- PDF 無料ダウンロード

Size: px

Start display at page:

Download ""

よしおいのら
5 years ago
Views:

1 不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の状況等に関する調査調査報告書平成 30 年 1 月警察庁生活安全局情報技術犯罪対策課

3 不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の状況等に関する調査目次第 1 部不正アクセス行為対策等の実態調査調査概要調査の目的調査の対象と調査方法調査内容送付回収状況報告書を見る際の留意点調査結果の概要等概要回答事業体の属性等調査結果組織的対策端末装置 ( パソコン ) の整備環境問端末装置 ( タブレットスマートフォン等 ) の整備環境問事業体内のネットワーク利用状況問インターネット環境の整備問外部からの接続許可状況問情報セキュリティ対策の必要性の理由問過去に受けたことのある被害状況問攻撃手段問届出先機関等問届出した理由問届出を躊躇させる要因問被害を受けたことによる対策問不正アクセス禁止法でアクセス管理者による防御措置についての努力義務問情報セキュリティ運用管理専門部署の有無問情報セキュリティ管理体制問セキュリティポリシーの策定状況問情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況問第三者機関の認証制度等の利用状況問ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無問標的型攻撃への対策状況問アクセスログの取得状況問ログの保管期間問 22A ログの解析方法問 22B... 64

4 ログを取得保管していない理由問 Web サービスの管理環境問セキュリティパッチの適用状況問年度情報セキュリティ対策の投資計画問情報セキュリティ対策への投資に関する問題点問情報セキュリティ対策に関する考え方問投資に関する考え方問事後的対応と予防的対応に関する考え方問保険への意識問規制罰則への考え方問プライバシーの考慮に関する考え方問利便性とのバランスに関する考え方問技術的対策利用しているセキュリティサービス問セキュリティサービスを利用していない理由問外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 ) 問 31-A 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 ) 問 31-B インターネット接続に対するセキュリティ対策問無線 LAN ネットワークのセキュリティ対策問インターネットへの接続の認証方法問 ID パスワードの管理方法問不正ログイン対策問 Web サーバのセキュリティ対策問電子メールに関するセキュリティ対策問添付ファイルの取り扱い問暗号化技術の用途問重要システムの不正アクセス対策状況問不正アクセス等への対策状況問不正プログラムへの対策状況問人的対策情報セキュリティ教育の実施状況問情報セキュリティ教育を実施しない理由問情報セキュリティ教育の内容問情報セキュリティ教育の頻度問セキュリティ対策の問題点や不安等アクセス制御機能に関する技術の研究開発の状況等に関する調査付録資料調査票付録 1-1 集計表付録 2

5 第 2 部アクセス制御機能に関する技術の研究開発の状況等に関する調査調査概要調査の目的調査の対象と調査方法調査内容送付回収状況集計対象件数報告書を見る際の留意点調査結果 ( 概要と考察 ) アクセス制御機能に関する技術研究開発に係る現状と今後の展望現在取り組んでいる分野 A- 問今後もっとも力を入れたい分野 A- 問アクセス制御機能に関する実用化 ( 製品化 ) に係る現状と今後の展望現在実用化 ( 製品化 ) されている分野 A- 問今後実用化 ( 製品化 ) を見込んでいる分野 A- 問研究開発体制年間の研究開発費 A- 問研究開発に携わっている人数 A- 問実用化された製品及び研究開発中の技術サービス何を守るか? 何から保護するか? どのようなセキュリティ上の効果があるか? どのような機能を持つか? どのようなレイヤーのセキュリティを守るか? 不正アクセスからの防御対象どのようなサービスか? 研究開発の成果としてどのようなものを目指しているか? 研究開発の進捗状況発売時期の分布研究開発期間の分布実用化された製品及び研究開発中の技術サービス技術の実用化 ( 製品化 ) 状況について技術の研究開発状況についてアクセス制御機能に関する技術の研究開発の状況等に関する調査付録資料調査票付録 3-1

7 第 1 部不正アクセス行為対策等の実態調査 1

9 1. 調査概要 1.1 調査の目的不正アクセス行為の禁止等に関する法律において国家公安委員会はアクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するためアクセス制御機能に関する技術の研究開発の状況等を公表するものとされておりまた国はアクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならないとされている本調査はアクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発や知識の普及に資することを目的とし民間企業行政機関等における不正アクセス行為対策等の実態や大学民間企業等でのアクセス制御機能に関する技術の研究開発状況等について調査を実施したものである 1.2 調査の対象と調査方法調査対象は市販のデータベース ( 四季報 ) に掲載された企業教育機関 ( 国公立私立の大学等 ) 医療機関地方公共団体 ( 県市区町村等 ) 独立行政法人( 教育機関及び医療機関に掲げるものを除く ) 特殊法人から特定の業種地域に偏りのないよう2,800 件を無作為に抽出した調査は調査票を郵送で配付し次の2つの方法で回収することで実施した 1 電子メールでの回答調査票のファイルに直接回答内容を入力してもらい電子メールにて回答 2 郵送等での回答配付した調査票を郵送やFAXなどで送付してもらい回答 ( 調査期間 : 平成 29 年 10 月 24 日 ( 火 )( 発送日 )~11 月 17 日 ( 金 ) ( 締切日 )) 1.3 調査内容付録資料にある調査票不正アクセス行為対策等の実態に関するアンケート調査のとおりである 3

10 1.4 送付回収状況調査票の送付総数は 2,800 件回収総数は 620 件であった回収率は 22.1% である業種発送数回収数回収率農林水産鉱業 % 製造業 % 不動産建築 % 金融 % エネルギー % 運輸業 % 情報通信 % サービス % 教育 % 行政サービス % 無回答 9 - 合計 2, % 1.5 報告書を見る際の留意点集計結果の比率は小数第二位を四捨五入し小数第一位までを百分率(%) で表示しているためその数値の合計が100% を前後する場合がある本文やグラフ中の選択肢は調査票の言葉を短縮しているものがある回答数が5 未満のもの ( 例 : 業種別にみた場合の農林水産鉱業回収数 2 など) についてはコメントの対象としていない 4

11 2. 調査結果の概要等 2.1 概要平成 29 年度の調査結果については次のような特徴がみられる 1 組織的対策状況情報システム等の環境パソコンの整備環境については 80.3% で 1 人当たり1 台以上で整備されておりタブレットスマートフォン等の整備環境については事業所や拠点で共有が 11.8% で最も多く部課で共有が11.5% 1 人当たり1 台以上が9.5% となっているタブレットスマートフォン等は情報通信や金融で整備率が高く行政サービスや教育では利用していない割合が高い事業所内でのネットワーク利用状況については有線ネットワークと無線ネットワークを併用が 76.0% と高く全て有線ネットワークで構築全て無線ネットワークで構築を含めるとほぼ全ての事業所でネットワークが導入されているインターネット環境については 99.0% で導入されており外部からの接続に対する許可についても許可しているが53.7% であり約半数で外部からの接続を許可している端末装置 ( タブレットスマートフォン等 ) の整備環境 (SA,n=620) 27.1% 1.3% 11.8% 事業所や拠点で共有 11.5% 部課で共有 1 人当たり 1 台以上 5.2% 9.5% 数人で共有その他端末装置は利用していない 33.7% 無回答 5

12 不正アクセス等の被害状況過去の被害状況についてはランサムウェアが23.4% で最も多く次いでホームページの改ざんが11.7% となっている届出先機関等については警察が18.2% で最も多く届け出なかったは22.8% となっているまた届出を躊躇させる要因としては自社内だけの被害だったのでが70.3% で最も多く次いで社団体内で対応できたのでが35.1% であり自社以外に被害が及ばなかった場合届出を躊躇する傾向が見られる届出を躊躇させる要因 (MA,n=74) 自社内だけの被害だったので 70.3% 社団体内で対応できたので 35.1% 届出するべきなのかわからなかった届出義務がないのでどこに届ければいいかわからなかった 12.2% 10.8% 18.9% 問題解決にならないので面倒なので自社団体の信用が低下するので競合他社に知られたくないのでその他無回答 4.1% 2.7% 9.5% 1.4% 6

13 情報セキュリティの運用管理体制情報セキュリティ運用管理専門部署の有無についてはあるが65.3% であり情報セキュリティ管理体制については情報システム運用管理者が情報セキュリティについても兼務が74.5% で最も多くなっているセキュリティポリシーの策定状況については策定しているが 83.1% で最も多く今のところ策定する予定はないは2.3% となっている今後予定と策定作業中を入れると94.6% であり情報セキュリティポリシーの策定が浸透している状況が窺える情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況については策定しているが 43.2% で最も多く次いで策定することを検討が35.3% となっている一方第三者認証機関制度の利用は利用していないが81.5% でありペネトレーションテストの実施も実施していないが57.7% と半数以上を占めているセキュリティポリシーの策定状況 (SA,n=620) 2.3% 1.3% 1.0% 1.0% 4.4% 7.1% 策定している今後策定する予定である現在策定作業中である今のところ策定する予定はない非公開情報のため答えられない策定しない 83.1% 無回答 7

14 情報セキュリティ対策への投資 2018 年度情報セキュリティ対策の投資計画については今期と比較してほぼ同額とする計画であるとする割合が71.6% で最も多く増やす計画であるとする各項目の合計は23.7% で減らすとする各項目の合計は2.1% となっている情報セキュリティ対策への投資に関する問題点についてはどこまで行えば良いのか基準が示されていないが54.4% で最も多く次いで費用対効果が見えないが54.2% コストがかかりすぎるが48.7% となっている情報セキュリティ対策への投資に関する問題点 (MA,n=620) どこまで行えば良いのか基準が示されていない費用対効果が見えないコストがかかりすぎる 48.7% 54.4% 54.2% 対策を構築するノウハウが不足している教育訓練が行き届かないトップの理解が得られない従業員への負担がかかりすぎる情報を資産として考える習慣がない最適なツールサービスがないその他無回答 25.2% 19.4% 12.6% 11.1% 8.5% 6.6% 2.1% 2.7% 8

15 情報セキュリティ対策に関する考え方情報セキュリティ対策を実施する上での投資方針については 2 積極的が 1 必要最低限を上回り事後的対応と予防的対応については 2 予防的対応が 1 問題発生への適切な対応を大幅に上回っている保険への意識については 1 人的技術的な対策で十分が 2 保険的対応が必要を規制罰則への考え方については 1 教育と情報提供を中心とした対応が 2 規則罰則も含む強制力のある対応をプライバシーの考慮については 2ある程度のプライバシーの侵害はやむをえないが 1プライバシーはある程度考慮されるべきだを利便性とのバランスについては 1 利便性とのバランスを考慮が 2 負担を強いてでもセキュリティを守るをそれぞれ上回っている情報セキュリティ対策実施上の方針 (SA,n=620) 投資方針 31.3% 53.2% 10.3% 4.0% 1.1% 事後的対応と予防的対応 24.8% 56.6% 13.4% 4.0% 1.1% 保険への意識 11.6% 51.1% 29.4% 6.6% 1.3% 規則厳罰への考え方 10.8% 46.9% 32.4% 8.5% 1.3% プライバシーの考慮 7.9% 31.0% 44.8% 15.2% 1.1% 利便性とのバランス 12.7% 48.7% 32.6% 4.8% 1.1% ほぼ 1 の考え方と同様であるどちらかといえば 1 の考え方に近いどちらかといえば 2 の考え方に近いほぼ 2 の考え方と同様である無回答 9

16 2 技術的対策ネットワークに対する情報セキュリティ対策外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 ) については ID パスワードに対する認証が87.1% で最も多く次いで通信の暗号化が67.0% 専用ネットワークセグメントの設定 MACアドレス等の端末機器の固有情報を用いた認証がこれに続いている端末に対する対策についてはウイルス対策ソフト等の導入が 86.8% で最も多く次いで OS アプリケーション等をアップデートする仕組みの導入が47.1% となっているインターンネット接続に対するセキュリティ対策についてはファイアウォールの導入が 90.6% で最も多く次いで ID パスワード等による認証が70.3% となっている PROXYサーバの設置 DMZの構築ルーターによるプロトコル制御 IDS IPSの導入等については約半数が実施している状況である無線 LANネットワークのセキュリティ対策については WPA WPA2 等による暗号化が58.1% で導入されており 29.2% で MACアドレス認証が実施されているがぜい弱性が指摘されている WEP による暗号化も15.5% で使用されている無線 LANネットワークのセキュリティ対策 (MA,n=620) WEP 以外による暗号化 (WPA WPA2 等 ) 58.1% MAC アドレス認証 ESS-IDの適切な設定 IEEE802.1.x WEP による暗号化 29.2% 22.1% 19.7% 15.5% 電磁波の遮蔽 0.6% その他特に行っていない無回答 5.0% 10.2% 14.4% 10

17 Webサービスに対するセキュリティ対策 Webサーバのセキュリティ対策についてはリモートアクセスの接続元を限定常に最新のパッチを適用管理者用アカウントのパスワードの複雑化 IDS IPS 等の利用等が実施されているがいずれも30% 台の実施状況である電子メールに関するセキュリティ対策についてはウイルスチェックが84.0% で最も多く次いでフィルタリング 54.8% 常に最新のパッチを適用 35.5% という状況である添付ファイルの取り扱いについてはウイルスチェックをしてから受信が80.8% で最も多い特にチェックもせず受信は 7.6% であった Web サーバのセキュリティ対策 (MA,n=620) リモートアクセスの接続元を限定常に最新のパッチを適用管理者用アカウントのパスワードの複雑化 IDS,IPS,WAF 等のセキュリティ機器やサービスを利用自社で管理していないので分からないデフォルトアカウントを利用停止または利用制限 36.1% 34.2% 33.2% 30.8% 28.5% 23.9% Web コンテンツの変更履歴を定期的に確認 Web システムの設定状況を定期的に確認その他無回答 11.5% 10.3% 5.0% 4.0% 11

18 不正アクセス情報漏えい等に対する情報セキュリティ対策重要システムの不正アクセス対策状況についてはデータのバックアップを行っているが85.5% で最も多く次いで外部のネットワークに接続していないが47.1% システムの冗長化( ネットワークの冗長化含む ) が46.3% となっている不正アクセス等への対策状況についてはパソコン廃棄時の適正なデータ消去が80.5% で最も多く定期的なバックアップが75.5% 情報資産へのアクセス権の設定が72.1% となっている不正プログラムへの対策状況についてはウイルス対策ソフト ( クライアント ) の使用が95.0% で最も多くなっており次いでウイルス対策ソフト ( サーバ ) の使用 85.2% パターンファイルを定期的に更新が76.5% となっている重要システムの不正アクセス対策状況 (MA,n=620) データのバックアップを行っている 85.5% 外部のネットワークに接続していないシステムの冗長化 ( ネットワークの冗長化を含む ) を行っている個人 PC の接続制限を行っている重要な基幹業務システムは他のネットワークと分離した専用ネットワークを構築している基幹業務システム専用のファイアウォールルーター ( ネットワークアクセス制御機能 ) を導入している無線 LAN の使用制限を行っている指定回数以上のログイン失敗時のアカウント失効等不正操作に対して自動的に制限をかける機能を導入している 47.1% 46.3% 45.8% 44.0% 40.6% 31.6% 30.2% 緊急時にはシステムを自動停止する仕組みを導入しているその他上記 1.~10. のような対策は行っていない無回答 4.8% 3.5% 0.6% 1.1% 12

19 3 人的対策情報セキュリティ教育情報セキュリティ教育の実施状況については実施しているが71.8% で最も多く実施をしていないが17.4% である実施していない理由については指導できる者が社内にいないが57.4% で最も多く必要な時間がない 44.4% 必要な資金がない 25.9% となっているまた情報セキュリティ教育の内容については情報セキュリティポリシーが 67.9% で最も多く次いで個人情報の保護管理が67.3% ウイルス等のマルウェア対策が64.9% となっている教育の頻度については年に1 回が41.0% で最も多く次いで年に数回が30.2% 採用異動時等に実施が12.8% となっている情報セキュリティ教育を実施しない理由 (MA,n=108) 指導できる者が社内にいない 57.4% 必要な時間がない 44.4% 必要な資金がない 25.9% 環境的に必要ない 11.1% その他 7.4% 無回答 2.8% 今回の調査結果では情報セキュリティポリシーが全体の8 割で制定されており情報セキュリティに関する教育においても全体の7 割で実施されている等情報セキュリティに関する意識について一定の浸透が図られていることがうかがえるがその一方で情報セキュリティ対策についてどこまで行えば良いのか基準が示されていない費用対効果が見えない費用がかかり過ぎる等判断基準や投資に関する点が半数以上で問題点として認識されていることが認められたまたセキュリティ侵害事案発生時における対策マニュアルの策定状況が半数に満たないことは有時の際には被害拡大につながる恐れがありこれら対策の浸透が今後の課題といえる 13

20 2.2 回答事業体の属性等全体従業員規模 (SA,n=620) 問 2 4.5% 4.5% 0.8% 100 人以上 300 人未満 13.9% 10.2% 14.4% 23.5% 28.2% 1,000 人以上 5,000 人未満 500 人以上 1,000 人未満 300 人以上 500 人未満 100 人未満 5,000 人以上 1 万人未満 1 万人以上無回答全体予算規模 (SA,n=620) 問 3 2.7% 3.4% 6.8% 10.8% 9.0% 2.7% 34.7% 100 億円以上 ~1,000 億円未満 10 億円以上 ~50 億円未満 1,000 億円以上 ~5,000 億円未満 50 億円以上 ~100 億円未満 10 億円未満 1 兆円以上 5,000 億円以上 ~1 兆円未満 13.5% 16.3% 適切な指標がない無回答 14

21 3. 調査結果 3.1 組織的対策端末装置 ( パソコン ) の整備環境問 4 端末装置 ( パソコン ) の整備環境については 1 人当たり 1 台以上が 80.3% で最も多く数人で共有が 6.1% 部課で共有事業所や拠点で共有が 1.9% となっている全体端末装置 ( パソコン ) の整備環境 (SA,n=620) 1.9% 6.1% 1.9% 8.7% 1.0% 1 人当たり 1 台以上数人で共有部課で共有事業所や拠点で共有その他 80.3% 端末装置は利用していない無回答 15

22 業種別分析業種別にみると 1 人当たり 1 台以上ではエネルギーが 10 で最も多く次いで不動産建築が 95.6% 情報通信が 91.7% 行政サービスが 91.5% となっている一方最も少ないのは運輸業で 52.2% となっている業種別分析端末装置 ( パソコン ) の利用環境農林水産鉱業 (n=2) 10 製造業 (n=135) 78.5% 5.2% 14.1% 0.7% 0.7% 0.7% 不動産建築 (n=45) 95.6% 2.2% 2.2% 金融 (n=48) 81.3% 12.5% 4.2% 2.1% エネルギー (n=8) 10 運輸業 (n=23) 52.2% 8.7% 8.7% 26.1% 4.3% 情報通信 (n=12) 91.7% 8.3% サービス (n=109) 58.7% 14.7% 7.3% 13.8% 5.5% 教育 (n=112) 90.2% 6.3% 0.9% 2.7% 行政サービス (n=117) 91.5% 3.4% 4.3% 0.9% 全体 (n=620) 80.3% 6.1% 1.9% 1.9% 1 人当たり1 台以上数人で共有部課で共有事業所や拠点で共有その他端末装置は利用していない無回答 8.7% 1.0% 16

23 3.1.2 端末装置 ( タブレットスマートフォン等 ) の整備環境問 5 端末装置 ( タブレットスマートフォン等 ) の整備環境については事業所や拠点で共有が 11.8% で最も多く部課で共有が 11.5% 1 人当たり 1 台以上が 9.5% となっている全体端末装置 ( タブレットスマートフォン等 ) の整備環境 (SA,n=620) 27.1% 1.3% 11.8% 事業所や拠点で共有 11.5% 部課で共有 1 人当たり 1 台以上 5.2% 9.5% 数人で共有その他端末装置は利用していない 33.7% 無回答 17

24 業種別分析業種別にみると端末装置は利用していないでは行政サービスが 59.8% で最も多く教育が 40.2% となっている一方 1 人当たり 1 台以上では情報通信が 58.3% で最も多くなっている業種別分析端末装置 ( タブレットスマートフォン等 ) の利用環境農林水産鉱業 (n=2) 5 5 製造業 (n=135) 8.9% 4.4% 7.4% 9.6% 56.3% 11.1% 2.2% 不動産建築 (n=45) % 6.7% 46.7% 13.3% 金融 (n=48) 12.5% 20.8% 10.4% 18.8% 31.3% 6.3% エネルギー (n=8) 12.5% 12.5% 12.5% % 運輸業 (n=23) 17.4% 13.0% 26.1% 26.1% 13.0% 4.3% 情報通信 (n=12) 58.3% 8.3% 33.3% サービス (n=109) 10.1% 6.4% 13.8% 13.8% 35.8% 20.2% 教育 (n=112) 6.3% 18.8% 14.3% 19.6% 40.2% 0.9% 行政サービス (n=117) 11.1% 8.5% 17.1% 59.8% 1.7% 0.9% 0.9% 全体 (n=620) 9.5% 5.2% 11.5% 11.8% 33.7% 27.1% 1 人当たり1 台以上数人で共有部課で共有事業所や拠点で共有その他端末装置は利用していない無回答 1.3% 18

25 3.1.3 事業体内のネットワーク利用状況問 6 事業体内のネットワーク利用状況については有線ネットワークと無線ネットワークを併用が 76.0% で最も多く次いで全て有線ネットワークで構築が 23.2% となっている全体事業体内のネットワーク利用状況 (SA,n=620) 23.2% 0.3% 0.2% 0.3% 有線ネットワークと無線ネットワークを併用全て有線ネットワークで構築全て無線ネットワークで構築 LAN を敷設していない 76.0% 無回答 19

26 業種別分析業種別にみると有線ネットワークと無線ネットワークを併用については教育が 95.5% で最も多く次いで情報通信が 91.7% エネルギーが 87.5% サービスが 84.4% となっている業種別分析事業体内のネットワーク利用状況農林水産鉱業 (n=2) 5 5 製造業 (n=135) 83.7% 15.6% 0.7% 不動産建築 (n=45) 75.6% 24.4% 金融 (n=48) 62.5% 37.5% エネルギー (n=8) 87.5% 12.5% 運輸業 (n=23) 82.6% 17.4% 情報通信 (n=12) 91.7% 8.3% サービス (n=109) 84.4% 14.7% 0.9% 教育 (n=112) 95.5% 4.5% 行政サービス (n=117) 43.6% 0.9% 55.6% 全体 (n=620) 76.0% 0.3% 23.2% 0.2% 0.3% 有線ネットワークと無線ネットワークを併用全て有線ネットワークで構築無回答全て無線ネットワークで構築 LANを敷設していない 20

27 3.1.4 インターネット環境の整備問 7 インターネット環境の整備については整備しているが 99.0% で最も多く整備する計画はないは 0.3% であった全体インターネット環境の整備 (SA,n=620) 0.6% 0.3% 整備している整備していないが現在整備を計画中である整備する計画はない無回答 99.0% 21

28 3.1.5 外部からの接続許可状況問 8 外部から事業体内ネットワークへの接続については許可しているが 53.7% 許可していないは 45.6% となっている全体外部からの接続許可状況 (MA,n=620) 0.6% 許可している 45.6% 53.7% 許可していない無回答 22

29 業種別分析業種別にみると許可しているでは情報通信が 91.7% で最も多く次いで運輸業が 91.3% エネルギーが 87.5% となっているまた許可していないは行政サービスが 82.9% となっている業種別分析外部からの接続許可状況農林水産鉱業 (n=2) 5 5 製造業 (n=135) 72.6% 26.7% 0.7% 不動産建築 (n=45) 6 4 金融 (n=48) 39.6% 60.4% エネルギー (n=8) 87.5% 12.5% 運輸業 (n=23) 91.3% 8.7% 情報通信 (n=12) 91.7% 8.3% サービス (n=109) 56.0% 44.0% 教育 (n=112) 57.1% 42.9% 行政サービス (n=117) 17.1% 82.9% 全体 (n=620) 53.7% 45.6% 0.6% 許可している許可していない無回答 23

30 3.1.6 情報セキュリティ対策の必要性の理由問 9 情報セキュリティ対策の必要性の理由についてはウイルス等のマルウェアの感染を防ぐためが 91.5% で最も多く次いでインターネット上に顧客情報等の部内情報が漏れるのを防ぐためが 81.6% セキュリティ事故がブランドイメージや業績に与える影響を避けるためが67.4% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐためが65.2% となっている全体情報セキュリティ対策の必要性の理由 (MA,n=620) ウイルス等のマルウェアの感染を防ぐため 91.5% インターネット上に顧客情報等の部内情報が漏れるのを防ぐため 81.6% セキュリティ事故がブランドイメージや業績に与える影響を避けるためシステムの乗っ取り等により犯罪等へ悪用されるのを防ぐため DDoS 攻撃等によるシステムダウンを防ぐため事業を行う上で必要不可欠なため過去に不正アクセス等の被害にあったため顧客等との取引を万全なものとするため 67.4% 65.2% 58.1% 54.0% 52.4% 47.6% 顧客等から要請があるため 16.8% その他無回答 1.6% 0.3% 24

31 業種別分析業種別にみるとウイルス等のマルウェアの感染を防ぐためについては運輸業が10 インターネット上に顧客情報等の部内情報が漏れるのを防ぐためについては金融が93.8% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐためではエネルギーが 10 と多くなっている業種別分析情報セキュリティ対策の必要性の理由ウイルス等のマルウェアの感染を防ぐためインターネット上に顧客情報等の部内情報が漏れるのを防ぐため農林水産鉱業 (n=2) 10 農林水産鉱業 (n=2) 製造業 (n=135) 94.1% 製造業 (n=135) 77.8% 不動産建築 (n=45) 91.1% 不動産建築 (n=45) 73.3% 金融 (n=48) 97.9% 金融 (n=48) 93.8% エネルギー (n=8) 75.0% エネルギー (n=8) 75.0% 運輸業 (n=23) 10 運輸業 (n=23) 73.9% 情報通信 (n=12) 91.7% 情報通信 (n=12) 75.0% サービス (n=109) 89.0% サービス (n=109) 78.9% 教育 (n=112) 93.8% 教育 (n=112) 88.4% 行政サービス (n=117) 86.3% 行政サービス (n=117) 85.5% 全体 (n=620) 91.5% 全体 (n=620) 81.6% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐためセキュリティ事故がブランドイメージや業績に与える影響を避けるため農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 5 製造業 (n=135) 74.8% 製造業 (n=135) 65.9% 不動産建築 (n=45) 64.4% 不動産建築 (n=45) 42.2% 金融 (n=48) 87.5% 金融 (n=48) 83.3% エネルギー (n=8) 10 エネルギー (n=8) 37.5% 運輸業 (n=23) 87.0% 運輸業 (n=23) 69.6% 情報通信 (n=12) 66.7% 情報通信 (n=12) 66.7% サービス (n=109) 67.0% サービス (n=109) 59.6% 教育 (n=112) 67.9% 教育 (n=112) 73.2% 行政サービス (n=117) 47.0% 行政サービス (n=117) 65.0% 全体 (n=620) 67.4% 全体 (n=620) 65.2% 25

32 DDoS 攻撃等によるシステムダウンを防ぐため事業を行う上で必要不可欠なため農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=135) 52.6% 製造業 (n=135) 45.9% 不動産建築 (n=45) 37.8% 不動産建築 (n=45) 33.3% 金融 (n=48) 81.3% 金融 (n=48) 79.2% エネルギー (n=8) 5 エネルギー (n=8) 37.5% 運輸業 (n=23) 78.3% 運輸業 (n=23) 56.5% 情報通信 (n=12) 75.0% 情報通信 (n=12) 91.7% サービス (n=109) 51.4% サービス (n=109) 58.7% 教育 (n=112) 60.7% 教育 (n=112) 43.8% 行政サービス (n=117) 62.4% 行政サービス (n=117) 66.7% 全体 (n=620) 58.1% 全体 (n=620) 54.0% 過去に不正アクセス等の被害にあったため顧客等との取引を万全なものとするため農林水産鉱業 (n=2) 10 農林水産鉱業 (n=2) 5 製造業 (n=135) 6 製造業 (n=135) 63.0% 不動産建築 (n=45) 66.7% 不動産建築 (n=45) 46.7% 金融 (n=48) 39.6% 金融 (n=48) 77.1% エネルギー (n=8) 62.5% エネルギー (n=8) 75.0% 運輸業 (n=23) 73.9% 運輸業 (n=23) 60.9% 情報通信 (n=12) 58.3% 情報通信 (n=12) 83.3% サービス (n=109) 53.2% サービス (n=109) 61.5% 教育 (n=112) 48.2% 教育 (n=112) 23.2% 行政サービス (n=117) 40.2% 行政サービス (n=117) 23.1% 全体 (n=620) 52.4% 全体 (n=620) 47.6% 26

33 経年変化昨年度と比較するとすべての項目で増加傾向にあり過去に不正アクセス等の被害にあったためが 32.9 ポイント DDoS 攻撃等によるシステムダウンを防ぐためが 12.5 ポイント増加している経年変化情報セキュリティ対策の必要性の理由 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルス等のマルウェアの感染を防ぐため 91.5% 87.6% 92.1% インターネット上に顧客情報等の部内情報が漏れるのを防ぐため 81.6% 74.0% 77.0% セキュリティ事故がブランドイメージや業績に与える影響を避けるため 67.4% 60.7% 69.4% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐため 65.2% 61.9% 71.8% DDoS 攻撃等によるシステムダウンを防ぐため 45.6% 58.1% 58.9% 事業を行う上で必要不可欠なため 54.0% 45.2% 45.9% 過去に不正アクセス等の被害にあったため 19.5% 16.5% 52.4% 顧客等との取引を万全なものとするため 47.6% 42.2% 45.8% 顧客等から要請があるため 16.8% 15.9% 15.5% 平成 29 年度 (n=620) その他 1.6% 0.9% 0.8% 平成 28 年度 (n=704) 平成 27 年度 (n=793) 無回答 0.3% 1.0% 0.4% 平成 27 年度のウイルスやマルウェア等の感染を防ぐためを平成 28 年度からはウイルス等のマルウェアの感染を防ぐためとしている 27

34 3.1.7 過去に受けたことのある被害状況問 10-1 過去に受けたことのある被害状況についてはランサムウェアが23.4% で最も多く次いでホームページの改ざんが11.7% 電子メールの不正中継が7.1% となっている本項目は過去に不正アクセス等の被害にあった社団体等を対象としている全体過去に受けたことのある被害状況 (MA,n=325) ランサムウェアホームページの改ざん電子メールの不正中継システム損壊等による業務妨害ウイルスによる情報流出端末機器 (PC スマホ等 ) の盗難ウイルス以外の情報流出インターネットバンキング不正送金外部記録媒体の盗難 Web 等での誹謗中傷被害ネットワーク利用詐欺偽サイト等模倣サイトの開設フィッシングサイトの開設その他データ盗用 ( キーロガー含 ) 無回答 11.7% 7.1% 5.2% 5.2% 4.6% 4.0% 2.2% 1.8% 1.5% 1.2% 1.2% 0.9% 1.2% 23.4% 54.2% 28

35 業種別分析業種別にみるとランサムウェアについては運輸業が 47.1% となっているホームページの改ざんについては情報通信が 42.9% で最も多くなっているまた電子メールの不正中継については教育が 16.7% となっている業種別分析過去に受けたことのある被害状況ランサムウェアホームページの改ざん農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 製造業 (n=81) 28.4% 製造業 (n=81) 9.9% 不動産建築 (n=30) 3 不動産建築 (n=30) 6.7% 金融 (n=19) 5.3% 金融 (n=19) エネルギー (n=5) 2 エネルギー (n=5) 運輸業 (n=17) 47.1% 運輸業 (n=17) 17.6% 情報通信 (n=7) 28.6% 情報通信 (n=7) 42.9% サービス (n=58) 17.2% サービス (n=58) 8.6% 教育 (n=54) 25.9% 教育 (n=54) 16.7% 行政サービス (n=47) 12.8% 行政サービス (n=47) 12.8% 全体 (n=325) 23.4% 全体 (n=325) 11.7% 電子メールの不正中継農林水産鉱業 (n=2) 製造業 (n=81) 不動産建築 (n=30) 金融 (n=19) エネルギー (n=5) 運輸業 (n=17) 情報通信 (n=7) サービス (n=58) 教育 (n=54) 行政サービス (n=47) 全体 (n=325) 4.9% 3.3% 15.8% 5.9% 5.2% 16.7% 7.1% 5 29

36 経年変化昨年度と比較するとランサムウェアが 12.7 ポイント増加しているその他の項目は全体的に減少しており電子メールの不正中継は 15.9 ポイントホームページの改ざんは 11.2 ポイントそれぞれ減少している経年変化過去に受けたことのある被害状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ランサムウェア 38.3% 51.0% ホームページの改ざん 25.5% 36.7% 電子メールの不正中継システム損壊等による業務妨害ウイルスによる情報流出端末機器 (PC スマホ等 ) の盗難ウイルス以外の情報流出インターネットバンキング不正送金 15.4% 31.3% 24.0% 11.4% 16.4% 15.2% 11.4% 14.1% 15.2% 10.1% 10.2% 14.4% 8.7% 9.4% 15.2% 4.7% 7.0% 外部記録媒体の盗難 Web 等での誹謗中傷被害偽サイト等模倣サイトの開設ネットワーク利用詐欺フィッシングサイトの開設その他データ盗用 ( キーロガー含 ) 4.0% 4.7% 5.6% 3.4% 3.9% 8.0% 2.7% 3.9% 5.6% 2.7% 3.9% 4.8% 2.0% 2.3% 5.6% 2.7% 5.5% 4.0% 平成 29 年度 (n=149) 平成 28 年度 (n=128) 平成 27 年度 (n=125) 平成 28 年度調査でインターネットバンキング不正送金とランサムウェアを新設無回答を除いた総数で比較している 30

37 3.1.8 攻撃手段問 10-2 攻撃手段についてはウイルス等の感染が30.5% で最も多く次いで部外からの不正アクセスが12.0% DDoS 攻撃が5.8% となっている本項目は過去に不正アクセス等の被害にあった社団体等を対象としている全体攻撃手段 (MA,n=325) ウイルス等の感染 30.5% 部外からの不正アクセス 12.0% DDoS 攻撃踏み台 ( バックドア設置等 ) システム損壊データ改ざん内部の者のネットワーク悪用その他 5.8% 4.6% 4.0% 0.9% 5.5% 無回答 54.5% 31

38 経年変化昨年度と比較するとウイルス等の感染が 7.7 ポイント増加しているその他の項目は全体的に減少しており踏み台 ( バックドア設置等 ) は 13.1 ポイント DDoS 攻撃は 12.8 ポイントそれぞれ減少している経年変化攻撃手段 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ウイルス等の感染部外からの不正アクセス DDoS 攻撃踏み台 ( バックドア設置等 ) システム損壊データ改ざん内部の者のネットワーク悪用その他 42.4% 26.4% 34.4% % 25.6% 22.4% 10.1% 23.2% 18.4% 8.8% 14.4% 11.2% 2.0% 4.8% 4.0% 12.2% 8.8% 9.6% 66.9% 59.2% 平成 29 年度 (n=148) 平成 28 年度 (n=125) 平成 27 年度 (n=125) 平成 28 年度調査で DDoS 攻撃を新設無回答を除いた総数で比較している 32

39 3.1.9 届出先機関等問 11-1 届出先機関等については警察が18.2% で最も多く次いで監督官庁が13.5% となっている一方届け出なかったは22.8% となっている本項目は過去に不正アクセス等の被害にあった社団体等を対象としている全体届出先機関等 (MA,n=325) 警察監督官庁 13.5% 18.2% IPA ( 情報処理推進機構 ) JPCERT/CC 国民生活センター消費生活センターその他 4.9% 4.9% 5.8% 届け出なかった 22.8% 無回答 48.3% 33

40 業種別分析業種別にみると警察についてはエネルギーが 6 で最も多く監督官庁では金融が 57.9% で最も多くなっている届け出なかったについては教育が 40.7% となっている業種別分析届出先機関等警察監督官庁農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=81) 12.3% 製造業 (n=81) 2.5% 不動産建築 (n=30) 13.3% 不動産建築 (n=30) 6.7% 金融 (n=19) 47.4% 金融 (n=19) 57.9% エネルギー (n=5) 6 エネルギー (n=5) 4 運輸業 (n=17) 41.2% 運輸業 (n=17) 17.6% 情報通信 (n=7) 28.6% 情報通信 (n=7) 57.1% サービス (n=58) 17.2% サービス (n=58) 8.6% 教育 (n=54) 14.8% 教育 (n=54) 7.4% 行政サービス (n=47) 12.8% 行政サービス (n=47) 23.4% 全体 (n=325) 18.2% 全体 (n=325) 13.5% 届け出なかった農林水産鉱業 (n=2) 製造業 (n=81) 不動産建築 (n=30) 金融 (n=19) エネルギー (n=5) 運輸業 (n=17) 情報通信 (n=7) サービス (n=58) 教育 (n=54) 行政サービス (n=47) 全体 (n=325) % 26.7% 23.5% 17.2% 40.7% 6.4% 22.8% 34

41 経年変化昨年度と比較すると JPCERT/CC は 2.8 ポイント警察は 1.5 ポイントそれぞれ増加している一方で監督官庁は 3.7 ポイント減少している経年変化届出先機関等 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 警察 35.1% 33.6% 40.7% 監督官庁 26.2% 29.9% 35.8% IPA ( 情報処理推進機構 ) 9.5% 9.7% 26.8% JPCERT/CC 9.5% 6.7% 13.8% 平成 29 年度 (n=168) 国民生活センター消費生活センター平成 28 年度 (n=134) 平成 27 年度 (n=123) その他 11.3% 10.4% 4.9% 届け出なかった 29.3% 44.0% 44.8% 無回答を除いた総数で比較している 35

42 届出した理由問 11-2 届出した理由については届出義務があるためが55.3% で最も多く次いで被害拡大を阻止するためが39.4% 事案解決を求めてが34.0% となっている本項目は被害の届出を行った社団体等を対象としている全体届出した理由 (MA,n=94) 届出義務があるため 55.3% 被害拡大を阻止するため事案解決を求めて 34.0% 39.4% 解決方法を知るため関係者 ( 株主等 ) への説明責任を果たすため行政機関からの指導により法律職 ( 弁護士等 ) からの意見により利用者からの指摘により情報セキュリティ事業者からの意見により報道されたためその他無回答 16.0% 13.8% 9.6% 6.4% 3.2% 2.1% 1.1% 5.3% 36

43 業種別分析業種別にみると届出義務があるためについては行政サービスが93.3% と最も多く次いで金融が83.3% となっている被害拡大を阻止するためについては運輸業が62.5% と最も多く次いでサービスが52.9% となっている事案解決を求めてについては製造業金融運輸業が5 と最も多く解決方法を知るためについては製造業が33.3% と最も多くなっている業種別分析届出した理由届出義務があるため被害拡大を阻止するため農林水産鉱業 (n=0) 農林水産鉱業 (n=0) 製造業 (n=12) 41.7% 製造業 (n=12) 5 不動産建築 (n=7) 42.9% 不動産建築 (n=7) 14.3% 金融 (n=12) 83.3% 金融 (n=12) 41.7% エネルギー (n=3) 33.3% エネルギー (n=3) 33.3% 運輸業 (n=8) 37.5% 運輸業 (n=8) 62.5% 情報通信 (n=4) 75.0% 情報通信 (n=4) 5 サービス (n=17) 47.1% サービス (n=17) 52.9% 教育 (n=15) 33.3% 教育 (n=15) 33.3% 行政サービス (n=15) 93.3% 行政サービス (n=15) 2 全体 (n=94) 55.3% 全体 (n=94) 39.4% 事案解決を求めて解決方法を知るため農林水産鉱業 (n=0) 農林水産鉱業 (n=0) 製造業 (n=12) 5 製造業 (n=12) 33.3% 不動産建築 (n=7) 14.3% 不動産建築 (n=7) 14.3% 金融 (n=12) 5 金融 (n=12) 16.7% エネルギー (n=3) 33.3% エネルギー (n=3) 運輸業 (n=8) 5 運輸業 (n=8) 25.0% 情報通信 (n=4) 25.0% 情報通信 (n=4) サービス (n=17) 35.3% サービス (n=17) 23.5% 教育 (n=15) 26.7% 教育 (n=15) 13.3% 行政サービス (n=15) 2 行政サービス (n=15) 全体 (n=94) 34.0% 全体 (n=94) 16.0% 37

44 経年変化昨年度と比較すると届出義務があるためが 10.9 ポイント行政機関からの指導によりが 2.6 ポイント関係者 ( 株主等 ) への説明責任を果たすためが 2.4 ポイントの減少であった経年変化届出した理由 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 届出義務があるため 55.3% 66.2% 59.8% 被害拡大を阻止するため事案解決を求めて 39.4% 37.8% 36.8% 34.0% 32.4% 34.5% 解決方法を知るため 16.0% 13.5% 13.8% 関係者 ( 株主等 ) への説明責任を果たすため 13.8% 16.2% 14.9% 行政機関からの指導により 9.6% 12.2% 14.9% 法律職 ( 弁護士等 ) からの意見により 6.4% 2.7% 2.3% 利用者からの指摘により 3.2% 1.4% 2.3% 情報セキュリティ事業者からの意見により報道されたため 2.1% 4.1% 3.4% 1.1% 2.7% 5.7% 平成 29 年度 (n=94) 平成 28 年度 (n=74) 平成 27 年度 (n=87) その他 5.3% 2.7% 3.4% 無回答 1.4% 9.2% 38

45 届出を躊躇させる要因問 12 届出を躊躇させる要因については自社内だけの被害だったのでが 70.3% で最も多く次いで社団体内で対応できたのでが35.1% となっている本項目は被害の届出を行わなかった社団体等を対象としている全体届出を躊躇させる要因 (MA,n=74) 自社内だけの被害だったので 70.3% 社団体内で対応できたので 35.1% 届出するべきなのかわからなかった届出義務がないのでどこに届ければいいかわからなかった 12.2% 10.8% 18.9% 問題解決にならないので面倒なので自社団体の信用が低下するので競合他社に知られたくないのでその他無回答 4.1% 2.7% 9.5% 1.4% 39

46 業種別分析業種別にみると自社内だけの被害だったのでについてはサービスが 9 不動産建築が 87.5% となっている業種別分析届出を躊躇させる要因自社内だけの被害だったので社団体内で対応できたので農林水産鉱業 (n=1) 10 農林水産鉱業 (n=1) 製造業 (n=25) 76.0% 製造業 (n=25) 32.0% 不動産建築 (n=8) 87.5% 不動産建築 (n=8) 12.5% 金融 (n=0) 金融 (n=0) エネルギー (n=0) エネルギー (n=0) 運輸業 (n=4) 75.0% 運輸業 (n=4) 75.0% 情報通信 (n=0) 情報通信 (n=0) サービス (n=10) 9 サービス (n=10) 5 教育 (n=22) 54.5% 教育 (n=22) 27.3% 行政サービス (n=3) 33.3% 行政サービス (n=3) 66.7% 全体 (n=74) 70.3% 全体 (n=74) 35.1% 40

47 経年変化昨年度と比較すると自社内だけの被害だったのでが 10.3 ポイント社団体内で対応できたのでが 3.4 ポイントの増加であった一方問題解決にならないのでは 9.2 ポイント自社団体の信用が低下するのでは 5.0 ポイント減少している経年変化届出を躊躇させる要因 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 自社内だけの被害だったので 41.7% % 社団体内で対応できたので 35.1% 31.7% 38.9% 届出するべきなのかわからなかった届出義務がないのでどこに届ければいいかわからなかった 18.9% 18.3% 12.2% 13.3% 8.3% 10.8% 13.3% 8.3% 36.1% 問題解決にならないので 4.1% 5.6% 13.3% 面倒なので自社団体の信用が低下するので競合他社に知られたくないのでその他無回答 2.7% 1.7% 2.8% 5.0% 5.6% 1.7% 9.5% 11.7% 16.7% 1.4% 平成 29 年度 (n=74) 平成 28 年度 (n=60) 平成 27 年度 (n=36) 平成 27 年度の自社団体内で対応できたのでを平成 28 年度以降は社団体内で対応できたのでとしている 41

48 被害を受けたことによる対策問 13 被害を受けたことによる対策についてはセキュリティ教育の実施強化が26.5% で最も多く次いで最新パッチの適応が24.0% ウイルス等対策製品の導入強化が21.2% となっている本項目は過去に不正アクセス等の被害にあった社団体等を対象としている全体被害を受けたことによる対策 (MA,n=325) セキュリティ教育の実施強化最新パッチの適応ウイルス等対策製品の導入強化ファイアウォールの設置強化ソフトウェアのバージョンアップ不正アクセスが行われていないかどうかネットワークの監視セキュリティポリシーの策定見直し認証機能の導入強化システム上にセキュリティホールがないかどうか検査診断不必要なサービスの停止ネットワークの再構築クラウド等の外部セキュリティサービスの利用セキュリティコンサルティングの利用セキュリティ監査の実施弁護士への相談その他不明特に何も対策を講じていない無回答 26.5% 24.0% 21.2% 18.2% 15.7% 14.5% 12.0% 10.5% 10.5% 8.3% 7.4% 6.8% 5.5% 4.6% 1.8% 5.8% 0.9% 44.3% 42

49 業種別分析業種別にみるとセキュリティ教育の実施強化については運輸業が47.1% で最も多く次いで情報通信が42.9% となっているウイルス等対策製品の購入強化については運輸業が41.2% 最新パッチの適応についても運輸業が35.3% で最も多い業種別分析被害を受けたことによる対策セキュリティ教育の実施強化最新パッチの適応農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=81) 28.4% 製造業 (n=81) 28.4% 不動産建築 (n=30) 2 不動産建築 (n=30) 26.7% 金融 (n=19) 21.1% 金融 (n=19) 10.5% エネルギー (n=5) 2 エネルギー (n=5) 運輸業 (n=17) 47.1% 運輸業 (n=17) 35.3% 情報通信 (n=7) 42.9% 情報通信 (n=7) 28.6% サービス (n=58) 25.9% サービス (n=58) 17.2% 教育 (n=54) 24.1% 教育 (n=54) 31.5% 行政サービス (n=47) 25.5% 行政サービス (n=47) 17.0% 全体 (n=325) 26.5% 全体 (n=325) 24.0% ウイルス等対策製品の導入強化ファイアウォールの設置強化農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 製造業 (n=81) 22.2% 製造業 (n=81) 19.8% 不動産建築 (n=30) 3 不動産建築 (n=30) 23.3% 金融 (n=19) 21.1% 金融 (n=19) 26.3% エネルギー (n=5) 2 エネルギー (n=5) 4 運輸業 (n=17) 41.2% 運輸業 (n=17) 23.5% 情報通信 (n=7) 42.9% 情報通信 (n=7) 28.6% サービス (n=58) 19.0% サービス (n=58) 17.2% 教育 (n=54) 22.2% 教育 (n=54) 16.7% 行政サービス (n=47) 6.4% 行政サービス (n=47) 8.5% 全体 (n=325) 21.2% 全体 (n=325) 18.2% ソフトウェアのバージョンアップシステム上にセキュリティホールがないかどうか検査診断農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=81) 17.3% 製造業 (n=81) 11.1% 不動産建築 (n=30) 13.3% 不動産建築 (n=30) 13.3% 金融 (n=19) 10.5% 金融 (n=19) 26.3% エネルギー (n=5) エネルギー (n=5) 2 運輸業 (n=17) 23.5% 運輸業 (n=17) 29.4% 情報通信 (n=7) 14.3% 情報通信 (n=7) 28.6% サービス (n=58) 15.5% サービス (n=58) 13.8% 教育 (n=54) 20.4% 教育 (n=54) 16.7% 行政サービス (n=47) 10.6% 行政サービス (n=47) 8.5% 全体 (n=325) 15.7% 全体 (n=325) 14.5% 43

50 不正アクセス禁止法でアクセス管理者による防御措置についての努力義務問 14 アクセス管理者による防御措置についての努力義務については知っているが 67.3% 知らなかったは 30.8% となっている全体不正アクセス禁止法でアクセス管理者による防御措置についての努力義務 (SA,n=620) 1.9% 30.8% 知っている知らなかった無回答 67.3% 情報セキュリティ運用管理専門部署の有無問 15 情報セキュリティ運用管理専門部署の有無についてはあるが 65.3% ないが 30.8% となっている全体情報セキュリティ運用管理専門部署の有無 (SA,n=620) 2.7% 1.1% ある 30.8% ない今後設置予定 65.3% 無回答 44

51 業種別分析業種別にみると情報セキュリティ運用管理専門部署があるについてはエネルギーが 10 で最も多く次いで行政サービスが 78.6% となっている一方情報セキュリティ運用管理専門部署がないについては教育が 41.1% となっている業種別分析情報セキュリティ運用管理専門部署の有無農林水産鉱業 (n=2) 5 5 製造業 (n=135) 62.2% 31.9% 4.4% 1.5% 不動産建築 (n=45) 57.8% 35.6% 6.7% 金融 (n=48) 68.8% 31.3% エネルギー (n=8) 10 運輸業 (n=23) 69.6% 30.4% 情報通信 (n=12) 66.7% 16.7% 16.7% サービス (n=109) 62.4% 33.0% 3.7% 0.9% 教育 (n=112) 57.1% 41.1% 1.8% 行政サービス (n=117) 78.6% 19.7% 1.7% 全体 (n=620) 65.3% 30.8% 2.7% 1.1% あるない今後設置予定無回答 45

52 従業員規模別分析従業員規模別にみると規模が大きくなるにつれてあるが多くなる傾向があり 1 万人以上が 78.6% と最も多くなっている一方ないは 100 人未満で 50.8% と最も多くなっている従業員規模別分析情報セキュリティ運用管理専門部署の有無 100 人未満 (n=63) 41.3% 50.8% 7.9% 100 人以上 300 人未満 (n=175) 62.3% 35.4% 1.7% 0.6% 300 人以上 500 人未満 (n=86) 68.6% 29.1% 1.2% 1.2% 500 人以上 1,000 人未満 (n=89) 74.2% 24.7% 1.1% 1,000 人以上 5,000 人未満 (n=146) 67.8% 28.1% 3.4% 0.7% 5,000 人以上 1 万人未満 (n=28) 75.0% 21.4% 3.6% 1 万人以上 (n=28) 78.6% 10.7% 7.1% 3.6% 全体 (n=620) 65.3% 30.8% 2.7% 1.1% あるない今後設置予定無回答経年変化昨年度と比較するとあるは17.7ポイント増加しないは19.2ポイント減少している経年変化情報セキュリティ運用管理専門部署の有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ある 47.6% 61.8% 65.3% ない 30.8% 35.8% 5 今後設置予定無回答 2.7% 1.3% 1.6% 1.1% 1.1% 0.8% 平成 29 年度 (n=620) 平成 28 年度 (n=704) 平成 27 年度 (n=793) 46

53 情報セキュリティ管理体制問 16 情報セキュリティ管理体制については情報システム運用管理者が情報セキュリティについて兼務が74.5% で最も多く次いで情報セキュリティ担当役員 (CISO 等 ) を設置が34.4% 情報システム運用管理者以外の者が情報セキュリティについて兼務が16.1% となっている全体情報セキュリティ管理体制 (MA,n=620) 情報システム運用管理者が情報セキュリティについて兼務 74.5% 情報セキュリティ担当役員 (CISO 等 ) を設置 34.4% 情報システム運用管理者以外の者が情報セキュリティについて兼務 16.1% 専従の担当者を設置 11.1% 設置していない 3.9% 無回答 0.6% 47

54 業種別分析業種別にみると情報システム運用管理者が情報セキュリティについて兼務については教育が83.0% で最も多く次いで製造業が80.7% となっている情報セキュリティ担当役員を設置については行政サービスが71.8% で最も多く次いで金融及び情報通信が5 となっている設置していないではエネルギーが5 で最も多い業種別分析情報セキュリティ管理体制情報システム運用管理者が情報セキュリティについて兼務情報セキュリティ担当役員を設置農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 製造業 (n=135) 80.7% 製造業 (n=135) 24.4% 不動産建築 (n=45) 66.7% 不動産建築 (n=45) 26.7% 金融 (n=48) 58.3% 金融 (n=48) 5 エネルギー (n=8) 75.0% エネルギー (n=8) 37.5% 運輸業 (n=23) 78.3% 運輸業 (n=23) 39.1% 情報通信 (n=12) 58.3% 情報通信 (n=12) 5 サービス (n=109) 68.8% サービス (n=109) 22.9% 教育 (n=112) 83.0% 教育 (n=112) 13.4% 行政サービス (n=117) 75.2% 行政サービス (n=117) 71.8% 全体 (n=620) 74.5% 全体 (n=620) 34.4% 情報システム運用管理者以外の者が情報セキュリティについて兼務設置していない農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 5 製造業 (n=135) 17.8% 製造業 (n=135) 12.6% 不動産建築 (n=45) 13.3% 不動産建築 (n=45) 13.3% 金融 (n=48) 27.1% 金融 (n=48) 16.7% エネルギー (n=8) 37.5% エネルギー (n=8) 5 運輸業 (n=23) 21.7% 運輸業 (n=23) 30.4% 情報通信 (n=12) 25.0% 情報通信 (n=12) 41.7% サービス (n=109) 24.8% サービス (n=109) 11.0% 教育 (n=112) 8.9% 教育 (n=112) 1.8% 行政サービス (n=117) 6.8% 行政サービス (n=117) 5.1% 全体 (n=620) 16.1% 全体 (n=620) 11.1% 48

55 経年変化昨年度と比較すると情報システム運用管理者が情報セキュリティについて兼務及び情報セキュリティ担当役員を設置が増加している一方情報システム運用管理者以外の者が情報セキュリティについて兼務は 2.8 ポイント設置していないは 13.0 ポイント減少している経年変化情報セキュリティ管理体制 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 情報システム運用管理者が情報セキュリティについて兼務 57.2% 74.5% 74.9% 34.4% 情報セキュリティ担当役員を設置 23.3% 29.8% 情報システム運用管理者以外の者が情報セキュリティについて兼務 16.1% 18.9% 17.7% 11.1% 専従の担当者を設置 10.4% 11.7% 設置していない 3.9% 3.8% 16.9% 平成 29 年度 (n=620) 平成 28 年度 (n=704) 平成 27 年度 (n=793) 0.6% 無回答 1.0% 0.4% 平成 27 年度の情報システム運用管理者以外が情報セキュリティについて兼務を平成 28 年度以降は情報システム運用管理者以外の者が情報セキュリティについて兼務としている 49

56 セキュリティポリシーの策定状況問 17 セキュリティポリシーの策定状況については策定しているが83.1% で最も多く次いで今後策定する予定であるが7.1% 現在策定作業中であるが4.4% となっている策定している今後策定する予定である現在策定作業中であるを加えた策定 ( 予定 ) は全体の94.6% となっている全体セキュリティポリシーの策定状況 (SA,n=620) 2.3% 1.3% 1.0% 1.0% 4.4% 7.1% 策定している今後策定する予定である現在策定作業中である今のところ策定する予定はない非公開情報のため答えられない策定しない 83.1% 無回答 50

57 業種別分析業種別にみるとセキュリティポリシーを策定しているについては情報通信が 10 行政サービスが 99.1% 金融が 97.9% 運輸業が 91.3% と 9 割を超えている業種別分析セキュリティポリシーの策定状況農林水産鉱業 (n=2) 5 5 製造業 (n=135) 85.2% 8.1% 5.2% 1.5% 不動産建築 (n=45) 84.4% 6.7% 4.4% 2.2% 2.2% 金融 (n=48) 97.9% 2.1% エネルギー (n=8) 87.5% 12.5% 運輸業 (n=23) 91.3% 4.3% 4.3% 情報通信 (n=12) 10 サービス (n=109) 80.7% 5.5% 5.5% 2.8% 0.9% 2.8% 1.8% 教育 (n=112) 行政サービス (n=117) 58.0% 99.1% 10.7% 20.5% 6.3% 2.7% 0.9% 0.9% 0.9% 全体 (n=620) 83.1% 4.4% 7.1% 1.0% 1.0% 2.3% 1.3% 策定している現在策定作業中である今後策定する予定である今のところ策定する予定はない策定しない非公開情報のため答えられない無回答 51

58 情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況問 18 情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況については策定しているが 43.2% で最も多く次いで策定することを検討が 35.3% となっている全体情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況 (SA,n=620) 5.6% 2.3% 2.1% 策定している 11.5% 策定することを検討 43.2% 策定していないが策定作業中非公開情報のため答えられない策定する必要はない 35.3% 無回答 52

59 業種別分析業種別にみると策定しているについては情報通信が 83.3% で最も多く次いで金融が 77.1% となっている業種別分析情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況農林水産鉱業 (n=2) 10 製造業 (n=135) 43.0% 14.8% 34.1% 1.5% 2.2% 4.4% 不動産建築 (n=45) 42.2% 8.9% 26.7% 6.7% 13.3% 2.2% 金融 (n=48) 77.1% 8.3% 6.3% 6.3% 2.1% エネルギー (n=8) 62.5% 25.0% 12.5% 運輸業 (n=23) 47.8% 13.0% 26.1% 13.0% 情報通信 (n=12) 83.3% 8.3% 8.3% サービス (n=109) 45.0% 9.2% 36.7% 3.7% 1.8% 3.7% 教育 (n=112) 16.1% 15.2% 58.0% 6.3% 2.7% 1.8% 行政サービス (n=117) 全体 (n=620) 48.7% 43.2% 11.5% 8.5% 35.0% 35.3% 0.9% 1.7% 5.1% 5.6% 2.3% 2.1% 策定している策定していないが策定作業中策定することを検討策定する必要はない非公開情報のため答えられない無回答 53

60 第三者機関の認証制度等の利用状況問 19 第三者機関の認証制度等の利用状況については特に利用していないが 81.5% で最も多く次いで P マークが 6.9% ISMS が 6.8% となっている全体第三者機関の認証制度等の利用状況 (SA,n=620) 0.8% 6.9% 6.8% 0.5% P マーク 3.5% ISMS PCIDSS その他特に利用していない 81.5% 無回答 54

61 業種別分析業種別にみると情報通信以外の業種では特に利用していないが最も多くなっている利用している内 ISMS については情報通信が 25.0% で最も多く次いでサービスが 13.8% となっている業種別分析第三者機関の認証制度等の利用状況農林水産鉱業 (n=2) 10 製造業 (n=135) 5.9% 5.2% 5.2% 83.7% 不動産建築 (n=45) 13.3% 6.7% 2.2% 77.8% 金融 (n=48) 4.2% 10.4% 2.1% 14.6% 68.8% エネルギー (n=8) 12.5% 87.5% 運輸業 (n=23) 13.0% 4.3% 4.3% 78.3% 情報通信 (n=12) 25.0% 33.3% 8.3% 25.0% 8.3% サービス (n=109) 13.8% 18.3% 0.9% 65.1% 1.8% 教育 (n=112) 1.8% 2.7% 0.9% 94.6% 行政サービス (n=117) 0.9% 1.7% 2.6% 94.9% 全体 (n=620) 6.8% 6.9% 0.5% 3.5% 81.5% 0.8% ISMS P マーク PCIDSS その他特に利用していない無回答 55

62 ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無問 20 ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無については実施していないが 57.7% で最も多い実施しているとの回答では定期点検のため実施が 3 と多くなっている全体ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無 (MA,n=620) 定期点検のため実施 3 関係業者団体が被害に遭ったことを知ったため実施外部からの攻撃を受けた ( 可能性を含む ) ため実施 1.9% 1.1% その他 9.2% 実施していない 57.7% 無回答 1.6% 業種別分析業種別にみると定期点検のため実施についてはエネルギーが 75.0% となっている一方実施していないについては教育が 76.8% で最も多く次いでサービスが 59.6% となっている業種別分析ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無定期点検のため実施実施していない農林水産鉱業 (n=2) 10 農林水産鉱業 (n=2) 製造業 (n=135) 29.6% 製造業 (n=135) 58.5% 不動産建築 (n=45) 31.1% 不動産建築 (n=45) 57.8% 金融 (n=48) 47.9% 金融 (n=48) 35.4% エネルギー (n=8) 75.0% エネルギー (n=8) 25.0% 運輸業 (n=23) 43.5% 運輸業 (n=23) 47.8% 情報通信 (n=12) 66.7% 情報通信 (n=12) 16.7% サービス (n=109) 23.9% サービス (n=109) 59.6% 教育 (n=112) 14.3% 教育 (n=112) 76.8% 行政サービス (n=117) 32.5% 行政サービス (n=117) 58.1% 全体 (n=620) 3 全体 (n=620) 57.7% 56

63 経年変化昨年度と比較すると実施しているが 4.5 ポイント実施していないが 3.0 ポイント増加している経年変化ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 実施している 37.7% 42.2% 45.1% 実施していない 54.7% 57.7% 55.2% 無回答 1.6% 0.8% 8.9% 平成 29 年度 (n=620) 平成 28 年度 (n=704) 平成 27 年度 (n=793) 平成 27 年度の選択肢に合わせるため定期点検のため実施外部からの攻撃を受けた ( 可能性を含む ) ため実施関係業者団体が被害に遭ったことを知ったため実施その他を合わせて実施しているとした 57

64 標的型攻撃への対策状況問 21 標的型攻撃への対策状況については添付ファイル等に対する個別対策が 62.3% で最も多く次いで標的型攻撃に関する教育が 51.0% となっている全体標的型攻撃への対策状況 (MA,n=620) 添付ファイル等に対する個別対策 62.3% 標的型攻撃に関する教育 51.0% 標的型攻撃への対応訓練フリーメール等に対する個別対策 31.1% 28.2% 上司への即時報告等のマニュアル化その他 13.9% 18.7% 無回答 4.8% 58

65 業種分析別業種別にみると添付ファイル等に対する個別対策については金融が 72.9% で最も多く次いで行政サービスが 72.6% となっている標的型攻撃に関する教育については金融が 87.5% で最も多く次いで運輸業が 73.9% となっている業種別分析標的型攻撃への対策状況添付ファイル等に対する個別対策標的型攻撃に関する教育農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 製造業 (n=135) 57.8% 製造業 (n=135) 55.6% 不動産建築 (n=45) 6 不動産建築 (n=45) 53.3% 金融 (n=48) 72.9% 金融 (n=48) 87.5% エネルギー (n=8) 37.5% エネルギー (n=8) 5 運輸業 (n=23) 65.2% 運輸業 (n=23) 73.9% 情報通信 (n=12) 66.7% 情報通信 (n=12) 66.7% サービス (n=109) 64.2% サービス (n=109) 48.6% 教育 (n=112) 53.6% 教育 (n=112) 39.3% 行政サービス (n=117) 72.6% 行政サービス (n=117) 38.5% 全体 (n=620) 62.3% 全体 (n=620) 51.0% 標的型攻撃への対応訓練フリーメール等に対する個別対策農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=135) 40.7% 製造業 (n=135) 34.8% 不動産建築 (n=45) 31.1% 不動産建築 (n=45) 31.1% 金融 (n=48) 81.3% 金融 (n=48) 27.1% エネルギー (n=8) 75.0% エネルギー (n=8) 37.5% 運輸業 (n=23) 52.2% 運輸業 (n=23) 34.8% 情報通信 (n=12) 5 情報通信 (n=12) 41.7% サービス (n=109) 26.6% サービス (n=109) 23.9% 教育 (n=112) 11.6% 教育 (n=112) 16.1% 行政サービス (n=117) 12.0% 行政サービス (n=117) 34.2% 全体 (n=620) 31.1% 全体 (n=620) 28.2% 上司への即時報告等のマニュアル化農林水産鉱業 (n=2) 製造業 (n=135) 不動産建築 (n=45) 金融 (n=48) エネルギー (n=8) 運輸業 (n=23) 情報通信 (n=12) サービス (n=109) 教育 (n=112) 行政サービス (n=117) 全体 (n=620) % 47.9% 37.5% 13.0% 22.0% 4.5% 12.0% 18.7% 75.0% 59

66 アクセスログの取得状況問 22 ログの取得状況についてはファイアウォール侵入検知システム等 (IDS IPS 等 ) のログが 16.9% で最も多く次いでメールサーバのログが 16.5% となっている全体ログの取得状況 (MA,n=620) ファイアウォール侵入検知システム等 (IDS IPS 等 ) のログメールサーバのログウェブサーバへのアクセスログ情報システムへの認証ログプロキシサーバのログクライアントPCのログデータベースのログ 16.9% 16.5% 14.7% 13.4% 12.4% 12.4% 11.6% その他 0.5% 無回答 79.8% 60

67 業種別分析業種別にみるとファイアウォール侵入検知システム等(IDS IPS 等 ) のログ及びメールサーバのログについては金融が 33.3% と最も多くウェブサーバへのアクセスログ情報システムへの認証ログプロキシサーバのログについては情報通信が最も多くなっている業種別分析ログの取得状況ファイアウォール侵入検知システム等メールサーバのログ (IDS IPS 等 ) のログ農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=135) 12.6% 製造業 (n=135) 15.6% 不動産建築 (n=45) 11.1% 不動産建築 (n=45) 11.1% 金融 (n=48) 33.3% 金融 (n=48) 29.2% エネルギー (n=8) 12.5% エネルギー (n=8) 12.5% 運輸業 (n=23) 17.4% 運輸業 (n=23) 17.4% 情報通信 (n=12) 25.0% 情報通信 (n=12) 25.0% サービス (n=109) 11.9% サービス (n=109) 11.0% 教育 (n=112) 22.3% 教育 (n=112) 17.9% 行政サービス (n=117) 16.2% 行政サービス (n=117) 17.1% 全体 (n=620) 16.9% 全体 (n=620) 16.5% ウェブサーバへのアクセスログ情報システムへの認証ログ農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=135) 11.1% 製造業 (n=135) 10.4% 不動産建築 (n=45) 13.3% 不動産建築 (n=45) 8.9% 金融 (n=48) 20.8% 金融 (n=48) 22.9% エネルギー (n=8) 12.5% エネルギー (n=8) 12.5% 運輸業 (n=23) 13.0% 運輸業 (n=23) 13.0% 情報通信 (n=12) 25.0% 情報通信 (n=12) 25.0% サービス (n=109) 11.0% サービス (n=109) 9.2% 教育 (n=112) 21.4% 教育 (n=112) 17.0% 行政サービス (n=117) 12.8% 行政サービス (n=117) 13.7% 全体 (n=620) 14.7% 全体 (n=620) 13.4% 61

68 プロキシサーバのログクライアント PC のログ農林水産鉱業 (n=2) 農林水産鉱業 (n=2) 製造業 (n=135) 11.1% 製造業 (n=135) 11.1% 不動産建築 (n=45) 6.7% 不動産建築 (n=45) 13.3% 金融 (n=48) 20.8% 金融 (n=48) 25.0% エネルギー (n=8) 12.5% エネルギー (n=8) 12.5% 運輸業 (n=23) 17.4% 運輸業 (n=23) 17.4% 情報通信 (n=12) 25.0% 情報通信 (n=12) 25.0% サービス (n=109) 4.6% サービス (n=109) 9.2% 教育 (n=112) 13.4% 教育 (n=112) 9.8% 行政サービス (n=117) 16.2% 行政サービス (n=117) 10.3% 全体 (n=620) 12.4% 全体 (n=620) 12.4% データベースのログ農林水産鉱業 (n=2) 製造業 (n=135) 不動産建築 (n=45) 金融 (n=48) エネルギー (n=8) 運輸業 (n=23) 情報通信 (n=12) サービス (n=109) 教育 (n=112) 行政サービス (n=117) 全体 (n=620) 8.9% 8.9% 16.7% 12.5% 13.0% 25.0% 11.9% 14.3% 9.4% 11.6% 62

69 ログの保管期間問 22A ログの保管期間についてはすべてのログの種類で 1 年を超えるが最も多くなっている全体ログの保管期間ファイアウォール侵入検知システム等 (IDS IPS 等 ) のログ (n=105) 7.6% 15.2% 7.6% 11.4% 11.4% 23.8% 13.3% 7.6% 1.9% ウェブサーバへのアクセスログ (n=91) 2.2% 11.0% 4.4% 14.3% 7.7% 35.2% 19.8% 3.3% 2.2% メールサーバのログ (n=102) 5.9% 11.8% 5.9% 8.8% 15.7% 31.4% 14.7% 2.0% 2.9% 1.0% プロキシサーバのログ (n=77) 5.2% 15.6% 6.5% 14.3% 11.7% 23.4% 14.3% 3.9% 1.3% 3.9% 情報システムへの認証ログ (n=83) 4.8% 10.8% 9.6% 3.6% 7.2% 41.0% 14.5% 6.0% 2.4% データベースのログ (n=72) 4.2% 6.9% 12.5% 6.9% 6.9% 34.7% 20.8% 4.2% 2.8% クライアント PC のログ (n=77) 3.9% 5.2% 7.8% 3.9% 10.4% 37.7% 22.1% 5.2% 2.6% 1.3% その他のログ (n=3) 66.7% 33.3% 1 週間以下 1 か月間 3 か月間 6 か月間 1 年間 1 年を超える特に期間は決まっていないその他保管はしていない無回答 63

70 ログの解析方法問 22B ログの解析方法についてはすべてのログの種類で自社が最も多くなっている全体ログの解析方法ファイアウォール侵入検知システム等 (IDS IPS 等 ) のログ (n=105) % 1.9% 2.9% ウェブサーバへのアクセスログ (n=91) 56.0% 40.7% 1.1% 2.2% メールサーバのログ (n=102) 56.9% 39.2% 1.0% 2.9% プロキシサーバのログ (n=77) 66.2% 27.3% 1.3% 5.2% 情報システムへの認証ログ (n=83) 78.3% 18.1% 3.6% データベースのログ (n=72) 79.2% 18.1% 2.8% クライアント PC のログ (n=77) 88.3% 6.5% 5.2% その他のログ (n=3) 66.7% 33.3% 自社外部委託その他無回答 64

71 ログを取得保管していない理由問 23 ログを取得保管していない理由については資機材がないためが 9.0% で最も多く次いで分析できる人材がいないためが 8.2% となっている全体ログを取得保管していない理由 (MA,n=501) 資機材がないため 9.0% 分析できる人材がいないため 8.2% 予算がないため 7.6% 必要性を感じないため 4.4% その他 5.0% 特に理由はない 6.0% 無回答 70.5% 65

72 Web サービスの管理環境問 24 Web サービス ( サイトメール等 ) の管理状況については一部外部業者に委託が 51.6% で最も多く次いで全て外部業者に委託が 29.5% 自社管理が 17.6% となっている全体 Web サービスの管理状況 (SA,n=620) 0.2% 1.1% 17.6% 一部外部業者に委託全て外部業者に委託 51.6% 自社管理 29.5% ウェブサイトがない無回答 66

73 業種別分析業種別にみると金融では全て外部業者に委託が最も多くなっておりそれ以外の業種では一部外部業者に委託が最も多くなっている業種別分析 Web サービスの管理状況農林水産鉱業 (n=2) 10 製造業 (n=135) 47.4% 32.6% 2 不動産建築 (n=45) 46.7% 42.2% 11.1% 金融 (n=48) 35.4% 47.9% 16.7% エネルギー (n=8) % 25.0% 運輸業 (n=23) 56.5% 21.7% 17.4% 4.3% 情報通信 (n=12) 66.7% 8.3% 16.7% 8.3% サービス (n=109) 40.4% 36.7% 19.3% 0.9% 2.8% 教育 (n=112) 58.0% 21.4% 20.5% 行政サービス (n=117) 65.0% 21.4% 13.7% 全体 (n=620) 51.6% 29.5% 17.6% 0.2% 1.1% 一部外部業者に委託全て外部業者に委託自社管理ウェブサイトがない無回答 67

74 セキュリティパッチの適用状況問 25 セキュリティパッチの適用状況については頻繁 (1か月に1 回以上 ) にセキュリティ関連サイトを確認し常に最新のパッチを適用しているが45.2% で最も多く次いで定期的に確認はしていないがサーバの管理者等の裁量で適用しているが22.3% 定期的( 四半期 ~ 半年に1 回程度 ) にセキュリティ関連サイトを確認し必要なパッチを適用しているが17.1% となっている全体セキュリティパッチの適用状況 (SA,n=620) 17.1% 2.4% 6.9% 1.5% 3.5% 1.1% 45.2% 頻繁 (1 か月に 1 回以上 ) にセキュリティ関連サイトを確認し常に最新のパッチを適用している定期的に確認はしていないがサーバの管理者等の裁量で適用している定期的 ( 四半期 ~ 半年に 1 回程度 ) にセキュリティ関連サイトを確認し必要なパッチを適用している問題が発生するまでパッチは適用しないパッチを適用していないわからないその他 22.3% 無回答 68

75 業種別分析業種別にみると頻繁にセキュリティ関連サイトを確認し常に最新のパッチを適用しているについては情報通信が 75.0% と最も多く次いで行政サービスが 57.3% となっている業種別分析セキュリティパッチの適用状況農林水産鉱業 (n=2) 10 製造業 (n=135) 不動産建築 (n=45) 37.8% 51.1% 24.4% 18.5% 14.1% 24.4% 6.7% 1.5% 2.2% 1.5% 4.4% 6.7% 金融 (n=48) 41.7% 8.3% 20.8% 2.2% 22.9% 2.2% 2.2% 4.2% 2.1% エネルギー (n=8) 37.5% 25.0% 12.5% 25.0% 運輸業 (n=23) 21.7% 30.4% 30.4% 4.3% 13.0% 情報通信 (n=12) 75.0% 16.7% 8.3% サービス (n=109) 48.6% 12.8% 23.9% 2.8% 2.8% 0.9% 2.8% 5.5% 教育 (n=112) 30.4% 21.4% 33.9% 3.6% 4.5% 5.4% 0.9% 行政サービス (n=117) 57.3% 15.4% 17.9% 2.6% 1.7% 5.1% 全体 (n=620) 45.2% 17.1% 22.3% 6.9% 1.5% 2.4% 1.1% 3.5% 頻繁 (1 か月に 1 回以上 ) にセキュリティ関連サイトを確認し常に最新のパッチを適用している定期的 ( 四半期 ~ 半年に 1 回程度 ) にセキュリティ関連サイトを確認し必要なパッチを適用している定期的に確認はしていないがサーバの管理者等の裁量で適用しているパッチを適用していない問題が発生するまでパッチは適用しないわからないその他無回答 69

76 経年変化昨年度と比較すると頻繁にセキュリティ関連サイトを確認し常に最新のパッチを適用しているが 16.9 ポイント増加している経年変化セキュリティパッチの適用状況 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 頻繁 (1 か月に 1 回以上 ) にセキュリティ関連サイトを確認し常に最新のパッチを適用している 28.3% 28.4% 45.2% 定期的に確認はしていないがサーバの管理者等の裁量で適用している 22.3% 23.7% 30.6% 定期的 ( 四半期 ~ 半年に 1 回程度 ) にセキュリティ関連サイトを確認し必要なパッチを適用している 17.1% 20.2% 21.9% 問題が発生するまでパッチは適用しない 3.5% 6.5% 7.1% パッチを適用していない 1.5% 3.3% 3.8% わからないその他 2.4% 10.1% 2.4% 6.9% 5.7% 5.2% 平成 29 年度 (n=620) 平成 28 年度 (n=704) 平成 27 年度 (n=793) 無回答 1.1% 2.3% 0.6% 70

77 年度情報セキュリティ対策の投資計画問年度情報セキュリティ対策の投資計画については今期と比較してほぼ同額とする計画であるとする割合が71.6% で最も多い増やす計画であるとする各項目の合計は23.7% で減らすとする各項目の合計は2.1% となっている全体 2018 年度情報セキュリティ対策の投資計画 (SA,n=620) 1.9% ほぼ同額 (-10 ~+10%) とする計画 1.8% 0.3% 2.6% 4.2% 小幅に増やす (+10 ~+30%) 計画 17.6% 71.6% かなり増やす (+30 ~+50%) 計画大幅に増やす (+50% 以上 ) 計画小幅に減らす (-10 ~-30%) 計画大幅に減らす (-50% 以上 ) 計画かなり減らす (-30 ~-50%) 計画無回答 71

78 業種別分析業種別にみると今期と比較して投資額を増やす計画については運輸業が47.8% で最も多く次いでエネルギーが37.5% となっている今期と比較してほぼ同額とする計画については行政サービスが88.9% で最も多く次いで教育が81.3% 不動産建築が75.6% で続いている業種別分析 2018 年度情報セキュリティ対策の投資計画農林水産鉱業 (n=2) 5 5 製造業 (n=135) 5.9% 29.6% 63.0% 0.7% 0.7% 不動産建築 (n=45) 2.2% % 2.2% 金融 (n=48) 8.3% 2.1% 18.8% 64.6% 4.2% 2.1% エネルギー (n=8) 12.5% 25.0% 62.5% 運輸業 (n=23) 47.8% 52.2% 情報通信 (n=12) 25.0% 66.7% 8.3% サービス (n=109) 教育 (n=112) 行政サービス (n=117) 全体 (n=620) 3.7% 3.6% 5.5% 6.3% 1.7% 1.7% 1.9% 4.2% 5.4% 17.6% 23.9% 88.9% 81.3% 71.6% 62.4% 0.9% 3.7% 0.9% 2.7% 4.3% 0.9% 2.6% 1.8% 0.3% 2.6% 大幅に増やす (+50% 以上 ) 計画かなり増やす (+30 ~+50%) 計画小幅に増やす (+10 ~+30%) 計画ほぼ同額 (-10 ~+10%) とする計画小幅に減らす (-10 ~-30%) 計画かなり減らす (-30 ~-50%) 計画大幅に減らす (-50% 以上 ) 計画無回答 72

79 売上予算規模別分析売上予算規模別にみると今期と比較して投資額を増やす計画については 1 兆円以上が52.4% で最も多く次いで 5,000 億円以上 ~1 兆円未満が29.4% 100 億円以上 ~1,000 億円未満が27.9% となっている今期と比較してほぼ同額とする計画は 50 億円以上 ~100 億円未満が88.1% で最も多くなっている売上予算規模別分析 2018 年度情報セキュリティ対策の投資計画 10 億円未満 (n=42) 4.8% 4.8% 4.8% 85.7% 10 億円以上 ~50 億円未満 (n=101) 2.0% 5.9% 18.8% 69.3% 1.0% 3.0% 50 億円以上 ~100 億円未満 (n=67) 9.0% 88.1% 3.0% 100 億円以上 ~1,000 億円未満 (n=215) 22.3% 67.0% 1,000 億円以上 ~5,000 億円未満 (n=84) 1.9% 3.7% 20.2% 69.0% 3.3% 1.4% 0.5% 2.4% 1.2% 1.2% 4.8% 1.2% 5,000 億円以上 ~1 兆円未満 (n=17) 5.9% 23.5% 70.6% 1 兆円以上 (n=21) 14.3% 33.3% 47.6% 4.8% 適切な指標がない (n=56) 8.9% 8.9% 75.0% 1.8% 3.6% 1.8% 全体 (n=620) 17.6% 71.6% 1.9% 4.2% 1.8% 2.6% 0.3% 大幅に増やす (+50% 以上 ) 計画かなり増やす (+30 ~+50%) 計画小幅に増やす (+10 ~+30%) 計画ほぼ同額 (-10 ~+10%) とする計画小幅に減らす (-10 ~-30%) 計画かなり減らす (-30 ~-50%) 計画大幅に減らす (-50% 以上 ) 計画無回答 73

80 経年変化昨年度と比較するとほぼ同額とする計画と小幅に増やす計画が増加している経年変化 2018 年度情報セキュリティ対策の投資計画 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ほぼ同額 (-10 ~+10%) とする計画 71.6% 70.3% 67.2% 小幅に増やす (+10 ~+30%) 計画 17.6% 15.2% 19.8% かなり増やす (+30 ~+50%) 計画 4.2% 5.0% 7.2% 大幅に増やす (+50% 以上 ) 計画 1.9% 3.0% 3.2% 小幅に減らす (-10 ~-30%) 計画 1.8% 2.3% 1.0% 大幅に減らす (-50% 以上 ) 計画かなり減らす (-30 ~-50%) 計画 0.3% 0.9% 0.3% 0.4% 平成 29 年度 (n=620) 平成 28 年度 (n=704) 平成 27 年度 (n=793) 無回答 2.6% 3.1% 1.3% 74

81 情報セキュリティ対策への投資に関する問題点問 27 情報セキュリティ対策への投資に関する問題点についてはどこまで行えば良いのか基準が示されていないが54.4% で最も多く次いで費用対効果が見えないが54.2% コストがかかりすぎるが48.7% となっている全体情報セキュリティ対策への投資に関する問題点 (MA,n=620) どこまで行えば良いのか基準が示されていない費用対効果が見えないコストがかかりすぎる 48.7% 54.4% 54.2% 対策を構築するノウハウが不足している教育訓練が行き届かないトップの理解が得られない従業員への負担がかかりすぎる情報を資産として考える習慣がない最適なツールサービスがないその他無回答 25.2% 19.4% 12.6% 11.1% 8.5% 6.6% 2.1% 2.7% 75

82 業種別分析業種別にみるとどこまで行えば良いのか基準が示されていないについては運輸業が69.6% で最も多く次いで金融が68.8% となっている費用対効果が見えないについては金融が75.0% コストがかかりすぎるについては行政サービスが60.7% で最も多くなっている業種別分析情報セキュリティ対策への投資に関する問題点どこまで行えば良いのか基準が示されていない費用対効果が見えない農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 10 製造業 (n=135) 59.3% 製造業 (n=135) 52.6% 不動産建築 (n=45) 46.7% 不動産建築 (n=45) 62.2% 金融 (n=48) 68.8% 金融 (n=48) 75.0% エネルギー (n=8) 37.5% エネルギー (n=8) 5 運輸業 (n=23) 69.6% 運輸業 (n=23) 69.6% 情報通信 (n=12) 25.0% 情報通信 (n=12) 58.3% サービス (n=109) 53.2% サービス (n=109) 56.9% 教育 (n=112) 59.8% 教育 (n=112) 55.4% 行政サービス (n=117) 42.7% 行政サービス (n=117) 37.6% 全体 (n=620) 54.4% 全体 (n=620) 54.2% コストがかかりすぎる対策を構築するノウハウが不足している農林水産鉱業 (n=2) 5 農林水産鉱業 (n=2) 5 製造業 (n=135) 42.2% 製造業 (n=135) 27.4% 不動産建築 (n=45) 33.3% 不動産建築 (n=45) 15.6% 金融 (n=48) 60.4% 金融 (n=48) 35.4% エネルギー (n=8) 5 エネルギー (n=8) 12.5% 運輸業 (n=23) 47.8% 運輸業 (n=23) 26.1% 情報通信 (n=12) 41.7% 情報通信 (n=12) 16.7% サービス (n=109) 42.2% サービス (n=109) 22.9% 教育 (n=112) 52.7% 教育 (n=112) 27.7% 行政サービス (n=117) 60.7% 行政サービス (n=117) 23.9% 全体 (n=620) 48.7% 全体 (n=620) 25.2% 76

83 売上予算規模別分析売上予算規模別にみるとどこまで行えば良いのか基準が示されていないについては 10 億円未満が69.0% で最も多く次いで 5,000 億円以上 ~1 兆円未満が64.7% 1,000 億円以上 ~5,000 億円未満が 63.1% となっている費用対効果が見えないについては 5,000 億円以上 ~1 兆円未満が76.5% で最も多く次いで 100 億円以上 ~1,000 億円未満が59.1% となっているコストがかかりすぎるについては 10 億円未満が54.8% で最も多く次いで 1 兆円以上が52.4% となっている売上予算規模別分析情報セキュリティ対策への投資に関する問題点どこまで行えば良いのか基準が示されていない費用対効果が見えない 10 億円未満 (n=42) 69.0% 10 億円未満 (n=42) 52.4% 10 億円以上 ~50 億円未満 (n=101) 46.5% 10 億円以上 ~50 億円未満 (n=101) 51.5% 50 億円以上 ~100 億円未満 (n=67) 56.7% 50 億円以上 ~100 億円未満 (n=67) 47.8% 100 億円以上 ~1,000 億円未満 (n=215) 53.5% 100 億円以上 ~1,000 億円未満 (n=215) 59.1% 1,000 億円以上 ~5,000 億円未満 (n=84) 63.1% 1,000 億円以上 ~5,000 億円未満 (n=84) 54.8% 5,000 億円以上 ~1 兆円未満 (n=17) 64.7% 5,000 億円以上 ~1 兆円未満 (n=17) 76.5% 1 兆円以上 (n=21) 38.1% 1 兆円以上 (n=21) 52.4% 適切な指標がない (n=56) 51.8% 適切な指標がない (n=56) 46.4% 全体 (n=620) 54.4% 全体 (n=620) 54.2% コストがかかりすぎる対策を構築するノウハウが不足している 10 億円未満 (n=42) 54.8% 10 億円未満 (n=42) 40.5% 10 億円以上 ~50 億円未満 (n=101) 50.5% 10 億円以上 ~50 億円未満 (n=101) 26.7% 50 億円以上 ~100 億円未満 (n=67) 38.8% 50 億円以上 ~100 億円未満 (n=67) 23.9% 100 億円以上 ~1,000 億円未満 (n=215) 48.4% 100 億円以上 ~1,000 億円未満 (n=215) 24.7% 1,000 億円以上 ~5,000 億円未満 (n=84) 5 1,000 億円以上 ~5,000 億円未満 (n=84) 22.6% 5,000 億円以上 ~1 兆円未満 (n=17) 47.1% 5,000 億円以上 ~1 兆円未満 (n=17) 17.6% 1 兆円以上 (n=21) 52.4% 1 兆円以上 (n=21) 28.6% 適切な指標がない (n=56) 53.6% 適切な指標がない (n=56) 21.4% 全体 (n=620) 48.7% 全体 (n=620) 25.2% 77

84 経年変化昨年度と比較するとどこまで行えば良いのか基準が示されていない費用対効果が見えない及びコストがかかりすぎるがやや増加している経年変化情報セキュリティ対策への投資に関する問題点 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% どこまで行えば良いのか基準が示されていない 54.4% 51.3% 58.1% 費用対効果が見えない 54.2% 47.3% 58.4% コストがかかりすぎる 48.7% 42.5% 47.4% 対策を構築するノウハウが不足している 25.2% 27.8% 26.7% 教育訓練が行き届かない 19.4% 16.1% 23.6% トップの理解が得られない 12.6% 11.2% 13.2% 従業員への負担がかかりすぎる 11.1% 13.5% 16.8% 情報を資産として考える習慣がない最適なツールサービスがない 8.5% 8.8% 8.4% 6.6% 7.7% 7.2% 平成 29 年度 (n=620) 平成 28 年度 (n=704) 平成 27 年度 (n=793) その他 2.1% 2.0% 2.0% 無回答 2.7% 4.7% 2.1% 78

85 情報セキュリティ対策に関する考え方問 28 本調査では情報セキュリティ対策実施上の方針について投資方針等 6つの項目に関して尋ねた具体的には各項目について相対する2つの考え (12) を提示し社団体等における考え方が12のどちらの考え方に近いかを尋ねている各項目について 1とほぼ同様どちらかといえば1に近いどちらかといえば2に近い 2とほぼ同様のいずれか1つを回答する形式となっている本調査で尋ねた6つの項目とそれぞれにおいて示した相対する2つの考え方は下記の通りとなっている調査対象とした基本的な考え方と相対する2つの考え 1 として提示した考え方 1. 投資方針 2 として提示した考え方セキュリティ投資は必要最低限に抑えるべきである来るべき問題事案に備えて積極的に投資を行うべきである 2. 事後的対応と予防的対応情報セキュリティ対策としては問題発生に対しての応急情報セキュリティ対策としてはリスクの検知など予防上の対応や再発防止被害拡大防止に注力するべきである 3. 保険への意識対策に注力するべきである情報セキュリティ対策としては人的技術的な対策により情報セキュリティ対策としては人的技術的対策によりカバカバーできるところを対策すれば十分である 4. 規制罰則への考え方ーできないリスクは保険によりまかなうべきである技術以外の面での対策としては従業員等への教育と適切な情報提供により対策を促すことが重要である技術以外の面での対策としては教育はもちろんのこと規制罰則などの強制力のある制度的対応を行うことが重要である 5. プライバシーの考慮職場とはいえ従業員等のプライバシーはある程度考慮し職場のセキュリティ保護のためにはシステム利用状況のモニたうえで情報セキュリティ対策は行われるべきである 6. 利便性とのバランスタリングなどによるプライバシーの侵害はやむをえない業務実施に負担をかけるほどのセキュリティ対策は不適当であり利便性とのバランスを考慮すべきであるユーザーにシステム利用上業務上の負担を強いてでもセキュリティを守るべきである 79

86 全体投資方針については 1セキュリティ投資は必要最低限度に抑えるべきであるに近いとする割合が35.3% 2 来るべき問題事案に備えて積極的に投資を行うべきであるに近いとする割合が63.5% となっており積極的とする割合が必要最低限とする割合を28.2ポイント上回っている事後的対応と予防的対応については 1 情報セキュリティ対策としては問題発生に対しての応急対応や再発防止被害拡大防止に注力するべきであるに近いとする割合が28.8% 2 情報セキュリティ対策としてはリスクの検知など予防上の対策に注力するべきであるに近いとする割合が 7 となっており予防的対応とする割合が問題発生への適切な対応とする割合を41.2ポイントと大幅に上回っている保険への意識については 1 情報セキュリティ対策としては人的技術的な対策によりカバーできるところを対策すれば十分であるに近いとする割合が62.7% 2 情報セキュリティ対策としては人的技術的対策によりカバーできないリスクは保険によりまかなうべきであるに近いとする割合が36.0% となっており人的技術的な対策で十分とする割合が保険的対応が必要を26.7ポイント上回っている規制罰則への考え方については 1 技術以外の面での対策としては従業員等への教育と適切な情報提供により対策を促すことが重要であるに近いとする割合が57.7% 2 技術以外の面での対策としては教育はもちろんのこと規制罰則などの強制力のある制度的対応を行うことが重要であるに近いとする割合が40.9% となっており教育と情報提供を中心とした対応とする割合が規則罰則も含む強制力のある対応を16.8ポイント上回っているプライバシーの考慮については 1 職場とはいえ従業員等のプライバシーはある程度考慮したうえで情報セキュリティ対策は行われるべきであるに近いとする割合が38.9% 2 職場のセキュリティ保護のためにはシステム利用状況のモニタリングなどによるプライバシーの侵害はやむをえないに近いとする割合が6 となっておりある程度のプライバシーの侵害はやむをえないとする割合がプライバシーはある程度考慮されるべきだとする割合を21.1ポイント上回っている利便性とのバランスについては 1 業務実施に負担をかけるほどのセキュリティ対策は不適当であり利便性とのバランスを考慮すべきであるに近いとする割合が61.4% 2ユーザーにシステム利用上業務上の負担を強いてでもセキュリティを守るべきであるとする37.4% となっており利便性とのバランスを考慮とする割合が負担を強いてでもセキュリティを守るとする割合を24.0ポイント上回っている 80

87 全体情報セキュリティ対策実施上の方針 (SA,n=620) 投資方針 31.3% 53.2% 10.3% 4.0% 1.1% 事後的対応と予防的対応 24.8% 56.6% 13.4% 4.0% 1.1% 保険への意識 11.6% 51.1% 29.4% 6.6% 1.3% 規則厳罰への考え方 10.8% 46.9% 32.4% 8.5% 1.3% プライバシーの考慮 7.9% 31.0% 44.8% 15.2% 1.1% 利便性とのバランス 12.7% 48.7% 32.6% 4.8% 1.1% ほぼ 1 の考え方と同様であるどちらかといえば 1 の考え方に近いどちらかといえば 2 の考え方に近いほぼ 2 の考え方と同様である無回答 81

88 投資に関する考え方問 28-1 情報セキュリティに対する投資方針については下記に挙げる 2 つの考え方のいずれに近いかを尋ねている 1 として提示した考え方セキュリティ投資は必要最低限に抑えるべきである 2 として提示した考え方来るべき問題事案に備えて積極的に投資を行うべきである業種別分析業種別にみると投資方針に関して不動産建築を除く全ての業種で 2 積極的投資の割合が多く特にエネルギーが 10 運輸業が 78.3% で 7 割以上となっている業種別分析投資に関する考え方農林水産鉱業 (n=2) 5 5 製造業 (n=135) 31.9% 56.3% 8.9% 3.0% 不動産建築 (n=45) 2.2% 48.9% 42.2% 4.4% 2.2% 金融 (n=48) 4.2% 29.2% 58.3% 8.3% エネルギー (n=8) 87.5% 12.5% 運輸業 (n=23) 21.7% 69.6% 8.7% 情報通信 (n=12) 33.3% 41.7% 16.7% 8.3% サービス (n=109) 7.3% 26.6% 50.5% 13.8% 1.8% 教育 (n=112) 6.3% 31.3% 47.3% 14.3% 0.9% 行政サービス (n=117) 33.3% 57.3% 6.8% 2.6% 全体 (n=620) 4.0% 31.3% 53.2% 10.3% 1.1% ほぼ 1 の考え方と同様であるどちらかといえば 1 の考え方に近いどちらかといえば 2 の考え方に近いほぼ 2 の考え方と同様である無回答 82

89 経年変化昨年度と比較すると 1 必要最低限は 4.0 ポイントの増加 2 積極的投資は 1.7 ポイントの減少となっている経年変化投資に関する考え方 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 平成 29 年度 (n=620) 4.0% 31.3% 53.2% 10.3% 1.1% 平成 28 年度 (n=704) 5.0% 26.3% 53.1% 12.1% 3.6% 平成 27 年度 (n=793) 3.0% 25.9% 54.6% 15.1% ほぼ 1 の考え方と同様であるどちらかといえば 2 の考え方に近い無回答どちらかといえば 1 の考え方に近いほぼ 2 の考え方と同様である 1.4% 83

90 事後的対応と予防的対応に関する考え方問 28-2 情報セキュリティ対策については下記に挙げる 2 つの考え方のいずれに近いかを尋ねている 1 として提示した考え方情報セキュリティ対策としては問題発生に対しての応急対応や再発防止被害拡大防止に注力するべきである 2 として提示した考え方情報セキュリティ対策としてはリスクの検知など予防上の対策に注力するべきである業種別分析業種別にみると全ての業種で 2 予防的対応が 1 事後的対応と比べて多くなっている特にエネルギーで 75.0 ポイント運輸業で 56.5 ポイントサービスで 55.9 ポイント製造業で 55.6 ポイント 2 予防的対応が多くなっている業種別分析事後的対応と予防的対応に関する考え方農林水産鉱業 (n=2) 5 5 製造業 (n=135) 2.2% % 12.6% 不動産建築 (n=45) 4.4% 28.9% 55.6% 8.9% 2.2% 金融 (n=48) 4.2% 27.1% 54.2% 14.6% エネルギー (n=8) 12.5% 75.0% 12.5% 運輸業 (n=23) 21.7% 65.2% 13.0% 情報通信 (n=12) 16.7% 16.7% 5 8.3% 8.3% サービス (n=109) 5.5% 15.6% 58.7% 18.3% 1.8% 教育 (n=112) 3.6% 32.1% 46.4% 17.0% 0.9% 行政サービス (n=117) 29.1% 56.4% 9.4% 5.1% 全体 (n=620) 4.0% 24.8% 56.6% 13.4% 1.1% ほぼ 1 の考え方と同様であるどちらかといえば 1 の考え方に近いどちらかといえば 2 の考え方に近いほぼ 2 の考え方と同様である無回答 84

すべて見る

<4D F736F F F696E74202D202895CA8E86816A89638BC694E996A78AC7979D8EC091D492B28DB88A E >

<4D F736F F F696E74202D202895CA8E86816A89638BC694E996A78AC7979D8EC091D492B28DB88A E > 別紙企業における営業秘密管理に関する実態調査結果概要平成 29 年 3 17 経済産業省 Ⅰ. 調査の的背景 1. 背景的経済産業省及び独政法情報処理推進機構 (IPA) では近年の営業秘密漏えいに関する型訴訟事例が発している状況等を受け営業秘密の保護強化に資する有効な対策の促進を図るために企業における漏えいの実態や営業秘密の管理に係る対策状況を把握するための調査を実施併せて