考えているよりずっと多い。 IT セキュリティ担当者の 56％が社員のデータアクセス内容を適切に把握していると回答しています。し かし、ある企業が行った調査によると IT セキュリティ担当者は社員が実際にアクセスしているデータに ついて何も把握していないことが明らかになりました。特に隔たりが大きかったデータの種類は取扱注意 の業務関連データに関係するもので、社員の PII（個人を特定できる情報：社員 52%に対しセキュリティ 担当者 18%）、機密／極秘文書（社員 33%に対しセキュリティ担当者 8%）、顧客情報（社員 43%に対し セキュリティ担当者 19%）でした。

第二部. 主な調査結果 このセクションでは主な調査結果を説明します。調査の全内容は本報告書付録に掲載します。 本報告書は次のテーマで構成されています:  社員が業務に使用するモバイル端末経由でのデータ侵害のリスクが加速  社員は、想定以上に取扱注意情報および機密情報にアクセスしている  マルウェア感染や情報漏えいの損害コスト算定 • 社員が業務に使用するモバイル端末経由でのデータ侵害のリスクが加速 社員が利用するモバイル端末経由でのデータ侵害が多数発生している。 図 2.では回答者の 83%がモバイル端末はハッキングの攻撃を受けやすいと述べています。さらに、モ バイル端末内の企業データに対するセキュリティ対策が不十分であったためと考える回答者が 70%に ものぼっています。 図 2. 業務利用されるモバイル端末にある機密データのリスク （「強くそう思う」と「そう思う」の回答を合算） 83% 70% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%

図 3.で示すように、回答者の 67%（17% + 24% + 26%）が、社員のモバイル端末経由でデータ侵害事 件が発生したと「確実に思う」、「その可能性が高い」、または「たぶんそう思う」と述べています。 図 3. 社員の使用するモバイル端末経由でデータ侵害が発生したと思いますか？ 17% 24% 26% 20% 13% 0% 5% 10% 15% 20% 25% 30% 確実にそう思う その可能性が高い たぶんそう思う あまり思わない あまり思わない

社員のモバイル端末からアクセス可能なデータに対して、管理・セキュリティ対策は万全か。

図 4 ではモバイル端末からアクセス可能なデータの管理方法について示しています。多くの企業で採用 しているのが、コンテナ化（回答者の 51%）、アプリケーションのブラックリスト化またはホワイトリスト化 （同 47%）、ID 管理（同 45%）、モバイル端末管理/MDM（同 40%）、個別のポリシー設定および SOP （Standard Operation Policy, 標準作業手順作成）（同 40%）でした。しかし回答者の 43%がこれらの方 法のいずれも使用していないと述べています。 「社員のモバイル端末経由でデータ侵害事件が発生したと思うか？」という質問に対し、コンテナ化方式 を採用している企業のうちの 74%の回答者が、「確実にそう思う」（20%）、「おそらくそう思う」（27%）、お よび「たぶんそう思う」（27%）と回答しています。同様の質問に対し、コンテナ化方式を採用していない企 業のうち 60%の回答者が「確実にそう思う」（14%）、「おそらくそう思う」（21%）、および「たぶんそう思う」 （25%）と答えています。 図 4. 社員のモバイル端末からアクセス可能なデータの管理方法 （複数回答可） 43% 5% 17% 29% 33% 40% 40% 45% 47% 51% 0% 10% 20% 30% 40% 50% 60% いずれも採用していない その他 アプリケーションラッピング パスワード強化 リモートロック・ワイプ モバイル端末管理（MDM） 個別のポリシー設定およびSOP ID管理 アプリケーションのブラックリスト化 … コンテナ化

図 5.で示すように、大半の企業が採用しているデータのセキュリティ対策は端末の暗号化（回答者の 45%）で、アンチマルウェア（同 41%）、ジェイルブレイク・ルート化検出（同 30%）、サイドローディングア プリ検出（27％）がその後に続いています。しかし回答者の 35%がこれらの対策のいずれも採用してい ないと回答しています。 図 5. 社員のモバイル端末からアクセス可能なデータに対するセキュリティ対策の方法 （複数回答可） 35% 6% 13% 16% 25% 27% 30% 41% 44% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% いずれも採用していない その他 送信データのセキュリティ対策 危険アプリのブロック 脆弱性のあるアプリの保護 サイドローディングアプリ検出 ジェイルブレイク・ルート化検出 アンチマルウェア 端末の暗号化

多くの企業が業務で使用するモバイル端末に潜むリスクの現状に対応していない。 回答者の 74%が社員による機密データの保存あるいはアクセスが過去 2 年間で急激に増大していると 述べています。それにも関わらず図 6.で示されるように、機密データについて社員による不正侵入の防 止対策に注意を払っていると答えた企業は回答者のわずか 33%でした。 同様に、社員のモバイル端末に保存、またはモバイル端末でアクセスする機密データについてのセキュ リティ対策に、留意していると述べたのは回答者の 36%にとどまりました。また社員がモバイル端末でア クセスする機密情報に対するセキュリティ対策の優先度は高いと考えている回答者は 39%しかいませ んでした。 図 6. モバイル端末を取巻くリスクに対する意識調査 （「強くそう思う」と「そう思う」の回答を合算） 33% 36% 39% 74% 0% 10% 20% 30% 40% 50% 60% 70% 80% 機密情報に対する社員のモバイル端末内の保 存、またはモバイル端末からのアクセスが 過去24ヶ月で急激に増加している。 会社の方針として社員がモバイル端末からアク セスする機密情報の保護を優先的に取り組んで いる。 社員のモバイル端末に保存、またはモバイル端 末からアクセスする機密情報の保護について 会社が高い関心を持っている。 会社は社員のモバイル端末による機密情報に 対する不正アクセスの防止に 高い関心を持っている。

多くの企業が企業データのアクセスおよび保存についてのガイドラインを設けていない。 社員がアクセスできる企業データの種類をポリシーで定めていると回答した企業は、回答者のわずか 41%で、社員がモバイル端末に保存できる企業データの種類をポリシーで定義していると回答したのは、 回答者のわずか 30%でした。 図 7. 御社では社員がアクセスできる、あるいは保存を許可する企業データの種類をポリシーで設定し ていますか？ 来年はモバイルセキュリティに対する予算を増加する予定である。 表 1.に見られるように、本調査で取り上げた企業の IT 分野の年間平均予算は 1 億 9,500 万ドルで、そ のうち平均 14%がセキュリティに振り向けられています。今後 12 か月のうちに IT セキュリティの平均予 算は 3,276 万ドルに、またモバイルセキュリティに対する平均予算は 598 万 4,160 ドルに増加すると見 込まれています。 表 1. IT および IT セキュリティ、モバイルセキュリティに充当する予算 推定額 IT 年間平均予算 $195,000,000 IT セキュリティの年間平均予算（IT 予算全体の 14%) $27,300,000 12 か月後の IT セキュリティ予算増加（20%） $32,760,000 モバイルセキュリティの年間平均予算額（IT 予算全体の 16%） $4,368,000 今後 12 か月間のモバイルセキュリティ予算増加（37%） $5,984,160 41% 52% 7% 30% 63% 7% 0% 10% 20% 30% 40% 50% 60% 70% はい いいえ わからない 社員がアクセスできる企業データの種類を定義するポリシー 社員が保存できる企業データの種類を定義するポリシー

• 社員は想定以上に取扱注意情報や機密情報にアクセスしている 社員がアクセスしている業務関連の機密データは、IT セキュリティ担当者が考えているよりずっと多い。 企業関連のデータのうち社員がモバイル端末を使用してアクセスできる種類について、回答者の 44% が把握していませんでした。 図 8.では、ITセキュリティ担当者が考える「社員がアクセスを許されているデータ」と「実際に社員がアク セスしているデータ」1_{との間には大きな隔たりがあることが明らかになっています。ITセキュリティ担当者} である回答者の 56%が、社員がアクセスできるデータの種類について把握していると回答しており、頻 繁にアクセスされるデータの種類はメールおよびテキストメッセージであると述べています。しかし、これ には大きな隔たりがあり、PII（個人を特定できる情報：社員 52%に対しセキュリティ担当者 18%）、顧客 情報（社員 43%に対しセキュリティ担当者 19%）、および機密／極秘文書（社員 33%に対しセキュリティ 担当者 8%）など、実際には、社員はより多くの取扱注意の業務関連データにアクセスしています。 1

Lookout 後援 Ponemon Institute による独自調査「モバイル端末に存在するデータの価値検証」（2016 年 2 月） 参照。

図 8. 社員がモバイル端末を使用してアクセスしている企業関連のデータと、IT セキュリティ担当者が考 える社員がアクセス可能なデータ （複数回答可） 25% 33% 31% 33% 52% 43% 50% 69% 75% 80% 7% 8% 11% 15% 18% 19% 30% 38% 61% 69% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% デザイン文書、プレゼンテーション、 建築レンダリング図 機密・極秘文書 支払い情報 業務上の一般的な通信内容 個人の特定が可能な社員情報 顧客データ 連絡先リストまたは名簿 デジタル画像・動画 テキストメール メール 回答者のITセキュリティ担当者が考える、社員がアクセスできるデータ 社員が実際にアクセスしていると答えたデータ

データの種類によっては、社員がモバイル端末でアクセス可能であるために、より高いリスクにさらされ ている。 図 9.を見ると、顧客データは社員がモバイル端末を使用してアクセス・保存ができる状況にあるため、リ スク度が非常に高いと 68%の回答者が述べています。その他、連絡先リストまたは名簿（回答者の 65%）、機密・極秘文書（同 58%）、メール（同 55%）、財務会計および予算情報（同 50％）も、情報漏え いリスクにさらされていると考えられてます。 前出の図 8.で明らかなように、顧客データ、連絡先および名簿および極秘文書などはそれぞれ、43%、 50%、33％の割合でモバイル端末からアクセスが可能となっており、モバイル端末経由での情報漏えい のリスクにさらされていることがわかります。 図 9. 社員のモバイル端末でのアクセス・保存が可能なために、より高い情報漏えいリスクにさらされる 企業データの種類。 （複数回答可） 3% 5% 6% 11% 13% 16% 16% 16% 18% 23% 30% 47% 50% 55% 58% 65% 68% 0% 10% 20% 30% 40% 50% 60% 70% 80% その他 社員の給与 社員の健康情報 支払い情報 業務上の一般的な通信内容 テキストメール アクセス・ログイン情報および認証情報 弁護士・依頼者間の秘匿特権対象の文書 個人の特定が可能な社員情報 デジタル画像・動画 知的財産（製品ロードマップ、ソースコー… デザイン文書、プレゼンテーション、 … 財務会計および予算関連情報 メール 機密・極秘文書 連絡先リストまたは名簿 顧客データ

 マルウェア感染による損害コスト算定 モバイルマルウェアの感染による損失額の算定 本調査では実際に起こりうる 2 通りのシナリオを用意し、企業データがリスクにさらされた際の損失額を 検証しました。1 つはモバイル端末のマルウェア感染発生時の損失額、もう 1 つは、モバイル端末が不 正アクセスされ、そこから認証情報が盗まれ、結果として情報漏えいが発生した際の損失額です。 社員が業務用や私用目的でダウンロードしたモバイルアプリにはマルウェアが混入している可能性があ り、端末が感染しても数か月、時には数年も検出されずに経過することがあります。一旦マルウェアが実 行されると業務遂行に支障をきたすだけでなく、システムダウンの空白時間が発生し、機密データが搾 取されるおそれもあります。 図 10.で示すように、本調査で取り上げた企業で業務利用されているモバイル端末の平均台数は 5 万 3,844 台でした。 図 10. 社内で業務に利用されるモバイル端末の台数を教えてください。 1% 12% 25% 23% 24% 9% 6% 0% 5% 10% 15% 20% 25% 30% 1,000台以下 1,001 -5,000台 5,001 -10,000台 10,001 -50,000台 50,001 -100,000台 100,001 -200,000台 200,000台以上

図 11.で示す通り、過去 24 か月にモバイルマルウェア感染が社内で発生したと回答したのは回答者の 54%でした。しかし 12%は「わからない」と回答しています。回答者の 66%は今後、マルウェア感染が起 こる可能性があると述べています。 図 11. 過去 24 か月でモバイルマルウェアの感染が社内で発生したことはありますか？ この回答より、社員のモバイル端末（5 万 3,844 台）の平均 3%、つまり端末 1,723 台にマルウェア感染 が発生したと考えられています。しかし、実際に調査対象となったのは感染モバイル端末の平均わずか 26%（448 台）でした。この 26%の端末を調査、復旧した場合の費用はどのくらいかかるのでしょう。ある いは感染端末すべてに対して調査、復旧を行った場合の費用はどのくらいでしょうか。次のような 2 通り の計算を行い、両方のシナリオについて（表 2.の計算に基づき）必要金額を算定しました： 感染端末の 26%を調査、復旧した場合： 3,530,240 ドル（直接費用総額）+ 12,812,017 ドル（間接費用総額）= 16,342,257 ドル 感染端末の 100%を調査、復旧した場合： 13,577,846 ドル（直接費用総額） + 12,812,017 ドル（間接費用総額）= 26,389,863 ドル モバイルマルウェア感染の損失額の算定方法 モバイルマルウェア感染による損失額の内訳を表 2.にまとめました。数値はすべて推定値とし、今回の 調査の参加企業の平均的規模を想定して算定されています。表 2.に記載しましたが、ヘルプデスクの費 用には端末交換による支出を計上し、IT セキュリティサポートには検査および鑑定の費用や、生産性低 下や業務停止による損失も含めています。 これらの損失額の合計費用はマルウェア感染したモバイル端末 1 台あたり 7,880 ドルに上ります。平均 直接費用を用いた合計の 353 万 240 ドル／年は次の計算式から算出しました： 3,530,240 ドル= 7,880 ドル[端末 1 台当たりの直接費用合計] ｘ 53,844 [ネットワーク接続しているモバイル端末の台数] ｘ 3.2% [少なくとも年間 1 件以上としたマルウェア感染端末の比率] ｘ 26% [調査・復旧対象となった感染端末の比率] 分析の後半部分は、データ侵害の損失、コンプライアンス違反による損失および信用低下による損失に よって発生した費用など、間接費用の算定を行いました。これは期待値を使用した方法を取りました。こ れは、予想最大損失額（PML: potential maximum loss）または「最悪の場合」のシナリオを最初に定義

54% 34% 12% 0% 10% 20% 30% 40% 50% 60% はい いいえ わからない

しました。表で示したように、データ侵害の PML を 5,044 万ドル、コンプライアンス違反の PML を 1,927 万 9,780 ドル、および 6,101 万 5,000 ドルを信用低下の PML と推定しました。その後「PML 合計」に 「想定される年間発生確率」を 9.8%と推定しました。以下はその計算式です： 12,812,017 ドル= 9.8% [予想される年間発生確率]ｘ 130,734,870

ドル

[合計 PLM] 直接、間接の損失額を合計し、実行化したモバイルマルウェア攻撃 1 件あたりの平均損失額は 9,485 ド ルとなります。 表 2: モバイルマルウェア感染の損失額の内訳 損失額算定 根拠 推計 IT ヘルプデスクサポート 端末交換含む 推定値 1,334 IT セキュリティサポート 検査・鑑定を含む 推定値 4,289 生産性低下または待機 推定値 2,257 端末 1 台当たりの直接費用合計 小計 $7,880 少なくとも年間 1 件以上としたマルウェア感染端末 の割合 推定値 3.2% ネットワーク接続しているモバイル端末の台数 推定値 53,844 不正侵入されたモバイル端末の台数 計算式: 3.2% X 53,844 1,723 調査・復旧対象となった感染端末の割合 推定値 26% 調査・復旧対象となった感染端末の台数 計算式: 26% X 1,723 448 平均直接費用の合計 計算式: 7,880 X 448 $3,530,240 予想最大損失額（PML）／年 データ喪失またはデータ侵害の損失 推定値 50,440,090 コンプライアンス違反の損失 推定値 19,279,780 信用の喪失または低下 推定値 61,015,000 合計 PML 小計 $130,734,870 予想される年間発生確率 推定値 9.8% 平均間接費用の合計額 計算式: $130,734,870 X 9.8% $12,812,017 平均損失額合計 計算式: $12,812,017 + $3,530,240 $16,342,257 ネットワーク接続している端末 1 台あたりの平均損 失額 計算式: $16,342,257 ÷ 53,844 $304 マルウェア感染した端末 1 台当たりの平均損失額 計算式: $16,342,257 ÷ 1,723 $9,485

モバイル端末に対する不正アクセスによって企業が被る損失額の算定 2 件目のシナリオでは、モバイル端末が不正アクセスされることにより認証情報が搾取され、結果として 社内の取扱注意データおよび機密データが漏えいした場合に予想される経済的影響について検証しま した。図 12 を見ると、回答者の 36%が同種の事態が過去 24 カ月以内に発生したと答えています。しか し回答者の 24%はそのような事態が起きたか不明であるとしています。 図 12. 認証情報および企業データの搾取を目的としたモバイル端末への不正侵入が発生したことがあ りますか？ 図 13.では回答者の 72%（26%＋46%）が、モバイル端末経由で企業データが不正侵入された可能性 があると述べています。回答者の 59%はそのような事態は自社でも発生する可能性があると考えてい ます。 図 13.マルウェア感染したモバイル端末経由で企業データが不正侵入された可能性はありますか？ この回答より、社員のモバイル端末（総数 5 万 3,844 台）の平均 1.2％、646 台が不正侵入されたことに なります。しかし、不正侵入に利用されたモバイル端末の平均 19%（123 台）のみが調査・復旧の両方、 またはいずれかの対象となっています。仮にこれら端末の 19%が調査・復旧を受けた場合のコストはど れくらいになるでしょう。以下の 2 つの計算式で（表 3.の計算に基づき）、2 つのシナリオに生じる損失額 を算定しました： 36% 40% 24% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% はい いいえ わからない 26% 44% 25% 5% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% その可能性が高い そうだと思う その可能性が低い その可能性はない

感染端末の 19%が調査・復旧対象だった場合： 2,225,717 ドル（直接費用総額）+ 11,369,920 ドル（間接費用総額）= 13,595,637 ドル 感染端末の 100%が調査・復旧対象だった場合： 11,711,980 ドル（直接費用総額）+ 11,369,920 ドル（間接費用総額）= 23,081,900 ドル 不正アクセスによる損失額の算定方法 ここでも（前回と）同じ 2 段階に分けた計算を行い、モバイル端末の不正侵入による平均損失額を算出し ました。また、すべてのデータポイントは本アンケート調査に参加した企業の平均的モデルについて得た 算定値です。表 3.は直接費用の 3 つのカテゴリ、端末交換を含めたヘルプデスクの費用、検査および 鑑定を含めた IT セキュリティサポート、生産性低下または業務停止による損失を示しています。不正侵 入されたモバイル端末 1 台当たり直接費用の合計は 1 万 8130 ドルとなりました。1 年当たりの平均直 接費用合計 222 万 5717 ドルは次の計算式で求めました： $2,225,717 = 18,130 ドル[端末 1 台当たりの直接費用合計] ｘ 53,844 [ネットワーク接続しているモバイル端末の台数] ｘ 1.2% [不正侵入された端末の比率] ｘ 19% [不正侵入された端末のうち調査・復旧対象となった端末台数の比率] これまでの分析と同様、間接費用はデータ侵害、コンプライアンス違反、および信用低下の 3 項目で構 成されています。間接費用は 1 年当たりの期待値を使用する方法で次のように算出しました： 11,369,920 ドル= 8.7% [予想される年間発生確率]ｘ130,688,730

ドル

[合計 PLM] 直接、間接の損失額を合計し、モバイル端末の不正侵入による合計平均損失額は 1,359 万 5,637 ドル、 そして不正侵入されたモバイル端末 1 台あたりの平均損失額は 21,042 ドルとなります。

表 3. 不正アクセスによる損失額の内訳 損失額算定 根拠 推計 IT ヘルプデスクサポート 端末交換含む 推定値 4,208 IT セキュリティサポート 検査・鑑定を含む 推定値 10,926 生産性低下または待機 推定値 2,996 端末 1 台当たりの直接費用合計 小計 $18,130 少なくとも年間 1 件以上としたマルウェア感染端末の 割合 推定値 1.2% ネットワーク接続しているモバイル端末の台数 推定値 53,844 不正侵入されたモバイル端末の台数 計算式: 1.2% X 53,844 646 調査・復旧対象となった感染端末の割合 推定値 19% 調査・復旧対象となった感染端末の台数 計算式: 19% X 646 123 平均直接費用の合計 計算式: $18,130 X 123 $2,225,717 予想最大損失額（PML）／年 データ喪失またはデータ侵害の損失 推定値 54,313,750 コンプライアンス違反の損失 推定値 18,228,640 信用の喪失または低下 推定値 58,146,340 合計 PML 小計 $130,688,730 予想される年間発生尤度 推定値 8.7% 平均間接費用の合計額 計算式: $130,688.730 X 8.7% $11,369,920 平均損失額合計 計算式: $11,389,920 + $2,225,717 $13,595,637 ネットワーク接続している端末 1 台あたりの平均損失 額 計算式: $13,595,637 ÷ 53,844 $253 マルウェア感染した端末 1 台当たりの平均損失額 計算式: $13,595,637 ÷ $646 $21,042

第三部. 調査方法 今回の調査の参加者となった調査対象者はアメリカ国内の IT および IT セキュリティの専従者 1 万 5,507 人をサンプル抽出枠としています。表 4.から回答者数が 647 人であることがわかります。その後 スクリーニングおよび信頼性確認で 59 人が調査対象から除外されました。最終サンプルは 3.8%にあ たる 588 人で構成されました。 表 4. サンプル応答 回答数 比率% サンプル抽出枠 _{15,507 100.0%} 回答全数 _{647 4.2%} 回答拒否またはスクリーニング調査による除外 _{59 0.4%} 最終サンプル 588 3.8% 円グラフ 1.は社内における回答者の職務上の地位を表しています。回答者の半数以上（57%）が監督 者以上の地位となるように設定してあります。 円グラフ 1. 社内における現在の役職 円グラフ 2.では回答者の半数以上（57%）が CIO（最高情報責任者）を直属の上司としており、18%が CISO（情報セキュリティー最高責任者）と回答しています。 円グラフ 2. 回答者、もしくは回答者の会社の IT セキュリティ責任者の直属の上司 2% 1% 17% 21% 16% 34% 6% 2% 1% 上級執行役員 副社長 取締役 部長 監督者 技術者 社員（役職なし） 契約社員 その他 10% 7% 6% 2% 1% 1% 最高情報責任者 情報セキュリティー最高責任者 コンプライアンス最高責任者 最高リスク管理責任者 セキュリティー最高責任者

円グラフ 3.は回答者の所属する企業を産業別に表したものです。このグラフから金融サービスが最も大 きな割合を占める分野であり、次いで公共部門（12%）、健康・医薬品（11％）であることが分かります。 円グラフ 3. 主な事業分野 円グラフ 4.では回答者の 75%が国内外従業員数 1 万人以上の企業に属していることが分かります。 円グラフ 4. 国内外の総従業員数 19% 12% 11% 8% 8% 7% 5% 5% 5% 4% 4% 3% 3% 2% 4% 金融サービス _公共部門 健康・医薬品 工業 サービス業 テクノロジー・ソフトウェア 消費財 エネルギー・公益事業 小売（e-コマース） 小売（従来型） 運輸 通信 サービス 教育・研究 その他 6% 19% 29% 15% 17% 14% 1,001-5,000人 5,001-10,000人 10,001-25,000人 25,001-50,000人 50,001-75,000人 75,000人以上

図 15.で示されるように回答企業の事業拠点は北米にとどまらず、回答者の 93%はヨーロッパ・中東ア フリカ地域に、90%はアジア・太平洋地域に事業展開しています。 図 15. 海外事業展開 （複数回答可） 100% 93% 90% 79% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 北米 ヨーロッパ・中東・ アフリカ アジア太平洋 南米

第四部. 本調査に関する注意点 調査研究には結果から何らかの推論を招かぬよう、細心の注意を払って実施しなければならないという 制約が常に伴います。インターネット上の調査特有の制限として次の点が挙げられます。  無応答バイアス：今回得た調査結果は調査に応対したサンプル（回答者）に基づいています。代表 権を持つ個人をサンプルとして設定して質問票を送付し、その結果、有効回答を多数収得しました。 無応答バイアスのテストも実施していますが、回答記入者と質問票に回答しなかった個人の間で根 本的な考え方が本質的に異なる可能性は常にあります。  サンプル抽出枠バイアス：サンプル抽出枠には連絡先情報を使用しました。その精度は今回使用し た代表権を持つ個人のリストがどの程度、アメリカ国内に居住する IT または IT セキュリティ従事者 であるかに依存しています。また、調査結果はメディア報道などの外部事象によって偏りが生じる可 能性があることを申し添えます。最後に、今回の調査でインターネット経由の回収方法を採用したた め、郵送または電話による調査による非インターネット回答では異なるパターンの結果が得られる 可能性があります。  自己申告が結果に及ぼす影響：調査研究の信頼性は、調査対象者が非公開で一貫性のある回答 をしているかに影響されます。調査の過程に一定の抑制と均衡を取り入れることは可能ですが、回 答者が正確に回答しない可能性は必ず残ります。

付録: 調査結果集計 ここに掲載する表は本報告書に記載した全設問への回答数または回答数の比率を示したものです。調 査の全回答は2015年9月に回収しました。 サンプル応答 回答者数 比率% 全サンプル抽出枠 15,507 100.0% 回答全数 647 4.2% 回答拒否またはスクリーニング調査による除外 59 0.4% 最終サンプル 588 3.8% スクリーニング調査設問 S1. 社員が業務で使用するモバイル端末に関して、あなたが勤務する企業 の管理・セキュリティ対策をどの程度知っていますか？ 比率（%） 熟知している 43% 知っている 39% なんとなく知っている 18% ほとんどまたは全く知らない（回答終了) 0% 合計 100% S2. 社員が業務で使用するモバイル端末（社員の私用端末も含みます）に 関して、あなたはその監視またはセキュリティ強化の責任者ですか？ 比率（%） はい、全体の責任者です 37% はい、一部の責任者です 63% ほとんど責任がない、あるいは責任者ではありません。（回答終了) 0% 合計 100% Part 2. モバイル端末セキュリティに対する意識 次の内容について、以下の選択肢の 5 段階で評価してください。設問中の 「モバイル端末」にはスマートフォンやタブレットなど、社員の私用端末 （BYOD）および企業が支給する端末を含みます。 強くそう思う そう思う Q1a. 社員が機密データをモバイル端末に保存したりアクセスすることが過 去 24 か月間で増加した。 44% 30% Q1b. モバイル端末にある企業データにセキュリティ対策をしなかったため にデータ侵害が発生した。 39% 31% Q1c. 会社として、社員がモバイル端末でアクセスする機密情報の保護に 優先的に対応しなければならないと考えている。 19% 20% Q1d. 会社として、社員がモバイル端末でアクセスする機密情報の保護に 高い関心を持っている。 18% 18% Q1e. 会社として、モバイル端末で機密情報取扱注意データについて社員 による不正侵入の防止に高い関心を持っている。 17% 16% Q1f. 社員のモバイル端末はハッキングされやすい。 49% 34% Part 3. 全般に関する質問 Q2. 社員がモバイル端末を使用して、企業の取扱注意情報および機密情 報にアクセスしたことが理由で、自社のデータ侵害事件が発生したと思いま

合計 100% Q3a. 現在、あなたの会社で社員が使用するモバイル端末のおよその台数 を教えてください。 比率（%） 1,000 台以下 1% 1,001-5,000 台 12% 5,001-10,000 台 25% 10,001-50,000 台 23% 50,001-100,000 台 24% 100,001-200,000 台 9% 200,000 台以上 6% 合計 100% 推定値 53,844 Q3b. 社員が使用するモバイル端末のうち、過去にマルウェアに感染したこ とがある端末の比率を教えてください。 比率（%） 1%以下 9% 1% 15% 2% 18% 3% 21% 4% 16% 5% 8% 6% 5% 7% 3% 8% 2% 9% 2% 10% 1% 10%以上 0% 合計 100% 推定値 3.2% Q3c. 社員が使用するモバイル端末のうち、調査・復旧対象となった端末の 比率を教えてください。 比率（%） 5%以下 6% 5-10% 9% 11-15% 8% 16-20% 22% 21-30% 28% 31-40% 10% 41-50% 9% 51-75% 6% 76-100% 2% 合計 100% 推定値 26% Q4. 社員がモバイル端末で閲覧できる業務関連のデータは多く存在すると 思いますか？ 比率（%） はい 55% いいえ 33% わからない 12% 合計 100%

Q5. この 12 か月間で社員のモバイル端末で閲覧できる業務関連のデータ は概算でどのくらい増加したと思いますか？ 比率（%） 増加なし 5% 5%以下 4% 5 - 10% 5% 11-15% 6% 16 - 20% 17% 21 - 30% 14% 31 - 40% 11% 41 - 50% 10% 51 - 75% 7% 76 - 100% 8% 100%以上 13% 合計 100% 推定値 43% Q6a. PC からアクセスが可能なデータのうち、社員のモバイル端末からも アクセスが可能なデータの比率を教えてください。 比率（%） 5%以下 2% 5-10% 3% 11-15% 7% 16-20% 8% 21-30% 8% 31-40% 10% 41-50% 9% 51-75% 12% 76-100% 41% 合計 100% 推定値 56% Q6b. 今後 24 か月間に同様のアクセスは何パーセントくらい増加すると思 いますか？ 比率（%） 増加なし 0% 5%以下 2% 5-10% 2% 11-15% 5% 16-20% 11% 21-30% 10% 31-40% 14% 41-50% 20% 51-75% 17% 76-100% 8% 100%以上 11% 合計 100% 推定値 50% Q7a. あなたの会社では、社員がモバイル端末でアクセスできる（もしくはで きない）企業データの種類をポリシーで定義していますか？ 比率（%）

Q7b. あなたの会社では、社員がモバイル端末で保存できる（もしくはできな い）企業データの種類をポリシーで定義していますか？ 比率（%） はい 30% いいえ 63% わからない 7% 合計 100% Q8a. あなたは社員がモバイル端末でアクセスできる業務関連のデータの 種類を知っていますか？ 比率（%） はい 56% いいえ 44% 合計 100% Q8b. 「はい」と答えた方は、社員がモバイル端末でアクセスできる業務関 連のデータの種類をすべて教えてください。 比率（%） メール 69% テキストメッセージ 61% デジタル画像・動画 38% 連絡先リストまたは名簿 30% 顧客データ 19% 個人の特定が可能な社員情報（社会保障番号、生年月日、自宅住 所） 18% アクセス・ログイン情報および認証情報 16% 業務上の一般的な通信内容 15% 支払い情報 11% 機密・極秘文書 10% デザイン文書、プレゼンテーション、建築レンダリング図 8% 業務上の一般的な通信内容 7% 社員の健康情報 6% 知的財産（製品ロードマップ、ソースコード、その他企業の機密情報） 5% 社員の給与 5% その他(具体的にお書きください) 2% 弁護士・依頼者間の秘匿特権対象の文書 1% 合計 321%

Q8c. 「はい」と答えた方は、社員がモバイル端末でアクセス・保存できるこ とが原因となって最もリスクにさらされるものは次の業務関連のデータの種 類のうち、どれでしょうか。最も高いものから 5 つ選んでお答えください。 比率（%） 顧客データ 68% 連絡先リストまたは名簿 65% 機密・極秘文書 58% メール 55% 財務会計および予算関連情報 50% デザイン文書、プレゼンテーション、建築レンダリング図 47% 知的財産（製品ロードマップ、ソースコード、その他企業の機密情報） 30% デジタル画像・動画 23% 個人の特定が可能な社員情報（社会保障番号、生年月日、自宅住所） 18% テキストメッセージ 16% アクセス・ログイン情報および認証情報 16% 弁護士・依頼者間の秘匿特権対象の文書 16% 業務上の一般的な通信内容 13% 支払い情報 11% 社員の健康情報 6% 社員の給与 5% その他(具体的にお書きください) 3% 合計 500% Q9a. あなたの会社では社員がモバイル端末からアクセス可能なデータに ついて、どのような管理方法を採用していますか？あてはまるものすべてを お答えください。 比率（%） アプリケーションラッピング 17% コンテナ化 51% パスワード強化 29% リモートロック・ワイプ 33% モバイル端末管理（MDM） 40% ID 管理 45% アプリケーションのブラックリストまたはホワイトリスト化 47% 個別のポリシー設定および SOP 40% その他（具体的にお書きください) 5% いずれも採用していない 43% 合計 350% Q9b. 社員のモバイル端末でアクセス可能なデータについて、あなたの会社 ではどのようなセキュリティ対策を採用していますか？あてはまるものすべ てをお答えください。 比率（%） アンチマルウェア 41% ジェイルブレイク・ルート化検出 30% 端末の暗号化 44% 送信データのセキュリティ対策 13% 脆弱性のあるアプリの保護 25% 危険アプリのブロック 16%

Q10a.あなたの会社では年間 IT 予算はおよそどのくらいですか？ 比率（%） 1,000 万ドル以下 1% 1,000 万ドル-2,500 万ドル 5% 2,600 万ドル-5,000 万ドル 6% 5,100 万ドル-1 億ドル 39% 1 億 100 万ドル-2 億 5,000 万ドル 23% 2 億 5,100 万ド-5 億ドル 15% 5 億ドル以上 11% 合計 100% 推定値 $195 Q10b. あなたの会社の IT 予算のうちセキュリティ分野への充当率はどのく らいですか？ 比率（%） 2%以下 8% 2-5% 11% 6-10% 19% 11-15% 23% 16-20% 19% 21-25% 12% 25%以上 8% 合計 100% 推定値 13.6% Q10c.この比率は来年度に引き上げる予定ですか？ 比率（%） はい 51% いいえ 34% わからない 15% 合計 100% Q10d. 「はい」と答えた方は、引き上げ幅を教えてください。 比率（%） 5%以下 8% 5-10% 16% 11-20% 28% 21-30% 33% 31-40% 8% 41-50% 5% 50%以上 2% 合計 100% 推定値 20.2% Q11a. あなたの会社では IT セキュリティ予算のうち、モバイルセキュリティ への充当率はどのくらいですか？ 比率（%） 5%以下 14% 5-10% 29% 11-20% 28% 21-30% 20% 31-40% 5% 41-50% 3% 50%以上 1% 合計 100% 推定値 15.6%

Q11b. この比率は来年度に引き上げる予定ですか？ 比率 （%） はい 52% いいえ 39% わからない 9% 合計 100% Q11c. 「はい」と答えた方は、引き上げ幅を教えてください。 比率 （%） 5%以下 0% 5-10% 3% 11-20% 9% 21-30% 13% 31-40% 39% 41-50% 23% 50%以上 13% 合計 100% 推定値 36.6% Part 4. シナリオ セキュリティ対策のないモバイル端末へのマルウェア感染：社員が業務用や私用目的 でモバイルアプリをダウンロードしたとします。こうしたアプリにはウィルスやワーム、ト ロイの木馬などの悪意あるソフトウェアマルウェアが混入している可能性があり、端末 が感染しても数か月、時には数年も検出されずに経過することがあります。マルウェア が実行されると業務遂行に支障をきたすだけでなく、システムダウンの空白時間に機 密データの抜き取りが発生するおそれもあります。 Q12a. 過去 24 か月間にあなたの会社でモバイルマルウェアの感染が発生したことは ありますか？ 比率 （%） はい 54% いいえ 34% わからない 12% 合計 100% Q12b.「いいえ」と答えた方は、あなたの会社でこのような事態が発生する可能性はあ ったと思いますか？ 比率 （%） はい、可能性は高かった。 21% はい、可能性はあった。 45% いいえ、可能性は低かった。 29% いいえ、可能性はなかった。 5% 合計 100%

Q12c. 感染による損失額（または予想損失額）を教えてください。 Q12c-1 IT ヘルプデスクサポート（端末交換費用を含む） 比率 （%） 500 ドル以下 34% 500 ドル-1,000 ドル 47% 1,001 ドル-2,500 ドル 9% 2,501 ドル-5,000 ドル 7% 5,001 ドル-10,000 ドル 1% 10,001 ドル-25,000 ドル 2% 25,001 ドル-50,000 ドル 0% 50,000 ドル以上 0% 合計 100% 推定値 1,334 ドル Q12c-2 IT セキュリティサポート（検査・鑑定を含む） 比率（%） 500 ドル以下 21% 500 ドル-1,000 ドル 25% 1,001 ドル-2,500 ドル 21% 2,501 ドル-5,000 ドル 14% 5,001 ドル-10,000 ドル 12% 10,001 ドル-25,000 ドル 2% 25,001 ドル-50,000 ドル 5% 50,000 ドル以上 0% 合計 100% 推定値 4,289 ドル Q12c-3 生産性低下または業務停止による損失 比率（%） 500 ドル以下 28% 500 ドル-1,000 ドル 32% 1,001 ドル-2,500 ドル 16% 2,501 ドル-5,000 ドル 18% 5,001 ドル-10,000 ドル 3% 10,001 ドル-25,000 ドル 2% 25,001 ドル-50,000 ドル 1% 50,000 ドル以上 0% 合計 100% 推定値 $2,257 Q12d.マルウェア感染モバイル端末経由で、企業データへの不正侵入が起 きた可能性はありますか？ 比率（%） はい、可能性は高かった。 26% はい、可能性はあった。 46% いいえ、可能性は低かった。 22% いいえ、可能性はなかった。 6% 合計 100%

Q12e.不正侵入されたデータもしくは端末の価値の観点から、このような事 態で発生した損失額（または予想損失額）はどのくらいですか？総額、また は予想最大損失（最悪シナリオでの被害）額を教えてください。 比率（%） ゼロ 0% 10,000 ドル以下 1% 10,001 ドル-100,000 ドル 0% 100,001 ドル-250,000 ドル 0% 250,001 ドル-500,000 ドル 6% 500,001 ドル-1,000,000 ドル 9% 1,000,001 ドル-5,000,000 ドル 10% 5,000,001 ドル-10,000,000 ドル 9% 10,000,001 ドル-25,000,000 ドル 10% 25,000,001 ドル-50,000,000 ドル 13% 50,00,001 ドル-100,000,000 ドル 17% 100,000,000 ドル以上 25% 合計 100% 推定値 50,440,090 ドル Q12f. コンプライアンス違反または法規違反の観点から、このような事態で 発生した損失額（または予想損失額）はどのくらいですか？総額、または予 想最大損失（最悪シナリオでの被害）額を教えてください。 比率（%） ゼロ 0% 10,000 ドル以下 2% 10,001 ドル-100,000 ドル 12% 100,001 ドル-250,000 ドル 16% 250,001 ドル-500,000 ドル 18% 500,001 ドル-1,000,000 ドル 11% 1,000,001 ドル-5,000,000 ドル 4% 5,000,001 ドル-10,000,000 ドル 8% 10,000,001 ドル-25,000,000 ドル 9% 25,000,001 ドル-50,000,000 ドル 6% 50,00,001 ドル-100,000,000 ドル 5% 100,000,000 ドル以上 9% 合計 100% 推定値 19,279,780 ドル

Q12g.企業信用や顧客信頼の観点から、このような事態で発生した損失額 （または予想損失額）はどのくらいですか？総額、または予想最大損失（最 悪の事態の場合の）額を教えてください。 比率（%） ゼロ 0% 10,000 ドル以下 0% 10,001 ドル-100,000 ドル 0% 100,001 ドル-250,000 ドル 0% 250,001 ドル-500,000 ドル 2% 500,001 ドル-1,000,000 ドル 1% 1,000,001 ドル-5,000,000 ドル 5% 5,000,001 ドル-10,000,000 ドル 9% 10,000,001 ドル-25,000,000 ドル 19% 25,000,001 ドル-50,000,000 ドル 16% 50,00,001 ドル-100,000,000 ドル 15% 100,000,000 ドル以上 33% 合計 100% 推定値 $61,015,000 Q12h. 今回のような事態が再び今後 12 か月間以内に発生すると思います か？ 比率（%） はい、可能性は高い。 32% はい、可能性はある。 49% いいえ、可能性は低い。 17% いいえ、可能性はない。 2% 合計 100% Q12i. 発生経費の内容という点で、この最悪のシナリオが今後 12 か月間 に一般的な事象となる可能性はどのくらいありますか？ 比率（%） 5%以下 41% 5-10% 26% 11-20% 24% 21-30% 6% 31-40% 2% 41-50% 1% 50%以上 0% 合計 100% 推定値 9.8% 認証情報の窃取。モバイル端末のマルウェア感染により、認証情報が搾取 され企業の取扱注意データや機密データが漏えいするおそれがあります。 Q13a. あなたの会社でこのような事態が過去 24 カ月間に発生したことは ありますか？ 比率（%） はい 36% いいえ 40% わからない 24% 合計 100%

Q13b. 「いいえ」と答えた方は、このような事態が会社で起こる可能性はあ ると思いますか？ 比率（%） はい。その可能性が非常に高い。 15% はい。その可能性がある。 45% いいえ、その可能性は少ない。 31% いいえ、その可能性はない。 9% 合計 100% Q13c. このような事態（または発生したとして）による損失額を教えてくださ い。 Q13c-1 IT ヘルプデスクサポート（端末交換費用を含む） 比率（%） 500 ドル以下 12% 500 ドル-1,000 ドル 25% 1,001 ドル-2,500 ドル 27% 2,501 ドル-5,000 ドル 18% 5,001 ドル-10,000 ドル 11% 10,001 ドル-25,000 ドル 4% 25,001 ドル-50,000 ドル 2% 50,000 ドル以上 1% 合計 100% 推定値 $4,208 Q13c-2 IT セキュリティサポート（検査・鑑定を含む） 比率（%） 500 ドル以下 2% 500 ドル-1,000 ドル 11% 1,001 ドル-2,500 ドル 12% 2,501 ドル-5,000 ドル 22% 5,001 ドル-10,000 ドル 22% 10,001 ドル-25,000 ドル 20% 25,001 ドル-50,000 ドル 8% 50,000 ドル以上 3% 合計 100% 推定値 $10,926 Q13c-3 生産性低下または待機による損失 比率（%） 500 ドル以下 27% 500 ドル-1,000 ドル 30% 1,001 ドル-2,500 ドル 15% 2,501 ドル-5,000 ドル 14% 5,001 ドル-10,000 ドル 13% 10,001 ドル-25,000 ドル 3% 25,001 ドル-50,000 ドル 1% 50,000 ドル以上 0% 合計 103% 推定値 $2,996

Q13d. 感染モバイル端末経由で、企業データへの不正侵入が起きた可能 性はありますか？ 比率（%） はい、可能性は高かった。 26% はい、可能性はあった。 44% いいえ、可能性は低かった。 25% いいえ、可能性はなかった。 5% 合計 100% Q13e. 不正侵入されたデータもしくは端末の価値の観点から、このような事 態で発生した損失額（または予想損失額）はどのくらいですか？総額、また は予想最大損失（最悪シナリオでの被害）額を教えてください。 比率（%） ゼロ 0% 10,000 ドル以下 0% 10,001 ドル-100,000 ドル 0% 100,001 ドル-250,000 ドル 0% 250,001 ドル-500,000 ドル 5% 500,001 ドル-1,000,000 ドル 8% 1,000,001 ドル-5,000,000 ドル 7% 5,000,001 ドル-10,000,000 ドル 10% 10,000,001 ドル-25,000,000 ドル 10% 25,000,001 ドル-50,000,000 ドル 15% 50,00,001 ドル-100,000,000 ドル 18% 100,000,000 ドル以上 27% 合計 100% 推定値 $54,313,750 Q13f. コンプライアンス違反または法規違反の観点から、このような事態で 発生した損失額（または予想損失額）はどのくらいですか？総額、または予 想最大損失（最悪シナリオでの被害）額を教えてください。 比率（%） ゼロ 0% 10,001 ドル-100,000 ドル 1% 100,001 ドル-250,000 ドル 6% 250,001 ドル-500,000 ドル 18% 500,001 ドル-1,000,000 ドル 19% 1,000,001 ドル-5,000,000 ドル 15% 5,000,001 ドル-10,000,000 ドル 7% 10,000,001 ドル-25,000,000 ドル 8% 25,000,001 ドル-50,000,000 ドル 7% 50,00,001 ドル-100,000,000 ドル 5% 100,000,000 ドル以上 6% 10,001 ドル-100,000 ドル 8% 合計 100% 推定値 $18,228,640

Q13g. 企業信用や顧客信頼の観点から、このような事態で発生した損失額 （または予想損失額）はどのくらいですか？総額、または予想最大損失（最 悪の事態の場合の）額を教えてください。. 比率（%） ゼロ 0% 10,000 ドル以下 1% 10,001 ドル-100,000 ドル 0% 100,001 ドル-250,000 ドル 0% 250,001 ドル-500,000 ドル 3% 500,001 ドル-1,000,000 ドル 4% 1,000,001 ドル-5,000,000 ドル 6% 5,000,001 ドル-10,000,000 ドル 8% 10,000,001 ドル-25,000,000 ドル 16% 25,000,001 ドル-50,000,000 ドル 17% 50,00,001 ドル-100,000,000 ドル 13% 100,000,000 ドル以上 32% 合計 100% 推定値 $58,146,340 Q13h. 今回のような事態が再び今後 12 か月間以内に発生すると思います か？ 比率（%） はい、可能性は高い。 27% はい、可能性はある。 46% いいえ、可能性は低い。 21% いいえ、可能性はない。 6% 合計 100% Q13i. 発生経費の内容という点で、この最悪のシナリオが今後 12 か月間 に一般的な事象となる可能性はどのくらいありますか？ 比率（%） 5%以下 52% 5-10% 22% 11-20% 19% 21-30% 4% 31-40% 2% 41-50% 1% 50%以上 0% 合計 100% 推定値 8.7% Part 5. 回答者の役職と勤務先（Global 2000 サンプリング規模) D1. 以下の職務上の地位から現在のあなたの役職に最も近いものを選ん でください。 比率（%） 上級執行役員 2% 副社長 1% 取締役 17% 部長 21% 監督者 16%

D2. あなた、もしくはあなたの会社の IT セキュリティ責任者の直属の上司 の役職を教えてください。 比率（%） CEO または執行役員会 1% 最高財務責任者 2% 相談役 1% 最高情報責任者 54% コンプライアンス最高責任者 10% 人事担当役員 0% セキュリティー最高責任者 6% 情報セキュリティー最高責任者 18% 最高プライバシー責任者 0% 最高リスク管理責任者 7% その他 1% 合計 100% D3. 以下の産業分野の中から、あなたの会社の主要事業に最も近いもの を選んでください。 比率（%） 農業・食品サービス 1% 通信 3% 消費財 5% 防衛・航空宇宙 1% 教育・研究 2% エネルギー・公益事業 5% 金融サービス 19% 健康・薬品 11% サービス業 3% 工業 8% 公共部門 12% 小売（従来型） 4% 小売（e-コマース） 5% サービス 8% テクノロジー・ソフトウェア 7% 運輸 4% その他(具体的にお書きください) 2% 合計 100% D4.あなたの事業拠点の地域を教えてください（当てはまるもの全てを選ん でください）。 比率（%） 北米 100% 南米 79% ヨーロッパ・中東・アフリカ 93% アジア太平洋 90% 合計 362% D5. あなたの会社の海外拠点を含む全従業員数を教えてください。 比率（%） 1,001-5,000 人 6% 5,001-10,000 人 19% 10,001-25,000 人 29% 25,001-50,000 人 15% 50,001-75,000 人 17% 75,000 人以上 14% 合計 100%

ご不明の点などございましたら research@ponemon.orgまたは電話800.877.3118 までお問い合わせください。

Ponemon Institute

責任ある情報管理の向上 Ponemon Institute は独立機関として調査を実施する他、企業や官公庁における責任ある情報管理とプライバシー 管理対策の向上を目的として研修を行っています。当機関は従業員や組織に関する機密情報の管理・セキュリティ に影響を及ぼす重要な問題について、質の高い実証的研究を提供することを使命としています。

アメリカサーベイ・リサーチ機関協議会(CASRO：Council of American Survey Research Organizations)のメ ンバーとして、当機関はデータ機密保持のほか、プライバシーや倫理面における調査基準を厳格に順守していま す。当機関が個人の特定が可能な情報を（弊社のビジネス調査においては企業を特定できる情報を）個人から収集 することはありません。また、調査対象者に関連性のない不適切な設問を行わないよう厳正な品質管理を行ってい ます。