<4D F736F F F696E74202D208AE98BC682CC8FEE95F1835A834C A CE8DF482C98AD682B782E98EC091D492B28DB895F18D908F DC58F49816A2E >

企業の情報セキュリティ対策に関する

実態調査報告書

はじめに

＜はじめに＞

サイバー攻撃による事故・被害は年々増加傾向にあり、それら報道を⾒ることも⾮常に多くなっている。

情報セキュリティは経営上の問題であり、情報セキュリティ対策を講じることは企業経営として、もはや

避けては通れない重要な課題である。

そこで今回、情報セキュリティ対策への取り組みや被害の状況や課題等、企業の情報セキュリティに関

する現状および傾向を捉え、今後の情報セキュリティリスク低減に資することを⽬的とした企業の実態

調査（以下、本調査）を実施した。

本調査が、企業の皆さまにとって、さらなる取り組みの⼀助となれば幸いである。

© MS&AD InterRisk Research & Consulting, Inc.

＜本調査結果について＞

今回の調査で明らかになったことは

① 組織体制を整備している企業では、サイバーセキュリティ対策においても、保険の導⼊率等におい

ても、優位な結果が出ている

② また、組織体制整備にプラスして、⽂書・規定類についても、ポリシー（⽅針・⾏動指針書）⇒ス

タンダード（基準・標準）⇒プロシージャ（⼿順書）と対応がより実務的なものに発展していくこ

ともセキュリティ対策の実態としてはポイントとなっている

③ 組織体制を整備することで、対策等が進む理由の⼀つに、⽴ち上げた組織が企業外の団体・組

織（⽇本シーサート協議会、JNSA、IPAなど）に所属等し、外部情報を取り込むことで、当該

企業として実施すべき対策などが明確になっていくと考えられる

④ サイバー保険については、その存在⾃体や内容（補償範囲や対象となる事故等）に関して企業

の理解が進んでいない。

はじめに

組織⽴ち上げ・強化 組織外団体組織との 交流での気づき ⽂書・規定類の整備 ⾃組織の強化すべき 観点の明確化 対策/対応 振り返り

© MS&AD InterRisk Research & Consulting, Inc.

サイバーセキュリティ・サイバー保険に関する調査

5

•

調査⽅法概要

調査⽅法

質問紙郵送法 Web回答併⽤）

対象企業

10,000社（業種別に無作為抽出）

東洋経済新報社が発⾏する「⽇本の会社データ4万社（(1)基本データ）」

から業種別に無作為抽出した企業

有効回答

総回収数：701件

_{有効回答数：689件（回収率：6.9%）}

調査期間

9⽉26⽇発送完了〜10⽉中旬

サイバーセキュリティ・サイバー保険に関する調査

6

5名以下, 5.7% 6〜20名, 11.2% 21〜50名, 13.9% 51名〜100 名, 16.6% 101名〜 1,000名, 43.3% 1,001名以 上, 9.4% 製造業, 30.1% 情報通信業, 7.7% 運輸業, 6.3% ⼩売業, 5.3% 卸売業, 8.9% ⾦融・保険業, 6.8% 飲⾷店・宿泊 業, 1.5% 医療・福祉, 0.2% 教育・学習⽀ 援業, 0.5% エネルギー業, 1.8% 不動産業, 3.3% 建設業, 7.8% 鉱業, 0.3% その他サービス 事業, 16.0% その他, 3.6%

回答企業の業種と規模

（n=689）

（n=688）

IT活⽤状況

8

業務サーバー（クラウド含む）の利⽤状況

92.7%

7.3%

0% 20% 40% 60% 80% 100% 全体(n=689) 利⽤している 利⽤していない

64.1%

85.5%

93.7%

93.8%

96.3%

100.0%

35.9% 14.5% 6.3% 6.3% 3.7% 0.0% 0% 20% 40% 60% 80% 100% 5 名以下(n=39) 6 〜20名(n=83) 21〜50名(n=95) 51名〜100 名(n=112) 101 名〜1,000 名(n=294) 1,001 名以上(n=65) 利⽤している 利⽤していない

「利⽤している」と回答した企業は全体の9割を超えている。また、従業員数が多くなるにつれて

業務サーバー（クラウド含む）の利⽤割合が⼤きくなっている。

© MS&AD InterRisk Research & Consulting, Inc. 7.7% 13.3% 12.6% 15.2% 24.5% 47.7% 92.3% 86.7% 87.4% 84.8% 75.5% 52.3% 0% 20% 40% 60% 80% 100% 5 名以下(n=39) 6 〜20名(n=83) 21〜50名(n=95) 51名〜100 名(n=112) 101 名〜1,000 名(n=294) 1,001 名以上(n=65) 提供している 提供していない

21.2%

78.8% 0% 20% 40% 60% 80% 100% 全体(n=689) 提供している 提供していない

IT活⽤状況

9

インターネット上での顧客向けサービス提供の実施状況

インターネット上で顧客向けのサービスを実施していると回答した企業は全体の２割程度であっ

たが、従業員数が1,001名以上の企業での回答割合は４割超という結果であった。

43.6%

49.4%

53.7%

55.0%

62.1%

83.1%

56.4% 50.6% 46.3% 45.0% 37.9% 16.9% 0% 20% 40% 60% 80% 100% 5 名以下(n=39) 6 〜20名(n=81) 21〜50名(n=95) 51名〜100 名(n=111) 101 名〜1,000 名(n=293) 1,001 名以上(n=65) データ連携している データ連携していない

59.3%

40.7% 0% 20% 40% 60% 80% 100% 全体(n=685) データ連携している データ連携していない

IT活⽤状況

10

他の企業・組織（委託先・委託元、提携先等）とのデータ連携有無

他の企業・組織とネットワークを通じたデータ連携を⾏っていると回答した企業は過半数であった

が、従業員数が1,001名以上の企業での回答割合は８割超という結果であった。

25.6%

16.5%

12.9%

9.8%

55.2%

0% 20% 40% 60%

CISO CSIRT SOC _{その他 ない}

全体(n=672)

36.3%

55.2% 8.5% 0% 20% 40% 60% 80% 100% 全体(n=672) ある ない その他

社内管理体制状況

12

設置されているサイバーセキュリティ体制 ※複数選択

回答企業の過半数がサイバーセキュリティ体制を構築していない状況であり、サイバーセキュリ

ティ体制が「ある」と回答した企業のなかで最も多く設置されていたのは「CISO」であった。

CISO

Chief Information Security Officer

（別名:情報セキュリティ管理責任者，情報セキュリティ最 ⾼責任者，最⾼情報セキュリティ責任者など） 組織の情報セキュリティを統括管理する役職。 セキュリティポリシー（⾏動指針）の策定やセキュリティ・イン シデントが発⽣した際の対処の指揮、経営陣への情報セ キュリティ関連事項の橋渡し、組織内の情報セキュリティ管 理などを主な役割としている。 CSIRT

Computer Security Incident Response Team サイバー攻撃による情報漏えいやシステム障害など、サイ バーセキュリティに関連するインシデント（事故）・事象が発 ⽣した際に対応する組織。インシデント発⽣時（有事）以 外の平時にもリサーチなどの活動を⾏う。

SOC

Security Operation Center

情報セキュリティ機器、サーバ、コンピュータネットワークなどが ⽣成するログを監視・分析し、サイバー攻撃の検出・通知を ⾏う組織。⾃組織内の監視を⾏う場合と、顧客の監視を⾏ うサービス提供型のSOC がある。

© MS&AD InterRisk Research & Consulting, Inc. 25.6% 16.5% 12.9% 9.8% 55.2% 33.8% 40.0% 27.7% 6.2% 38.5% 0% 20% 40% 60%

CISO CSIRT SOC _{その他 ない}

全体(n=672) 1,001 名以上(n=65)

社内管理体制状況

13

設置されているサイバーセキュリティ体制 ※複数選択

さらに従業員数別にみると、 「CSIRT」を設置をしているのは、従業員1,001名以上の企業

で40％となり、組織規模がCSIRT設置と関連すると考えられる。

なお「その他」を選択した企業では、”グループ会社/親会社/本社に依拠している”、”ISMS委

員会を設置している”、”情報セキュリティ委員会を設置している”等の記述を確認した。

社内管理体制状況

14

整備されているセキュリティに関する⽂書・規定 ※複数選択

セキュリティに関する⽂書・規定として最も多く整備されているのが「ポリシー（⽅針・⾏動指針

書）」（65.0%）であった。

なお「その他」を選択した企業では、” グループ会社/親会社/本社規定に沿っている”、”メー

カー作成資料に沿っている”、”ハンドブックがある”といった回答があった。

65.0%

46.7%

29.1%

36.6%

4.7%

17.7%

0% 20% 40% 60% 80% ポリシー （⽅針・⾏動指針書） スタンダード （基準・標準） プロシージャ （⼿順書） ガイドライン その他 ない 全体(n=683)

© MS&AD InterRisk Research & Consulting, Inc. 18.0% 7.3% 8.2% 14.8% 51.7% 0% 20% 40% 60% 80% 100% レベル１(n=123) レベル２(n=50) レベル３(n=56) レベル４(n=101) それ以外(n=353)

社内管理体制状況

15

整備されているセキュリティに関する⽂書・規定 ※複数選択

セキュリティに関する⽂書・規定の整備状況を、ポリシー⇒スタンダード⇒プロシージャ⇒ガイドラ

インと整備することを想定し、下記のとおりレベル別に５つに分類したところ、半数近い企業が⽂

書・規定を順序⽴てて整備していることが判明した。

ポリシー

（⽅針・⾏動指針書）

（基準・標準）

スタンダード

プロシージャ

（⼿順書）

ガイドライン

レベル１

○

―

―

―

レベル２

○

○

―

―

レベル３

○

○

○

―

レベル４

○

○

○

○

それ以外

レベル１〜４に該当しないものすべて

48.3%

41.8%

40.7%

34.3%

6.1%

13.6%

3.4%

0% 20% 40% 60% 社外の第三者の監査 社内⾃部⾨の監査 社内の第三者 （⾃部⾨以外）の監査 計画している 出来ていない （計画もない） その他

社内管理体制状況

16

記述された内容の実⾏/監査の実施有無 ※複数選択

（前設問で⽂書・規定などがあると答えた場合のみ）

⽂書・規定などがあると答えた企業のなかで、セキュリティに関する⽂書・規定に記述された内容

が実⾏されているかの確認や監査を実施しているかを確認した。「社外の第三者の監査」を選

択した企業は、全体では41.8％だが、従業員1,001名以上の企業では60％を超え、また、

前ページのレベル4まで到達している企業では61.4％であった。

社外（外部委託）管理体制状況

18

外部委託先に対する、情報管理についての監査や報告の実施状況

全体では「出来ていない」という企業が最も多かった（43.2%）が、従業員数1,001名以上

の企業では「委託先⾃らで監査・報告している」という回答が⽐較的⾼かった（47.7%）。

43.2% 52.8% 42.5% 52.1% 39.8% 43.2% 32.3% 29.8% 8.3% 32.5% 20.2% 25.0% 32.4%

47.7%

4.8% 11.1% 3.8% 10.6% 2.8% 3.8% 1.5% 20.1% 8.3% 17.5% 16.0% 22.2% 19.9% 32.3% 8.5% 11.1% 8.8% 4.3% 13.9% 7.3% 9.2% 7.2% 11.1% 5.0% 9.6% 8.3% 6.6% 4.6% 0% 10% 20% 30% 40% 50% 60% 全体(n=671) 5 名以下(n=36) 6 〜20名(n=80) 21〜50名(n=94) 51名〜100 名(n=108) 101 名〜1,000 名(n=287) 1,001 名以上(n=65) 出来ていない 委託先⾃らで監査・報告している 社外の第三者が監査・報告している 貴社で監査・報告している 計画している その他

44.4%

9.0% 9.6% 6.9% 17.3% 12.8% 0% 20% 40% 60% 80% 100% 全体(n=678) 仕訳ルール（⽂書化されたもの）があり、そのルールに則り、分類している 仕訳ルール（⽂書化されたもの）はあるが、ルールに則って分類できていない 仕訳ルール（⽂書化されたもの）はないが、ルールに則った分類を⾏っており、ルールの⽂書化を計画している 仕訳ルール（⽂書化されたもの）はないが、ルールに則って分類しており、ルールの⽂書化の予定はない 仕訳ルールはないが、分類はしている 仕訳ルールもなく、分類もしていない

リスクの特定状況

20

保有する情報資産の取扱状況

保有している情報資産について、機密にすべき情報（社内でも⼀部のみ参照可等）、社内

限定の情報、秘密保持契約締結先に提供可能な情報、公表可能な情報などの情報分類に

つき、「仕訳ルール（⽂書化されたもの）があり、そのルールに則り、分類している」と回答した企

業は半数に満たない状況であった（全体の44.4%）。なお、仕訳ルール（⽂書化されたも

の）がない中でルールに則って分類している企業は３割を超えている。

© MS&AD InterRisk Research & Consulting, Inc.

61.5%

30.5%

9.8% 8.2% 7.8% 11.3% 6.1% 7.7% 10.7% 22.3% 4.1% 20.1% 0% 20% 40% 60% 80% 100% サイバーセキュリティ体制あり(n=244) サイバーセキュリティ体制なし(n=364) 仕訳ルール（⽂書化されたもの）があり、そのルールに則り、分類している 仕訳ルール（⽂書化されたもの）はあるが、ルールに則って分類できていない 仕訳ルール（⽂書化されたもの）はないが、ルールに則った分類を⾏っており、ルールの⽂書化を計画している 仕訳ルール（⽂書化されたもの）はないが、ルールに則って分類しており、ルールの⽂書化の予定はない 仕訳ルールはないが、分類はしている 仕訳ルールもなく、分類もしていない

リスクの特定状況

21

保有する情報資産の取扱状況

本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合、サイバーセキュリティ体制が

ある企業では分類をしていると回答した企業が86.1%あり、そのうちの約７割が「仕訳ルール

（⽂書化されたもの）があり、そのルールに則り、分類している」と回答している。

33.7%

8.0%4.4% 27.7% 10.5% 15.7% 0% 20% 40% 60% 80% 100% 全体(n=676) 課題・脆弱性共に管理している 課題については管理している 脆弱性については管理している 課題或いは脆弱性の⼀部は管理できている 管理することを計画している 管理していない（計画もない）

リスクの特定状況

22

保有する情報資産の課題や脆弱性

保有している情報資産の課題・脆弱性の管理状況について確認した。全体でみると、「管理を

している（「管理することを計画している」・「管理していない（計画もない）」以外の選択肢の

合計数）」と回答した企業は73.8%を占めているものの、「課題・脆弱性共に管理している」

と回答した企業は４割に満たない状況である。

73.8%

© MS&AD InterRisk Research & Consulting, Inc.

48.5%

22.2%

9.1% 7.4% 4.6% 4.1% 25.7% 29.0% 6.6% 14.5% 5.4% 22.7% 0% 20% 40% 60% 80% 100% サイバーセキュリティ体制あり(n=241) サイバーセキュリティ体制なし(n=365) 課題・脆弱性共に管理している 課題については管理している 脆弱性については管理している 課題或いは脆弱性の⼀部は管理できている 管理することを計画している 管理していない（計画もない）

リスクの特定状況

23

保有する情報資産の課題や脆弱性

本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合、「課題・脆弱性共に管理

している」と回答した企業は、サイバーセキュリティ体制がある企業では48.5%を占める⼀⽅、

体制がない企業では22.2%にとどまっており、体制の有無によって⼤きな差が⾒られる。

36.6%

10.0% 5.2% 27.2% 7.5% 13.6% 0% 20% 40% 60% 80% 100% 全体(n=670) 課題、脆弱性共に管理している 課題については管理している 脆弱性については管理している 課題或いは脆弱性の⼀部は管理できている 管理することを計画している 管理していない（計画もない）

リスクの特定状況

24

保有するIT機器のハードウェア資産管理での課題や脆弱性

IT機器のハードウェア資産管理における課題や脆弱性の管理状況について確認した。全体で

みると、「管理をしている（「管理することを計画している」・「管理していない（計画もない）」

以外の選択肢の合計数）」と回答した企業は79.0%を占めており、その半数程度は「課題・

脆弱性共に管理している」と回答している（全体の36.6%）。

79.0%

© MS&AD InterRisk Research & Consulting, Inc.

リスクの特定状況

25

保有するIT機器のハードウェア資産管理での課題や脆弱性

本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合、「管理していない（計画も

ない）」と回答した企業は、サイバーセキュリティ体制がある企業では6.6%である⼀⽅、体制

がない企業では18.5%を占めており、体制有無によって⼤きな差が⾒られる。

47.7% 25.9% 10.4% 10.2% 5.8% 5.5% 24.5% 30.0% 5.0% 9.9% 6.6% 18.5% 0% 20% 40% 60% 80% 100% サイバーセキュリティ体制あり(n=241) サイバーセキュリティ体制なし(n=363) 課題、脆弱性共に管理している 課題については管理している 脆弱性については管理している 課題或いは脆弱性の⼀部は管理できている 管理することを計画している 管理していない（計画もない）

© MS&AD InterRisk Research & Consulting, Inc.

46.3%

41.9%

2.2% 3.7% 1.0%4.9% 0% 20% 40% 60% 80% 100% 全体(n=678) 外部の防御サービス・機器を利⽤している ⾃社でファイアウォール等の機器を購⼊して導⼊している 導⼊を計画している 導⼊していない（計画もない） インターネットと繋がっていない その他

防御状況

27

インターネットと⾃社ネットワークの境界防御（ファイアウォールなど）

インターネットと⾃社ネットワークの境界防御の実施状況について確認した。全体でみると、実施

している（「外部の防御サービス・機器を利⽤している」、「⾃社でファイアウォール等の機器を購

⼊して導⼊している」の合計）と回答した企業は約９割を占めている。

50.4%

14.2% 4.3% 18.7% 11.2%1.2% 0% 20% 40% 60% 80% 100% 全体(n=678) ルールが⽂書化され、点検や⾒直しも実施されている ルールが⽂書化されているが、点検や⾒直しは実施できていない ルールを⽂書化することを計画している ルールはあるが、⽂書化されていない ルールがない（計画もない） その他

防御状況

28

ユーザーID、パスワード、情報の参照や更新の権限のルール策定

「ID、パスワード、情報の参照更新に関するルールが⽂書化され、点検や⾒直しも実施されて

いる」と回答した企業は全体では過半数（50.4%）であった。

© MS&AD InterRisk Research & Consulting, Inc.

69.5%

34.9%

15.6% 14.4% 3.7% 5.4% 7.4% 26.4% 2.9% 18.3% 0.8% 0.5% 0% 20% 40% 60% 80% 100% サイバーセキュリティ体制あり(n=243) サイバーセキュリティ体制なし(n=367) ルールが⽂書化され、点検や⾒直しも実施されている ルールが⽂書化されているが、点検や⾒直しは実施できていない ルールを⽂書化することを計画している ルールはあるが、⽂書化されていない ルールがない（計画もない） その他

防御状況

29

ユーザーID、パスワード、情報の参照や更新の権限のルール策定

サイバーセキュリティ体制がある企業では69.5%、サイバーセキュリティ体制のない企業では

34.9%とかい離している。なお「その他」には、”親会社のルール/管理に準じる”といった記載が

あった。

88.5%

4.1%_4.3% 0.4%1.3% 1.3% 0% 20% 40% 60% 80% 100% 全体(n=678) 全てのPC/サーバーに導⼊している ⼀部のPC/サーバーに導⼊していて、全てに導⼊する計画がある ⼀部のPC/サーバーに導⼊していて、全てに導⼊する計画はない 導⼊していないが、⼀部あるいは導⼊する計画がある 導⼊していない（計画もない） その他

防御状況

30

導⼊しているアンチウィルスソフト・マルウェア対策ソフトの導⼊状況

アンチウィルスソフト・マルウェア対策ソフトの導⼊状況については、「全てのPC/サーバーに導⼊し

ている」と回答した企業が９割近くを占めており、回答したほとんどの企業が防御のためのソフト

を導⼊している状況である。なお「その他」には、”親会社で実施している”旨の回答があった。

© MS&AD InterRisk Research & Consulting, Inc.

91.3%

3.7% 2.8% 2.3% 0% 20% 40% 60% 80% 100% 全体(n=652) 更新・監視とウィルス発⾒時の対応などを実施している ⼀部を実施している 今後実施する計画がある 実施していない（計画もない）

防御状況

31

導⼊しているソフトの更新・監視等の実施状況

（前設問で導⼊していると回答した場合のみ）

アンチウィルスソフト・マルウェア対策ソフトの更新・監視等を実施しているかについて、９割を超

える企業が「更新（アップデート）・監視とウィルス発⾒時の対応などを実施している」と回答し

ている。

29.4%

37.6%

8.3% 24.7% 0% 20% 40% 60% 80% 100% 全体(n=673) 管理⽅法を規定（⽂書化）し、実施している ⼀部実施している 今後管理する計画がある 管理していない（計画もない）

防御状況

32

脆弱性

（例：WindowsやAdobe Flash等の脆弱性）

に対する管理状況

脆弱性（例えばWindows やAdobe Flash 等の脆弱性）を管理しているかどうかについて

確認した。「管理⽅法を規定（⽂書化）し、実施している」および「⼀部実施している」をあわ

せて「実施している」と考えると、全体の６割超の企業が実施している状況である。ただし、⽂書

化して実施している企業は全体の３割に満たない状況であった。

© MS&AD InterRisk Research & Consulting, Inc.

47.1%

14.5%

34.3%

40.0% 7.4% 9.6% 11.2%

35.9%

0% 20% 40% 60% 80% 100% サイバーセキュリティ体制あり(n=242) サイバーセキュリティ体制なし(n=365) 管理⽅法を規定（⽂書化）し、実施している ⼀部実施している 今後管理する計画がある 管理していない（計画もない）

防御状況

33

脆弱性

（例：WindowsやAdobe Flash等の脆弱性）

に対する管理状況

サイバーセキュリティ体制の有無ごとにみると、体制がある企業では「管理⽅法を規定（⽂書

化）し、実施している」と回答した企業が47.1%あり、「実施している」企業は８割を超えると

いう結果であった。⼀⽅で体制がない企業では「管理していない（計画もない）」と回答した企

業が35.9%を占めている。

© MS&AD InterRisk Research & Consulting, Inc.

33.4%

18.6% 14.2% 33.8% 0% 20% 40% 60% 80% 100% 全体(n=671) 外部委託し、導⼊している ⾃社で購⼊・導⼊し、運営している 今後導⼊することを計画している 導⼊していない（計画もない）

検知状況

35

IDS・IPS 等のセキュリティ監視システムの導⼊状況

IDS・IPS 等のセキュリティ監視システムの導⼊状況については、全体でみると最も多かったのは

「導⼊していない（計画もない）」（33.8%）であり、次いで「外部委託し、導⼊している」

（33.4%）と明暗が分かれた。

サイバーセキュリティ体制がある場合は「外部委託し、導⼊している」と回答した企業が最も多い

（44.0%）⼀⽅で、体制がない場合は「導⼊していない（計画もない）」と回答した企業が

最も多く、47.3％を占めている状況で、こちらも体制有無によって明暗が分かれた。

44.0%

24.3%

26.1% 13.1% 12.9% 15.3% 17.0% 47.3% 0% 20% 40% 60% 80% 100% サイバーセキュリティ体制あり(n=241) サイバーセキュリティ体制なし(n=366) 外部委託し、導⼊している ⾃社で購⼊・導⼊し、運営している 今後導⼊することを計画している 導⼊していない（計画もない）

69.5%

41.2%

6.0% 9.6% 18.0% 35.3% 6.6% 14.0% 0% 20% 40% 60% 80% 100% サイバーセキュリティ体制あり(n=167) サイバーセキュリティ体制なし(n=136) 監査・対応・⾒直しまで実施している ⼀部実施している 計画している その他

57.2%

6.9% 23.4% 12.4% 0% 20% 40% 60% 80% 100% 全体(n=346) 監査・対応・⾒直しまで実施している ⼀部実施している 計画している その他

検知状況

36

セキュリティ監視システムの監査や問題発⾒時の対応・対応プロセスの⾒直し有無

（前設問で「外部委託し、導⼊している」または「⾃社で購⼊・導⼊し、運営している」と回答した場合のみ）

セキュリティ監視システムの監査や問題発⾒時の対応・対応プロセスの⾒直しを実施しているか

について、「監査・対応・⾒直しまで実施している」と回答した企業がもっとも多い（57.2%）。

「その他」は、”問題発⽣時の対応のみ“、”対応プロセスの⾒直しのみ実施”等の記述があった。

サイバーセキュリティ体制有無で⽐較すると、⼤きな差（28.3ポイント）が⾒られた（体制が

ある場合は69.5%、ない場合は41.2%）。

© MS&AD InterRisk Research & Consulting, Inc.

36.2%

17.4% _{13.6% 32.8%} 0% 20% 40% 60% 80% 100% 全体(n=674) 管理ポリシーがあり、それに基づいた監査や⾒直しを実施 管理ポリシーはあるが、それに基づいた監査や⾒直しはしていない 管理ポリシーの作成を計画している 管理ポリシーがなく、作成計画もない

検知状況

37

システムログの管理ポリシー

システムログの管理ポリシーについて確認した。管理ポリシーがあり、それに基づいた監査や⾒直

しを実施している企業が全体の36.2%を占めている⼀⽅で、管理ポリシーがなく、作成計画も

ない企業が全体の32.8%を占めている。

本結果は、セキュリティ監視システムの導⼊（P35）と類似している。

© MS&AD InterRisk Research & Consulting, Inc. 13.3% 6.8% 10.8% 12.9%

54.1%

2.1% 0% 20% 40% 60% 80% 100% 全体(n=675) 訓練を実施している（IT以外の部⾨も参加） 訓練を実施している（IT部⾨のみ） 訓練を⼀部実施している 訓練を計画している 訓練を実施していない（計画もない） その他

対応・復旧状況

39

セキュリティ・インシデント（事故）発⽣時の訓練実施状況

セキュリティ・インシデント（事故）発⽣時の訓練を実施しているかについては、全体で⾒た場

合、過半数（54.1%）の企業が「訓練を実施していない（計画もない）」と答えている。

「その他」には”親会社からの指⽰による“、”迷惑メールの開封訓練を実施している”等があった。

23.6% 5.5% 8.7% 4.9% 15.7% 8.2% 14.9% 12.1% 36.0% 68.5% 1.2% 0.8% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% サイバーセキュリティ体制あり(n=242) サイバーセキュリティ体制なし(n=365) 訓練を実施している（IT以外の部⾨も参加） 訓練を実施している（IT部⾨のみ） 訓練を⼀部実施している 訓練を計画している 訓練を実施していない（計画もない） その他

対応・復旧状況

40

セキュリティ・インシデント（事故）発⽣時の訓練実施状況

サイバーセキュリティ体制有無で⽐較すると、体制のある組織・企業では、「訓練を実施（IT以

外の部⾨も参加）」、「訓練を実施（IT部⾨のみ）」、「訓練を⼀部実施」の合計が48.0％

と半数近くになった。⼀⽅、体制がない場合には、同合計が18.6%となっており、30ポイント近

い差が出ている。

© MS&AD InterRisk Research & Consulting, Inc.

70.7%

20.3%

7.5%1.5% 0% 20% 40% 60% 80% 100% 全体(n=133) 訓練結果を振り返り、訓練内容の⾒直しを実施している 訓練内容の⾒直しを⾏うことを計画している 訓練内容の⾒直しはしていない（計画もない） その他

対応・復旧状況

41

インシデント発⽣時訓練結果の⾒直し有無

（前設問で「訓練を実施している（IT

以外の部⾨も参加」または「訓練を実施している（IT部⾨のみ）」と回答した場合）

訓練結果の振り返りや訓練内容の⾒直しを現在実施している企業は、全体の70.7%を占め

ており、訓練内容の⾒直しを計画している企業（20.3%）を含めると、⾒直しをしている/す

る予定のある企業で９割を超える。訓練を実施している企業のほとんどで⾒直しが実施されて

いる。

© MS&AD InterRisk Research & Consulting, Inc. 12.7% 18.2% 10.8% 10.3%

76.5%

71.6%

0% 20% 40% 60% 80% 100% サイバー保険(n=667) 情報漏えい保険(n=661) 加⼊している 加⼊することを検討している 加⼊していない（計画もない）

サイバー保険等について

43

サイバー保険／情報漏えい保険の加⼊状況

サイバー保険または情報漏えい保険に加⼊していない企業がそれぞれ７割を超える状況であり、

サイバー保険に加⼊している企業は12.7%、情報漏えい保険に加⼊している企業は

18.2%と、全体の加⼊状況としては低い結果となった。

サイバー保険等について

44

サイバー保険／情報漏えい保険の加⼊状況

サイバーセキュリティ体制有無で確認すると、体制がある企業と体制がない企業では保険の付

保率に差がみられる。たとえばサイバー保険の付保率は体制がある場合は16.5%であり、体

制がない場合（8.0%）に⽐べると倍増している。また情報漏えい保険の付保率は、体制が

ある場合は25.8%である⼀⽅で、体制がない場合は11.6%である。

16.5% 8.0% 25.8% 11.6% 15.3% 8.3% 12.9% 8.6% 68.2% 83.7% 61.3% 79.8% 0% 20% 40% 60% 80% 100% サイバー保険（体制あり）(n=242) サイバー保険（体制なし）(n=363) 情報漏えい保険（体制あり）(n=240) 情報漏えい保険（体制なし）(n=362) 加⼊している 加⼊することを検討している 加⼊していない（計画もない）

© MS&AD InterRisk Research & Consulting, Inc.

サイバー保険等について

45

保険に加⼊していない理由 ※複数選択

（前設問で「検討している」・「加⼊していない」と回答した場合）

保険に加⼊していない理由として、保険の存在を知らなかった旨の回答をしている企業が⼀定

数存在している（サイバー保険では36.2%、情報漏えい保険では37.8%）。

36.2% 37.8% 22.9% 22.1% 25.6% 24.7% 11.9% 12.7% 10.9% 11.4% 5.8% 5.4% 0% 20% 40% サイバー保険(n=503) 情報漏えい保険(n=466) 保険があることを知らなかった 保険があることは知っていたが、提案 を受けたことが無い 保険に加⼊する必要性を感じない 保険の内容が分からない・難しい 保険料が⾼い その他

サイバー保険等について

46

サイバー保険で補償してほしい内容 ※複数選択

保険で補償を期待する損害と最も多かったのが「情報漏えい時の損害賠償（63.3%）」で

あり、次いで「対応・復旧費⽤（58.6%）」であった。また従業員数1,001名以上の企業を

みると、全体の結果とは異なり、「対応・復旧費⽤」・「情報漏えい時の損害賠償」どちらも多

かった（71.4%）。

63.3%

58.6%

35.8% 23.5% 1.9% 23.8% 0% 20% 40% 60% 80% 情報漏えい時の損害賠償 対応・復旧費⽤ 代替機器等の準備・購⼊費⽤ システム中断中の売り上げ・利益 その他 とくにない

© MS&AD InterRisk Research & Consulting, Inc.

47

保険

質問票質問票 外部評価外部評価 インテリジェンスレポート インテリジェンスレポート

リスクコンサル

CSIRT基礎研修 ｻｰﾊﾞｰWeb診断 出⼝対策⽀援 出⼝対策⽀援 情報漏えい発⽣時の 対応体制整備 メディア対応ﾄﾚｰﾆﾝｸﾞ 事故対応ｾﾐﾅｰ 事故対応ｾﾐﾅｰ ⼤企業向け ｴﾝﾄﾞﾎﾟｲﾝﾄｾｷｭﾘﾃｨ対策 ｻｰﾊﾞｰWeb診断 中⼩企業 向け

対応・復旧

社内管理体制

社外管理体制

（外部委託管理）

リスクの特定

防御

検知

• 対応⽅針の策定 • 管理体制の構築 • 予算・⼈材の確保 • 委託先管理と責 任境界の明確化

サイバーセキュリティ 対策フレームワーク

情報セキュリティ診断サービス 情報セキュリティ診断サービス ①組織全体のサイ バーリスク認識、他のリ スク管理体制との整 合性把握 【ｾｷｭﾘﾃｨﾎﾟﾘｼｰ等】 ②サプライチェーンに対 するサイバーセキュリ ティを把握 【外部委託基準書、 契約書（雛形）等】 • 資産評価、リスクア セスメントの実施 •• 境界防御アクセス管理 • マルウェア対策 等 • イベント発⽣有無 チェック（監視、ロ グ管理） • 事前準備・訓練 • 初動/恒久対応 • 報告・公表 ③全体(①と②)を俯 瞰した上での相対的 なリスク評価を実施 【資産管理台帳、 リスク評価表等】 ④左記③を踏まえた、優先度の⾼いサイバーセ キュリティリスクに対応するための保護対策（防 御・検知・分析に関する対策）を実施するための 体制構築 【サイバーセキュリティ監視⼿順書等】 ⑤復旧に向けた⼿順 書策定や、訓練によ る準備・⾒直し 【復旧⼿順書、訓練 実施報告書】

サイバーセキュリティ・MS&ADプラットフォーム

費⽤(調査・復旧等) 賠償 専⾨業者紹介 等

MS&ADグループでは、今回調査の範囲について下記のようなリスクマネジメントサービスやアセ

スメント、保険商品などをご⽤意しています。今回の調査を受けて、今後もサービス内容を拡充

していきたいと考えていますので、引き続きよろしくお願いします。

MS&ADインターリスク総研株式会社

新領域開発室

〒101-0062 東京都千代⽥区神⽥淡路町２－１０５ワテラスアネックス

Tel：03-5296-8961／Fax：03-5296-8941