- 目次 - 1. 調査概要 調査目的 調査対象 調査期間 調査方法 回収結果 調査項目 調査項目の考え方 年の情報セキュリティに関す

Transcription

1 2013 年度情報セキュリティ事象被害状況調査 - 報告書 年 1 月

2 - 目次 - 1. 調査概要 調査目的 調査対象 調査期間 調査方法 回収結果 調査項目 調査項目の考え方 年の情報セキュリティに関する脅威 被害の傾向 アンケート調査項目への取り込み 過年度調査結果の記法 調査結果 回答企業の概要 業種 総従業員数 IT 関連の支出総額 電子商取引 (EC) 業務 インターネットの利用 その他の回答企業情報 情報セキュリティ体制の現状 情報セキュリティ対策に取り組む基本的な方針の公開 CISO の有無 情報セキュリティ対策管理の社内体制 情報セキュリティに関する事故や非常事態への対応体制 情報セキュリティ対策教育の実施状況 情報セキュリティ対策の必要性を感じたきっかけ 情報セキュリティ対策の現状 業務におけるスマートフォンやタブレット端末の利用の有無 自社の資産や備品でない PC や外部記録媒体の社内ネットワーク接続につい て クラウドコンピューティングサービスの利用 情報セキュリティ関連製品やソリューションの導入 情報セキュリティ被害防止のための組織 運用面の対策 i

3 セキュリティ関連製品 ソリューションの導入や 実施している組織面 運 用面の対策費用 セキュリティパッチの適用 セキュリティパッチを導入しない理由 クライアント ( パソコン ) へのセキュリティパッチ適用の有無 コンピュータウイルスによる被害状況 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 コンピュータウイルスを発見した方法 感染あるいは発見されたコンピュータウイルスの侵入経路 ウイルスの感染件数 ウイルスに感染したパソコン サーバ スマートデバイスの台数 ウイルスの直接的な被害 サイバー攻撃 ( ウイルス以外 ) について サイバー攻撃との遭遇経験 サイバー攻撃による被害 サイバー攻撃の手口 標的型攻撃による被害状況 標的型攻撃の具体的な手段 標的型攻撃と思われる電子メールの件数 ウイルス感染やサイバー攻撃の被害により生じた直接的損失 電子商取引 (EC) が停止した期間 EC サーバ以外の業務遂行上重要なサーバ停止の影響 情報管理部門が行った復旧作業人日 システム復旧に関して新たに購入した代替機器の費用 システム復旧に関して外部に発注した業務の費用 復旧作業以外に発生した追加データ処理作業人日 復旧作業以外に発生した対応作業 ウイルス感染やサイバー攻撃による間接的被害の有無 復旧作業以外の対応による外部発注費用 被害内容や対応状況に関する情報の外部公開 公開した情報の掲載 内部者の不正による被害状況 内部者の不正による被害経験 セキュリティインシデントの原因となった従業員への措置 考察 付録 ii

4 5.1. 総売上高 ( 単体 ) 経常利益 ( 単体 ) 規程年間営業日数および1 日の営業時間 上場の有無 海外拠点の有無 利用しているサーバの台数 利用サーバの有無 サーバの保有台数 文書管理等特定利用目的以外のサーバ保有の有無 自社設置のウェブアプリケーションサーバの有無 利用しているクライアント ( パソコン ) の台数 更新履歴日付 頁番号 修正内容 2014 年 1 月 29 日 P30 P63 本文の数値が誤っていたため 図と同じ数値に訂正 2014 年 2 月 18 日 P63 図 :300 人以上企業の数値修正 iii

5 1. 調査概要 1.1. 調査目的近年 組織が保有する情報システムや情報資産をターゲットとしたサイバー攻撃が巧妙化してきており 特定の組織を狙い撃ちする 標的型攻撃 も流行している また ホームページを改ざんすることにより そのページを閲覧したコンピュータユーザがウイルス感染するといった被害も発生している このように コンピュータユーザの情報システム等は常に危険にさらされているため 情報セキュリティ事象に関する被害状況を調査するとともに 被害が発生した際の原因及び有効な情報セキュリティ対策を含めた実態を把握し コンピュータユーザに対して適切な情報セキュリティ対策の実施を促す必要がある 本調査は情報セキュリティ事象に関して 1989 年度より継続的に被害状況を調査してきた取り組みの一環として 最新の動向を反映した上で実施するものであり より有用な情報セキュリティ対策に関する情報提供を行うことを目的とする 1.2. 調査対象本アンケート調査は 経済産業省の 情報処理実態調査 の発送先リスト及び企業データベースから業種別 従業員数別に約 14,000 件の企業を無作為に抽出した 調査対象となる業種や従業員規模については 統計上の妥当性を確保するため 平成 24 年経済センサス の日本標準産業分類に基づく従業員数規模毎 業種毎の企業数分布に則って 層別抽出 ( 比例割当法 ) を行った 従業員数規模は 300 人以上と 300 人未満で区分したが 本調査は IT を活用している企業が対象となることから 2011 年度調査と同様に小規模事業者 (20 人以下の企業 ) を除外した分布を用いた なお 本調査では従業員数 300 人以上の企業を大企業または 300 人以上企業 300 人未満の企業を中小企業または 300 人未満企業 と呼ぶ 従業員規模 業種毎の調査対象は表 の通りである 4

6 表 従業員規模 業種毎の調査対象 業種区分 300 人以上企業 300 人未満企業 農林漁業 同協同組合 鉱業 建設業 製造業 2,064 1,939 電気 ガス 熱供給 水道業 22 8 情報通信業 運輸業 郵便業 卸売業 小売業 1,547 1,527 金融業 保険業 その他の非製造業 1,841 1,630 教育 学習支援業 医療 福祉 ( 小計 ) 7,002 6,999 ( 合計 ) 14, 調査期間調査実施期間 :2013 年 8 月 ~10 月調査対象期間 :2012 年 4 月 ~2013 月 3 月 1.4. 調査方法基本的に郵送調査法による 但し アンケートの回収率を高めるため ウェブと電子メールによる回答を併用した ウェブによる回答は ウェブサイトにアンケートを掲載し 同ウェブサイトから回収した また 電子メールによる回答は IPA のウェブサイトに調査票を掲載し 電子メールによって回収した 1.5. 回収結果発送数 14,001 件に対して 1,881 件の有効回答があり 回収率は 13.4% であった 大企業ならびに中小企業の内訳は表 のとおりである 表 アンケート発送数 回収数 発送数 回収数 回収率 全体 14,001 1, % 300 人以上企業 7, % 300 人未満企業 6, % 5

7 1.6. 調査項目主な調査項目は下記のとおりである (1) 回答企業の概要 (2) 情報セキュリティ体制 対策の現状 (3) コンピュータウイルスによる被害状況 (4) サイバー攻撃による被害状況 (5) 被害により生じた損失 2. 調査項目の考え方 2012 年度の情報セキュリティに関する脅威や被害の傾向を把握するために文献調査を実施し その結果を基にアンケート調査項目への取り込みを実施した 以下にこれらの調査結果を報告する 年の情報セキュリティに関する脅威 被害の傾向情報処理推進機構 (IPA) が 2013 年 3 月に取りまとめた 2013 年版 10 大脅威身近に忍び寄る脅威 1 においては 近年の情報セキュリティを取り巻く情報システムの変化を指摘している 従来からの攻撃意図は 金銭やいたずら目的であったが 近年顕在化した攻撃意図は 抗議 報復目的や諜報 スパイ目的などであり 政治 文化的で対立する組織へ攻撃を行うハクティビストや諜報活動を目的とした攻撃への広がりも考えられる このような組織的な攻撃の背景には インターネットが経済基盤や生活基盤に成長したことから 政治的または文化的な情報も収集できる環境になったこと 及びインターネットによって抗議や報復等を意図した者が繋がることで 脅威のグローバル化が進んだことが考えられる 情報セキュリティに関する具体的な脅威 被害としては 政府機関や宇宙航空産業へのサイバー攻撃 遠隔操作ウイルス事件などの様々なセキュリティ事故や事件がメディアで取り上げられ 社会へ大きなインパクトを与えた このように 2012 年は インターネットが経済基盤及び生活基盤へ成長したことに伴って 新たな脅威が顕在化した年であった 次項に具体的な情報セキュリティの脅威や被害に基づき アンケート調査項目への取り込みを検討した結果を報告する 1 独立行政法人情報処理推進機構 2013 年版 10 大脅威身近に忍び寄る脅威 を公開 6

8 2.2. アンケート調査項目への取り込み (1) 標的型攻撃の対策状況 2012 年には 農林水産省や宇宙航空研究開発機構等が標的型攻撃によって情報流出したと推測される事案が報道され注目を集めた サイバー空間上での諜報活動が指摘されるとともに 我が国の政策会議に取上げられるなど 国益にまで影響する問題と認識され 2011 年度よりもさらに深刻な事態となっている 一方 このような標的型攻撃に関する被害事例や対策手法等が公開され 一定の脅威周知が進んだと考えられるにも関わらず 現在でも標的型攻撃の被害事例が後を絶たない状況である 本調査では 各企業における対策状況や被害状況が明らかではないことから 経年変化を確認するために2011 年度調査と同様の調査項目を設定するとともに 一部見直しを行った ( 調査票 : 問 34~36 本調査報告書:3.5) (2) スマートデバイスの業務利用とセキュリティ対策スマートデバイス ( スマートフォンやタブレット ) の普及に伴いスマートデバイスを対象とした悪意あるアプリの事例が 2012 年に顕在化した themovie 系 と呼ばれるアプリによって 約 3,300 台の端末から約 76 万人分の個人情報を窃取した事例が報告されている 2 これらの個人情報を収集する手口は より巧妙化しており ユーザは被害に気付くことが難しく スマートデバイスの業務利用においても対策が必要である 本調査では スマートデバイス業務利用状況及びスマートデバイスの業務利用における情報セキュリティ対策状況が明らかではないため 企業におけるスマートデバイスの利用ルール等を 2011 年度調査の調査項目に設問を追加した ( 調査票 : 問 13-4 本調査報告書: 3.3.1) また 私有端末の業務利用 (BYOD 3 ) の状況に関連する調査項目を新規に追加した ( 調査票 : 問 13-5 本調査報告書:3.3.1) さらに 私有端末の業務利用に関連して 個人所有のノート PC や USB メモリの企業内への持ち込みや企業内ネットワークへの接続等も考えられることから 私有端末の持ち込みの方針 運用に関する調査項目を新規に追加した ( 調査票 : 問 25 本調査報告書:3.3.2) (3) クラウドサービス利用と情報セキュリティ対策クラウドサービスのような外部リソースをデータの保管手段として活用することは 災害対策を含む可用性向上策として有効な一方 2012 年 6 月に発生したクラウドサーバ事業者のデータ消失事例のように 自組織の管理が及ばない範囲での被害が発生する可能性が 年版 10 大脅威変化 増大する脅威! 3 BYOD:Bring Your Own Device 7

9 ある そのため 本調査ではクラウドサービスの利用状況を確認するとともに 導入検討時に確認または重視している情報セキュリティ対策に関する調査項目を新規に追加した ( 調査票 : 問 14 及び問 21 本調査報告書:3.3.3) (4) 情報セキュリティ人材の充足度情報セキュリティのインシデントが頻繁に紙面を賑わす背景として 各企業における情報セキュリティ人員不足や教育不足 及び組織的な情報セキュリティ対策体制の不備等が考えられる そのため 本調査では情報セキュリティ業務の担当者に対する不足感及び情報セキュリティ管理業務従事者への教育手法に関する調査項目を新規に追加した ( 調査票 : 問 17-2~17-3 及び問 18 本調査報告書: ) さらに 情報セキュリティインシデントへの対策や対応で重要となるCSIRT 4 等の情報セキュリティインシデント時の対応体制構築の状況に関する調査項目を新規に追加した ( 調査票 : 問 19 本調査報告書:3.2.4) (5) その他その他の 2012 年の情報セキュリティの事例としては インターネットバンキング等の金銭窃取を目的としたウイルスがあげられる これは 通常のインターネットバンキングの画面に 別の認証画面をポップアップ表示するウイルスや SpyEye などの海外で有名なウイルスを日本の銀行の認証情報を取得できるように拡張し 悪用された事案が挙げられる また 2012 年度の後半からパスワードの流出事案が注目を集めた オンラインサービスの増加に伴い 複数のオンラインサービスにおいて同一のID/ パスワードを使い回しているユーザを狙った事案であり パスワードリスト攻撃の報告が 2012 年 7 月に公表されている 5 本調査ではインターネットバンキング等の電子商取引 (EC 6 ) でのセキュリティ対策や被害状況の経年変化を確認するとともに ID/ パスワード管理など各企業においてユーザが利用するセキュリティ対策製品等の導入状況を確認するために 2011 年度調査の調査項目を一部変更した ( 調査票 : 問 20~21 本調査報告書: ) 4 CSIRT:Computer Security Incident Response Team 5 独立行政法人情報処理推進機構 : コンピュータウイルス 不正アクセスの届出状況 2012 年 6 月分および上半期 6 EC:Electronic Commerce 8

10 参考文献 : < 脅威全体の動向 > [1] 株式会社ラック JSOC 侵入傾向分析レポート Vol.19 [2] NRI セキュアテクノロジーズ株式会社 サイバーセキュリティ傾向分析レポート [3] 日本アイ ビー エム株式社会 2012 年下半期 Tokyo SOC 情報分析レポート [4] 特定非営利活動法人日本ネットワークセキュリティ協会 2012 年セキュリティ 10 大ニュース [5] マイクロソフト株式会社 マイクロソフトセキュリティインテリジェンスレポート第 14 版 [6] 株式会社インターネットイニシアティブ Internet Infrastructure Review Vol.19 < 標的型攻撃 > [7] 一般社団法人 JPCERT コーディネーションセンター インシデント報告対応レポート [2013 年 1 月 1 日 ~2013 年 3 月 31 日 ] [8] 特定非営利活動法人日本ネットワークセキュリティ協会 2012 年情報セキュリティインシデントに関する調査報告書 上半期速報版 <モバイルセキュリティ> [9] 株式会社シマンテック インターネットセキュリティ脅威レポート第 18 号 [10] トレンドマイクロ株式会社 2012 年度インターネット脅威年間レポート html [11] マカフィー株式会社 McAfee 脅威レポート :2012 年第 4 四半期 2013 年の脅威予測 threatreport12q4.pdf 9

11 2.3. 過年度調査結果の記法 3 章は 本調査で得られた集計結果を報告するとともに一部の集計結果については経年の特徴的な傾向について説明する 傾向の説明で特に明記がない場合は 今回の調査結果 2012 年度調査結果 を示すものとし 2012 年度調査結果以外を利用する場合は 調査年度を含んだ 2011 年度調査結果 等と示す また 時系列 と示した図については 複数年の過去の調査結果を利用したものである 10

12 3. 調査結果 3.1. 回答企業の概要 業種回答企業の業種については 企業全体でみると 他のサービス業 が 12.5% と最も多く 次いで 建築業 と 卸売業 が 8.8% 情報サービス業 が 8.3% である 図 業種 11

13 参考までに 2012 年度調査結果の回答企業を 2011 年度調査結果 2010 年度調査結果に おける回答企業の業種と比較すると 他の製造業 の割合が 2011 年度調査より 11.6 ポイ ント その他のサービス業 は 4.5 ポイント少ない結果となった 図 業種 ( 時系列 ) 12

14 総従業員数回答企業 1,881 社の内訳を従業員数規模でみると 調査サンプリングの関係上 300 人未満企業 と 300 人以上企業 でほぼ半々の割合となり 300 人未満企業 が 52.5% 300 人以上企業 は 47.5% である 図 総従業員数 (2012 年度 ) 2011 年度調査結果では 回答企業 1,767 社 300 人未満企業 は 49.1% 300 人以上企 業 は 51.0% であった 図 総従業員数 (2011 年度 ) 13

15 IT 関連の支出総額 IT 関連の支出額をみると 全体としては 1 百万 ~5 百万円未満 が最も多く 18.9% 次いで 2 千万円 ~5 千万円未満 が 12.4% 1 億円 ~4 億円未満 が 11.2% である 従業員規模別にみると 300 人以上企業 では 1 億 ~4 億円未満 が 19.7% 4 億円以上 が 16.9% である 一方 300 人未満企業 では 1 百万 ~5 百万円未満 が 28.1% 1 百万円未満 が 16.1% である 図 IT 関連の支出総額 (2012 年度 ) 図 IT 関連の支出総額 (2012 年度 )( 従業員規模別 ) 14

16 なお 2011 年度調査結果の IT 関連の支出総額は 2 千万円未満 が最も多く 38.4% であり 次いで 2 千万円 ~5 千万円未満 が 9.9% である 従業員規模別にみると 2 千万円未満 が 300 人以上企業 で 21.2% 300 人未満企業 で 56.2% である 図 IT 関連の支出総額 (2011 年度 ) 図 IT 関連の支出総額 (2011 年度 )( 従業員規模別 ) 15

17 電子商取引 (EC) 業務 (1) 電子商取引業務の売上が全体の売上に占める割合電子商取引業務の売上が全体の売上に占める割合は 0% が 62.3% と最も多く 次いで 10% が 14.6% である 従業員規模別にみても 0% が多く 次いで 10% が多い傾向は同じである 図 電子商取引業務の売上が全体の売上に占める割合 図 電子商取引業務の売上が全体の売上に占める割合 ( 従業員規模別 ) 16

18 インターネットの利用 (1) 正規雇用の従業員正規雇用の従業員によるインターネット利用について ほぼ全員利用できる が 73.1% 概ね半数以上は利用可能 が 14.4% である 従業員規模別にみても ほぼ全員利用できる 概ね半数以上は利用可能 概ね半数未満が利用可能 の割合は同じ傾向である 図 インターネットの利用 ( 正規雇用の従業員 ) 図 インターネットの利用 ( 正規雇用の従業員 )( 従業員規模別 ) 17

19 (2) 非正規雇用非正規雇用の従業員によるインターネット利用について ほぼ全員利用できる が 49.9% 概ね半数未満が利用可能 が 19.6% である 従業員規模別にみても ほぼ全員利用できる の割合が高いが 全員利用できない については 300 人以上企業 の 8.1% に比べ 300 人未満企業 は 13.0% と割合が高い傾向である 図 インターネットの利用 ( 非正規雇用の従業員 ) 図 インターネットの利用 ( 非正規雇用の従業員 )( 従業員規模別 ) 18

20 その他の回答企業情報 以下の回答企業情報については 5. 付録を参照のこと 総売上高 ( 単体 ) 経常利益 ( 単体 ) 規程年間営業日数および1 日の営業時間 上場の有無 海外拠点の有無 利用しているサーバの台数 利用サーバの有無 サーバの保有台数 文書管理等特定利用目的以外のサーバ保有の有無 自社設置のウェブアプリケーションサーバの有無 利用しているクライアント ( パソコン ) の台数 19

21 3.2. 情報セキュリティ体制の現状 情報セキュリティ対策に取り組む基本的な方針の公開情報セキュリティ対策に取り組む基本的な方針を 公開していない が 64.7% 公開している が 32.7% であり これらの傾向は 2011 年度調査結果とほぼ同様である 従業員規模別にみると 公開している のは 300 人以上企業 では 43.0% 300 人未満企業 では 23.5% であり この傾向も 2011 年度調査結果とほぼ同様である 図 情報セキュリティ対策に取り組む基本的な方針の公開の有無 図 情報セキュリティ対策に取り組む基本的な方針の公開の有無 ( 従業員規模別 ) 20

22 CISO の有無 CISO(Chief Information Security Officer: 最高情報セキュリティ責任者 ) の有無については CISO はいない が 57.7% と最も多く 次いで 兼任者がいる が 37.6% 専任者がいる が 3.4% であり これらの傾向は 2011 年度調査結果とほぼ同様である 従業員規模別にみると 300 人以上企業 では CISO はいない が 48.9% 兼任者がいる が 45.5% であり 300 人未満企業 では それぞれ 65.8% 30.4% であり これらの傾向は 2011 年度調査結果とほぼ同様である 図 CISO の有無 図 CISO の有無 ( 従業員規模別 ) 21

23 (1) CISO の有無と基本方針の公開について CISO の有無と情報セキュリティ対策の基本的な方針の公開との関連について以下に示す 情報セキュリティ対策の基本的な方針を 公開している 企業は 公開していない 企業に比べ 専任者がいる の回答が約 4 倍 兼任者がいる の回答が約 2 倍であり CISO はいない が約 1/2 である 総じて情報セキュリティ対策の基本的な方針を公開している企業は CISO が存在し 情報セキュリティ対策体制が整備されている傾向にある 図 CISO の有無と基本方針の公開の関係 22

24 情報セキュリティ対策管理の社内体制情報セキュリティ対策管理の社内体制として 兼務だが担当責任者が任命されている のは 56.6% 専門部署( 担当者 ) がある のは 15.7% 組織的には行っていない( 各自の対応 ) が 14.8% である 2011 年度調査結果と比べると 兼務だが担当責任者が任命されている が 7 ポイント増加し 組織的には行っていない ( 各自の対応 ) が 6.5 ポイント減少した 従業員規模別にみると 専門部署 ( 担当者 ) がある のは 300 人以上企業 で 21.6% であるが 300 人未満企業 では 10.3% である また 兼務だが担当責任者が任命されている のは 300 人未満企業 300 人以上企業 ともに 50% 以上である 図 情報セキュリティ対策管理の社内体制 図 情報セキュリティ対策管理の社内体制 ( 従業員規模別 ) 23

25 (1) 情報セキュリティ対策管理の社内体制と基本方針の公開について情報セキュリティ対策管理の社内体制と情報セキュリティ対策の基本的な方針の公開との関連についての結果を以下に示す 情報セキュリティ対策の基本的な方針を公開している企業は 公開していない企業に比べ 専門部門 ( 担当者 ) がある の回答が約 2 倍 兼任だが担当者が任命されている の回答が 16.5 ポイント多い また 外部委託している 組織的には行っていない( 各自の対応 ) が約 1/4 程度であり 総じて情報セキュリティ対策の基本的な方針を公開している企業は情報セキュリティ対策が整備され 外部委託せず自社で対応している傾向にある 図 情報セキュリティ対策体制と基本方針の公開の関係 24

26 (2) 情報セキュリティ対策部門 ( 専任 ) の人数情報セキュリティ対策管理の社内体制として 専門部署 ( 担当者 ) がある または 兼務だが担当責任者が任命されている と回答した企業では 情報セキュリティ対策部門 ( 専任 ) の人数は 0 人 が 47.0% 1~2 人 が 12.2% 3~4 人 が 4.0% 5~9 人 が 2.3% である 従業員規模別にみると 300 人以上企業 では 0 人 が 45.1% 1~2 人 が 12.7% 3~4 人 は 5.2% 5~9 人 が 4.0% 10 人以上 が 1.9% であり 300 人未満企業 では それぞれ 49.1% 11.7% 2.7% 0.5% 0% である 図 セキュリティ対策部門の人数 ( 専任 ) 図 セキュリティ対策部門の人数 ( 専任 )( 従業員規模別 ) 25

27 (3) 情報セキュリティ対策部門 ( 兼任 ) の人数情報セキュリティ対策管理の社内体制として 専門部署 ( 担当者 ) がある または 兼務だが担当責任者が任命されている と回答した企業では 情報セキュリティ対策部門 ( 兼任 ) の人数は 1~2 人 が 47.2% 3~4 人 が 22.3% 5~9 人 が 13.1% 10 人以上 が 8.8% である 従業員規模別にみると 300 人以上企業 では 1~2 人 が 39.7% 3~4 人 が 23.6% 5~9 人 が 15.3% 10 人以上 が 12.1% である 一方 300 人未満企業 では それぞれ 55.8% 20.9% 10.6% 5.1% である 図 セキュリティ対策部門の人数 ( 兼任 ) 図 セキュリティ対策部門の人数 ( 兼任 )( 従業員規模別 ) 26

28 (4) 情報セキュリティ業務担当者の量的な充足度情報セキュリティ対策管理の社内体制として 専門部署 ( 担当者 ) がある または 兼務だが担当責任者が任命されている と回答した企業における情報セキュリティ業務の担当者の量的な充足度については やや不足している が 39.9% 十分である が 33.6% わからない が 18.2% である 従業員規模別にみると 300 人以上企業 では やや不足している が 41.3% 十分である が 30.1% わからない が 18.9% である 一方 300 人未満企業 では それぞれ 38.2% 37.6% 17.4% である 図 情報セキュリティ業務担当者の量的な充足度 図 情報セキュリティ業務担当者の量的な充足度 ( 従業員規模別 ) 27

29 (5) 情報セキュリティ業務担当者の量的な充足度 ( やや不足 ) 情報セキュリティ対策管理の社内体制として情報セキュリティ業務の担当者の量的な充足度が やや不足している と回答した企業のおおよその不足人数は 1 人 が 40.0% 2 人 が 36.7% 3 人 が 9.2% である 従業員規模別にみると 300 人以上企業 では 2 人 が 40.7% 1 人 が 32.8% 3 人 が 10.6% であり 300 人未満企業 では それぞれ 31.8% 49.2% 7.4% である 図 情報セキュリティ業務担当者の量的な充足度 ( 不足人数 やや不足 ) 図 情報セキュリティ業務担当者の量的な充足度 ( 不足人数 やや不足 ) ( 従業員規模別 ) 28

30 (6) 情報セキュリティ業務担当者の量的な充足度 ( 大幅に不足 ) 情報セキュリティ対策管理の社内体制として情報セキュリティ業務の担当者の量的な充足度が 大幅に不足している と回答した企業のおおよその不足人数は 2 人 が 31.4% 3 人 が 21.9% 1 人 が 15.2% 5~9 人 が 11.4% である 従業員規模別にみると 300 人以上企業 では 2 人 が 28.8% 3 人 と 5~9 人 が 18.2% 1 人 が 10.6% であり 300 人未満企業 では それぞれ 35.9% 28.2% 0% 23.1% である 図 情報セキュリティ業務担当者の量的な充足度 ( 不足人数 大幅に不足 ) 図 情報セキュリティ業務担当者の量的な充足度 ( 不足人数 大幅に不足 ) ( 従業員規模別 ) 29

31 (7) 情報セキュリティ業務担当者の量的な充足度 ( 現状人数と不足人数の比較 ) 情報セキュリティ業務の担当者の量的な充足度が やや不足している と回答した企業で現状人数と不足人数を比較した結果 現状の人数よりも多くの人数が不足していると回答した企業は 1~2 人体制 の企業が比較的多く 9.1% が 3 人以上不足している また 3~4 人体制 の企業では 4.6% が 5 人以上不足している 一方 情報セキュリティ業務の担当者の量的な充足度が 大幅に不足している と回答した企業では 1~2 人体制 の企業では 40.0% が 3 人以上不足し 3~4 人体制 の企業でも 19.0% と高い割合である なお 情報セキュリティ業務の担当者の量的な不足数 及び現在のセキュリティ対策部門の人数の双方の回答票を用いて集計した結果である 図 情報セキュリティ業務担当者の量的な充足度 ( 現状人数と不足人数の比較 やや不足 ) 図 情報セキュリティ業務担当者の量的な充足度 ( 現状人数と不足人数の比較 大幅に不足 ) 30

32 (8) 情報セキュリティ業務担当者のスキル面での充足度情報セキュリティ対策管理の社内体制として 専門部署 ( 担当者 ) がある または 兼務だが担当責任者が任命されている と回答した企業では 情報セキュリティ業務のスキル面での充足度については やや不足している が 52.9% 十分である が 21.9% 大幅に不足している が 15.1% である 従業員規模別にみると 300 人以上企業 では やや不足している が 55.2% 十分である が 20.1% 大幅に不足している が 14.9% わからない が 9.1% である 300 人未満企業 では それぞれ 50.2% 24.0% 15.5% 9.8% である 図 情報セキュリティ業務担当者のスキル面での充足度 図 情報セキュリティ業務担当者のスキル面での充足度 ( 従業員規模別 ) 31

33 情報セキュリティに関する事故や非常事態への対応体制情報セキュリティに関する事故や非常事態 ( 大規模サイバー攻撃の発生等 ) への対応体制 (CSIRT 7 ) について 特定の部門ではコンピュータセキュリティインシデントに対応する部門や人が定められている が 52.7% コンピュータセキュリティインシデントに対応する部門や人が定まっていない が 25.4% である 従業員規模別をみても 特定の部門ではコンピュータセキュリティインシデントに対応する部門や人が定められている コンピュータセキュリティインシデントに対応する部門や人が定まっていない の割合が高い傾向は同じである 図 情報セキュリティに関する事故や異常事態への対応体制 図 情報セキュリティに関する事故や異常事態への対応体制 ( 従業員規模別 ) 7 CSIRT(Computer Security Incident Response Team): コンピュータセキュリティインシデント等に 対して 調査し 対応する組織のこと 32

34 情報セキュリティ対策教育の実施状況情報セキュリティ対策教育の実施状況については 役員 正社員 契約社員 アルバイト等 は ともに 関連情報の周知 が最も多く 次いで 特に実施していない という傾向である それぞれ 役員 は 関連情報の周知 が 48.1% 特に実施していない が 36.3% であり 正社員 は 49.7% 29.4% であり 契約社員 アルバイト等 は 43.3% 38.2% である 一方 情報セキュリティ管理業務の従事者 は 関連情報の周知 が 50.0% と最も多く 次いで 外部講習会やセミナーの聴講 が 36.2% である 図 情報セキュリティ対策教育の実施状況 33

35 (1) 役員に対する情報セキュリティ対策教育役員に対する情報セキュリティ対策教育の実施状況を 2011 年度調査結果と比較すると 特に実施していない が 6.1 ポイント減少し 関連情報の周知 が 10.4 ポイント増加した 従業員規模別にみると 300 人以上企業 では 関連情報の周知 が 55.4% と最も多く 次いで 特に実施していない が 29.8% e ラーニング が 24.4% である 300 人未満企業 ではそれぞれ 41.4% 42.1% 12.2% であり 300 人以上企業 に比べ 特に実施していない の割合が高い傾向にある 図 情報セキュリティ対策教育の実施状況 ( 役員 )(2011 年度調査結果との比較 ) 図 情報セキュリティ対策教育の実施状況 ( 役員 )( 従業員規模別 ) 34

36 (2) 情報セキュリティ管理者に対する情報セキュリティ対策教育情報セキュリティ管理業務の従事者に対する情報セキュリティ対策教育の実施状況を従業員規模別にみると 300 人以上企業 では 関連情報の周知 が 57.2% と最も多く 次いで 外部講習会やセミナーの聴講 が 42.4% e ラーニング が 28.0% 特に実施していない が 15.1% である 300 人未満企業 ではそれぞれ 43.5% 30.6% 13.8% 30.1% であり 300 人以上企業 に比べ 特に実施していない の割合が高い傾向である なお 2011 年度調査では情報セキュリティ管理業務の従事者に対する情報セキュリティ対策教育の実施状況の設問がないため比較はできない 図 情報セキュリティ対策教育の実施状況 ( 情報セキュリティ管理者 ) ( 従業員規模別 ) 35

37 (3) 正社員に対する情報セキュリティ対策教育正社員に対する情報セキュリティ対策教育の実施状況を 2011 年度調査結果と比較すると 外部講習会やセミナーの聴講 が 6.9 ポイント 特に実施していない が 4.7 ポイント減少し 関連情報の周知 が 10.5 ポイント増加した 従業員規模別にみると 300 人以上企業 では 関連情報の周知 が 58.1% と最も多く 次いで e ラーニング が 29.4% 社内の自主的な勉強会 が 29.1% である 300 人未満企業 では 関連情報の周知 が 42.1% と最も多く 次いで 特に実施していない が 37.3% 社内の自主的な勉強会 が 24.3% であり 300 人以上企業 に比べ 特に実施していない の割合が高い傾向である 図 情報セキュリティ対策教育の実施状況 ( 正社員 )(2011 年度調査結果との比較 ) 図 情報セキュリティ対策教育の実施状況 ( 正社員 )( 従業員規模別 ) 36

38 (4) 契約社員 アルバイト等に対する情報セキュリティ対策教育契約社員 アルバイト等に対する情報セキュリティ対策教育の実施状況を 2011 年度調査結果と比較すると 外部講習会やセミナーの聴講 が 4.7 ポイント減少し 関連情報の周知 が 8.8 ポイント増加した 従業員規模別にみると 300 人以上企業 では 関連情報の周知 が 52.5% と最も多く 次いで 特に実施していない が 28.3% である 300 人未満企業 ではそれぞれ 35.1% 47.1% であり 300 人以上企業 に比べ 特に実施していない の割合が高い傾向である 図 情報セキュリティ対策教育の実施状況 ( 契約社員 ) (2011 年度調査結果との比較 ) 図 情報セキュリティ対策教育の実施状況 ( 契約社員 )( 従業員規模別 ) 37

39 情報セキュリティ対策の必要性を感じたきっかけ情報セキュリティ対策の必要性を感じたきっかけは 重要情報 ( 個人情報 営業秘密 技術情報等 ) の保持が 62.1% 法令 ( 個人情報保護法等 ) の制定 が 53.4% である 重要情報( 個人情報 営業秘密 技術情報等 ) の保持 法令 ( 個人情報保護法等 ) の制定 自社のセキュリティ事故 他社のセキュリティ事故 取引先からの要請 が多い傾向は 2011 年度調査結果と同様である 図 セキュリティ対策の必要性を感じたきっかけ 図 セキュリティ対策の必要性を感じたきっかけ (2011 年度調査結果との比較 ) 38

40 従業員規模別にみると 300 人以上企業 300 人未満企業 ともに 重要情報 ( 個人 情報 営業秘密 技術情報等 ) の保持 法令 ( 個人情報保護法等 ) の制定 自社のセ キュリティ事故 他社のセキュリティ事故 取引先からの要請 が多い傾向にある 図 セキュリティ対策の必要性を感じたきっかけ ( 従業員規模別 ) 39

41 3.3. 情報セキュリティ対策の現状 業務におけるスマートフォンやタブレット端末の利用の有無業務においてスマートフォンやタブレット端末を 利用している のは 40.6% である 利用を検討中 は 17.0% である 2011 年度調査結果より 利用している が 11.1 ポイント 利用を検討中 が 3.2 ポイント高くなっており スマートフォンやタブレット端末の利用が進展していることがわかる 従業員規模別にみると 300 人以上企業 は 利用している が 45.6% と最も多く 利用を検討中 が 19.8% である 一方 300 人未満企業 では それぞれ 36.0% 14.5% であり 300 人未満企業 に比べ 300 人以上企業 での利用が進んでいる 図 スマートフォンやタブレット端末の利用 ( 時系列 ) 図 スマートフォンやタブレット端末の利用 ( 従業員規模別 ) 40

42 (1) 利用している端末利用している端末は タブレット端末 (ios) が 60.6% スマートフォン(iOS) が 45.5% スマートフォン(Android 系 ) が 45.1% である 従業員規模別にみても同じ傾向であるが タブレット端末 (ios) については 300 人未満企業 よりも 300 人以上企業 の利用が 17.3 ポイント高い 図 利用している端末 図 利用している端末 ( 従業員規模別 ) 41

43 (2) スマートフォンの利用台数スマートフォンの利用台数 ( 会社支給及び会社に登録済の私有端末を含む ) は 10~49 台 が 28.5% と多く 無回答 を除いて 1~4 台 が 11.5% 100~499 台 が 10.0% と分散している なお 0 台 と回答されたものについては 集計から外している 従業員規模別にみると 300 人以上企業 では 無回答 を除いて 10~49 台 が 28.4% と最も高く 100~499 台 が 14.9% 50~99 台 が 8.9% である 一方 300 人未満企業 では 10~49 台 が 28.5% 1~4 台 が 17.6% 5~9 台 が 13.3% である 図 利用台数 ( スマートフォン ) 図 利用台数 ( スマートフォン )( 従業員規模別 ) 42

44 (3) スマートフォンの会社支給台数の比率スマートフォンの会社支給台数の比率は 100% ( 全て会社支給 ) が 73.7% であり 次いで 0% が 5.3% である 従業員規模別をみても 100% ( 全て会社支給 ) の割合が高い傾向は同じである なお (2) で無回答であったものは総数 N に入れていない 図 会社支給の比率 ( スマートフォン ) 図 会社支給の比率 ( スマートフォン )( 従業員規模別 ) 43

45 (4) タブレット端末の利用台数タブレット端末の利用台数 ( 会社支給及び会社に登録済の私有端末を含む ) は 10~49 台 が 32.7% と最も多く 次いで 1~4 台 が 18.8% である なお 0 台 と回答されたものについては 集計から外している 従業員規模別にみると 300 人以上企業 では 10~49 台 が 37.0% と最も多いが 300 人未満企業 では 1~4 台 が 30.6% と最も多く 次いで 10~49 台 が 27.4% である 図 利用台数 ( タブレット端末 ) 図 利用台数 ( タブレット端末 )( 従業員規模別 ) 44

46 (5) タブレット端末の会社支給台数の比率タブレット端末の会社支給台数の比率は 100% ( 全て会社支給 ) が 86.9% であり 次いで 0% 50~60% 未満 90~100% 未満 が 1.7% である 従業員規模別をみても 100% ( 全て会社支給 ) の割合が高い傾向は同じである なお (4) で無回答であったものは総数 N に入れていない 図 会社支給の比率 ( タブレット端末 ) 図 会社支給の比率 ( タブレット端末 )( 従業員規模別 ) 45

47 (6) 利用用途利用用途は 通話 メール等の連絡 が最も多く 76.5% 次いで プレゼンテーション 資料提示 が 46.9% スケジューラ が 40.6% である これらの傾向は 2011 年度調査結果とほぼ同様である 従業員規模別をみても 通話 メール等の連絡 プレゼンテーション 資料提示 スケジューラ の割合が高い傾向は同じである 図 利用用途 図 利用用途 ( 従業員規模別 ) 46

48 (7) スマートフォンやタブレット端末において実施している対策スマートフォンやタブレット端末において実施している対策は 端末のパスワード設定 が 74.3% と最も多く 次いで 利用ルールの策定 ( アプリケーションの導入制限等 ) が 45.6% 紛失 盗難時のデータ消去 37.5% である 新たに追加した選択肢である 利用ルールの策定 以外は 2011 年度調査結果とほぼ同様の傾向である 従業員規模別にみると 300 人以上企業 で 50% 以上が実施している対策は 端末のパスワード設定 紛失 盗難時のデータ消去 利用ルールの策定 ( アプリケーションの導入制限等 ) であるが 300 人未満企業 では 端末のパスワード設定 のみである 図 スマートフォンやタブレット端末において実施している対策 8 図 スマートフォンやタブレット端末において実施している対策 ( 従業員規模別 ) 8 MDM(Mobile Device Management モバイル端末管理 ): モバイル端末と社内システムとの認証 アプリケーションとの同期 外部サービスとの接続等を管理するシステム 47

49 (8) 社員の私有端末の業務利用 (BYOD) 社員の私有端末の業務利用は 認める予定はない が最も多く 49.8% 次いで 認めている が 20.3% 今後 認めるかどうかの検討を予定している が 15.9% である 従業員規模別をみても 認める予定はない が最も多く 次いで 認めている 今後 認めるかどうかの検討を予定している の順で割合が高い傾向は同じである なお 認めている には スマーフォン及びタブレット端末を全て会社支給している場合でも社員の私有端末の業務利用を制度的に認めている企業を含んでいる 図 社員の私有端末の業務利用 図 社員の私有端末の業務利用 ( 従業員規模別 ) 48

50 自社の資産や備品でない PC や外部記録媒体の社内ネットワーク接続について (1) 自社資産以外の PC( 私物ノート PC 等 ) の接続自社の資産ではないパソコンの社内ネットワークへの接続に関する運用については 禁止している ( セキュリティ担当者が状況を監視している ) が 36.8% 禁止している ( セキュリティ担当者が状況を監視していない ) が 32.2% 届け出に応じた許可制としている が 13.9% である 従業員規模別にみると 傾向はほぼ同じであるが 300 人未満企業 では 禁止していない が約 11 ポイント多い 図 自社資産でない私物ノート PC 等の社内ネットワーク接続 図 自社資産でない私物ノート PC 等の社内ネットワーク接続 ( 従業員規模別 ) 49

51 (2) 自社備品以外の外部記録媒体 ( 私物 USB メモリ等 ) の接続自社の備品ではない外部記録媒体の社内ネットワークへの接続に関する運用については 禁止している( セキュリティ担当者が状況を監視していない ) が 29.0% 禁止していない が 28.9% である 従業員規模別にみると 300 人以上企業 では 禁止している ( セキュリティ担当者が状況を監視している ) が多く 300 人未満企業 では 禁止していない が多い傾向にある 図 自社備品でない USB メモリ等の社内ネットワーク接続 図 自社備品でない USB メモリ等の社内ネットワーク接続 ( 従業員規模別 ) 50

52 クラウドコンピューティングサービスの利用 (1) クラウドコンピューティングサービスの利用用途クラウドコンピューティングサービスの利用については クラウドコンピューティングサービスは利用していない が 51.8% と最も多く 次いで 電子メールやスケジューラ 各種コミュニケーションのための利用 が 29.4% 業務アプリケーションの利用 が 15.3% ファイルサーバとしての利用 が 10.0% である 従業員規模別をみても クラウドコンピューティングサービスは利用していない 電子メールやスケジューラ 各種コミュニケーションのための利用 業務アプリケーションの利用 の順で割合が高い傾向は同じである 図 クラウドコンピューティングサービスの利用用途 図 クラウドコンピューティングサービスの利用用途 ( 従業員規模別 ) 51

53 (2) クラウドコンピューティングサービスで確認 重視している情報セキュリティ対策クラウドコンピューティングサービスを導入する際に情報セキュリティ対策として確認 重視しているポイントは 日本国内にサーバを設置している事業者を選択 が 48.7% 経済産業省や IPA のガイドラインに準拠した事業者を選択する が 27.3% データを定期的に自組織内にバックアップする が 25.9% である 従業員規模別をみても 日本国内にサーバを設置している事業者を選択 経済産業省や IPA のガイドラインに準拠した事業者を選択する データを定期的に自組織内にバックアップする の割合が高い傾向は同じである 図 クラウドサービスで重視している情報セキュリティ対策 図 クラウドサービスで重視している情報セキュリティ対策 ( 従業員規模別 ) 52

54 情報セキュリティ関連製品やソリューションの導入 (1) 導入状況情報セキュリティ関連製品やソリューションについて 2011 年度までに導入 及び 2012 年度新規導入 を合計した導入率が高いのは セキュリティソフト ( クライアントパソコン向け ) が 94.2% ファイアウォール が 82.3% セキュリティソフト( ネットワークサーバ向け ) が 80.3% セキュリティソフト( ローカルサーバ向け ) が 79.7% である 図 情報セキュリティ関連製品やソリューションの導入 ( 状況 ) 9 9 SSO とは シングルサインオンの略で それぞれ独立した認証を要求する複数のコンピュータを 1 回の認証手続きで利用できるようにするためのサービスのことである 53

55 (2) 導入の時期 2012 年度新規に導入した製品 ソリューションについて セキュリティ上のトラブルを経験した企業において 2012 年度トラブルの後 に導入した率が高いのは 重要設備の多重化 冗長化 が 9.3% ネットワーク検疫システム が 9.1% プロバイダによるウイルスチェックサービス が 8.3% セキュリティソフト ( ローカルサーバ向け ) が 7.7% である 図 情報セキュリティ関連製品やソリューションの導入 ( 時期 ) 54

56 情報セキュリティ被害防止のための組織 運用面の対策 (1) 実施状況情報セキュリティ被害防止のための組織 運用面での対策については 2011 年度までに導入 及び 2012 年度新規導入 を合計した導入率が高いのは 重要なシステム データのバックアップ が 90.3% ハードディスク等の破棄時のデータ消去 が 83.4% ユーザの権限によるアクセス権限管理 が 82.5% セキュリティパッチの適用 が 70.4% である 図 情報セキュリティ被害防止のための組織 運用面の対策 ( 実施状況 ) 55

57 (2) 実施の時期 2012 年度新規に導入した対策について セキュリティ上のトラブルを経験した企業において 2012 年度トラブルの後 に実施した率が高いのは 情報セキュリティ監査 が 13.0% セキュリティパッチの適用 が 8.8% 機器や記録媒体の持込み 持出しの制限 が 8.6% である 図 情報セキュリティ被害防止のための組織 運用面の対策 ( 実施時期 ) 56

58 セキュリティ関連製品 ソリューションの導入や 実施している組織面 運用面の対策費用 (1) 対策費用 2012 年度にセキュリティ関連製品 ソリューションの導入や実施している組織面 運用面の対策にかけた費用は 1 百万円未満 が 25.7% 1 百万円 ~5 百万円未満 が 21.9% わからない が 10.6% である 従業員規模別にみると 300 人以上企業 では 1 百万円 ~5 百万円未満 が 20.7% 1 百万円未満 が 14.7% であり 300 人未満企業 では それぞれ 22.9% 35.8% である 図 セキュリティ関連製品 ソリューションの導入 組織面 運用面対策の費用 図 セキュリティ関連製品 ソリューションの導入 組織面 運用面対策の費用 ( 従業員規模別 ) 57

59 (2) トラブル後の対策費用 2012 年度にセキュリティ関連製品 ソリューションの導入や実施している組織面 運用面の対策にかけた費用そのうち トラブル後にかけた費用は 1 百万円未満 が 19.9% わからない が 18.0% である 従業員規模別にみると 1 百万円未満 は 300 人以上企業 が 17.9% 300 人未満企業 が 21.7% である 図 情報セキュリティ被害防止のための組織面 運用面の対策 ( トラブル後 ) 図 情報セキュリティ被害防止のための組織面 運用面の対策 ( トラブル後 ) ( 従業員規模別 ) 58

60 (3) 2013 年度の対策費用の予定 2013 年度 (2013 年 4 月 ~2014 年 3 月 ) のセキュリティ関連製品 ソリューション導入に要する費用は 2012 年度 同程度 が 50.9% 未定 が 20.0% 増える が 19.7% 減る が 4.7% である 従業員規模別にみると 300 人以上企業 では 同程度 が 49.0% 増える が 22.8% であり 300 人未満企業 では それぞれ 52.7% 16.8% である 図 セキュリティ関連製品 ソリューション導入 組織面 運用面対策 の費用の増減 図 セキュリティ関連製品 ソリューション導入 組織面 運用面対策の費用の増減 ( 従業員規模別 ) 59

61 セキュリティパッチの適用情報セキュリティパッチの適用状況についてみると 外部公開ネットワークサーバ の ほぼ全サーバに計画的に適用している は 27.2% であり 内部利用ローカルサーバ は 35.4% である 従業員規模別にみると 外部公開ネットワークサーバにおいては ほぼ全サーバに計画的に適用している は 300 人以上企業 では 29.9% 300 人未満企業 では 24.7% である 図 セキュリティパッチの適用 図 外部公開ネットワークサーバへのセキュリティパッチの適用 ( 従業員規模別 ) 60

62 内部利用ローカルサーバにおいては ほぼ全サーバに適用している は 300 人以上企 業 では 32.4% 300 人未満企業 では 38.1% である 図 内部利用ローカルサーバへのセキュリティパッチの適用 ( 従業員規模別 ) 61

63 セキュリティパッチを導入しない理由サーバにセキュリティパッチを ほとんど適用していない と回答した理由としては パッチの適用が悪影響を及ぼすリスクを避けるため が 70.4% と最も多く 次いで パッチを適用しなくても問題ないと判断したため が 30.5% である 従業員規模別にみると 300 人以上企業 300 人未満企業 ともに パッチの適用が悪影響を及ぼすリスクを避けるため が最も多く 次いで パッチを適用しなくても問題ないと判断したため である 図 セキュリティパッチを導入しなかった理由 図 セキュリティパッチを導入しなかった理由 ( 従業員規模別 ) 62

64 クライアント ( パソコン ) へのセキュリティパッチ適用の有無クライアント ( パソコン ) へのセキュリティパッチの適用状況は 常に適用し 適用状況も把握している が 36.0% 常に適用する方針 設定だが 実際の適用状況は不明 が 31.3% 各ユーザに適用を任せている が 16.7% である 従業員規模別にみると 300 人以上企業 では 常に適用し 適用状況も把握している が 45.5% 常に適用する方針 設定だが 実際の適用状況は不明 が 27.1% である 300 人未満企業 ではそれぞれ 27.5% 35.1% である 図 セキュリティパッチ適用の有無 図 セキュリティパッチ適用の有無 ( 従業員規模別 ) 63

65 クライアント ( パソコン ) へのセキュリティパッチの適用状況の 2007 年 ~2012 年度の比較では 2012 年度において 常に適用し 適用状況も把握している 及び 常に適用する方針 設定だが 実際の適用状況は不明 が僅かながら増加し 各ユーザに適用を任せている ほとんど適用していない が僅かながら減少している 図 セキュリティパッチ適用の有無 (2007 年 ~2012 年度の比較 ) 64

66 3.4. コンピュータウイルスによる被害状況 コンピュータウイルス遭遇 ( 感染または発見 ) 経験コンピュータウイルスに遭遇 ( 感染または発見 ) した経験については ウイルスを発見したが 感染には至らなかった が 48.8% と最も多く 次いで ウイルスをまったく発見しなかった が 26.7% コンピュータウイルスに感染した が 18.3% である 2011 年度調査結果と比べると コンピュータウイルスに感染した と ウイルスを発見したが 感染には至らなかった の合計では 3.2 ポイント増加している ウイルスに感染した割合を従業員規模別にみると 300 人以上企業 に比べ 300 人未満企業 が コンピュータウイルスに感染した が少なく ウイルスをまったく発見しなかった が多い傾向である 図 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 図 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 ( 従業員規模別 ) 65

67 時系列でみると ウイルス遭遇率は 2002 年のピークを境に 2010 年度まで減少傾向に あったが 2011 年度から増加傾向に転じ 2012 年度は 71.5% に達した 図 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 ( 時系列 ) 注 1) 遭遇経験ありとは ウイルスを発見したが感染には至らなかった ウイルスに感染し被害があった との合計を示す 注 2) 時系列比較のため わからない 無回答 を除いて再集計している 66

68 コンピュータウイルスを発見した方法コンピュータウイルスを発見した方法をみると 全体的には ウイルス対策ソフト ( クライアント型 ) が 89.0% と最も多く 次いで ウイルス対策ソフト ( ゲートウェイ型 ) が 21.6% となっている 2011 年度調査結果と比べて傾向の大きな変化はみられない 従業員規模別でみても 300 人以上企業 と 300 人未満企業 で同じ傾向である 図 コンピュータウイルスを発見した方法 (2011 年度調査結果との比較 ) 図 コンピュータウイルスを発見した方法 ( 従業員規模別 ) 67

69 感染あるいは発見されたコンピュータウイルスの侵入経路コンピュータウイルスの侵入経路をみると 全体では インターネット接続 ( ホームページ閲覧など ) が 63.2% 電子メール 51.7% USB メモリ等の外部記憶媒体 が 38.0% となっている 2011 年度調査結果と比べると インターネット接続 ( ホームページ閲覧など ) が 6.8 ポイント増加し USB メモリ等の外部記憶媒体 は 7.5 ポイント減少している 従業員規模別にみると USB メモリ等の外部記憶媒体 が 300 人以上企業 では 45.6% と多いのに対して 300 人未満企業 では 29.4% と少なく 他項目に比べ大きな差異がある これは 2011 年度の傾向と同様である 図 コンピュータウイルスの侵入経路 (2011 年度調査結果との比較 ) 図 コンピュータウイルスの侵入経路 ( 従業員規模別 ) 68

70 ウイルスの感染件数ウイルスの感染件数をみると 1 件 が 32.8% と最も多く 次いで 5 件以上 が 27.5% と二極分化している 2011 年度調査結果と比べると 2 件 が 4.6 ポイント多くなっている 従業員規模別にみると 300 人以上企業 では 5 件以上 が 32.2% と比較的多いのに対して 300 人未満企業 では 1 件 が 37.1% と多くなっている 2011 年度調査結果と比べると 300 人以上企業 では 2 件 が 5.6 ポイント多くなり 300 人未満企業 では 5 件以上 が 7.4 ポイント多くなっている 図 ウイルスの感染件数 図 ウイルスの感染件数 ( 従業員規模別 ) 69

71 ウイルスに感染したパソコン サーバ スマートデバイスの台数 (1) ウイルスに感染したパソコンの台数ウイルスに感染したパソコンの台数をみると 1~4 台 が 56.5% と最も多い 従業員規模別にみると 300 人以上企業 では 1~4 台 が 50.2% と 300 人未満企業 の 65.7% に比べると少ない一方で 100 台 ~999 台 6.3% となっている等 比較的多くのパソコンの感染があった企業も一定程度みられる 図 ウイルスに感染したパソコンの台数 図 ウイルスに感染したパソコンの台数 ( 従業員規模別 ) 70

72 (2) ウイルスに感染したサーバの台数ウイルスに感染したサーバの台数をみると 0 台 が 66.4% と最も多い 従業員規模別にみると 300 人以上企業 では 0 台 が 70.2% と 300 人未満企業 に比べ多く 1~4 台 が 6.8% とやや少ない傾向にある 図 ウイルスに感染したサーバの台数 図 ウイルスに感染したサーバの台数 ( 従業員規模別 ) 71

73 (3) ウイルスに感染したスマートデバイスの台数ウイルスに感染したスマートフォン タブレット端末の台数をみると 0 台 が 70.7% と最も多く 5~9 台 が1 件と感染数は非常に少ない 従業員規模別にみると 300 人以上企業 では感染した端末はみられない 図 ウイルスに感染したスマートフォン タブレット端末の台数 図 ウイルスに感染したスマートフォン タブレット端末の台数 ( 従業員規模別 ) 72

74 ウイルスの直接的な被害ウイルスの直接的被害をみると パソコン単体の停止 が 38.6% と最も多く 次いで 個人の業務停滞 が 32.5% 特になし が 26.1% となっている 従業員規模別にみると 300 人以上企業 300 人未満企業 ともに パソコン単体の停止 個人の業務停滞 システム停止 性能低下 が多い傾向は同じである (N=345) 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 情報破壊情報漏洩ウイルスメール等の発信ネットワークの遅延システム停止 性能低下パソコン単体の停止関連部門の業務停滞個人の業務停滞取引先への感染拡大その他特になし無回答 2.6% 1.2% 4.3% 11.0% 18.6% 38.6% 7.5% 32.5% 1.7% 1.7% 26.1% 2.3% 図 ウイルスの直接的な被害 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 情報破壊 情報漏洩 ウイルスメール等の発信 ネットワークの遅延 システム停止 性能低下 パソコン単体の停止 関連部門の業務停滞 個人の業務停滞 取引先への感染拡大その他特になし無回答 2.4% 2.9% 1.0% 1.4% 4.4% 4.3% 9.8% 12.9% 13.2% 26.4% 42.0% 33.6% 8.3% 6.4% 36.1% 27.1% 2.0% 1.4% 1.0% 2.9% 26.8% 25.0% 2.0% 2.9% 300 人以上企業 (N=205) 300 人未満企業 (N=140) 図 ウイルスの直接的な被害 ( 従業員規模別 ) 73

75 3.5. サイバー攻撃 ( ウイルス以外 ) について サイバー攻撃との遭遇経験サイバー攻撃に遭遇したのは 13.8% であり その内訳は サイバー攻撃を受けたが 被害には至らなかった が 11.4% サイバー攻撃で被害にあった が 2.4% である 遭遇率は 2011 年度調査結果と比較すると 3.9 ポイント増加した 従業員規模別にみると 遭遇率は 300 人以上企業 で 19.7% 300 人未満企業 で 8.5% と 300 人以上企業 の方が多い 図 サイバー攻撃の遭遇経験 図 サイバー攻撃の遭遇経験 ( 従業員規模別 ) 74

76 サイバー攻撃による被害サイバー攻撃を受けた企業の被害内容としては Web サイトが改ざんされた が 40.0% と最も多く 次いで 業務サーバのサービスの機能が低下させられた が 17.8% である 従業員規模別にみると 300 人以上企業 では Web サイトが改ざんされた が圧倒的に多いが 300 人未満企業 では Web サイトが改ざんされた が多い一方で Web サイトのサービスの機能が低下させられた 業務サーバのサービスが停止させられた 業務サーバのサービスの機能が低下させられた がともに 21.4% と多くなっている 但し 本設問に関しては 300 人未満企業 の回答数は 14 社と少ないことに留意が必要である 2011 年度調査結果と比較すると Web サイトが改ざんされた が 26.2 ポイント増加し 貴社が提供するネットサービスにおいて第三者のなりすましによる不正使用があった が 11.6 ポイント減少している 図 サイバー攻撃による被害 (2011 年度調査との比較 ) 75

77 図 サイバー攻撃による被害 ( 従業員規模別 ) 76

78 サイバー攻撃の手口サイバー攻撃の手口で最も多いのは DoS 攻撃 の 40.0% であり 次いで 標的型攻撃 の 27.3% である 脆弱性 ( パッチの未適用 ) を突かれたことによる不正アクセス が 18.5% SQL インジェクション が 8.1% である 従業員規模別にみると 300 人以上企業 では DoS 攻撃 が 36.4% 標的型攻撃 が 29.0% 脆弱性( パッチの未適用 ) を突かれたことによる不正アクセス が 21.0% の順に多い 300 人未満企業 では DoS 攻撃 が 47.6% と群を抜いて高く 標的型攻撃 が 23.8% 脆弱性( パッチの未適用 ) を突かれたことによる不正アクセス が 13.1% である 図 サイバー攻撃の手口 (2011 年度調査結果との比較 ) 図 サイバー攻撃の手口 ( 従業員規模別 ) 77

79 標的型攻撃による被害状況標的型攻撃を受けた企業の被害状況をみると 標的型攻撃が原因と考えられるウイルス感染 不正アクセス 情報漏洩等が確認された 企業は 16.9% であった 従業員規模別にみると 300 人以上企業 では 19.6% 300 人未満企業 では 10.0% となっており 従業員数が多い企業での被害率が約 2 倍となっている 図 標的型攻撃による被害状況 図 標的型攻撃による被害状況 ( 従業員規模別 ) 78

80 標的型攻撃の具体的な手段標的型攻撃の具体的な手段をみると 同僚や取引先 サービス事業者からのメールを装い 添付したウイルスファイルを開かせる が 50.7% と最も多く 次いで 公的機関からのメールを装い 添付したウイルスファイルを開かせる が 40.8% 電子メールに表示された URL 経由で攻撃用のウェブサイトに誘導される が 39.4% であった 従業員規模別にみると 300 人以上企業 では 同僚や取引先 サービス事業者からのメールを装い 添付したウイルスファイルを開かせる が 54.9% と最も多いのに対して 300 人未満企業 では 電子メールに表示された URL 経由で攻撃用のウェブサイトに誘導される が 50.0% で最も多くなっている 図 標的型攻撃の具体的な手段 図 標的型攻撃の具体的な手段 ( 従業員規模別 ) 79

81 標的型攻撃と思われる電子メールの件数標的型攻撃を受けた企業が 2012 年度 (1 年間 ) に受けた 標的型攻撃と思われる電子メール の件数をみると 10~99 が 28.2% と最も多く 次いで 1~9 と 100~999 が 16.9% であった 従業員規模別にみると 300 人以上企業 では 10~99 が 27.5% と最も多く 次いで 1~9 が 23.5% 100~999 が 15.7% である 300 人未満企業 では それぞれ 30.0% 0% 20.0% である 図 標的型攻撃と思われる電子メールの件数 図 標的型攻撃と思われる電子メールの件数 ( 従業員規模別 ) 80

82 3.6. ウイルス感染やサイバー攻撃の被害により生じた直接的損失 電子商取引 (EC) が停止した期間 ウイルスに感染した または サイバー攻撃で被害があった 企業のうち電子商取引を行っている企業について 電子商取引の停止期間をみると 停止していない が 84.3% 4 時間未満 が 6.0% となっている 24 時間を超える停止があった企業は合わせて 2.2% となっている 従業員数規模別にみると 300 人以上企業 では 4 時間未満 から 6 日以上 まで様々な停止期間の企業があるのに対して 300 人未満企業 では 停止があった企業は全て 4 時間未満 となっている 図 電子商取引 (EC) が停止した期間 0% 20% 40% 60% 80% 100% 300 人以上企業 (N=78) 人未満企業 (N=56) 85.7 停止していない 4 時間未満 4~8 時間未満 8~12 時間未満 12~24 時間未満 24 時間 ~3 日未満 3~6 日未満 6 日以上 無回答 図 電子商取引 (EC) が停止した期間 ( 従業員規模別 ) 81

83 EC サーバ以外の業務遂行上重要なサーバ停止の影響 (1) 重要なサーバの停止ウイルス感染やサイバー攻撃により EC サーバ以外の業務遂行上重要なサーバが停止した期間は 停止していない が 80.4% 24 時間 ~3 日未満 が 2.2% である 従業員規模別にみても 停止していない が多い傾向に差はない 図 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数 図 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数 ( 従業員規模別 ) 82

84 (2) 重要サーバの停止による商取引の中断ウイルス感染やサイバー攻撃によりECサーバ以外の業務遂行上重要なサーバが停止したことで商取引が 中断した 10 が 12.9% 中断しなかった が 77.4% わからない が 9.7% である 従業員規模別にみると 300 人以上企業 では 中断しなかった が 86.7% わからない が 0% であるが 300 人未満企業 では 中断しなかった が 68.8% わからない が 18.8% である 図 業務遂行上重要なサーバ停止による商取引の中断 図 業務遂行上重要なサーバ停止による商取引の中断 ( 従業員規模別 ) 10 商取引の中断とは 重要サーバ停止の結果として 受発注や決済などの業務が停止してしまうこと意味する 83

85 情報管理部門が行った復旧作業人日情報管理部門が行ったウイルス感染やサイバー攻撃からの復旧作業人日は 1 人 日以内 が 43.6% と最も多く 次いで 0 人 日 が 14.4% 2~3 人 日 が 11.4% である 従業員規模別にみても 300 人以上企業 300 人未満企業 ともに 1 人 日以内 0 人 日 2~3 人 日 が多い傾向である 図 ウイルス感染やサイバー攻撃からの復旧作業人日 図 ウイルス感染やサイバー攻撃からの復旧作業人日 ( 従業員規模別 ) 84

86 システム復旧に関して新たに購入した代替機器の費用ウイルス感染やサイバー攻撃によるシステム復旧に関して新たに購入した代替機器の費用は 0 円 が 81.7% であり 費用が発生しているのは 9.5% である 従業員規模別にみると 費用が発生しているのは 300 人以上企業 で 10.1% 300 人未満企業 で 8.8% と 大きな差異はない 図 年 1 年間のシステム復旧に関して新たに購入した代替機器の費用 図 年 1 年間のシステム復旧に関して新たに購入した代替機器の費用 ( 従業員規模別 ) 85

87 システム復旧に関して外部に発注した業務の費用ウイルス感染やサイバー攻撃によるシステム復旧に関して新たに外部に発注した業務の費用は 0 円 が 83.4% であり 費用が発生しているのは 8.2% である 従業員規模別にみると 費用が発生しているのは 300 人以上企業 で 7.7% 300 人未満企業 で 8.9% と 大きな差異はない 図 年 1 年間にシステム復旧に関して外部に発注した業務の費用 図 年 1 年間にシステム復旧に関して外部に発注した業務の費用 ( 従業員規模別 ) 86

88 復旧作業以外に発生した追加データ処理作業人日業務部門が行ったウイルス感染やサイバー攻撃が原因で発生した追加データ処理作業 11 の人日は 0 人 日 が 60.8% と最も多く 次いで 1 人 日以内 が 16.1% 2~3 人 日 が 5.7% である 従業員規模別にみても 300 人以上企業 300 人未満企業 ともに 0 人 日 1 人 日以内 2~3 人 日 が多い傾向である 図 発生した追加データ処理作業人日 図 発生した追加データ処理作業人日 ( 従業員規模別 ) 11 追加データ処理作業とは ウイルス感染やサイバー攻撃が原因で消失したデータの再登録や一時的に手作業等で作成したデータのシステムへの登録などの作業を意味する 87

89 復旧作業以外に発生した対応作業 (1) 復旧作業以外の内容ウイルス感染やサイバー攻撃による復旧以外の作業内容の実施状況は 原因追求 影響範囲特定のための調査 が 62.3% サーバや PC の再インストール 設定等 が 47.4% である 従業員規模別にみても 300 人以上企業 300 人未満企業 ともに 原因追求 影響範囲特定のための調査 サーバや PC の再インストール 設定等 が多い傾向である 図 復旧以外の対応作業内容 図 復旧以外の対応作業内容 ( 従業員規模別 ) 88

90 (2) 復旧以外の作業人日ウイルス感染やサイバー攻撃による復旧以外の作業人日は 原因追求 影響範囲特定のための調査 問合せ窓口 ( コールセンター ) の設置 サーバや PC の再インストール 設定等 その他 が 1 人 日 が最も多く 60.0% 以上と同じ傾向にある また 謝罪広告の出稿 は 1 人 日 が 100.0% であり 取引先 顧客等への謝罪 ( 金券等を含む ) は 3 人 日 が 44.4% と最も多い 図 復旧以外の作業人数 89

91 (3) 復旧以外の作業人日 ( 原因追求 影響範囲特定のための調査 ) 従業員規模別にみると 300 人以上企業 では 4~5 人 日 が 5.7% であるが 300 人未満企業 では 0% である 図 復旧以外の作業時間 ( 原因追求 影響範囲特定のための調査 )( 従業員規模別 ) (4) 復旧以外の作業人日 ( 問合せ窓口の設置 ) 従業員規模別にみると 300 人未満企業 では 1 人 日 が 100.0% であるが 300 人以上企業 では 2 人 日 4~5 人 日 11 人 日以上 が それぞれ 10.0% である 図 復旧以外の作業時間 ( 問合せ窓口の設置 )( 従業員規模別 ) 90

92 (5) 復旧以外の作業人日 ( 取引先 顧客等への謝罪 ) 従業員規模別にみると 300 人未満企業 では 1 人 日 と 4~5 人 日 が 33.3% であるが 300 人以上企業 では 2 人 日 3 人 日 4~5 人 日 11 人 日以上 も存在する 図 復旧以外の作業時間 ( 取引先 顧客等への謝罪 )( 従業員規模別 ) (6) 復旧以外の作業人日 ( 謝罪広告の出稿 ) 復旧以外の作業時間で謝罪広告の出稿の回答数は 3 社であり 作業人日は 1 人 日 が 100.0% である 図 復旧以外の作業時間 ( 謝罪広告の出稿 )( 従業員規模別 ) 91

93 (7) 復旧以外の作業人日 ( 代替設備 サービス等の手配 ) 従業員規模別にみると 300 人未満企業 では 0 人 日 と 3 人 日 が 12.5% であ るが 300 人以上企業 では ともに 5.6% で差がある 図 復旧以外の作業時間 ( 代替設備 サービス等の手配 )( 従業員規模別 ) (8) 復旧以外の作業人日 ( サーバや PC の再インストール 設定等 ) 従業員規模別にみると 300 人未満企業 では 2 人 日 が 18.6% であるが 300 人以上企業 では 10.7% と差がある 図 復旧以外の作業時間 ( サーバや PC の再インストール 設定等 )( 従業員規模別 ) 92

94 (9) 復旧以外の作業人日 ( その他 ) 従業員規模別にみると 300 人以上企業 では 2 人 日 11 人 日以上 が 40.0% と最も多く 次いで 1 人 日 が 20.0% であるが 300 人未満企業 では 1 人 日 が 100.0% である 図 復旧以外の作業時間 ( その他 )( 従業員規模別 ) 93

95 ウイルス感染やサイバー攻撃による間接的被害の有無ウイルス感染やサイバー攻撃による間接的被害の発生状況については 特に間接的な被害は受けなかった が 89.4% 顧客が減少した 顧客から指名停止を受けた が 0.5% 取引先から補償 補填を求められた が 0.3% である 従業員規模別にみても 300 人未満企業 300 人以上企業 ともに 特に間接的な被害は受けなかった が多い傾向である 図 ウイルス感染やサイバー攻撃による間接的被害の発生 図 ウイルス感染やサイバー攻撃による間接的被害の発生 ( 従業員規模別 ) 94

96 復旧作業以外の対応による外部発注費用ウイルス感染やサイバー攻撃からの復旧以外の対応による外部発注費用は 0 円 が 81.2% 10 万円未満 10~100 万円未満 が 3.0% 100~300 万円未満 が 2.2% である 従業員規模別にみると 300 人未満企業 では 6.7% 300 人以上企業 では 12.5% 外部発注費用が発生している 図 復旧以外の対応による外部発注費用 図 復旧以外の対応による外部発注費用 ( 従業員規模別 ) 95

97 被害内容や対応状況に関する情報の外部公開ウイルス感染やサイバー攻撃の被害内容や対応状況に関する情報について 外部に 公開しなかった が 86.6% と多く 公開した が 4.9% である 従業員規模別にみても 300 人未満企業 300 人以上企業 ともに 公開しなかった が多い傾向である 図 ウイルスやサイバー攻撃の被害内容や対応状況に関する情報の外部公開 図 ウイルスやサイバー攻撃の被害内容や対応状況に関する情報の外部公開 ( 従業員規模別 ) 96

98 公開した情報の掲載ウイルス感染やサイバー攻撃の被害内容や対応状況に関する情報の公開については 自社のホームページに掲載した が 38.9% 新聞や雑誌に掲載された が 16.7% ウェブニュースに掲載された ネットの掲示板に書き込まれた がともに 5.6% である また その他 の回答が 50.0% と多い 具体的な回答として IPA の標的型サイバー攻撃の特別相談窓口への報告 アンチウイルスベンダーへの報告 顧客や親会社など 特定の範囲への公開 といったものがあった 従業員規模別にみると 自社のホームページに掲載した は 300 人以上企業 が 46.2% 300 人未満企業 が 20.0% である また 300 人以上企業 では 新聞や雑誌に掲載された が 23.1% ウェブブニュースに掲載された ネットの掲示板に書き込まれた がともに 7.7% であるが 300 人未満企業 はそれぞれ 0% である 図 公開した情報の掲載 図 公開した情報の掲載 ( 従業員規模別 ) 97

99 3.7. 内部者の不正による被害状況 内部者の不正による被害経験内部者の不正に起因する情報漏えいやシステム悪用等の情報セキュリティのトラブルを経験した企業は 2.1% であった 従業員規模別にみると 300 人以上企業 では 3.7% 300 人未満企業 では 0.7% となり 従業員数が多い企業での被害率がやや高い 図 内部不正の被害経験 図 内部不正の被害経験 ( 従業員規模別 ) 98

100 セキュリティインシデントの原因となった従業員への措置セキュリティインシデントの原因となった従業員に対する措置は 本人に口頭で注意する が 44.3% 罰則の適用 ( 人事面での処遇見直し 減給等 ) が 28.1% 本人の上司に口頭で注意する が 26.7% インシデントの経緯について公式な形で社内に連絡する ( 個人名を明示しない ) が 26.0% である 従業員規模別にみると 300 人以上企業 では 300 人未満企業 に比べ 罰則の適用 ( 人事面での処遇見直し 減給等 ) インシデントの経緯について公式な形で社内に連絡する ( 個人名を明示しない ) 本人に口頭で注意する が高い傾向にある 図 セキュリティインシデントの原因となった従業員への措置 図 セキュリティインシデントの原因となった従業員への措置 ( 従業員規模別 ) 99

101 4. 考察 (1) ウイルス遭遇率は微増傾向が続くウイルス遭遇率 ( コンピュータウイルスに感染した 及び ウイルスを発見したが 感染には至らなかった の合計 ) を時系列でみると 2002 年度のピークを境に 2010 年度 (49.1 ポイント ) まで減少傾向が続いたが 2011 年度には 68.4 ポイント 2012 年度には 71.5 ポイントと微増傾向である ( 図 参照 ) コンピュータウイルスの具体的な侵入経路について 2011 年度調査結果と比較すると インターネット接続 ( ホームページ閲覧など ) が 6.8 ポイント増加し USB メモリ等の外部記憶媒体 は 7.5 ポイント減少している ( 図 参照 ) 一方 実施された対策について 2011 年度調査結果と比較すると ネットワーク検疫システム が 12.7 ポイント増加 ( 前年度導入及び調査年度導入の合計 ) ウェブ閲覧のフィルタリング が 9.4 ポイント増加 セキュリティソフト ( ネットワークサーバ向け ) が 6.1 ポイント増加 セキュリティソフト ( ローカルサーバ向け ) が 6.8 ポイント増加 ( 図 参照 ) とウェブ系やネットワーク系の対策実施が高まったこともあり ウイルスに感染した率は 18.3%(2011 年度 16.9%) と微増であった ウイルス遭遇率は今後も増加する可能性があるため 引き続きウイルス対策が重要であると考えられる (2) サイバー攻撃遭遇率は微増傾向サイバー攻撃遭遇率 ( サイバー攻撃で被害にあった 及び サイバー攻撃があったが 被害には至らなかった の合計 ) を 2011 年度調査結果と比較すると 3.9 ポイント増加し ウイルス遭遇率同様に微増傾向にある ( 図 参照 ) サイバー攻撃の具体的な手口について 2011 年度調査結果と比較すると DoS 攻撃 が 7.4 ポイント減少 SQL インジェクション が 6.2 ポイント減少し 標的型攻撃 が 7.3 ポイント増加している ( 図 参照 ) 一方 実施された対策については IDS/IPS による侵入検知 及び 外部に公開しているネットワークサーバへのセキュリティパッチの適用 等は 2011 年度調査結果と同様の傾向 ( 図 及び図 参照 ) ということもあり サイバー攻撃による被害について 2011 年度調査結果と比較すると Web サイトが改ざんされた が 26.2 ポイント増加した ( 図 参照 ) サイバー攻撃及び標的型攻撃については今後も増加する可能性があるため 引き続き情報セキュリティ対策の推進や脅威情報の共有を含む普及 啓発が重要であると考えられる (3) スマートデバイスの業務利用が進む業務においてスマートフォンやタブレット端末の利用は 40.6% 利用を検討中が 17.0% であり 2011 年度調査結果と比較すると 利用しているが 11.1 ポイント 利用を検討中が 3.2 ポイント高まっている ( 図 参照 ) 一方 具体的な対策については 端末のパス 100

102 ワード設定 が 74.3% と高いが 紛失 盗難時のデータ消去 (37.5%) セキュリティソフト導入 (33.9%) MDM による端末管理 (30.0%) と技術的対策は 30% 台であり 運用対策を含む 利用ルールの策定 は 45.6% と半数以下である ( 図 参照 ) スマートフォンやタブレット端末の業務利用は進んでいるが 実施している対策内容は 2011 年度調査結果とほぼ同様の傾向であり 実施率についても半数以下であることから技術的対策及び運用対策の実施が重要であると考えられる (4) 情報セキュリティ業務担当者の不足様々な場面で情報セキュリティ対策が求められているが 情報セキュリティ業務担当者の量的な不足は やや不足している が 39.9% 大幅に不足している が 7.7% であり 合計 47.6% が不足していると回答している ( 図 参照 ) また 情報セキュリティ業務担当者の量的な不足は 企業における情報セキュリティの体制にも影響し 情報セキュリティ対策管理を 組織的には行っていない は 2011 年度調査から 6.5 ポイント減少しているものの 兼務だが担当責任者が任命されている が 7 ポイント増え 兼務体制で対応している状況であることがわかる ( 図 参照 ) さらに スキル面の不足については やや不足している が 52.9% 大幅に不足している が 15.1% であり 合計 68.0% が不足していると回答している ( 図 参照 ) 一方 スキルを向上させるために必要となる 外部講習会やセミナーの聴講 については 300 人以上企業で 42.4% 300 人未満企業で 30.6%( 図 参照 ) と半数以下の実施であり 情報セキュリティ業務担当者のスキル向上を支援施策が実施されていない傾向にある 情報セキュリティ対策を実施するために情報セキュリティ業務担当者の量的及びスキル面での充足度を高めることが重要であると考えられる 101

103 5. 付録 5.1. 総売上高 ( 単体 ) 企業における 2012 年度の総売上高は 100 億円以上 が 37.6% と最も多く 次いで 40 ~100 億円未満 が 25.0% 20~40 億円未満 が 16.1% である 従業員規模別にみると 300 人以上企業 では 100 億円以上 が 60.2% と最も多いが 300 人未満企業 では 40~100 億円未満 が 28.0% と最も多く 次いで 24.0% が 20 ~40 億円未満 である 図 総売上高 ( 単体 )( 2012 年度 ) 図 総売上高 ( 単体 従業員規模別 )(2012 年度 ) 102

104 2011 年度調査結果の総売上高は 100 億円以上 が 36.9% と最も多く 次いで 40~100 億円未満 が 20.4% であり 100 億円未満が約半数であった 2011 年度調査結果の総売上高 従業員規模別では 300 人以上企業 の 100 億円以上 が 62.0% と最も多いが 300 人未満企業 では 40~100 億円未満 が 22.6% と最も多く 次いで 20~40 億円未満 が 21.5% であった 図 総売上高 ( 単体 )( 2011 年度 ) 図 総売上高 ( 単体 従業員規模別 )(2011 年度 ) 103

105 5.2. 経常利益 ( 単体 ) 経常利益は 4 億円以上 が 33.0% と最も多く 次いで 1 億 ~4 億円未満 が 25.3% であり 4 億円未満は 48.3% である 従業員規模別にみると 300 人以上企業 では 4 億円以上 が 50.3% と最も多いが 300 人未満企業 では 1 億 ~4 億円未満 が 30.4% と最も多い 図 経営利益 ( 単体 )(2012 年度 ) 図 経常利益 ( 単体 従業員規模別 )(2012 年度 ) 104

106 2011 年度調査結果の経常利益は 4 億円以上 が 29.1% と最も多く 次いで 1 億 ~4 億円未満 が 20.8% であり 4 億円未満が 44.5% 程度であった 2011 年度調査結果の経常利益 従業員規模別では 300 人以上企業 は 4 億円以上 が 47.9% と最も多く 300 人未満企業 は 1 億 ~4 億円未満 が 24.5% と最も多い 図 経営利益 ( 単体 )(2011 年度 ) 図 経常利益 ( 単体 従業員規模別 )(2011 年度 ) 105

107 5.3. 規程年間営業日数および1 日の営業時間規程年間営業日数は 200~249 日 が 47.4% で最も多く 次いで 250~299 日 が 29.6% である 従業員規模別にみると 300 人以上企業 では 200~249 日 が最も多く 49.9% であり 300 人未満企業 では 200~249 日 が 45.1% と最も多く 次いで 250~299 日 が 36.1% である 図 規程年間営業日数 図 規程年間営業日数 ( 従業員規模別 ) 106

108 1 日の営業時間は 8 時間 が 58.6% と最も多く 次いで 8 時間未満 が 23.6% 8 時間以上 が 13.3% である 従業員規模別にみると 8 時間 が 300 人以上企業 300 人未満企業 ともに最も多く それぞれ 53.7% 63.0% であり 300 人以上企業 と 300 人未満企業 は同じ傾向である 図 日の営業時間 図 日の営業時間 ( 従業員規模別 ) 107

109 5.4. 上場の有無 上場している 企業は 12.8% であり 上場していない 企業は 86.8% である 従業員規模別にみると 上場している が 300 人以上企業 で 23.8% 300 人未満企業 で 2.7% である 図 上場の有無 図 上場の有無 ( 従業員規模別 ) 108

110 5.5. 海外拠点の有無海外拠点が 有り の企業は 22.5% であり 無し の企業は 76.9% である 従業員規模別にみると 海外拠点 有り は 300 人以上企業 では 30.5% であり 300 人未満企業 では 15.3% である 図 海外拠点の有無 図 海外拠点の有無 ( 従業員規模別 ) 109

111 5.6. 利用しているサーバの台数 利用サーバの有無利用しているサーバ ( クラウドコンピューティングサービスを除く ) は 有り が 90.6% と最も多く 無し が 8.6% である 従業員規模別にみると 300 人以上企業 では 有り が 92.6% 無し が 6.6% 300 人未満企業 では それぞれ 88.9% 10.3% である 図 サーバ ( パソコン ) の有無 図 サーバ ( パソコン ) の有無 ( 従業員規模別 ) 110

112 サーバの保有台数クラウドコンピューティングサービスを除くサーバの保有台数は 10~49 台 が 34.7% と最も多く 次いで 1~4 台 が 30.4% 5~9 台 が 18.4% である 従業員規模別にみると 300 人以上企業 では 10~49 台 が 43.8% と最も多く 300 人未満企業 では 26.1% である 一方 300 人未満企業 では 1~4 台 が 46.6% と最も多く 300 人以上企業 では 13.3% である 図 サーバ ( パソコン ) の保有台数 図 サーバ ( パソコン ) の保有台数 ( 従業員規模別 ) 111

113 文書管理等特定利用目的以外のサーバ保有の有無自組織内で設置 運用しているサーバで文書管理用サーバ グループウェア用サーバ プリントサーバ DNS サーバ以外の保有については 有り が 79.9% 無し が 18.7% である 従業員規模別にみると 300 人以上企業 では 有り が 89.4% と最も多く 無し が 9.7% である 300 人未満企業 では 有り が 71.0% であり 無し が 27.1% である 図 文書管理等特定利用目的以外のサーバ保有の有無 図 文書管理等特定利用目的以外のサーバ保有の有無 ( 従業員規模別 ) 112

114 自社設置のウェブアプリケーションサーバの有無自社で設置しているサーバでのウェブアプリケーション利用については 有り が 62.8% 無し が 34.7% である 従業員規模別にみると 300 人以上企業 では 有り が 77.5% と多く 無し が 20.4% である 一方 300 人未満企業 では 有り が 48.9% 無し が 48.2% とほぼ同じ割合である 図 自社設置サーバでのウェブアプリケーション利用の有無 図 自社設置サーバでのウェブアプリケーション利用の有無 ( 従業員規模別 ) 113

115 5.7. 利用しているクライアント ( パソコン ) の台数利用しているクライアント ( パソコン ) は 有り が 94.0% であり 無し が 4.8% である 図 クライアント ( パソコン ) の有無 クライアント ( パソコン ) の保有台数は 100~499 台 が 44.7% と最も多く 次いで 50~99 台 が 15.5% 1,000 台以上 が 15.1% である 図 クライアント ( パソコン ) の保有台数 114

116 従業員規模別にみると 300 人以上企業 では 100~499 台 が 37.6% と最も多く 次いで 1,000 台以上 が 30.9% 500~999 台 が 20.4% である 一方 300 人未満企業 では 100~499 台 が 51.2% と最も多く 次いで 50~99 台 が 24.7% 10~49 台 が 17.7% である 図 クライアント ( パソコン ) の保有台数 ( 従業員規模別 ) 115