情報セキュリティ対策ベンチマーク ver.4.6
平成 29 年 10 月 27 日 情報セキュリティ対策ベンチマークでは、Webページ上の質問に答えることで、組織の情報セ キュリティへの取組状況を自己診断することができます。診断においては、スコア*1(点数)によ る評価と他社との比較ができます。他社との比較では、レーダーチ ャートによる比較や散布図による自社の位置(散布図上での他社と の状況比較)の確認ができます。これらの比較の基礎となるのは、 本システムで実際に診断を行った企業の診断データの集まり(基 準データ)です。 診断結果では、次の項目が表示されます。 【診断結果の表示】 1. トータルスコア*1と企業情報の入力をもとにした情報セキュリティリスク指標*2の分布と自社 の位置を散布図で表示 散布図は、全体と企業規模別*3の2種類を表示 散布図中の自社の位置は最新の位置と過去2回分までの比較が可能 2. 各質問のスコアのレーダーチャートによる比較は4種類を表示 情報セキュリティリスク指標に応じたグループ別のスコアの比較 企業規模別によるスコアの比較 業種別によるスコアの比較能 自組織の最新のスコアと過去2回分までのスコアの比較 3. トータルスコアの度数分布状況と偏差値を表示 4. 診断結果を資料として活用可能(PDF*4で保存・印刷) 5. スコア一覧の表示(PDF) 6. 推奨される取り組みの表示 *1) スコア/トータルスコア 情報セキュリティ対策の実施状況に関する評価項目27問へ5段階で回答すると、スコア(点数)が計算されま す。各評価項目は最高5点(最低1点)、トータルスコアは最高135点(最低27点)です。 *2) 情報セキュリティリスク指標 情報セキュリティリス指標については、付録 「参考情報 : 情報セキュリティリスク指標と望まれる水準につ いて」を参照してください。 *3) 企業規模別 従業員数による企業規模の区別。従業員数<=300で中小企業、従業員数>300で大企業としています。 *4) PDFPDF(Portable Document Format)とは、Adobe Systems社によって開発された、電子文書のためのグローバ ルスタンダードなドキュメントフォーマットです。このフォーマットのファイルを参照するには、専用のアプリケーシ ョンやブラウザのアドオン等が必要ですが、Adobe Systems社からも無償ツールのAdobe Readerが提供されて おり、参照だけでなく保存や印刷を行うこともできます。
1. 情報セキュリティ対策ベンチマーク利用状況
平成20年4月にリリースした、情報セキュリティ対策ベンチマークバージョン3.1 より、診断の基 礎データについては情報セキュリティを巡る環境変化やセキュリティ対策レベルの変化を勘案 し、最新の登録利用されたデータ(統計情報としての利用許諾をいただいたデータ:ログインIDを 発行したデータ)を適用することとし、基礎データの入れ替えを毎年行うこととしました。 表1-1および図1-1に、情報セキュリティ対策ベンチマークの利用件数(診断数)を示します。 平成28年9月30日現在、利用件数は延べ3万8千件を超えています。 表1-1 情報セキュリティ対策ベンチマークの利用件数 年度 一時利用*5 登録利用*6 再診断*7 再入力*8 利用合計 平成 17 年度 1149 550 1699 平成 18 年度 3234 2547 5781 平成 19 年度 2045 1570 534 326 4475 平成 20 年度 1717 931 779 270 3697 平成 21 年度 1164 780 514 376 2834 平成 22 年度 1238 849 675 197 2959 平成 23 年度 725 535 514 213 1987 平成 24 年度 849 594 392 306 2141 平成 25 年度 789 575 510 157 2031 平成 26 年度 1778 837 427 147 3189 平成 27 年度 1529 832 502 185 3048 平成 28 年度 1504 847 514 248 3113 平成 29 年度 (9 月 30 日まで) 624 379 253 95 1351 累計 18345 19960 38305 *5) 一時利用 情報セキュリティ対策ベンチマークシステムにおいてログインIDの登録なしに、一時的にセキュリティ診断を 利用したものです。この利用(おためし利用と位置付けている)により作成されたデータは統計情報には利用し ていません。 *6) 登録利用 情報セキュリティ対策ベンチマークシステムにおいてログインIDの登録を行い、登録データの再利用ができ るセキュリティ診断を利用したものです。この利用により作成(登録)されたデータは、IPAが作成する統計情報 およびセキュリティ診断の基礎データとして利用されます。 *7) 再診断 情報セキュリティ対策ベンチマークシステムにおいてログインIDの登録を行った登録データで再度セキュリテ ィ診断を利用したものです。 *8) 再入力 情報セキュリティ対策ベンチマークシステムにおいてログインIDの登録を行った登録データを変更(再入力) することで再度セキュリティ診断を利用したものです。
図2-1 トータルスコアとリスク指標による基礎データの散布図 ( GIII=1,335件、GII=1,688件、GI=2,570件 )
2. グループ別平均値と望まれる水準
情報セキュリティ対策ベンチマークでは、企業情報として入力された値に基づき診断企業が行 われます(詳細は、付録 「参考情報 : 情報セキュリティリスク指標と望まれる水準について」を 参照してください)。 診断結果は情報セキュリティリスク指標の値の高い順に、 グループⅠ(GI:高水準のセキュリティレベルが要求される層) グループⅡ(GII:相応の水準のセキュリティレベルが望まれる層) グループⅢ(GIII:情報セキュリティ対策が喫緊の課題でない層) の3つのグループのいずれかに分類されます。ベンチマークによる診断利用者は、そのグループ 別の診断項目スコア平均値や望まれる水準と、自社の対策状況の比較ができます。 図2-1~図2-5に各グループがどのような状況(データの集まり)なのか、グループごとのトータ ルスコアとリスク指標による基礎データの散布図およびトータルスコアの度数分布図を示します。図2-2 グループI(GI)のトータルスコア度数分布 (2,570件)
図2-4 グループIII(GIII)のトータルスコア度数分布 (1,335件)
表2-1 グループ別 27項目のスコア平均値と望まれる水準 (n=5,593) Ver.4.6の診断の基礎データ 5,593件 のグループ別平均値と望まれる水準の値を表2-1に、視 覚的に理解しやすくするために平均値の折れ線グラフを図2-6に示します。 大 項 目 設問 連 番 平均値 望まれる水準
GI GII GIII GI GII GIII
問 1 (1) 管理規程 1 3.422 3.318 3.208 4.295 4.221 4.184 (2) リスクアセスメント 2 3.199 3.082 3.015 4.178 4.124 4.093 (3) 推進体制 3 3.456 3.320 3.220 4.291 4.225 4.165 (4) 資産分類 4 3.132 3.049 2.989 4.166 4.137 4.115 (5) 情報の工程毎安全対策 5 3.266 3.094 3.070 4.218 4.116 4.105 (6) 業務委託契約 6 3.527 3.342 3.288 4.258 4.193 4.167 (7) 従業者との契約 7 3.637 3.520 3.466 4.330 4.256 4.261 (8) 従業者への教育 8 3.330 3.228 3.132 4.292 4.189 4.146 問 2 (1) 建物等のセキュリティ 9 3.556 3.411 3.319 4.351 4.279 4.134 (2) 第三者アクセス 10 3.342 3.219 3.162 4.241 4.179 4.136 (3) 機器の設置 11 3.384 3.310 3.217 4.206 4.174 4.132 (4) 書類・媒体の管理 12 3.459 3.331 3.290 4.275 4.261 4.170 問 3 (1) 実稼働環境 13 3.429 3.369 3.248 4.243 4.179 4.148 (2) システム運用 14 3.409 3.331 3.229 4.277 4.250 4.117 (3) バックアップ 15 3.424 3.386 3.302 4.223 4.231 4.156 (4) 不正プログラム対策 16 3.835 3.795 3.721 4.403 4.380 4.289 (5) 脆弱性対策 17 3.505 3.461 3.361 4.299 4.254 4.225 (6) 通信ネットワーク保護策 18 3.549 3.473 3.345 4.287 4.296 4.196 (7) 媒体の紛失・盗難対策 19 3.399 3.309 3.255 4.258 4.263 4.194 問 4 (1) データへのアクセス 20 3.595 3.563 3.452 4.294 4.315 4.182 (2) 業務アプリへのアクセス 21 3.590 3.559 3.432 4.252 4.252 4.165 (3) ネットワークのアクセス制御 22 3.652 3.581 3.446 4.322 4.284 4.189 (4) 開発時のセキュリティ 23 3.253 3.192 3.048 4.152 4.090 4.074 (5) ソフトウェアの管理 24 3.178 3.121 3.054 4.146 4.137 4.065 問 5 (1) 障害対策 25 3.393 3.281 3.171 4.210 4.162 4.084 (2) 事故対応手続き 26 3.260 3.133 3.049 4.230 4.141 4.057 (3) 事業継続 27 2.992 2.858 2.862 4.019 3.933 3.888 注1:GI=グループI、GII=グループII、GIII=グループIII 注2:各グループの件数 GI=2,570件、GII=1,688件、GIII=1,335件
表3-1 グループ別 27項目のスコア平均値と望まれる水準 従業員数300名以下の企業(中小企業) (n=3,248)
3. 企業規模別平均値と望まれる水準
診断結果には、企業規模別のスコアの比較がレーダーチャートにより表示されます。診断企業 は、従業員数300名を超える企業(大企業)と、300名以下の企業(中小企業)に分類され、さら に、企業規模別に情報セキュリティリスク指標に応じたグループ分けがなされます。 Ver.4.6の診断の基礎データ5,593件の診断データを企業規模別グループ別に分けた各平均値 と望まれる水準の値を表3と表4に、視覚的に理解しやすくするために平均値の折れ線グラフを図 3-1と図3-3に示します。 大 項 目 設問 連 番 平均値 望まれる水準GI GII GIII GI GII GIII
問 1 (1) 管理規程 1 3.302 3.256 3.165 4.210 4.188 4.168 (2) リスクアセスメント 2 3.104 3.074 3.029 4.139 4.127 4.082 (3) 推進体制 3 3.311 3.222 3.183 4.194 4.182 4.154 (4) 資産分類 4 2.986 3.014 3.000 4.062 4.137 4.089 (5) 情報の工程毎安全対策 5 3.157 3.086 3.100 4.155 4.123 4.116 (6) 業務委託契約 6 3.476 3.281 3.252 4.205 4.195 4.171 (7) 従業者との契約 7 3.573 3.516 3.448 4.278 4.257 4.229 (8) 従業者への教育 8 3.211 3.214 3.108 4.212 4.178 4.120 問 2 (1) 建物等のセキュリティ 9 3.471 3.395 3.270 4.273 4.281 4.158 (2) 第三者アクセス 10 3.238 3.224 3.140 4.187 4.178 4.161 (3) 機器の設置 11 3.265 3.222 3.160 4.123 4.134 4.137 (4) 書類・媒体の管理 12 3.390 3.329 3.304 4.210 4.250 4.185 問 3 (1) 実稼働環境 13 3.341 3.309 3.204 4.191 4.171 4.130 (2) システム運用 14 3.329 3.282 3.194 4.216 4.216 4.092 (3) バックアップ 15 3.345 3.352 3.276 4.185 4.219 4.161 (4) 不正プログラム対策 16 3.807 3.770 3.703 4.342 4.380 4.305 (5) 脆弱性対策 17 3.464 3.467 3.393 4.237 4.247 4.216 (6) 通信ネットワーク保護策 18 3.452 3.404 3.298 4.228 4.291 4.195 (7) 媒体の紛失・盗難対策 19 3.281 3.212 3.238 4.148 4.219 4.199 問 4 (1) データへのアクセス 20 3.533 3.498 3.406 4.226 4.291 4.178 (2) 業務アプリへのアクセス 21 3.519 3.504 3.395 4.205 4.247 4.185 (3) ネットワークのアクセス制御 22 3.580 3.497 3.372 4.248 4.267 4.192 (4) 開発時のセキュリティ 23 3.189 3.171 3.057 4.077 4.106 4.079 (5) ソフトウェアの管理 24 3.119 3.111 3.080 4.098 4.161 4.086 問 5 (1) 障害対策 25 3.332 3.264 3.165 4.139 4.134 4.065 (2) 事故対応手続き 26 3.171 3.089 3.047 4.150 4.130 4.058 (3) 事業継続 27 2.928 2.904 2.912 3.943 3.966 3.935 注1:GI=グループI、GII=グループII、GIII=グループIII 注2:各グループのデータ件数 GI=1,381件、GII=958件、GIII=909件
図3-1 従業員数300名以下の企業(中小企業)の27項目のスコア平均値
表3-2 グループ別 27項目のスコア平均値と望まれる水準 従業員数300名を超える企業(大企業) (n=2,345) 大 項 目 設問 連 番 平均値 望まれる水準
GI GII GIII GI GII GIII
問 1 (1) 管理規程 1 3.562 3.399 3.300 4.370 4.220 4.220 (2) リスクアセスメント 2 3.309 3.092 2.986 4.208 4.056 4.007 (3) 推進体制 3 3.625 3.448 3.300 4.373 4.237 4.177 (4) 資産分類 4 3.302 3.096 2.965 4.252 4.073 4.113 (5) 情報の工程毎安全対策 5 3.393 3.105 3.007 4.252 4.047 4.000 (6) 業務委託契約 6 3.586 3.422 3.366 4.288 4.134 4.128 (7) 従業者との契約 7 3.711 3.526 3.505 4.362 4.203 4.248 (8) 従業者への教育 8 3.468 3.247 3.183 4.360 4.147 4.163 問 2 (1) 建物等のセキュリティ 9 3.654 3.433 3.425 4.406 4.190 4.078 (2) 第三者アクセス 10 3.463 3.211 3.209 4.272 4.099 4.071 (3) 機器の設置 11 3.522 3.425 3.340 4.254 4.168 4.092 (4) 書類・媒体の管理 12 3.538 3.333 3.261 4.314 4.216 4.085 問 3 (1) 実稼働環境 13 3.532 3.448 3.343 4.275 4.147 4.106 (2) システム運用 14 3.500 3.396 3.305 4.314 4.241 4.142 (3) バックアップ 15 3.516 3.430 3.357 4.242 4.190 4.113 (4) 不正プログラム対策 16 3.866 3.827 3.761 4.434 4.332 4.241 (5) 脆弱性対策 17 3.553 3.455 3.293 4.339 4.198 4.191 (6) 通信ネットワーク保護策 18 3.661 3.564 3.444 4.332 4.259 4.170 (7) 媒体の紛失・盗難対策 19 3.536 3.437 3.291 4.357 4.276 4.170 問 4 (1) データへのアクセス 20 3.666 3.649 3.549 4.344 4.276 4.142 (2) 業務アプリへのアクセス 21 3.673 3.630 3.512 4.283 4.207 4.099 (3) ネットワークのアクセス制御 22 3.735 3.690 3.603 4.368 4.254 4.177 (4) 開発時のセキュリティ 23 3.328 3.219 3.028 4.198 4.000 3.993 (5) ソフトウェアの管理 24 3.246 3.136 2.998 4.167 4.039 4.000 問 5 (1) 障害対策 25 3.465 3.304 3.183 4.252 4.095 4.028 (2) 事故対応手続き 26 3.364 3.190 3.052 4.283 4.103 4.064 (3) 事業継続 27 3.066 2.799 2.756 4.036 3.728 3.645 注1:GI=グループI、GII=グループII、GIII=グループIII 注2:各グループのデータ件数 GI=1,189件、GII=730件、GIII=426件
図3-3 従業員数300名を超える企業(大企業)の27項目のスコア平均値
図4 業種別基礎データ数の比率
4. 業種別平均値と望まれる水準
情報セキュリティ対策ベンチマークの業種分類は、総務省の「日本標準産業分類」をベースと しています。業種の選択肢は24種類ですが、業種によっては、診断データ件数が少ないものがあ るため、診断結果の業種別スコア比較では、次の11業種グループで比較をしています(括弧の中 の数字はそれぞれの業種での基礎データの数を示しています)。 これら11業種グループの各平均値と望まれる水準を表とレーダーチャートで示し、さらにトータ ルスコアの度数分布図で示します。(1) その他(農林漁業鉱業含む)(892件)
(2) 建設業(237件)
(3) 製造業(1,171件)
(4) 電力・ガス・熱供給業・水道業・運輸業(179件)
(5) 情報サービス業(1,878件)
(6) 通信業、放送業、ISP・ASP、出版業・新聞業(151件)
(7) 卸売・小売業(450件)
(8) 金融・保険業(211件)
(9) 不動産業、飲食・宿泊業(118件)
(10) 医療・福祉、教育・学習支援業(168件)
(11) 政府機関・地方自治体・公益法人(138件)
表4-1 業種別 27項目のスコア平均値と望まれる水準 (1) その他(農林漁業鉱業含む) (n=892)
(1) その他(農林漁業鉱業含む)
大項目 設問 連番 その他(農林漁業鉱業含む) 平均値 望まれる水準 問 1 (1) 管理規程 1 3.247 4.158 (2) リスクアセスメント 2 3.019 4.037 (3) 推進体制 3 3.268 4.091 (4) 資産分類 4 2.933 4.010 (5) 情報の工程毎安全対策 5 3.076 4.044 (6) 業務委託契約 6 3.349 4.108 (7) 従業者との契約 7 3.438 4.135 (8) 従業者への教育 8 3.084 4.044 問 2 (1) 建物等のセキュリティ 9 3.387 4.232 (2) 第三者アクセス 10 3.112 4.051 (3) 機器の設置 11 3.193 4.121 (4) 書類・媒体の管理 12 3.270 4.111 問 3 (1) 実稼働環境 13 3.229 4.094 (2) システム運用 14 3.267 4.172 (3) バックアップ 15 3.280 4.108 (4) 不正プログラム対策 16 3.747 4.313 (5) 脆弱性対策 17 3.369 4.202 (6) 通信ネットワーク保護策 18 3.364 4.236 (7) 媒体の紛失・盗難対策 19 3.239 4.141 問 4 (1) データへのアクセス 20 3.439 4.195 (2) 業務アプリへのアクセス 21 3.418 4.178 (3) ネットワークのアクセス制御 22 3.484 4.239 (4) 開発時のセキュリティ 23 3.050 3.997 (5) ソフトウェアの管理 24 3.091 4.057 問 5 (1) 障害対策 25 3.284 4.074 (2) 事故対応手続き 26 3.092 4.091 (3) 事業継続 27 2.867 3.909 備考 トータルスコア(整数に切り上げ) 88/135 112/135 トータルスコアの標準偏差※ 23.158 ※トータルスコアの標準偏差は、基礎データにおけるトータルスコアのバラツキを示す値です図4-1-1 業種別 27項目のスコア平均値と望まれる水準 (1) その他(農林漁業鉱業含む) (n=892)
図4-1-2 業種別 トータルスコア度数分布 (1) その他(農林漁業鉱業含む) (n=892)
図4-1-3 業種別 企業規模比率 (1) その他(農林漁業鉱業含む) (n=892) 図4-1-4 業種別 セキュリティリスク指標グループ比率 (1) その他(農林漁業鉱業含む) (n=892) ※ 参考までに、業種グループ『その他(農林漁鉱業含む) 』については、表現上「農林漁鉱 業含む」としていますが、この業種グループに含まれる主な業種は、登録された診断デー タから判断して、おおよそ以下の通りです。 協同組合、共済組合、連合会といった複合サービス業 警備関連のサービス業 ビルメンテナンスや機器等の修理サービス業
表4-2 業種別 27項目のスコア平均値と望まれる水準 (2) 建設業 (n=237)
(2) 建設業
大項目 設問 連番 建設業 平均値 望まれる水準 問 1 (1) 管理規程 1 3.021 4.132 (2) リスクアセスメント 2 2.772 3.882 (3) 推進体制 3 3.114 4.162 (4) 資産分類 4 2.722 3.985 (5) 情報の工程毎安全対策 5 2.785 3.971 (6) 業務委託契約 6 3.089 4.132 (7) 従業者との契約 7 3.333 4.176 (8) 従業者への教育 8 2.983 4.088 問 2 (1) 建物等のセキュリティ 9 3.156 4.176 (2) 第三者アクセス 10 2.844 3.912 (3) 機器の設置 11 3.068 3.971 (4) 書類・媒体の管理 12 3.110 4.118 問 3 (1) 実稼働環境 13 3.131 4.191 (2) システム運用 14 3.097 4.206 (3) バックアップ 15 3.046 4.118 (4) 不正プログラム対策 16 3.755 4.412 (5) 脆弱性対策 17 3.203 4.162 (6) 通信ネットワーク保護策 18 3.333 4.353 (7) 媒体の紛失・盗難対策 19 3.030 4.191 問 4 (1) データへのアクセス 20 3.401 4.353 (2) 業務アプリへのアクセス 21 3.388 4.176 (3) ネットワークのアクセス制御 22 3.430 4.235 (4) 開発時のセキュリティ 23 2.979 4.103 (5) ソフトウェアの管理 24 2.907 4.015 問 5 (1) 障害対策 25 3.046 4.074 (2) 事故対応手続き 26 2.806 4.029 (3) 事業継続 27 2.608 3.691 備考 トータルスコア(整数に切り上げ) 84/135 112/135 トータルスコアの標準偏差※ 24.280 ※トータルスコアの標準偏差は、基礎データにおけるトータルスコアのバラツキを示す値です図4-2-1 業種別 27項目のスコア平均値と望まれる水準 (2) 建築業 (n=237)
図4-2-2 業種別 トータルスコア度数分布 (2) 建築業 (n=237)
図4-2-3 業種別 企業規模比率 (2) 建築業 (n=237)
図4-2-4 業種別 セキュリティリスク指標グループ比率 (2) 建築業 (n=237)
表4-3 業種別 27項目のスコア平均値と望まれる水準 (3) 製造業 (n=1,171)
(3) 製造業
大項目 設問 連番 製造業 平均値 望まれる水準 問 1 (1) 管理規程 1 3.077 4.026 (2) リスクアセスメント 2 2.792 3.742 (3) 推進体制 3 3.149 4.099 (4) 資産分類 4 2.808 3.820 (5) 情報の工程毎安全対策 5 2.810 3.740 (6) 業務委託契約 6 3.155 3.938 (7) 従業者との契約 7 3.335 4.076 (8) 従業者への教育 8 2.923 3.940 問 2 (1) 建物等のセキュリティ 9 3.161 3.961 (2) 第三者アクセス 10 2.980 3.867 (3) 機器の設置 11 3.153 4.010 (4) 書類・媒体の管理 12 3.088 4.029 問 3 (1) 実稼働環境 13 3.218 4.018 (2) システム運用 14 3.116 4.013 (3) バックアップ 15 3.236 4.026 (4) 不正プログラム対策 16 3.698 4.247 (5) 脆弱性対策 17 3.260 4.063 (6) 通信ネットワーク保護策 18 3.287 4.073 (7) 媒体の紛失・盗難対策 19 3.111 4.065 問 4 (1) データへのアクセス 20 3.412 4.143 (2) 業務アプリへのアクセス 21 3.381 4.016 (3) ネットワークのアクセス制御 22 3.454 4.174 (4) 開発時のセキュリティ 23 2.975 3.854 (5) ソフトウェアの管理 24 2.883 3.797 問 5 (1) 障害対策 25 3.072 3.911 (2) 事故対応手続き 26 2.858 3.880 (3) 事業継続 27 2.520 3.271 備考 トータルスコア(整数に切り上げ) 84/135 107/135 トータルスコアの標準偏差 21.953 ※トータルスコアの標準偏差は、基礎データにおけるトータルスコアのバラツキを示す値です図4-3-1 業種別 27項目のスコア平均値と望まれる水準 (3) 製造業 (n=1,171)
図4-3-3 業種別 企業規模比率 (3) 製造業 (n=1,071)
図4-3-4 業種別 セキュリティリスク指標グループ比率 (3) 製造業 (n=1,071)
表4-4 業種別 27項目のスコア平均値と望まれる水準 (4) 電力・ガス・熱供給業・水道業・運輸業 (n=179)
(4) 電力・ガス・熱供給業・水道業・運輸業
大項目 設問 連番 電力・ガス・熱供給業・水道業・運輸業 平均値 望まれる水準 問 1 (1) 管理規程 1 3.028 3.948 (2) リスクアセスメント 2 2.832 3.862 (3) 推進体制 3 3.095 3.983 (4) 資産分類 4 2.676 3.810 (5) 情報の工程毎安全対策 5 2.704 3.569 (6) 業務委託契約 6 3.134 3.966 (7) 従業者との契約 7 3.028 3.810 (8) 従業者への教育 8 2.899 3.741 問 2 (1) 建物等のセキュリティ 9 3.201 3.966 (2) 第三者アクセス 10 2.788 3.672 (3) 機器の設置 11 3.034 3.966 (4) 書類・媒体の管理 12 2.922 3.862 問 3 (1) 実稼働環境 13 3.073 4.034 (2) システム運用 14 3.073 3.931 (3) バックアップ 15 3.011 3.931 (4) 不正プログラム対策 16 3.559 4.172 (5) 脆弱性対策 17 3.084 3.897 (6) 通信ネットワーク保護策 18 3.246 4.017 (7) 媒体の紛失・盗難対策 19 2.754 3.724 問 4 (1) データへのアクセス 20 3.257 3.966 (2) 業務アプリへのアクセス 21 3.341 3.966 (3) ネットワークのアクセス制御 22 3.380 4.103 (4) 開発時のセキュリティ 23 2.905 3.810 (5) ソフトウェアの管理 24 2.844 3.776 問 5 (1) 障害対策 25 3.028 3.776 (2) 事故対応手続き 26 2.782 3.707 (3) 事業継続 27 2.637 3.414 備考 トータルスコア(整数に切り上げ) 82/135 105/135 トータルスコアの標準偏差 20.761図4-4-1 業種別 27項目のスコア平均値と望まれる水準 (4) 電力・ガス・熱供給業・水道業・運輸業 (n=179)
図4-4-3 業種別 企業規模比率 (4) 電力・ガス・熱供給業・水道業・運輸業 (n=179)
図4-4-4 業種別 セキュリティリスク指標グループ比率 (4) 電力・ガス・熱供給業・水道業・運輸業 (n=179)
表4-5 業種別 27項目のスコア平均値と望まれる水準 (5) 情報サービス業 (n=1,878)
(5) 情報サービス業
大項目 設問 連番 情報サービス業 平均値 望まれる水準 問 1 (1) 管理規程 1 3.803 4.489 (2) リスクアセスメント 2 3.639 4.355 (3) 推進体制 3 3.786 4.476 (4) 資産分類 4 3.593 4.348 (5) 情報の工程毎安全対策 5 3.709 4.420 (6) 業務委託契約 6 3.827 4.468 (7) 従業者との契約 7 3.972 4.589 (8) 従業者への教育 8 3.826 4.513 問 2 (1) 建物等のセキュリティ 9 3.875 4.515 (2) 第三者アクセス 10 3.761 4.416 (3) 機器の設置 11 3.661 4.307 (4) 書類・媒体の管理 12 3.834 4.481 問 3 (1) 実稼働環境 13 3.710 4.381 (2) システム運用 14 3.703 4.387 (3) バックアップ 15 3.719 4.383 (4) 不正プログラム対策 16 3.998 4.613 (5) 脆弱性対策 17 3.789 4.463 (6) 通信ネットワーク保護策 18 3.782 4.444 (7) 媒体の紛失・盗難対策 19 3.794 4.457 問 4 (1) データへのアクセス 20 3.861 4.472 (2) 業務アプリへのアクセス 21 3.830 4.403 (3) ネットワークのアクセス制御 22 3.855 4.468 (4) 開発時のセキュリティ 23 3.564 4.255 (5) ソフトウェアの管理 24 3.499 4.240 問 5 (1) 障害対策 25 3.618 4.297 (2) 事故対応手続き 26 3.650 4.348 (3) 事業継続 27 3.347 4.110 備考 トータルスコア(整数に切り上げ) 102/135 120/135 トータルスコアの標準偏差 18.584図4-5-1 業種別 27項目のスコア平均値と望まれる水準 (5) 情報サービス業 (n=1,878)
図4-5-2 業種別 トータルスコア度数分布 (5) 情報サービス業 (n=1,878)
図4-5-3 業種別 企業規模比率 (5) 情報サービス業 (n=1,878)
図4-5-4 業種別 セキュリティリスク指標グループ比率 (5) 情報サービス業 (n=1,878)
表4-6 業種別 27項目のスコア平均値と望まれる水準 (6) 通信業、放送業、ISP・ASP、出版業・新聞業 (n=151)
(6) 通信業、放送業、ISP・ASP、出版業・新聞業
大項目 設問 連番 通信業、放送業、ISP・ASP、 出版業・新聞業 平均値 望まれる水準 問 1 (1) 管理規程 1 3.086 4.130 (2) リスクアセスメント 2 3.073 4.196 (3) 推進体制 3 3.113 4.152 (4) 資産分類 4 3.026 4.130 (5) 情報の工程毎安全対策 5 3.185 4.217 (6) 業務委託契約 6 3.285 4.065 (7) 従業者との契約 7 3.517 4.239 (8) 従業者への教育 8 3.106 4.152 問 2 (1) 建物等のセキュリティ 9 3.503 4.283 (2) 第三者アクセス 10 3.358 4.196 (3) 機器の設置 11 3.232 4.174 (4) 書類・媒体の管理 12 3.391 4.217 問 3 (1) 実稼働環境 13 3.272 4.217 (2) システム運用 14 3.298 4.239 (3) バックアップ 15 3.285 4.196 (4) 不正プログラム対策 16 3.788 4.304 (5) 脆弱性対策 17 3.477 4.283 (6) 通信ネットワーク保護策 18 3.371 4.239 (7) 媒体の紛失・盗難対策 19 3.252 4.130 問 4 (1) データへのアクセス 20 3.510 4.217 (2) 業務アプリへのアクセス 21 3.517 4.196 (3) ネットワークのアクセス制御 22 3.649 4.304 (4) 開発時のセキュリティ 23 3.252 4.174 (5) ソフトウェアの管理 24 3.152 4.130 問 5 (1) 障害対策 25 3.351 4.196 (2) 事故対応手続き 26 3.126 4.087 (3) 事業継続 27 2.960 4.087 備考 トータルスコア(整数に切り上げ) 90/135 114/135 トータルスコアの標準偏差 23.375図4-6-1 業種別 27項目のスコア平均値と望まれる水準 (6) 通信業、放送業、ISP・ASP、出版業・新聞業 (n=151)
図4-6-3 業種別 企業規模比率 (6)
通信業、放送業、ISP・ASP、出版業・新聞業 (n=151)
図4-6-4 業種別 セキュリティリスク指標グループ比率 (6) 通信業、放送業、ISP・ASP、出版業・新聞業 (n=151)
表4-7 業種別 27項目のスコア平均値と望まれる水準 (7) 卸売・小売業 (n=450)
(7) 卸売・小売業
大項目 設問 連番 卸売・小売業 平均値 望まれる水準 問 1 (1) 管理規程 1 2.967 4.041 (2) リスクアセスメント 2 2.702 3.810 (3) 推進体制 3 2.956 4.020 (4) 資産分類 4 2.649 3.762 (5) 情報の工程毎安全対策 5 2.729 3.755 (6) 業務委託契約 6 3.109 4.075 (7) 従業者との契約 7 3.280 4.170 (8) 従業者への教育 8 2.780 4.000 問 2 (1) 建物等のセキュリティ 9 3.129 4.116 (2) 第三者アクセス 10 2.880 3.905 (3) 機器の設置 11 3.120 3.993 (4) 書類・媒体の管理 12 2.991 3.993 問 3 (1) 実稼働環境 13 3.118 4.048 (2) システム運用 14 3.084 4.122 (3) バックアップ 15 3.171 4.068 (4) 不正プログラム対策 16 3.633 4.381 (5) 脆弱性対策 17 3.207 4.109 (6) 通信ネットワーク保護策 18 3.367 4.184 (7) 媒体の紛失・盗難対策 19 2.953 4.116 問 4 (1) データへのアクセス 20 3.296 4.238 (2) 業務アプリへのアクセス 21 3.356 4.197 (3) ネットワークのアクセス制御 22 3.362 4.150 (4) 開発時のセキュリティ 23 2.869 3.796 (5) ソフトウェアの管理 24 2.831 3.830 問 5 (1) 障害対策 25 3.069 3.905 (2) 事故対応手続き 26 2.849 3.912 (3) 事業継続 27 2.631 3.449 備考 トータルスコア(整数に切り上げ) 83/135 109/135 トータルスコアの標準偏差 23.437図4-7-1 業種別 27項目のスコア平均値と望まれる水準 (7) 卸売・小売業 (n=450)
図4-7-3 業種別 企業規模比率 (7) 卸売・小売業 (n=450)
図4-7-4 業種別 セキュリティリスク指標グループ比率 (7) 卸売・小売業 (n=450)
表4-8 業種別 27項目のスコア平均値と望まれる水準 (8) 金融・保険業 (n=211)
(8) 金融・保険業
大項目 設問 連番 金融・保険業 平均値 望まれる水準 問 1 (1) 管理規程 1 3.815 4.597 (2) リスクアセスメント 2 3.536 4.388 (3) 推進体制 3 3.848 4.567 (4) 資産分類 4 3.450 4.269 (5) 情報の工程毎安全対策 5 3.592 4.373 (6) 業務委託契約 6 3.810 4.358 (7) 従業者との契約 7 3.991 4.522 (8) 従業者への教育 8 3.645 4.507 問 2 (1) 建物等のセキュリティ 9 3.929 4.597 (2) 第三者アクセス 10 3.754 4.433 (3) 機器の設置 11 3.782 4.463 (4) 書類・媒体の管理 12 3.882 4.493 問 3 (1) 実稼働環境 13 3.825 4.507 (2) システム運用 14 3.749 4.493 (3) バックアップ 15 3.801 4.478 (4) 不正プログラム対策 16 4.057 4.701 (5) 脆弱性対策 17 3.886 4.597 (6) 通信ネットワーク保護策 18 3.858 4.463 (7) 媒体の紛失・盗難対策 19 3.820 4.448 問 4 (1) データへのアクセス 20 3.919 4.507 (2) 業務アプリへのアクセス 21 3.929 4.597 (3) ネットワークのアクセス制御 22 3.919 4.507 (4) 開発時のセキュリティ 23 3.597 4.328 (5) ソフトウェアの管理 24 3.578 4.448 問 5 (1) 障害対策 25 3.839 4.537 (2) 事故対応手続き 26 3.649 4.403 (3) 事業継続 27 3.607 4.388 備考 トータルスコア(整数に切り上げ) 103/135 121/135 トータルスコアの標準偏差 19.598図4-8-1 業種別 27項目のスコア平均値と望まれる水準 (8) 金融・保険業 (n=211)
図4-8-2 業種別 トータルスコア度数分布 (8) 金融・保険業 (n=211)
図4-8-3 業種別 企業規模比率 (8) 金融・保険業 (n=211)
図4-8-4 業種別 セキュリティリスク指標グループ比率 (8) 金融・保険業 (n=211)
表4-9 業種別 27項目のスコア平均値と望まれる水準 (9) 不動産業、飲食・宿泊業 (n=118)
(9) 不動産業、飲食・宿泊業
大項目 設問 連番 不動産業、飲食・宿泊業 平均値 望まれる水準 問 1 (1) 管理規程 1 2.627 3.676 (2) リスクアセスメント 2 2.390 3.294 (3) 推進体制 3 2.737 3.824 (4) 資産分類 4 2.288 3.265 (5) 情報の工程毎安全対策 5 2.415 3.412 (6) 業務委託契約 6 2.797 3.500 (7) 従業者との契約 7 3.085 3.882 (8) 従業者への教育 8 2.381 3.500 問 2 (1) 建物等のセキュリティ 9 2.729 3.412 (2) 第三者アクセス 10 2.585 3.471 (3) 機器の設置 11 2.754 3.647 (4) 書類・媒体の管理 12 2.873 3.735 問 3 (1) 実稼働環境 13 2.805 3.882 (2) システム運用 14 2.771 3.853 (3) バックアップ 15 2.831 3.706 (4) 不正プログラム対策 16 3.356 3.912 (5) 脆弱性対策 17 2.949 3.618 (6) 通信ネットワーク保護策 18 2.941 3.676 (7) 媒体の紛失・盗難対策 19 2.695 3.647 問 4 (1) データへのアクセス 20 2.983 3.971 (2) 業務アプリへのアクセス 21 3.059 4.029 (3) ネットワークのアクセス制御 22 2.966 3.912 (4) 開発時のセキュリティ 23 2.500 3.588 (5) ソフトウェアの管理 24 2.475 3.559 問 5 (1) 障害対策 25 2.754 3.676 (2) 事故対応手続き 26 2.398 3.471 (3) 事業継続 27 2.297 2.912 備考 トータルスコア(整数に切り上げ) 74/135 99/135 トータルスコアの標準偏差 22.489図4-9-1 業種別 27項目のスコア平均値と望まれる水準 (9) 不動産業、飲食・宿泊業 (n=118)
図4-9-2 業種別 トータルスコア度数分布 (9) 不動産業、飲食・宿泊業 (n=118)
図4-9-3 業種別 企業規模比率 (9) 不動産業、飲食・宿泊業 (n=118)
図4-9-4 業種別 セキュリティリスク指標グループ比率 (9) 不動産業、飲食・宿泊業 (n=118)
表4-10 業種別 27項目のスコア平均値と望まれる水準 (10) 医療・福祉、教育・学習支援業 (n=168)
(10) 医療・福祉、教育・学習支援業
大項目 設問 連番 医療・福祉、教育・学習支援業 平均値 望まれる水準 問 1 (1) 管理規程 1 2.750 3.852 (2) リスクアセスメント 2 2.518 3.796 (3) 推進体制 3 2.679 3.815 (4) 資産分類 4 2.369 3.537 (5) 情報の工程毎安全対策 5 2.595 3.778 (6) 業務委託契約 6 2.857 3.944 (7) 従業者との契約 7 3.071 4.056 (8) 従業者への教育 8 2.583 3.889 問 2 (1) 建物等のセキュリティ 9 2.845 3.778 (2) 第三者アクセス 10 2.643 3.778 (3) 機器の設置 11 2.804 3.796 (4) 書類・媒体の管理 12 2.851 3.889 問 3 (1) 実稼働環境 13 2.851 3.907 (2) システム運用 14 2.792 3.889 (3) バックアップ 15 2.875 3.981 (4) 不正プログラム対策 16 3.417 4.074 (5) 脆弱性対策 17 3.042 4.000 (6) 通信ネットワーク保護策 18 3.012 4.074 (7) 媒体の紛失・盗難対策 19 2.750 3.926 問 4 (1) データへのアクセス 20 3.083 4.056 (2) 業務アプリへのアクセス 21 3.167 4.074 (3) ネットワークのアクセス制御 22 3.101 4.093 (4) 開発時のセキュリティ 23 2.649 3.537 (5) ソフトウェアの管理 24 2.595 3.648 問 5 (1) 障害対策 25 2.821 3.796 (2) 事故対応手続き 26 2.542 3.815 (3) 事業継続 27 2.631 3.611 備考 トータルスコア(整数に切り上げ) 76/135 105/135 トータルスコアの標準偏差 24.211図4-10-1 業種別 27項目のスコア平均値と望まれる水準 (10) 医療・福祉、教育・学習支援業 (n=168)
図4-10-2 業種別 トータルスコア度数分布 (10) 医療・福祉、教育・学習支援業 (n=168)
図4-10-3 業種別 企業規模比率 (10) 医療・福祉、教育・学習支援業 (n=168)
図4-10-4 業種別 セキュリティリスク指標グループ比率 (10) 医療・福祉、教育・学習支援業 (n=168)
表4-11 業種別 27項目のスコア平均値と望まれる水準 (11) 政府機関・地方自治体・公益法人 (n=138)
(11) 政府機関・地方自治体・公益法人
大項目 設問 連番 政府機関・地方自治体・公益法人 平均値 望まれる水準 問 1 (1) 管理規程 1 2.906 3.867 (2) リスクアセスメント 2 2.580 3.689 (3) 推進体制 3 2.862 3.889 (4) 資産分類 4 2.659 3.578 (5) 情報の工程毎安全対策 5 2.783 3.644 (6) 業務委託契約 6 3.087 3.844 (7) 従業者との契約 7 3.065 4.044 (8) 従業者への教育 8 2.891 3.978 問 2 (1) 建物等のセキュリティ 9 3.181 4.089 (2) 第三者アクセス 10 2.870 3.956 (3) 機器の設置 11 2.949 4.022 (4) 書類・媒体の管理 12 3.007 4.067 問 3 (1) 実稼働環境 13 3.007 4.022 (2) システム運用 14 3.043 3.956 (3) バックアップ 15 3.036 3.889 (4) 不正プログラム対策 16 3.536 4.178 (5) 脆弱性対策 17 3.196 4.022 (6) 通信ネットワーク保護策 18 3.138 4.067 (7) 媒体の紛失・盗難対策 19 2.841 4.022 問 4 (1) データへのアクセス 20 3.246 3.978 (2) 業務アプリへのアクセス 21 3.275 4.067 (3) ネットワークのアクセス制御 22 3.304 4.111 (4) 開発時のセキュリティ 23 2.993 3.778 (5) ソフトウェアの管理 24 2.746 3.733 問 5 (1) 障害対策 25 2.993 3.867 (2) 事故対応手続き 26 2.754 3.800 (3) 事業継続 27 2.507 3.689 備考 トータルスコア(整数に切り上げ) 81/135 106/135 トータルスコアの標準偏差 23.948図4-11-1 業種別 27項目のスコア平均値と望まれる水準 (11) 政府機関・地方自治体・公益法人 (n=138)
図4-11-2 業種別 トータルスコア度数分布 (11) 政府機関・地方自治体・公益法人 (n=138)
図4-11-3 業種別 企業規模比率 (11) 政府機関・地方自治体・公益法人 (n=138)
図4-11-4 業種別 セキュリティリスク指標グループ比率 (11) 政府機関・地方自治体・公益法人 (n=138)
表4-12 業種別 27項目のスコア平均値と望まれる水準 (12) 全体(全業種) (n=5,593)
(12) 全体(全業種)
大項目 設問 連番 全体(全業種) 平均値 望まれる水準 問 1 (1) 管理規程 1 3.340 4.231 (2) リスクアセスメント 2 3.120 4.124 (3) 推進体制 3 3.359 4.220 (4) 資産分類 4 3.073 4.118 (5) 情報の工程毎安全対策 5 3.168 4.135 (6) 業務委託契約 6 3.414 4.197 (7) 従業者との契約 7 3.561 4.271 (8) 従業者への教育 8 3.252 4.206 問 2 (1) 建物等のセキュリティ 9 3.456 4.252 (2) 第三者アクセス 10 3.262 4.171 (3) 機器の設置 11 3.322 4.151 (4) 書類・媒体の管理 12 3.380 4.223 問 3 (1) 実稼働環境 13 3.368 4.183 (2) システム運用 14 3.342 4.208 (3) バックアップ 15 3.383 4.188 (4) 不正プログラム対策 16 3.796 4.344 (5) 脆弱性対策 17 3.458 4.244 (6) 通信ネットワーク保護策 18 3.477 4.247 (7) 媒体の紛失・盗難対策 19 3.337 4.222 問 4 (1) データへのアクセス 20 3.551 4.252 (2) 業務アプリへのアクセス 21 3.543 4.212 (3) ネットワークのアクセス制御 22 3.581 4.256 (4) 開発時のセキュリティ 23 3.186 4.089 (5) ソフトウェアの管理 24 3.131 4.099 問 5 (1) 障害対策 25 3.306 4.135 (2) 事故対応手続き 26 3.171 4.141 (3) 事業継続 27 2.921 3.914 備考 トータルスコア(整数に切り上げ) 91/135 114/135 トータルスコアの標準偏差 23.117図4-12-1 業種別 27項目のスコア平均値と望まれる水準 (12) 全体(全業種) (n=5,593)
図4-12-2 業種別 トータルスコア度数分布 (12) 全体(全業種) (n=5,593)
図4-12-3 業種別 企業規模比率 (12) 全体(全業種) (n=5,593)
図4-12-4 業種別 セキュリティリスク指標グループ比率 (12) 全体(全業種) (n=5,593)
図4-13 業種別 平均トータルスコアと望まれるトータルスコア
(13) 参考までに
5. ベンチマークシステムの今後について
情報セキュリティ対策ベンチマークも実運用に入ってから、10年を越え診断システムとしては安 定したものなってきています。また、情報セキュリティ対策ベンチマークシステムを基本とし、各企 業・業界団体でのセキュリティ対策基準作りも行われるようになってきました。 今回のバージョンアップでは、診断の基準となる基礎データの更新のみとなりましたが、データ の母数がさらに増加したため、より現状にあった診断ができるものとなったと考えています。 今後も、診断の基準となる基礎データの更新を継続的に実施していく予定でありますが、情報 セキュリティ対策ベンチマークの国内へのさらなる普及と、セキュリティ対策水準の向上を目指す ことへの、関係各位のご協力を期待しております。 本件に関するお問い合わせは、以下にお願いします。 関連資料 1) 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/ 2) 情報セキュリティガバナンスのページ(経済産業省) http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html 3) 総務省統計局平成18年事業所/企業統計調査 http://www.stat.go.jp/data/jigyou/2006/ 4) 日本標準産業分類(平成19年11月改訂) http://www.stat.go.jp/index/seido/sangyo/19index.htm 更新履歴 平成29年10月27日作成 バージョンアップした基礎データの統計情報として作成しました。 平成30年09月21日 誤記修正 ・ 1頁 作成日修正 ・ 23頁以降 表4-4~表4-12 枠内タイトル修正 ・ 51頁 組織変更に伴う問い合わせ先修正 IPA セキュリティセンター 企画部 横山/内山 Tel: 03-5978-7508 Fax: 03-5978-7518 E-mail: isec-info@ipa.go.jp付録 「参考情報 : 情報セキュリティリスク指標と望まれる水準について」
(1) 情報セキュリティリスク指標
情報セキュリティリスク指標は、従業員数、売上高、重要情報の保有数、IT依存度などから計 算される企業のかかえるリスクを表す指標です。情報セキュリティリスク指標の算出方法は、「企 業における情報セキュリティガバナンスのあり方に関する研究会 報告書」参考資料 情報セキュ リティ対策ベンチマーク p. A1-30 「企業分類に係わる指標の算出方法」を参照して下さい (http://www.meti.go.jp/report/downloadfiles/g50331d01j.pdf)。 情報セキュリティリスク指標=事業構造上の脆弱性指標+社会的影響力指標 事業構造上の脆弱性指標=-0.0018×(正社員割合-77.673)/23.249 + 0.0710×(総拠点数-36.133)/288.791 + 0.5389×(IT 依存度-2.797)/1.054 + 0.5326×(インターネット依存度-1.611)/0.858 + 0.3588×(ビジネスパートナーへの依存度-2.028)/0.892 - 0.0302×(年間離職率-6.037)/8.305 正社員割合は%の値 総拠店数は国内拠店数+海外拠店数 IT依存度は%ベースの1(25%以下)~4(75%以上)の点数 ビジネスパートナーへの依存度は%ベースの1(25%以下)~4(75%以上)の点数 年間離職率は% ※(上記の値-平均値)/標準偏差に係数をかけて合算する 社会的影響力指標=0.1331×(売上高-61526.4)/127537.8 + 0.2764×(公益性-2.354)/0.913 + 0.3082×(顧客への影響-2.203)/0.865 + 0.3044×(ブランドへの影響-2.598)/0.803 + 0.3214×(機密情報の保有度-2.256)/0.899 + 0.2212×(保有個人情報数-249308.1)/822664.5 売上高は百万円単位の金額 公益性は、1点(ほとんどない)、2点(少ない)、3点(他の業種に比べると高い)、 4点(事業の性質上極めて高い)の点数 顧客への影響は、1点(ほとんどない)、2点(少ない)、3点(大きな影響がある)、 4点(極めて大きな影響がある)の点数 ブランドへの影は、1点(ほとんどない)、2点(部分的に影響がある)、 3点(大きな影響がある)、4点(企業の存続に関わる影響がある)の点数 機密情報の保有度は、1点(ほとんどない)、2点(少ない)、3点(全体の半分程度)、 4点(ほとんどがその種の情報である)の点数 保有個人情報数は人数分の数 ※(上記の値-平均値)/標準偏差に係数をかけて合算する情報セキュリティ対策ベンチマークでは、診断企業は情報セキュリティリスク指標の値の高い 順に、 グループⅠ(GI:高水準のセキュリティレベルが要求される層) グループⅡ(GII:相応の水準のセキュリティレベルが望まれる層) グループⅢ(GIII:情報セキュリティ対策が喫緊の課題でない層) の3つのグループのいずれかに分類され、そのグループ内の平均値や望まれる水準と自社の対 策状況の比較ができます。 各グループは情報セキュリティリスク指標の値で分けられます。 グループⅠ:情報セキュリティリスク指標>=0.6 グループⅡ:情報セキュリティリスク指標<0.6 and 情報セキュリティリスク指標>-0.79 グループⅢ:情報セキュリティリスク指標<=-0.79 注意事項) Ver.3.4以前の情報セキュリティ対策ベンチマークシステムでは、企業情報の設問に対する回 答値が数値入力であったため、単位系の誤り(誤入力)が見受けられました。そこで、ver.4.1以降 では、以下に示す企業情報の設問の回答値を数値範囲からの選択し方式に変更しました。その ため、前述の情報セキュリティリスク指標の計算に利用する値も以下のように変更されます。 その結果、Ver.3.4以前に登録した診断データの情報セキュリティリスク指標についても、ver.4.1 以降の仕様で再計算し、基礎データとしましたので、ご注意ください。 正社員割合 選択肢 1=10%以下 計算上の値 5 2=30%以下 20 3=50%以下 40 4=70%以下 60 5=70%を超える 80 売上金 選択肢 1=1000 万円以下 1000 万 2=1 億円以下 1 億 3=10 億円以下 10 億 4=100 億円以下 100 億 5=100 億円を超える 1000 億 国内拠点数 選択肢 1=1 箇所 1 2=10 箇所以下 5 3=30 箇所以下 20 4=100 箇所以下 70 5=100 箇所を超える 100 海外拠点数 選択肢 1=0 箇所 0 2=10 箇所以下 5 3=30 箇所以下 20 4=100 箇所以下 70 5=100 箇所を超える 100 離職率 選択肢 1=10%以下 5 2=30%以下 20
3=50%以下 40 4=70%以下 60 5=70%を超える 80 個人情報取扱数 1=1000 件以下 1000 2=5000 件以下 5000 3=10000 件以下 10000 4=100000 件以下 100000 5=100000 件を超える 1000000
