Transcription

1 不正アクセス行為対策等の実態調査 調査報告書 平成 28 年 11 月 警察庁生活安全局情報技術犯罪対策課

2

3 不正アクセス行為対策等の実態調査目次 1. 調査概要 調査の目的 調査の対象と調査方法 調査内容 送付 回収状況 調査結果の概要 総論 回答事業体の属性等 調査結果概要 基本分析 情報システム等の環境 端末装置の整備環境... 問 事業体内のネットワーク利用状況... 問 無線 LAN ネットワークのセキュリティ対策... 問 外部からの接続許可状況... 問 外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 ). 問 9A 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 ) 問 9B インターネット環境の整備... 問 インターネット接続に対するセキュリティ対策... 問 インターネットへの接続の認証方法... 問 ID パスワードの管理方法... 問 不正ログイン対策... 問 クラウドサービスの利用状況... 問 利用しているクラウドサービスの種類... 問 クラウドサービスに対する問題点... 問 アクセスログ取得状況 ログの取得状況... 問 ログの保管期間... 問 18A ログの解析頻度... 問 18B ログを取得 保管している理由... 問 Web サイト管理環境 Web サイトの管理状況... 問 Web サーバのログ保管期間... 問 Web サイト改ざんに対するセキュリティ対策... 問 連続自動入力プログラムによる不正ログイン攻撃についての調査. 問 23 88

4 3.4. 公開サービスに関する情報セキュリティ対策 電子メールに関するセキュリティ対策の実施... 問 メールサーバ等でのセキュリティ対策... 問 添付ファイルの取り扱い... 問 DNS サーバの管理状況... 問 DNS サーバのセキュリティ対策... 問 情報セキュリティの運用 管理体制及び過去に受けたことのある被害状況 情報セキュリティ対策の必要性の理由... 問 過去に受けたことのある被害状況... 問 攻撃手段... 問 届出先機関等... 問 届出した理由... 問 届出を躊躇させる要因... 問 被害を受けたことによる対策... 問 ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無... 問 情報セキュリティ運用 管理専門部署の有無... 問 情報セキュリティ管理体制... 問 セキュリティポリシーの策定状況... 問 情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況 問 セキュリティ対策に関する部外チェック等の利用状況... 問 セキュリティ監査の実施 ( 予定 ) 頻度... 問 情報セキュリティ教育 情報セキュリティ教育の実施状況... 問 情報セキュリティ教育の目的... 問 情報セキュリティ教育の内容... 問 情報セキュリティ教育の頻度... 問 技術的セキュリティ対策 暗号化技術の用途... 問 重要システムの不正アクセス対策状況... 問 セキュリティパッチの適用状況... 問 不正アクセス等への対策状況... 問 不正プログラムへの対策状況... 問 標的型攻撃への対策状況... 問 セキュリティサービスの利用状況 利用しているセキュリティサービス... 問 今後 利用したいセキュリティサービス... 問 セキュリティサービスを利用していない理由... 問

5 3.9. セキュリティ対策費用 年度情報セキュリティ対策の投資計画... 問 情報セキュリティ対策への投資に関する問題点... 問 情報セキュリティ対策に関する考え方 設問内容 投資に関する考え方... 問 事後的対応と予防的対応に関する考え方... 問 対応すべき範囲に関する考え方... 問 非技術的対応に関する考え方... 問 プライバシーの考慮に関する考え方... 問 利便性とのバランスに関する考え方... 問 不正アクセス等により想定される被害状況... 問 その他 セキュリティ対策の問題点や不安等 付録資料 1. 調査票 付録 集計表 付録 2-1

6

7 1. 調査概要 1.1. 調査の目的不正アクセス行為の禁止等に関する法律において 国家公安委員会は アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため アクセス制御機能に関する技術の研究開発の状況等を公表するものとされており また 国はアクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならないとされている 本調査は アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発や知識の普及に資することを目的とし 民間企業 行政機関等における不正アクセス行為対策等の実態や大学 民間企業等でのアクセス制御機能に関する技術の研究開発状況等について調査を実施したものである 1.2. 調査の対象と調査方法調査対象は 市販のデータベース ( 四季報 IT 総覧等 ) に掲載された企業 教育機関 ( 国公立 私立の大学等 ) 医療機関 地方公共団体( 県 市町村等 ) 独立行政法人( 教育機関及び医療機関に掲げるものを除く ) 特殊法人から特定の業種 地域に偏りのないよう3,089 件を無作為に抽出した 調査は 調査票を郵送で配付し 次の 2 つの方法で回収することで実施した 1 電子メールでの回答 調査票のファイルに直接回答内容を入力してもらい 電子メールにて回答 2 郵送等での回答 配付した調査票を 郵送や FAX などで送付してもらい回答 ( 調査期間 : 平成 28 年 8 月 30 日 ( 火 )( 発送日 )~9 月 21 日 ( 水 )( 締切日 )) 1.3. 調査内容 付録資料にある調査票 不正アクセス行為対策等の実態に関するアンケート調査 のとおりである 1

8 1.4. 送付 回収状況 調査票の送付総数は 3,089 件 回収総数は 704 件であった 回収率は 22.8% である 業種 発送数 回収数 回収率 農林 水産 鉱業 % 製造業 % 不動産 建築 % 金融 % エネルギー % 運輸業 % 情報通信 % サービス % 教育 % 行政サービス % 15 - 合計 % 報告書を見る際の留意点 集計結果の比率は 小数第二位を四捨五入し 小数第一位までを百分率(%) で表示しているため その数値の合計が100% を前後する場合がある 本文やグラフ中の選択肢は 調査票の言葉を短縮しているものがある 回答数が10 未満のもの ( 例 : 業種別にみた場合の 農林 水産 鉱業 回収数 6 など) については コメントの対象としていない 2

9 2. 調査結果の概要 2.1. 総論 平成 28 年度の調査をまとめると次のような特徴がみられる 1 情報システム等の環境 端末装置の整備環境 については 1 人当たり1 台以上 が79.7% で最も多く 数人で共有 が 7.7% 部 課で共有 が3.6% となっている また 外部からの接続に対するセキュリティ対策 については ウイルス対策ソフト等の導入 が91.4% インターネット接続に対するセキュリティ対策 でも ファイアウォールの導入 が 86.5% インターネット接続する際の ID パスワードの管理対策 で パスワード長を一定以上に定める が65.5% と最も多くなっている 2 アクセスログ取得状況アクセスログの取得状況は ファイアウォール 侵入検知システム等 (IDS IPS 等 ) のログ が 66.5% で最も多く 全く取得していない のは16.6% となっている 取得している理由として 不正アクセス等外部からの不正行為を記録するため が84.6% で最も多く 次いで 従業員等内部の不正行為を記録するため が62.8% となっている 3 Webサイト管理環境 Webサイトの管理状況ついては 一部外部業者に委託 が39.9% で最も多く 自社管理 は23.2% となっている Webサイト改ざんに対するセキュリティ対策については 管理者用アカウントのパスワードの複雑化 が43.3% と最も多く 次いで リモートアクセスの接続元を限定 が42.5% 常に最新のバッチを適用 が42.0% で4 割以上となっている 4 公開サービスに関する情報セキュリティ対策電子メールに関するセキュリティ対策の実施については 外部業者 ( プロバイダ セキュリティ事業者等 ) に委託 が49.4% 自社で実施 が43.3% となっており メールサーバ等でのセキュリティ対策については ウイルスチェック が86.1% 添付ファイルの取り扱いについては ウイルスチェックをしてから受信 が85.5% となっている また DNSサーバの管理状況については 部外業者 ( プロバイダ セキュリティ事業者等 ) に委託 が44.7% 自社で管理 が40.5% となっており DNSサーバのセキュリティ対策については 常に最新のパッチを適用 が43.7% となっている 3

10 5 情報セキュリティの運用 管理体制及び過去に受けたことのある被害状況過去に受けたことのある被害状況については ランサムウェア が35.8% で最も多く 次いで ホームページの改ざん が34.3% となっている 届出先機関等については 警察 が 32.8% で最も多く 届け出なかった は43.8% となっている また 情報セキュリティ運用 管理専門部署の有無については ある が47.6% であるが 情報セキュリティ管理体制については 情報システム運用管理者が情報セキュリティについても兼務 が 57.2% で最も多くなっている セキュリティポリシーの策定状況については 策定している が 65.8% で最も多く 今のところ 策定する予定はない は11.2% となっている 情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況については 策定することを検討 が37.9% で最も多く 次いで 策定している が34.9% となっている 6 情報セキュリティ教育情報セキュリティ教育の実施状況については 実施している が59.8% で最も多く 情報セキュリティ教育の目的については 情報セキュリティに対する意識の向上 が 97.8% と最も多くなっている また 情報セキュリティ教育の内容については 個人情報の保護 管理 が82.4% で最も多く 次いで ウイルス等のマルウェア対策 が75.3% 機密情報の保護 管理 が74.4% となっている 7 技術的セキュリティ対策重要システムの不正アクセス対策状況については データのバックアップを行っている が83.0% で最も多く 不正アクセス等への対策状況については 定期的なバックアップ が75.6% 不正プログラムへの対策状況については ウイルス対策ソフト ( クライアント ) の使用 が92.6% で最も多くなっている 8 セキュリティサービスの利用状況利用しているセキュリティサービスについては ウイルス等監視 が 42.5% で最も多く 次いで セキュリティ運用 監視 が28.3% となっており 今後 利用したいセキュリティサービスについては 標的型攻撃対策 が24.6% で最も多く 次いで セキュリティ運用 監視 が24.4% となっている セキュリティサービスを利用していない理由については 予算がない が52.7% で最も多く 次いで 価格が見合わない が28.2% となっており 金銭面の理由が上位に挙げられている 9 セキュリティ対策費用 2017 年度情報セキュリティ対策の投資計画については 今期と比較して ほぼ同額とする計画 であるとする割合が70.3% で最も多く 増やす計画であるとする各項目の合計は23.2% で 減らすとする各項目の合計は3.5% となっている 情報セキュリティ対策への投資に関する問題点については どこまで行えば良いのか基準が示されていない が51.3% で最も多く 次いで 費用対効果が見えない が47.3% コストがかかりすぎる が42.5% となっている 4

11 10 情報セキュリティ対策に関する考え方情報セキュリティ対策を実施する上での 投資方針 については 2 積極的 が 1 必要最低限 を大幅に上回り 事後的対応と予防的対応 については 2 予防的対応 が 1 問題発生への適切な対応 を大幅に上回っている 対応すべき範囲 について 1 人的 技術的な対策で十分 が 2 保険的対応が必要 を 非技術的対応 については 1 教育と情報提供を中心とした対応 が 2 規則 罰則も含む強制力のある対応 を プライバシーの考慮 については 2ある程度のプライバシーの侵害はやむをえない が 1プライバシーはある程度考慮されるべきだ を 利便性とのバランス については 1 利便性とのバランスを考慮 が 2 負担を強いてでもセキュリティを守る をそれぞれ上回っている 不正アクセス等により想定される被害状況については 個人のプライバシーが脅かされる が 70.7% と最も多く 社会的に深刻な被害には至らないが 自社の事業活動にとっては深刻な被害になる が50.1% で続いている 総論として 今回の調査結果から 多くの社 団体において1 人 1 台以上の端末装置が整備されているほか 外部からのセキュリティ対策 ログ管理などの各種セキュリティ対策への取り組みがおこなわれており その意識は高い その一方で セキュリティ対策にかかるコストが高すぎることや費用対効果が見えないなどの費用や投資に関する問題が多く挙げられる セキュリティ対策に関する教育においては 半数以上の社 団体にて行われているものの端末を使用する1 人 1 人の意識を改善させることがセキュリティ対策には効果があると考えられる また セキュリティ侵害事案発生時における対策マニュアルの策定状況が半数に満たないことは有時の際には被害拡大につながる恐れがあり これらの対策の普及が今後の課題といえる 5

12 2.2. 回答事業体の属性等 る 今年度の回収総数は 704 件であり 業種ごとの回収票数は 1.4. 送付 回収状況 に示したとおりであ 全体 不正アクセス禁止法でアクセス管理者による防御措置についての努力義務 (SA,n=704) 問 1 3.1% 35.7% 知っている 知らなかった 61.2% 全体 従業員規模 (SA,n=704) 問 % 2.7% 2.6% 0.4% 33.9% 100 人未満 100 人以上 300 人未満 1,000 人以上 5,000 人未満 13.2% 500 人以上 1,000 人未満 17.3% 18.8% 300 人以上 500 人未満 5,000 人以上 1 万人未満 1 万人以上 6

13 全体 予算規模 (SA,n=704) 問 4 2.0% 8.0% 2.1% 2.1% 6.8% 7.7% 17.3% 26.1% 27.8% 10 億円未満 100 億円以上 ~1,000 億円未満 10 億円以上 ~50 億円未満 1,000 億円以上 ~5,000 億円未満 50 億円以上 ~100 億円未満 5,000 億円以上 ~1 兆円未満 1 兆円以上適切な指標がない 7

14 2.3. 調査結果概要 1 情報システム等の環境 1-1. 端末装置の整備環境 問 5 端末装置の整備環境については 1 人当たり1 台以上 が79.7% で最も多く 数人で共有 が7.7% 部 課で共有 が3.6% となっている 全体 端末装置の整備環境 (SA,n=704) 7.7% 0.1% 1.0% 3.4% 4.5% 3.6% 1 人当たり 1 台以上 数人で共有 部 課で共有 事業所や拠点で共有 その他 79.7% 端末装置は利用していない 1-2. 事業体内のネットワーク利用状況 問 6 事業体内のネットワーク利用状況については 有線ネットワークと無線ネットワークを併用 が 62.6% で最も多く 次いで 全て有線ネットワークで構築 が 34.9% となっている 全体 事業体内のネットワーク利用状況 (SA,n=704) 0.6% 0.6% 1.3% 有線ネットワークと無線ネットワークを併用 34.9% 全て有線ネットワークで構築 全て無線ネットワークで構築 62.6% LAN を敷設していない 8

15 無線 LAN ネットワークのセキュリティ対策 問 7 無線 LAN ネットワークのセキュリティ対策については WEP 以外による暗号化 (WPA WPA2 等 ) が 66.5% で最も多く 次いで MAC アドレス認証 が 39.3% となっている 全体 無線 LAN ネットワークのセキュリティ対策 (MA,n=445) WEP 以外による暗号化 (WPA WPA2 等 ) 66.5% MAC アドレス認証 39.3% ESS-ID の適切な設定 WEP による暗号化 IEEE802.1.x 27.9% 24.3% 22.5% 電磁波の遮蔽 0.4% その他 特に行っていない 4.7% 2.0% 10.3% 1-3. 外部からの接続許可状況 問 8 外部から事業体内ネットワークへの接続については 業務用で貸与したパソコンのみを許可 が 36.9% で最も多く 次いで 業務用で貸与したスマートフォン タブレット端末のみを許可 が22.3% となっている また 許可していない は35.7% となっている 全体 外部からの接続許可状況 (MA,n=704) 業務用で貸与したパソコンのみを許可 36.9% 業務用で貸与したスマートフォン タブレット端末のみを許可 個人所有のスマートフォン タブレット端末を許可 個人所有のパソコンの接続を許可 16.6% 22.3% 21.6% 許可していない 35.7% 1.3% 9

16 外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 ) 問 9-A 外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 ) については ID パスワードによる認証 が84.2% で最も多く 次いで 通信の暗号化 が42.6% MAC アドレス クライアント証明書等使用する端末機器の固有情報を用いた認証 が 42.1% 専用ネットワークセグメントの設定 が 41.0% となっている 全体 外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 )(MA,n=444) ID パスワードによる認証 84.2% 通信の暗号化 MAC アドレス クライアント証明書等使用する端末機器の固有情報を用いた認証 専用ネットワークセグメントの設定 42.6% 42.1% 41.0% ネットワークトラフィックの監視 22.1% その他 5.4% 2.5% 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 ) 問 9-B 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 ) については ウイルス対策ソフト等の導入 が91.4% で最も多く 次いで OS アプリケーション等をアップデートする仕組みの導入 が 43.5% となっている 全体 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 )(MA,n=444) ウイルス対策ソフト等の導入 91.4% OS アプリケーション等をアップデートする仕組みの導入 43.5% 使用するアプリケーションの制限 ( 外部の端末機器に業務データが残らないアプリに限定等 ) 盗難対策 ( 端末ロック 内部データの遠隔消去等 ) 28.6% 27.9% 内部データの暗号化 18.9% その他 4.5% 4.3% 10

17 1-4. インターネット環境の整備 問 10 インターネット環境の整備については 整備している が 95.0% で最も多く 整備する計画はない は 1.6% であった 全体 インターネット環境の整備 (SA,n=704) 1.4% 1.6% 2.0% 整備している 整備していないが 現在整備を計画中である 整備する計画はない 95.0% インターネット接続に対するセキュリティ対策 問 11 インターネット接続に対するセキュリティ対策については ファイアウォールの導入 が 86.5% で最 も多く 次いで ID パスワード等による認証 が 63.8% となっている 全体 インターネット接続に対するセキュリティ対策 (MA,n=679) ファイアウォールの導入 86.5% ID パスワード等による認証 63.8% ルータによるプロトコル制御 PROXY サーバの設置アクセスログ収集の強化 充実非武装地帯 (DMZ ) の構築 51.0% 50.7% 48.5% 48.3% 侵入検知 防御システム (IDS IPS ) の導入 36.7% その他 4.9% 外部からの接続を伴うサービス等を提供していない 13.8% 特に行っていない 1.9% 0.7% 11

18 1-5. インターネットへの接続の認証方法 問 12 インターネットへの接続の認証方法については ID パスワード認証 が 65.7% で最も多く 認証 なし は 27.5% となっている 全体 インターネットへの接続の認証方法 (MA,n=679) ID パスワード認証 65.7% ICカード トークンデバイス型認証ツール電子証明書 (PKI ) バイオメトリクス ( 指紋等での認証 ) ワンタイムパスワード電話番号規制コールバックその他 3.8% 2.7% 2.4% 2.1% 0.1% 0.0% 2.1% 認証なし 27.5% 2.8% ID パスワードの管理方法 問 13 ID パスワードの管理方法については パスワード長を一定以上に定める が 65.5% で最も多く 次 いで 異動等で使用しなくなった ID はすぐに削除する が 57.8% となっている 全体 ID パスワードの管理方法 (MA,n=446) パスワード長を一定以上に定める異動等で使用しなくなったIDはすぐに削除する IDを複数ユーザーで使わせない定期的にパスワードを強制的に変更させる 65.5% 57.8% 51.1% 47.3% パスワードの複雑性をチェックし 簡単すぎるものは変更させる 32.3% ID パスワードは利用者側の端末に保存されない ID をメールアドレス等の他の用途で流用しない 21.7% 18.6% その他 特に行っていない 2.7% 0.0% 8.7% 12

19 1-6. 不正ログイン対策 問 14 不正ログイン対策については 特に行っていない が49.8% で最も多くなっている 実施している対策では 同一 ID パスワードを固定した繰り返し入力の規制 が24.3% 正規の利用者が使用する通信端末機器の事前登録 が20.8% となっている 全体 不正ログイン対策 (MA,n=679) 同一 ID パスワードを固定した繰り返し入力の規制 正規の利用者が使用する通信端末機器の事前登録 同一 IP アドレスからの誤った ID パスワードの繰り返し入力の規制 12.4% 24.3% 20.8% CAPCHA( プログラムでは読み取り 入力が困難な符号の入力要求 ) その他 0.4% 6.2% 特に行っていない 49.8% 2.2% 1-7. クラウドサービスの利用状況 問 15 クラウドサービスの利用状況については 利用している が 50.7% 利用していない が 43.7% と なっている 全体 クラウドサービスの利用 (SA,n=679) 5.6% 利用している 43.7% 50.7% 利用していない 13

20 利用しているクラウドサービスの種類 問 16 利用しているクラウドサービスの種類については SaaS が 80.8% で最も多く 次いで IaaS が 23.3% となっている 全体 利用しているクラウドサービス (MA,n=344) SaaS 80.8% IaaS 23.3% PaaS 16.6% わからない 9.6% 0.6% クラウドサービスに対する問題点 問 17 クラウドサービスに対する問題点については システムからの情報漏洩対策 ( 機密性 ) に問題を感じている が35.8% で最も多く 次いで 情報セキュリティ対策全体に問題を感じている が21.8% となっている 特に問題はない は37.0% であった 全体 クラウドサービスに対する問題点 (MA,n=679) システムからの情報漏洩対策 ( 機密性 ) に問題を感じている 35.8% 情報セキュリティ対策全体に問題を感じているシステムの継続的稼働 ( 可用性 ) に問題を感じているシステムのログの保管 ( 責任追及性 ) に問題を感じているシステム上のデータの完全性に疑問を感じているその他 21.8% 18.1% 14.0% 12.2% 5.3% 特に問題はない 37.0% 3.2% 14

21 2 アクセスログ取得状況 2-1. ログの取得状況 問 18 ログの取得状況については ファイアウォール 侵入検知システム等 (IDS IPS 等 ) のログ が 66.5% で最も多く 次いで メールサーバのログ が63.6% となっている 全体 ログの取得状況 (MA,n=704) ファイアウォール 侵入検知システム等 (IDS IPS 等 ) のログメールサーバのログウェブサーバへのアクセスログ情報システムへの認証ログデータベースのログクライアントPCのログプロキシサーバのログ 66.5% 63.6% 62.2% 58.4% 58.2% 56.7% 52.4% その他 5.5% 全く取得していない 16.6% 4.0% ログの保管期間 問 18A ログの保管期間については ファイアウォール 侵入検知システム等 (IDS IPS 等 ) のログ データベースのログ と クライアントPCのログ では 決めていない が最も多く その他の種類では 1 年を超える が最も多くなっている 全体 ログの保管期間 ファイアウォール 侵入検知システム等 (IDS IPS 等 ) のログ (n=468) 8.1% 4.3% 14.3% 7.5% 10.9% 23.1% 23.7% 6.0% 1.3% 0.9% ウェブサーバへのアクセスログ (n=438) 9.4% 2.3% 13.0% 5.7% 12.8% 25.6% 22.4% 5.5% 2.1% 1.4% メールサーバのログ (n=448) 8.9% 12.9% 7.4% 11.8% 26.8% 19.9% 3.3% 4.2% 3.6% 1.1% プロキシサーバのログ (n=369) 6.8% 13.3% 8.1% 13.6% 24.1% 18.2% 6.2% 6.2% 2.4% 1.1% 情報システムへの認証ログ (n=411) 9.7% 7.3% 10.2% 28.7% 24.6% 7.1% 1.2% 5.8% 3.9% 1.5% データベースのログ (n=410) 6.6% 7.1% 22.2% 26.1% 6.8% 6.6% 12.9% 1.5% 4.9% 5.4% クライアント PC のログ (n=399) 6.8% 10.3% 28.6% 29.1% 5.8% 11.3% 0.8% 3.0% 3.8% 0.8% その他のログ (n=39) 10.3% 2.6% 2.6% 2.6% 2.6% 28.2% 20.5% 10.3% 10.3% 10.3% 1 週間以下 1か月間 3か月間 6か月間 1 年間 1 年を超える 決めていない その他 保管していない 15

22 ログの解析頻度 問 18B ログの解析頻度については すべてのログの種類で 問題発生時 が最も多くなっている 全体 ログの解析頻度 ファイアウォール 侵入検知システム等 (IDS IPS 等 ) のログ (n=468) ウェブサーバへのアクセスログ (n=438) メールサーバのログ (n=448) プロキシサーバのログ (n=369) 情報システムへの認証ログ (n=411) データベースのログ (n=410) クライアント PC のログ (n=399) その他のログ (n=39) 11.1% 8.7% 10.3% 9.2% 8.8% 6.1% 6.0% 2.2% 1.8% 3.4% 15.4% 2.7% 1.4% 2.7% 5.9% 5.3% 6.2% 8.9% 8.9% 7.3% 8.9% 9.2% 12.8% 1.9% 0.9% 1.1% 2.6% 2.1% 1.1% 0.9% 1.4% 1.8% 0.9% 0.9% 1.6% 1.6% 1.1% 0.8% 1.1% 0.7% 1.2% 0.7% 1.5% 0.5% 1.0% 0.2% 1.0% 0.5% 0.8% 1.0% 1.5% 40.7% 48.4% 25.6% 45.2% 46.3% 46.2% 47.8% 42.1% 17.3% 25.6% 17.4% 17.1% 19.5% 4.4% 22.1% 16.9% 16.3% 7.1% 5.1% 3.2% 3.4% 1.5% 4.1% 5.0% 1.8% 2.7% 4.9% 1.3% 3.0% 3.2% 2.0% 10.3% 6.8% 6.1% 13.7% 毎日 毎週 毎月 3ヶ月 6ヶ月 1 年 1 年を超える 問題発生時 決めていない その他 未実施 8.5% 2.7% 2.2% 2.3% 5.1% ログを取得 保管している理由 問 19 ログを取得 保管している理由については 不正アクセス等外部からの不正行為を記録するため が 84.6% で最も多く 次いで 従業員等内部の不正行為を記録するため が 62.8% となっている 全体 ログを取得 保管している理由 (MA,n=559) 不正アクセス等外部からの不正行為を記録するため 84.6% 従業員等内部の不正行為を記録するため システムの管理 改善等に役立てるため 55.6% 62.8% 法令等により記録が義務付けられているため サービスその他業務に反映させるため 13.6% 17.7% 料金請求に活用するなど 業務に必要であるためその他特に目的はない 1.8% 2.7% 2.9% 1.3% 16

23 3 Webサイトの管理環境 3-1. Webサイトの管理状況 問 20 Webサイトの管理状況ついては 一部外部業者に委託 が39.9% で最も多く 次いで 全て外部業者に委託 が32.0% 自社管理 が23.2% となっている 全体 Web サイトの管理状況 (SA,n=704) 3.1% 1.8% 一部外部業者に委託 23.2% 39.9% 全て外部業者に委託 自社管理 ウェブサイトがない 32.0% Web サーバのログ保管期間 問 21 Web サーバのログ保管期間については 特に期間は決まっていない が 40.4% で最も多く 次いで 1 年間 が 12.3% 3 か月間 が 7.3% となっている 一方 保管はしていない は 10.3% であった 全体 Web サーバのログ保管期間 (SA,n=669) 10.3% 4.8% 特に期間は決まっていない 1 年間 12.1% 1.5% 40.4% 3 か月間 1 か月間 6 か月間 4.3% 7.0% 7.3% 12.3% 1 週間以下その他保管はしていない 17

24 3-2. Webサイト改ざんに対するセキュリティ対策 問 22 Webサイト改ざんに対するセキュリティ対策については 管理者用アカウントのパスワードの複雑化 が43.3% で最も多く 次いで リモートアクセスの接続元を限定 が 42.5% 常に最新のパッチを適用 が42.0% となっている 全体 Web サイト改ざんに対するセキュリティ対策 (MA,n=669) 管理者用アカウントのパスワードの複雑化 リモートアクセスの接続元を限定 常に最新のパッチを適用 43.3% 42.5% 42.0% IDS,IPS,WAF 等のセキュリティ機器やサービスを利用 デフォルトアカウントを利用停止 または利用制限 24.4% 22.9% Web コンテンツの変更履歴を定期的に確認 Web システムの設定状況を定期的に確認その他 14.8% 13.3% 16.4% 7.6% 3-3. 連続自動入力プログラムによる不正ログイン攻撃についての調査 問 23 連続自動入力プログラムによる不正ログイン攻撃についての調査については 不正ログイン攻撃の存在は知っていたが 調査は実施していない が37.2% で最も多く 次いで 利用者にID パスワード入力を求めるWebサービスを提供していない が31.2% となっている 全体 連続自動入力プログラムによる不正ログイン攻撃についての調査 (SA,n=669) 7.2% 4.3% 不正ログイン攻撃の存在は知っていたが 調査は実施していない 10.5% 9.6% 37.2% 利用者に ID パスワード入力を求める Web サービスを提供していない 調査した結果 攻撃を受けた事実は判明しなかった 調査した結果 攻撃を受けた ( おそれがある場合を含む ) ことが判明した 不正ログイン攻撃の存在を知らなかったので 調査は実施していない 31.2% 18

25 4 公開サービスに関する情報セキュリティ対策 4-1. 電子メールに関するセキュリティ対策の実施 問 24 電子メールに関するセキュリティ対策の実施については 外部業者 ( プロバイダ セキュリティ事業者等 ) に委託 が49.4% で最も多く 次いで 自社で実施 が43.3% となっている 全体 電子メールに関するセキュリティ対策の実施 (SA,n=704) 0.1% 3.0% 4.1% 外部業者 ( プロバイダ セキュリティ事業者等 ) に委託 自社で実施 49.4% 特に行っていない 43.3% 電子メールは使用していない メールサーバ等でのセキュリティ対策 問 25 メールサーバ等でのセキュリティ対策については ウイルスチェック が86.1% で最も多く 次いで フィルタリング( 特定の条件を満たすメールの配信をしない ) が 58.0% 常に最新のパッチを適用 が45.3% となっている 全体 メールサーバ等でのセキュリティ対策 (MA,n=653) ウイルスチェック 86.1% フィルタリング ( 特定の条件を満たすメールの配信をしない ) 58.0% 常に最新のパッチを適用 45.3% 不正中継の防止利用メールソフトの指定 制限特定の拡張子を持つファイルが添付されている場合に送 受信を拒否メール利用の制限 ( 利用可能者の限定 利用端末の限定等 ) 36.0% 30.9% 27.1% 26.0% SPF (Sender Policy Framework ) の導入 16.4% 特定ドメイン アドレスからのメールのみ送 受信その他送信者認証 DKIM(DomainKeys Identified Mail) の導入電子署名の利用その他わからない 7.5% 5.2% 2.8% 2.0% 3.8% 3.2% 1.1% 19

26 添付ファイルの取り扱い 問 26 添付ファイルの取り扱いについては ウイルスチェックをしてから受信 が 85.5% で最も多い 一方 特にチェックもせずに受信 は 9.8% であった 全体 添付ファイルの取り扱い (SA,n=653) ウイルスチェックをしてから受信 85.5% 無害化 振る舞い検知等をしてから受信 14.5% 特にチェックもせず受信 9.8% パスワード設定の添付ファイルのみ受信 1.1% 添付ファイル付きの電子メールは一切受信しない 0.2% その他 4.1% 1.5% 4-2. DNS サーバの管理状況 問 27 DNS サーバの管理状況については 部外業者 ( プロバイダ セキュリティ事業者等 ) に委託 が 44.7% で最も多く 次いで 自社で管理 が 40.5% となっている 全体 DNS サーバの管理状況 (SA,n=704) 9.7% 5.1% 部外業者 ( プロバイダ セキュリティ事業者等に委託 ) 44.7% 自社で管理 DNS サーバを利用していない 40.5% 20

27 DNSサーバのセキュリティ対策 問 28 DNSサーバのセキュリティ対策については 常に最新のパッチを適用 が43.7% で最も多く 次いで DNSソフトウエア等の設定を適切に変更し DNS 機能を制限 が 27.0% 他のセキュリティ機器 機能 または外部のサービスを用いて 一部制限 が21.3% となっている 全体 DNS サーバのセキュリティ対策 (MA,n=600) 常に最新のパッチを適用 43.7% DNS ソフトウェア等の設定を適切に変更し DNS 機能を制限 他のセキュリティ機器 機能 または外部のサービスを用いて 一部制限 21.3% 27.0% 外部からのアクセスを許可する DNS サーバはない 12.7% DNSSEC 等のセキュリティ機能を導入 レジストリロックサービス等 不正な登録情報の変更を制限 3.7% 2.7% わからない 24.7% 4.0% 21

28 5 情報セキュリティの運用 管理体制及び過去に受けたことのある被害状況 5-1. 情報セキュリティ対策の必要性の理由 問 29 情報セキュリティ対策の必要性の理由については ウイルス等のマルウェアの感染を防ぐため が 87.6% で最も多く 次いで インターネット上に顧客情報等の部内情報が漏れるのを防ぐため が 74.0% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐため が61.9% セキュリティ事故がブランドイメージや業績に与える影響を避けるため が60.7% となっている 全体 情報セキュリティ対策の必要性の理由 (MA,n=704) ウイルス等のマルウェアの感染を防ぐため 87.6% インターネット上に顧客情報等の部内情報が漏れるのを防ぐため 74.0% システムの乗っ取り等により犯罪等へ悪用されるのを防ぐため セキュリティ事故がブランドイメージや業績に与える影響を避けるため 61.9% 60.7% DDoS 攻撃等によるシステムダウンを防ぐため 事業を行う上で必要不可欠なため 顧客等との取引を万全なものとするため 45.6% 45.2% 42.2% 過去に不正アクセス等の被害にあったため 顧客等から要請があるため 19.5% 15.9% その他 0.9% 1.0% 22

29 5-2. 過去に受けたことのある被害状況 問 30 過去に受けたことのある被害状況については ランサムウェア が 35.8% で最も多く 次いで ホー ムページの改ざん が 34.3% 電子メールの不正中継 が 29.2% となっている 全体 過去に受けたことのある被害状況 (MA,n=137) ランサムウェアホームページの改ざん電子メールの不正中継端末機器 (PC スマホ等 ) の盗難システム損壊等による業務妨害ウイルス以外の情報流出ウイルスによる情報流出外部記録媒体の盗難フィッシングサイトの開設偽サイト等模倣サイトの開設 Web 等での誹謗 中傷被害インターネットバンキング不正送金ネットワーク利用詐欺その他データ盗用 ( キーロガー含 ) 15.3% 13.1% 9.5% 8.8% 6.6% 4.4% 3.6% 3.6% 3.6% 2.2% 5.1% 6.6% 29.2% 35.8% 34.3% 攻撃手段 問 30 攻撃手段については ウイルス等の感染 が 54.0% で最も多く 次いで 部外からの不正アクセス が 31.4% DDos 攻撃 が 23.4% となっている 全体 攻撃手段 (MA,n=137) ウイルス等の感染 54.0% 部外からの不正アクセス 31.4% DDoS 攻撃 踏み台 ( バックドア設置等 ) 23.4% 21.2% システム損壊 データ改ざん 13.1% 内部の者のネットワーク悪用 その他 4.4% 8.0% 8.8% 23

30 届出先機関等 問 31 届出先機関等については 警察 が 32.8% で最も多く 次いで 監督官庁 が 29.2% となっている 一方 届け出なかった は 43.8% となっている 全体 届出先機関等 (MA,n=137) 警察 監督官庁 29.2% 32.8% IPA ( 情報処理推進機構 ) JPCERT/CC 6.6% 9.5% 国民生活センター 消費生活センター 0.0% その他 10.2% 届け出なかった 43.8% 2.2% 届出した理由 問 31 届出した理由については 届出義務があるため が 66.2% で最も多く 次いで 被害拡大を阻止する ため が 37.8% 事案解決を求めて が 32.4% となっている 全体 届出した理由 (MA,n=74) 届出義務があるため 66.2% 被害拡大を阻止するため 事案解決を求めて 32.4% 37.8% 関係者 ( 株主等 ) への説明責任を果たすため 解決方法を知るため 行政機関からの指導により 16.2% 13.5% 12.2% 情報セキュリティ事業者からの意見により報道されたため法律職 ( 弁護士等 ) からの意見により利用者からの指摘によりその他 4.1% 2.7% 2.7% 1.4% 2.7% 1.4% 24

31 届出を躊躇させる要因 問 32 届出を躊躇させる要因については 自社内だけの被害だったので が 60.0% で最も多く 次いで 社 団体内で対応できたので が 31.7% となっている 全体 届出を躊躇させる要因 (MA,n=60) 自社内だけの被害だったので 60.0% 社 団体内で対応できたので 31.7% 届出するべきなのかわからなかった届出義務がないので問題解決にならないのでどこに届ければいいかわからなかった 18.3% 13.3% 13.3% 13.3% 自社 団体の信用が低下するので 面倒なので 競合他社に知られたくないので 1.7% 1.7% 5.0% その他 11.7% 0.0% 25

32 被害を受けたことによる対策 問 33 被害を受けたことによる対策については セキュリティ教育の実施 強化 が 43.1% で最も多く 次 いで ウイルス等対策製品の導入 強化 及び 最新パッチの適応 が同じく 34.3% となっている 全体 被害を受けたことによる対策 (MA,n=137) セキュリティ教育の実施 強化ウイルス等対策製品の導入 強化最新パッチの適応不正アクセスが行われていないかどうかネットワークの監視ソフトウェアのバージョンアップシステム上にセキュリティホールがないかどうか検査 診断ファイアウォールの設置 強化不必要なサービスの停止セキュリティポリシーの策定 見直しセキュリティコンサルティングの利用認証機能の導入 強化クラウド等の外部セキュリティサービスの利用ネットワークの再構築セキュリティ監査の実施弁護士への相談その他不明特に何も対策を講じていない 43.1% 34.3% 34.3% 29.9% 28.5% 27.0% 21.9% 21.2% 19.7% 12.4% 10.9% 10.9% 9.5% 8.0% 2.2% 11.7% 0.0% 0.7% 2.9% 5-3. ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無 問 34 ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無については 実施していない が 54.7% で最も 多い 実施しているとの回答では 定期点検のため実施 が 28.1% と多くなっている 全体 ぜい弱性調査 ( ペネトレーションテスト ) 実施の有無 (MA,n=704) 定期点検のため実施 28.1% 外部からの攻撃を受けた ( 可能性を含む ) ため実施 関係業者 団体が被害に遭ったことを知ったため実施 その他 1.8% 1.4% 6.4% 実施していない 54.7% 8.9% 26

33 5-4. 情報セキュリティ運用 管理専門部署の有無 問 35 情報セキュリティ運用 管理専門部署の有無については ある が 47.6% ない が 50.0% となっ ており ない がやや上回っている 全体 情報セキュリティ運用 管理専門部署の有無 (SA,n=704) 1.3% 1.1% ない ある 47.6% 50.0% 今後 設置予定 5-5. 情報セキュリティ管理体制 問 36 情報セキュリティ管理体制については 情報システム運用管理者が情報セキュリティについても兼務 が57.2% で最も多く 次いで 情報セキュリティ担当役員を設置 が23.3% 情報システム運用管理者以外の者が情報セキュリティについて兼務 が18.9% となっている 全体 情報セキュリティ管理体制 (MA,n=704) 情報システム運用管理者が情報セキュリティについて兼務 57.2% 情報セキュリティ担当役員を設置 23.3% 情報システム運用管理者以外の者が情報セキュリティについて兼務 18.9% 設置していない 16.9% 専従の担当者を設置 10.4% 1.0% 27

34 5-6. セキュリティポリシーの策定状況 問 37 セキュリティポリシーの策定状況については 策定している が65.8% で最も多く 次いで 今のところ 策定する予定はない が11.2% 今後 策定する予定である が8.5% となっている 策定している 今後 策定する予定である 現在 策定作業中である を加えた 策定 ( 予定 ) は 全体の77.3% となっている 全体 セキュリティポリシーの策定状況 (SA,n=704) 7.0% 3.6% 3.0% 1.0% 策定している 今のところ 策定する予定はない 8.5% 今後 策定する予定である 策定しない 11.2% 非公開情報のため 答えられない 65.8% 現在 策定作業中である 5-7. 情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況 問 38 情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況については 策定することを検討 が 37.9% で最も多く 次いで 策定している が 34.9% となっている 全体 情報セキュリティ侵害事案発生時の対応マニュアル等の策定状況 (SA,n=704) 8.5% 6.5% 1.8% 37.9% 策定することを検討 策定している 10.2% 策定していないが 策定作業中 策定する必要はない 非公開情報のため 答えられない 34.9% 28

35 5-8. セキュリティ対策に関する部外チェック等の利用状況 問 39 セキュリティ対策に関する部外チェック等の利用状況については 特に利用していない が62.6% で最も多く 次いで 認証は取得していないが 部外事業者等専門家によるチェックを実施 が 13.2% 部内の専門知識を有する職員がチェックを実施 が11.9% となっている 全体 セキュリティ対策に関する部外チェック等の利用状況 (SA,n=704) 2.3% 認証は取得していないが 部外事業 13.2% 者等専門家によるチェックを実施 62.6% 11.9% 6.4% 3.6% 部内の専門知識を有する職員がチェックを実施 ISMS 等情報管理関係の認証を取得 その他 特に利用していない 5-9. セキュリティ監査の実施 ( 予定 ) 頻度 問 40 セキュリティ監査の実施 ( 予定 ) 頻度については 1 年ごとに が 49.4% で最も多く 次いで 特に 決まっていない ( 不定期 ) が 26.7% 半年ごとに が 8.1% となっている 全体 セキュリティ監査の実施 ( 予定 ) 頻度 (SA,n=247) 0.8% 5.3% 6.9% 2.0% 8.1% 0.8% 1 年ごとに特に決まっていない ( 不定期 ) 半年ごとに 49.4% 隔年 (2 年 ) ごとに 3か月ごとに その他 26.7% 実施していない 29

36 6 情報セキュリティ教育 6-1. 情報セキュリティ教育の実施状況 問 41 情報セキュリティ教育の実施状況については 実施している が59.8% で最も多く 次いで 実施はしていないが必要性を感じている が31.7% となっている 全体 情報セキュリティ教育の実施状況 (SA,n=704) 4.0% 3.3% 1.3% 実施している 実施はしていないが必要性を感じている 31.7% 実施を予定している 59.8% 全く必要性を感じない 6-2. 情報セキュリティ教育の目的 問 42 情報セキュリティ教育の目的については 情報セキュリティに対する意識の向上 が97.8% で最も多く 次いで 情報セキュリティポリシーの普及 が62.4% 社 団体内の不正行為の防止 が50.3% となっている 全体 情報セキュリティ教育の目的 (MA,n=449) 情報セキュリティに対する意識の向上 97.8% 情報セキュリティポリシーの普及 62.4% 社 団体内の不正行為の防止 50.3% 自己啓発 16.9% その他 1.1% 0.0% 30

37 6-3. 情報セキュリティ教育の内容 問 43 情報セキュリティ教育の内容については 個人情報の保護 管理 が82.4% で最も多く 次いで ウイルス等のマルウェア対策 ( システムぜい弱性 堅牢化設定等 ) が75.3% 機密情報の保護 管理 が74.4% となっている 全体 情報セキュリティ教育の実施内容(MA,n=449) 個人情報の保護 管理 ウイルス等のマルウェア対策 ( システムぜい弱性 堅牢化設定等 ) 機密情報の保護 管理 情報システム利用に係るモラル 情報セキュリティポリシー 82.4% 75.3% 74.4% 72.2% 67.7% 情報へのアクセス管理 ( パスワード管理等 ) 59.7% 緊急時の対応 文書の管理 社外ネットワークへの接続 27.4% 33.4% 39.2% ソーシャルエンジニアリング対策 サイバー犯罪の防止 技術的なセキュリティ対策 13.4% 19.6% 17.8% その他 2.0% 0.2% 6-4. 情報セキュリティ教育の頻度 問 44 情報セキュリティ教育の頻度については 年に 1 回 が 41.9% で最も多く 次いで 年に数回 が 27.6% 採用 異動時等に実施 が 13.6% となっている 全体 情報セキュリティ教育の実施頻度(SA,n=449) 6.2% 3.6% 1.6% 年に1 回 5.6% 年に数回 41.9% 採用 異動時等に実施 13.6% 2 3 年に 1 回 月に 1 回以上 その他 27.6% 31

38 7 技術的セキュリティ対策 7-1. 暗号化技術の用途 問 45 暗号化技術の用途については 個人情報等の重要な情報の通信 (SSL 等の暗号化通信 ) が49.9% で最も多く 次いで 記憶媒体上の情報 ( ファイルの暗号化 ) が34.7% 認証情報( 電子証明書 ) が 27.7% となっている 全体 暗号化技術の用途 (MA,n=704) 個人情報等の重要な情報の通信 (SSL 等の暗号化通信 ) 49.9% 記憶媒体上の情報 ( ファイルの暗号化 ) 認証情報 ( 電子証明書 ) 暗号メール記録媒体全体 34.7% 27.7% 18.6% 11.4% その他 2.4% 利用していない 24.1% 1.7% 32

39 7-2. 重要システムの不正アクセス対策状況 問 46 重要システムの不正アクセス対策状況については データのバックアップを行っている が83.0% で最も多く 個人 PCの接続制限を行っている が42.6% 基幹業務システム専用のファイアウォール ルータ ( ネットワークアクセス制御機能 ) を導入している が41.2% で続いている 全体 重要システムの不正アクセス対策状況 (MA,n=704) データのバックアップを行っている 83.0% 個人 PC の接続制限を行っている 基幹業務システム専用のファイアウォール ルータ ( ネットワークアクセス制御機能 ) を導入している 重要な基幹業務システムは他のネットワークと分離した専用ネットワークを構築している システムの冗長化 ( ネットワークの冗長化を含む ) を行っている 無線 LAN の使用制限を行っている 外部のネットワークに接続していない 42.6% 41.2% 39.3% 37.5% 36.2% 34.5% 指定回数以上のログイン失敗時のアカウント失効等 不正操作に対して自動的に制限をかける機能を導入している 22.0% 緊急時にはシステムを自動停止する仕組みを導入しているその他上記 1.~10. のような対策は行っていない 4.1% 2.0% 3.3% 1.1% 33

40 7-3. セキュリティパッチの適用状況 問 47 セキュリティパッチの適用状況については 頻繁 (1か月に1 回以上 ) にセキュリティ関連サイトを確認し 常に最新のパッチを適用している が28.3% で最も多く 次いで 定期的に確認はしていないが サーバの管理者等の裁量で適用している が23.7% 定期的( 四半期 ~ 半年に1 回程度 ) にセキュリティ関連サイトを確認し 必要なパッチを適用している が20.2% となっている 全体 セキュリティパッチの適用状況 (SA,n=704) 3.3% 10.1% 5.7% 2.3% 28.3% 頻繁 (1 か月に 1 回以上 ) にセキュリティ関連サイトを確認し 常に最新のパッチを適用している 定期的に確認はしていないが サーバの管理者等の裁量で適用している 定期的 ( 四半期 ~ 半年に 1 回程度 ) にセキュリティ関連サイトを確認し 必要なパッチを適用している 問題が発生するまでパッチは適用しない 6.5% パッチを適用していない わからない 20.2% 23.7% その他 34

41 7-4. 不正アクセス等への対策状況 問 48 不正アクセス等への対策状況については 定期的なバックアップ が 75.6% で最も多く 次いで パ ソコン廃棄時の適正なデータ消去 が 74.9% 情報資産へのアクセス権の設定 が 64.3% となっている 全体 不正アクセス等への対策状況 (MA,n=704) 定期的なバックアップ パソコン廃棄時の適正なデータ消去 75.6% 74.9% 情報資産へのアクセス権の設定 64.3% 許可していないソフトウェアの制限 定期的なパスワード変更 アクセスログの取得 ログの分析 内部ネットワークのファイアウォール 侵入検知システム (IDS ) の導入 メールのフィルタリング 外部 Web サイトへのアクセス制限 共有 ID パスワードの禁止 印刷物 電子媒体の持出し 廃棄管理 個人認証のためのシステム導入 ( 添付ファイルの利用制限等 ) ユーザアカウントの定期的なチェック バックアップの履歴管理 47.2% 46.7% 43.9% 41.2% 40.8% 38.2% 30.0% 29.5% 28.6% 25.3% 25.1% その他 特に何も行っていない 1.0% 1.6% 5.3% 35

42 7-5. 不正プログラムへの対策状況 問 49 不正プログラムへの対策状況については ウイルス対策ソフト ( クライアント ) の使用 が92.6% で最も多く 次いで ウイルス対策ソフト ( サーバ ) の使用 が78.7% パターンファイルを定期的に更新する ( 自動更新システムを利用 ) が74.0% となっている 全体 不正プログラムへの対策状況 (MA,n=704) ウイルス対策ソフト ( クライアント ) の使用 92.6% ウイルス対策ソフト ( サーバ ) の使用 パターンファイルを定期的に更新する ( 自動更新システムを利用 ) 74.0% 78.7% パッチによる OS 等のバージョンアップ ( 自動更新システムを利用 ) 許可されていないソフトウェアのインストール制限 48.7% 45.0% USB メモリ等の外部記録媒体の使用禁止パッチによるOS 等のバージョンアップ ( 管理者が手動で更新 ) プロバイダのウイルス等駆除サービスの利用ファイル等のダウンロード制限メールの添付ファイルの削除または実行制限パッチによるOS 等のバージョンアップ ( 社員自らが更新 ) 検疫システムの導入パターンファイルを定期的に更新する ( 社員自らが更新 ) パターンファイルを定期的に更新する ( 管理者が手動で更新 ) その他実施していない 26.0% 21.4% 19.5% 16.3% 13.9% 13.5% 10.2% 7.8% 7.7% 1.3% 2.1% 1.1% 7-6. 標的型攻撃への対策状況 問 50 標的型攻撃への対策状況については 添付ファイル等に対する個別対策 が 44.5% で最も多く 次い で 標的型攻撃に関する教育 が 42.2% となっている 全体 標的型攻撃への対策状況 (MA,n=704) 添付ファイル等に対する個別対策 標的型攻撃に関する教育 44.5% 42.2% 標的型攻撃への対応訓練フリーメール等に対する個別対策上司への即時報告等のマニュアル化その他 18.3% 15.9% 15.3% 12.1% 12.9% 36

43 8 セキュリティサービスの利用状況 8-1. 利用しているセキュリティサービス 問 51 利用しているセキュリティサービスについては ウイルス等監視 が42.5% で最も多く 次いで セキュリティ運用 監視 が28.3% となっており 一方 利用していない は26.7% となっている 全体 利用しているセキュリティサービス (MA,n=704) ウイルス等監視セキュリティ運用 監視 Web アプリケーション診断社外での研修による教育の実施ログ解析セキュリティ監査ポリシー策定ハウジングサービス標的型攻撃対策プラットフォーム診断緊急対応 DDoS 対策損害保険 ( 不正アクセス等対応 ) パッチマネジメントセキュアシステム構築リスク分析フォレンジックサービスその他利用していない 16.3% 16.1% 15.5% 15.1% 13.1% 11.6% 11.5% 9.8% 7.7% 7.2% 6.1% 6.0% 5.5% 4.1% 2.4% 1.3% 1.7% 28.3% 26.7% 42.5% 8-2. 今後 利用したいセキュリティサービス 問 52 今後 利用したいセキュリティサービスについては 標的型攻撃対策 が 24.6% で最も多く 次いで セキュリティ運用 監視 が 24.4% 社外での研修による教育の実施 が 17.3% となっている 全体 今後 利用したいセキュリティサービス (MA,n=704) 標的型攻撃対策セキュリティ運用 監視社外での研修による教育の実施セキュリティ監査ログ解析ウイルス等監視リスク分析緊急対応 Web アプリケーション診断セキュアシステム構築 DDoS 対策プラットフォーム診断フォレンジックサービスポリシー策定損害保険 ( 不正アクセス等対応 ) パッチマネジメントハウジングサービスその他特にない 24.6% 24.4% 17.3% 15.6% 14.6% 14.6% 14.5% 11.8% 11.5% 8.9% 8.8% 7.8% 7.7% 7.2% 6.0% 4.1% 3.8% 1.7% 21.4% 5.1% 37

44 8-3. セキュリティサービスを利用していない理由 問 53 セキュリティサービスを利用していない理由については 予算がない が 52.7% で最も多く 次いで 価格が見合わない が 28.2% となっており 金銭面の理由が上位に挙げられている 全体 セキュリティサービスを利用していない理由 (MA,n=188) 予算がない 52.7% 価格が見合わない 28.2% 社 団体内にノウハウの蓄積を行いたい 社 団体内に高い専門性やノウハウ 技術力があり 必要性がない 社 団体内の担当者だけで必要な人員が確保されているため 必要性がない 機密情報の漏えいにつながることが懸念される 9.6% 8.5% 8.5% 4.3% 要求に合致するサービスが提供されていない 2.1% その他 11.7% 8.5% 38

45 9 セキュリティ対策費用 年度情報セキュリティ対策の投資計画 問 年度情報セキュリティ対策の投資計画については 今期と比較して ほぼ同額とする計画 であるとする割合が70.3% で最も多い 増やす計画であるとする各項目の合計は23.2% で 減らすとする各項目の合計は3.5% となっている 全体 2017 年度情報セキュリティ対策の投資計画 (SA,n=704) 2.3% 0.9% 0.3% 3.1% 3.0% 5.0% 15.2% 70.3% ほぼ同額 (-10 ~+10%) とする計画小幅に増やす (+10 ~+30%) 計画かなり増やす (+30 ~+50%) 計画大幅に増やす (+50% 以上 ) 計画小幅に減らす (-10 ~-30%) 計画大幅に減らす (-50% 以上 ) 計画かなり減らす (-30 ~-50%) 計画 9-2. 情報セキュリティ対策への投資に関する問題点 問 55 情報セキュリティ対策への投資に関する問題点については どこまで行えば良いのか基準が示されていない が51.3% で最も多く 次いで 費用対効果が見えない が47.3% コストがかかりすぎる が42.5% となっている 全体 情報セキュリティ対策への投資に関する問題点 (MA,n=704) どこまで行えば良いのか基準が示されていない 費用対効果が見えない コストがかかりすぎる 42.5% 51.3% 47.3% 対策を構築するノウハウが不足している 27.8% 教育訓練が行き届かない従業員への負担がかかりすぎるトップの理解が得られない情報を資産として考える習慣がない最適なツール サービスがないその他 16.1% 13.5% 11.2% 8.8% 7.7% 2.0% 4.7% 39

46 10 情報セキュリティ対策に関する考え方 設問内容 問 56 情報セキュリティ対策を実施する上での方針について 投資方針 等 6つの項目に関して相対する 2つの考え (12) を提示し 社 団体等における考え方が12の考え方のいずれに近いかについて質問している 投資方針 については 2 積極的 とする回答が 1 必要最低限 とする回答を大幅に上回っている 事後的対応と予防的対応 については 2 予防的対応 とする回答が 1 問題発生への適切な対応 とする回答を大幅に上回っている 対応すべき範囲 については 1 人的 技術的な対策で十分 とする回答が 2 保険的対応が必要 を上回っている 非技術的対応 については 1 教育と情報提供を中心とした対応 とする回答が 2 規則 罰則も含む強制力のある対応 とする回答を上回っている プライバシーの考慮 については 2ある程度のプライバシーの侵害はやむをえない とする回答が 1プライバシーはある程度考慮されるべきだ とする回答をやや上回っている 利便性とのバランス については 1 利便性とのバランスを考慮 とする回答が 2 負担を強いてでもセキュリティを守る とする回答を上回っている 全体 情報セキュリティ対策実施上の方針 (SA,n=704) 投資方針 26.3% 53.1% 12.1% 5.0% 3.6% 事後的対応と予防的対応 25.3% 51.7% 14.3% 5.0% 3.7% 対応するべき範囲 7.5% 47.9% 35.1% 5.5% 4.0% 非技術的対応 14.6% 47.3% 26.4% 7.5% 4.1% プライバシーの考慮 8.4% 36.4% 39.3% 12.2% 3.7% 利便性とのバランス 12.9% 44.9% 33.0% 5.4% 3.8% ほぼ 1 の考え方と同様であるどちらかといえば 1 の考え方に近いどちらかといえば 2 の考え方に近い ほぼ 2 の考え方と同様である 40

47 10-2. 不正アクセス等により想定される被害状況 問 57 不正アクセス等により想定される被害状況については 個人のプライバシーが脅かされる が70.7% で最も多く 社会的に深刻な被害には至らないが 自社の事業活動にとっては深刻な被害になる が 50.1% で続いている 全体 不正アクセス等により想定される被害状況 (MA,n=704) 個人のプライバシーが脅かされる 70.7% 社会的に深刻な被害には至らないが 自社の事業活動にとっては深刻な被害になる 50.1% 顧客や取引先等の財産が脅かされる 40.6% 行政機能が脅かされる 21.9% 顧客等の人命や健康が脅かされる 経済活動全般が脅かされる ( 金融為替取引の停止 混乱や資本逃避等 ) 国民の生活環境が脅かされる ( 治安悪化や環境汚染等 ) エネルギー供給や水供給 交通システム等のライフラインが脅かされる その他 12.1% 8.8% 7.1% 6.8% 1.3% 特に深刻な被害にはならない 4.8% 1.8% 41

48 3. 基本分析 3.1. 情報システム等の環境 端末装置の整備環境 問 5 全体 全体では 1 人当たり1 台以上 が79.7% で最も多く 数人で共有 が 7.7% 部 課で共有 が3.6% となっている 一方 端末装置は利用していない は0.1% であり 何らかの形で端末を利用していることが分かる 全体 端末装置の整備環境 (SA,n=704) 7.7% 0.1% 1.0% 3.4% 4.5% 3.6% 1 人当たり 1 台以上 数人で共有 部 課で共有 事業所や拠点で共有 その他 79.7% 端末装置は利用していない 42

49 業種別分析 業種別にみると 1 人当たり 1 台以上 では 情報通信 が 100.0% で最も多く 次い で エネルギー が 91.7% 不動産 建築 が 90.7% 教育 が 90.0% となっている 一方 最も少な いのは 運輸業 で 58.1% となっている 業種別分析 端末装置の利用環境 農林 水産 鉱業 (n=6) 50.0% 16.7% 16.7% 16.7% 製造業 (n=113) 71.7% 15.0% 8.8% 3.5% 0.9% 不動産 建築 (n=43) 90.7% 4.7% 2.3% 2.3% 金融 (n=36) 83.3% 11.1% 5.6% エネルギー (n=12) 91.7% 8.3% 運輸業 (n=62) 58.1% 12.9% 14.5% 9.7% 3.2% 1.6% 情報通信 (n=22) 100.0% サービス (n=148) 教育 (n=110) 74.3% 90.0% 8.1% 10.8% 4.1% 0.7% 1.4% 0.7% 2.7% 1.8% 0.9% 3.6% 0.9% 行政サービス (n=137) 86.9% 4.4% 2.9% 5.1% 0.7% 全体 (n=704) 79.7% 7.7% 3.6% 4.5% 3.4% 0.1% 1.0% 1 人当たり1 台以上 数人で共有 部 課で共有 事業所や拠点で共有 その他 端末装置は利用していない 43

50 事業体内のネットワーク利用状況 問 6 全体 全体では 有線ネットワークと無線ネットワークを併用 が 62.6% で最も多く 次いで 全て 有線ネットワークで構築 が 34.9% となっている 全体 事業体内のネットワーク利用状況 (SA,n=704) 0.6% 0.6% 1.3% 有線ネットワークと無線ネットワークを併用 34.9% 全て有線ネットワークで構築 全て無線ネットワークで構築 62.6% LAN を敷設していない 44

51 業種別分析 業種別にみると 有線ネットワークと無線ネットワークを併用 については 教育 が 94.5% で最も多い 一方 全て有線ネットワークで構築 は エネルギー が 75.0% 行政サービ ス が 62.8% で多くなっている 業種別分析 事業体内のネットワーク利用状況 農林 水産 鉱業 (n=6) 33.3% 50.0% 16.7% 製造業 (n=113) 72.6% 23.9% 0.9% 2.7% 不動産 建築 (n=43) 39.5% 58.1% 2.3% 金融 (n=36) 52.8% 47.2% エネルギー (n=12) 25.0% 75.0% 運輸業 (n=62) 61.3% 35.5% 1.6% 1.6% 情報通信 (n=22) 72.7% 22.7% 4.5% サービス (n=148) 69.6% 27.0% 0.7% 1.4% 1.4% 教育 (n=110) 94.5% 5.5% 行政サービス (n=137) 36.5% 62.8% 0.7% 全体 (n=704) 62.6% 0.6% 34.9% 0.6% 1.3% 有線ネットワークと無線ネットワークを併用全て有線ネットワークで構築 全て無線ネットワークで構築 LANを敷設していない 45

52 無線 LAN ネットワークのセキュリティ対策 問 7 全体 全体では WEP 以外による暗号化 (WPA WPA2 等 ) が 66.5% で最も多く 次いで MAC アドレ ス認証 が 39.3% となっている 全体 無線 LAN ネットワークのセキュリティ対策 (MA,n=445) WEP 以外による暗号化 (WPA WPA2 等 ) 66.5% MAC アドレス認証 39.3% ESS-ID の適切な設定 WEP による暗号化 IEEE802.1.x 27.9% 24.3% 22.5% 電磁波の遮蔽 0.4% その他 特に行っていない 4.7% 2.0% 10.3% 46

53 業種別分析 業種別にみると WEP 以外による暗号化 (WPA WPA2 等 ) については 金融 が 78.9% で最も多く 次いで 行政サービス が 78.0% となっている MAC アドレス認証 及び ESS-ID の適切 な設定 については 行政サービス がそれぞれ 50.0% 42.0% と最も多くなっている 業種別分析 無線ネットワークのセキュリティ対策 WEP 以外による暗号化 (WPA WPA2 等 ) MAC アドレス認証 農林 水産 鉱業 (n=2) 0.0% 農林 水産 鉱業 (n=2) 50.0% 製造業 (n=83) 67.5% 製造業 (n=83) 42.2% 不動産 建築 (n=18) 44.4% 不動産 建築 (n=18) 22.2% 金融 (n=19) 78.9% 金融 (n=19) 42.1% エネルギー (n=3) 66.7% エネルギー (n=3) 0.0% 運輸業 (n=38) 63.2% 運輸業 (n=38) 26.3% 情報通信 (n=17) 64.7% 情報通信 (n=17) 41.2% サービス (n=104) 57.7% サービス (n=104) 33.7% 教育 (n=104) 74.0% 教育 (n=104) 45.2% 行政サービス (n=50) 78.0% 行政サービス (n=50) 50.0% 全体 (n=445) 66.5% 全体 (n=445) 39.3% ESS-ID の適切な設定 農林 水産 鉱業 (n=2) 50.0% 製造業 (n=83) 24.1% 不動産 建築 (n=18) 16.7% 金融 (n=19) 21.1% エネルギー (n=3) 33.3% 運輸業 (n=38) 15.8% 情報通信 (n=17) 29.4% サービス (n=104) 23.1% 教育 (n=104) 37.5% 行政サービス (n=50) 42.0% 全体 (n=445) 27.9% WEP による暗号化 農林 水産 鉱業 (n=2) 100.0% 製造業 (n=83) 27.7% 不動産 建築 (n=18) 22.2% 金融 (n=19) 5.3% エネルギー (n=3) 33.3% 運輸業 (n=38) 21.1% 情報通信 (n=17) 41.2% サービス (n=104) 36.5% 教育 (n=104) 16.3% 行政サービス (n=50) 10.0% 全体 (n=445) 24.3% IEEE802.1.x 農林 水産 鉱業 (n=2) 製造業 (n=83) 不動産 建築 (n=18) 金融 (n=19) エネルギー (n=3) 運輸業 (n=38) 情報通信 (n=17) サービス (n=104) 教育 (n=104) 行政サービス (n=50) 全体 (n=445) 0.0% 27.7% 11.1% 21.1% 33.3% 18.4% 17.6% 10.6% 30.8% 32.0% 22.5% 47

54 経年変化 昨年度と比較すると WEP による暗号化 が 0.7 ポイント増加している 経年変化 無線ネットワークのセキュリティ対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% WEP 以外による暗号化 (WPA WPA2 等 ) 66.5% 71.6% 71.8% MAC アドレス認証 39.3% 46.9% 44.4% ESS-ID の適切な設定 27.9% 34.4% 33.1% WEP による暗号化 24.3% 23.6% 25.7% IEEE802.1.x 22.5% 26.3% 27.4% 電磁波の遮蔽 0.4% 1.1% 0.0% その他 特に行っていない 10.3% 12.9% 8.9% 4.7% 1.1% 0.8% 平成 28 年度 (n=445) 平成 27 年度 (n=529) 平成 26 年度 (n=369) 2.0% 0.8% 2.4% 48

55 外部からの接続許可状況 問 8 全体 全体では 業務用で貸与したパソコンのみを許可 が36.9% で最も多く 次いで 業務用で貸与したスマートフォン タブレット端末のみを許可 が22.3% 個人所有のスマートフォン タブレット端末を許可 が21.6% となっている 一方 許可していない は35.7% となっている 全体 外部からの接続端末機器の許可 (MA,n=704) 業務用で貸与したパソコンのみを許可 36.9% 業務用で貸与したスマートフォン タブレット端末のみを許可 個人所有のスマートフォン タブレット端末を許可 個人所有のパソコンの接続を許可 16.6% 22.3% 21.6% 許可していない 35.7% 1.3% 49

56 業種別分析 業種別にみると 業務用で貸与したパソコンのみを許可 については エネルギー が58.3% 業務用で貸与したスマートフォン タブレット端末を許可 は 金融 が44.4% 個人所有のスマートフォン タブレット端末を許可 は 教育 が73.6% と最も多くなっている また 許可していない は 行政サービス が66.4% と最も多くなっている 業種別分析 外部からの接続端末機器の許可 業務用で貸与したパソコンのみを許可 業務用で貸与したスマートフォン タブレット端末のみを許可 農林 水産 鉱業 (n=6) 83.3% 農林 水産 鉱業 (n=6) 16.7% 製造業 (n=113) 53.1% 製造業 (n=113) 41.6% 不動産 建築 (n=43) 41.9% 不動産 建築 (n=43) 16.3% 金融 (n=36) 47.2% 金融 (n=36) 44.4% エネルギー (n=12) 58.3% エネルギー (n=12) 0.0% 運輸業 (n=62) 51.6% 運輸業 (n=62) 37.1% 情報通信 (n=22) 40.9% 情報通信 (n=22) 22.7% サービス (n=148) 38.5% サービス (n=148) 23.6% 教育 (n=110) 13.6% 教育 (n=110) 6.4% 行政サービス (n=137) 24.8% 行政サービス (n=137) 9.5% 全体 (n=704) 36.9% 全体 (n=704) 22.3% 個人所有のスマートフォン タブレット端末を許可 許可していない 農林 水産 鉱業 (n=6) 33.3% 農林 水産 鉱業 (n=6) 0.0% 製造業 (n=113) 14.2% 製造業 (n=113) 20.4% 不動産 建築 (n=43) 9.3% 不動産 建築 (n=43) 39.5% 金融 (n=36) 16.7% 金融 (n=36) 27.8% エネルギー (n=12) 8.3% エネルギー (n=12) 33.3% 運輸業 (n=62) 12.9% 運輸業 (n=62) 29.0% 情報通信 (n=22) 22.7% 情報通信 (n=22) 27.3% サービス (n=148) 13.5% サービス (n=148) 41.9% 教育 (n=110) 73.6% 教育 (n=110) 14.5% 行政サービス (n=137) 4.4% 行政サービス (n=137) 66.4% 全体 (n=704) 21.6% 全体 (n=704) 35.7% 50

57 経年変化 昨年度と比較すると 業務用で貸与したスマートフォン タブレット端末のみを許可 が 4.8 ポイント 許可していない が 5.9 ポイント増加している 経年変化 外部からの接続端末機器の許可 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 業務用で貸与したパソコンのみを許可 36.9% 38.3% 70.4% 業務用で貸与したスマートフォン タブレット端末のみを許可 17.5% 22.3% 49.1% 個人所有のスマートフォン タブレット端末を許可 21.6% 20.9% 31.3% 16.6% 個人所有のパソコンの接続を許可 18.7% 33.7% 35.7% 許可していない 11.0% 29.8% 平成 28 年度 (n=704) 1.3% 1.3% 0.5% 平成 27 年度 (n=793) 平成 26 年度 (n=409) 51

58 外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 ) 問 9-A 全体 全体では ID パスワードによる認証 が 84.2% で最も多く 次いで 通信の暗号化 が 42.6% MAC アドレス クライアント証明書等使用する端末機器の固有情報を用いた認証 が42.1% 専用ネットワークセグメントの設定 が41.0% となっている 全体 外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 )(MA,n=444) ID パスワードによる認証 84.2% 通信の暗号化 MAC アドレス クライアント証明書等使用する端末機器の固有情報を用いた認証 専用ネットワークセグメントの設定 42.6% 42.1% 41.0% ネットワークトラフィックの監視 22.1% その他 5.4% 2.5% 52

59 業種別分析 業種別にみると ID パスワードによる認証 は 情報通信 が 100.0% で最も多く 通信の暗号化 及び MACアドレス クライアント証明書等使用する端末機器の固有情報を用いた認証 は 金融 がそれぞれ57.7% 53.8% 専用ネットワークセグメントの設定 は 教育 が61.3% で最も多くなっている 業種別分析 外部からの接続に対するセキュリティ対策 ( 通信路に対する対策 ) ID パスワードによる認証 通信の暗号化 農林 水産 鉱業 (n=6) 100.0% 農林 水産 鉱業 (n=6) 16.7% 製造業 (n=89) 87.6% 製造業 (n=89) 44.9% 不動産 建築 (n=25) 88.0% 不動産 建築 (n=25) 28.0% 金融 (n=26) 84.6% 金融 (n=26) 57.7% エネルギー (n=8) 100.0% エネルギー (n=8) 25.0% 運輸業 (n=44) 88.6% 運輸業 (n=44) 38.6% 情報通信 (n=16) 100.0% 情報通信 (n=16) 50.0% サービス (n=82) 76.8% サービス (n=82) 41.5% 教育 (n=93) 82.8% 教育 (n=93) 49.5% 行政サービス (n=45) 77.8% 行政サービス (n=45) 37.8% 全体 (n=444) 84.2% 全体 (n=444) 42.6% MAC アドレス クライアント証明書等使用する端末 機器の固有情報を用いた認証 専用ネットワークセグメントの設定 農林 水産 鉱業 (n=6) 16.7% 農林 水産 鉱業 (n=6) 16.7% 製造業 (n=89) 43.8% 製造業 (n=89) 32.6% 不動産 建築 (n=25) 28.0% 不動産 建築 (n=25) 36.0% 金融 (n=26) 53.8% 金融 (n=26) 42.3% エネルギー (n=8) 37.5% エネルギー (n=8) 37.5% 運輸業 (n=44) 29.5% 運輸業 (n=44) 25.0% 情報通信 (n=16) 43.8% 情報通信 (n=16) 25.0% サービス (n=82) 45.1% サービス (n=82) 31.7% 教育 (n=93) 46.2% 教育 (n=93) 61.3% 行政サービス (n=45) 42.2% 行政サービス (n=45) 60.0% 全体 (n=444) 42.1% 全体 (n=444) 41.0% 53

60 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 ) 問 9-B 全体 全体では ウイルス対策ソフト等の導入 が 91.4% で最も多く 次いで OS アプリケーショ ン等をアップデートする仕組みの導入 が 43.5% となっている 全体 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 )(MA,n=444) ウイルス対策ソフト等の導入 91.4% OS アプリケーション等をアップデートする仕組みの導入 43.5% 使用するアプリケーションの制限 ( 外部の端末機器に業務データが残らないアプリに限定等 ) 盗難対策 ( 端末ロック 内部データの遠隔消去等 ) 28.6% 27.9% 内部データの暗号化 18.9% その他 4.5% 4.3% 54

61 業種別分析 業種別にみると ウイルス対策ソフト等の導入 については 不動産 建築 が 96.0% で最も多く OS アプリケーション等をアップデートする仕組みの導入 使用するアプリケーシ ョンの制限 盗難対策 では 金融 が それぞれ 65.4% 61.5% 57.7% と最も多くなっている 業種別分析 外部からの接続に対するセキュリティ対策 ( 端末に対する対策 ) ウイルス対策ソフト等の導入 OS アプリケーション等をアップデートする 仕組みの導入 農林 水産 鉱業 (n=6) 66.7% 農林 水産 鉱業 (n=6) 16.7% 製造業 (n=89) 95.5% 製造業 (n=89) 48.3% 不動産 建築 (n=25) 96.0% 不動産 建築 (n=25) 56.0% 金融 (n=26) 92.3% 金融 (n=26) 65.4% エネルギー (n=8) 87.5% エネルギー (n=8) 50.0% 運輸業 (n=44) 88.6% 運輸業 (n=44) 47.7% 情報通信 (n=16) 93.8% 情報通信 (n=16) 37.5% サービス (n=82) 93.9% サービス (n=82) 40.2% 教育 (n=93) 88.2% 教育 (n=93) 23.7% 行政サービス (n=45) 86.7% 行政サービス (n=45) 57.8% 全体 (n=444) 91.4% 全体 (n=444) 43.5% 使用するアプリケーションの制限 ( 外部の端末機器 に業務データが残らないアプリに限定等 ) 盗難対策 ( 端末ロック 内部データの遠隔消去等 ) 農林 水産 鉱業 (n=6) 33.3% 農林 水産 鉱業 (n=6) 0.0% 製造業 (n=89) 28.1% 製造業 (n=89) 39.3% 不動産 建築 (n=25) 12.0% 不動産 建築 (n=25) 12.0% 金融 (n=26) 61.5% 金融 (n=26) 57.7% エネルギー (n=8) 37.5% エネルギー (n=8) 12.5% 運輸業 (n=44) 34.1% 運輸業 (n=44) 36.4% 情報通信 (n=16) 43.8% 情報通信 (n=16) 25.0% サービス (n=82) 29.3% サービス (n=82) 32.9% 教育 (n=93) 10.8% 教育 (n=93) 7.5% 行政サービス (n=45) 44.4% 行政サービス (n=45) 31.1% 全体 (n=444) 28.6% 全体 (n=444) 27.9% 55

62 インターネット環境の整備 問 10 全体 全体では 整備している が 95.0% で最も多く 一方 整備する計画はない は 1.6% であっ た 全体 インターネット環境の整備 (SA,n=704) 1.4% 1.6% 2.0% 整備している 整備していないが 現在整備を計画中である 整備する計画はない 95.0% 56

63 業種分析別 業種別にみると 整備している が全ての業種で 9 割以上となっている 業種別分析 インターネット環境の整備 農林 水産 鉱業 (n=6) 100.0% 製造業 (n=113) 不動産 建築 (n=43) 金融 (n=36) エネルギー (n=12) 92.0% 97.7% 97.2% 100.0% 4.4% 3.5% 2.3% 2.8% 運輸業 (n=62) 95.2% 3.2% 1.6% 情報通信 (n=22) 90.9% 4.5% 4.5% サービス (n=148) 91.2% 2.0% 4.1% 2.7% 教育 (n=110) 97.3% 1.8% 0.9% 行政サービス (n=137) 99.3% 0.7% 全体 (n=704) 95.0% 1.4% 1.6% 2.0% 整備している整備していないが 現在整備を計画中である整備する計画はない 57

64 インターネット接続に対するセキュリティ対策 問 11 全体 全体では ファイアウォールの導入 が86.5% で最も多く 次いで ID パスワード等による認証 が63.8% ルータによるプロトコル制御 が51.0% PROXYサーバの設置 が50.7% アクセスログ収集の強化 充実 が48.5% 非武装地帯(DMZ) の構築 が48.3% となっている 一方 特に行っていない は1.9% であり ほとんどの社 団体等において何らかの不正アクセス防止対策が取られている 本項目は インターネット環境を整備している または整備を計画中の社 団体等を対象としている 全体 インターネット接続に対するセキュリティ対策 (MA,n=679) ファイアウォールの導入 86.5% ID パスワード等による認証 63.8% ルータによるプロトコル制御 PROXY サーバの設置アクセスログ収集の強化 充実非武装地帯 (DMZ ) の構築 51.0% 50.7% 48.5% 48.3% 侵入検知 防御システム (IDS IPS ) の導入 36.7% その他 4.9% 外部からの接続を伴うサービス等を提供していない 13.8% 特に行っていない 1.9% 0.7% 58

65 業種分析別 業種別にみると ファイアウォールの導入 ルータによるプロトコル制御 PROXY サーバの設置 アクセスログ収集の強化 充実 非武装地帯 (DMZ) の構築 については 行政サービス が それぞれ98.5% 64.0% 90.4% 70.6% 81.6% と最も多くなっている ID パスワード等による認証 については 教育 が77.1% で最も多くなっている 業種別 インターネット接続に対するセキュリティ対策 ファイアウォールの導入 農林 水産 鉱業 (n=6) 50.0% 製造業 (n=104) 84.6% 不動産 建築 (n=43) 76.7% 金融 (n=36) 88.9% エネルギー (n=12) 91.7% 運輸業 (n=61) 77.0% 情報通信 (n=21) 85.7% サービス (n=138) 75.4% 教育 (n=109) 97.2% 行政サービス (n=136) 98.5% 全体 (n=679) 86.5% ルータによるプロトコル制御 ID パスワード等による認証 農林 水産 鉱業 (n=6) 66.7% 製造業 (n=104) 53.8% 不動産 建築 (n=43) 62.8% 金融 (n=36) 61.1% エネルギー (n=12) 66.7% 運輸業 (n=61) 65.6% 情報通信 (n=21) 52.4% サービス (n=138) 59.4% 教育 (n=109) 77.1% 行政サービス (n=136) 66.2% 全体 (n=679) 63.8% PROXY サーバの設置 農林 水産 鉱業 (n=6) 16.7% 農林 水産 鉱業 (n=6) 16.7% 製造業 (n=104) 46.2% 製造業 (n=104) 53.8% 不動産 建築 (n=43) 48.8% 不動産 建築 (n=43) 23.3% 金融 (n=36) 36.1% 金融 (n=36) 61.1% エネルギー (n=12) 50.0% エネルギー (n=12) 50.0% 運輸業 (n=61) 41.0% 運輸業 (n=61) 34.4% 情報通信 (n=21) 42.9% 情報通信 (n=21) 28.6% サービス (n=138) 50.7% サービス (n=138) 24.6% 教育 (n=109) 56.9% 教育 (n=109) 51.4% 行政サービス (n=136) 64.0% 行政サービス (n=136) 90.4% 全体 (n=679) 51.0% 全体 (n=679) 50.7% アクセスログ収集の強化 充実 非武装地帯 (DMZ ) の構築 農林 水産 鉱業 (n=6) 0.0% 農林 水産 鉱業 (n=6) 16.7% 製造業 (n=104) 35.6% 製造業 (n=104) 44.2% 不動産 建築 (n=43) 32.6% 不動産 建築 (n=43) 11.6% 金融 (n=36) 58.3% 金融 (n=36) 38.9% エネルギー (n=12) 50.0% エネルギー (n=12) 33.3% 運輸業 (n=61) 31.1% 運輸業 (n=61) 34.4% 情報通信 (n=21) 52.4% 情報通信 (n=21) 33.3% サービス (n=138) 40.6% サービス (n=138) 20.3% 教育 (n=109) 57.8% 教育 (n=109) 77.1% 行政サービス (n=136) 70.6% 行政サービス (n=136) 81.6% 全体 (n=679) 48.5% 全体 (n=679) 48.3% 59

66 経年変化 昨年度と比較すると 概ね減少傾向であり PROXY サーバの設置 が 14.9 ポイント 非 武装地帯 (DMZ) の構築 が 12.6 ポイントと減少が著しい 一方 外部からの接続を伴うサービス等を提 供していない は 9.0 ポイント増加となっている 経年変化 インターネット接続に対するセキュリティ対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ファイアウォールの導入 86.5% 91.0% 95.2% ID パスワード等による認証 ルータによるプロトコル制御 63.8% 64.3% 61.2% 51.0% 54.7% 51.2% PROXY サーバの設置 50.7% 65.6% 63.3% アクセスログ収集の強化 充実 48.5% 57.5% 51.0% 非武装地帯 (DMZ) の構築 48.3% 60.9% 65.8% 侵入検知 防御システム (IDS IPS) の導入 36.7% 41.4% 38.9% その他 4.9% 5.8% 1.9% 外部からの接続を伴なうサービス等を提供していない 特に行っていない 13.8% 4.8% 8.0% 1.9% 0.5% 0.5% 平成 28 年度 (n=679) 平成 27 年度 (n=780) 平成 26 年度 (n=588) 0.7% 0.1% 1.2% 60

67 インターネットへの接続の認証方法 問 12 全体 全体では ID パスワード認証 が65.7% で最も多く 一方 認証なし は27.5% となっている 本項目は インターネット環境を整備している または整備を計画中の社 団体等を対象としている 全体 インターネットへの接続の認証方法 (MA,n=679) ID パスワード認証 65.7% ICカード トークンデバイス型認証ツール電子証明書 (PKI ) バイオメトリクス ( 指紋等での認証 ) ワンタイムパスワード電話番号規制コールバックその他 3.8% 2.7% 2.4% 2.1% 0.1% 0.0% 2.1% 認証なし 27.5% 2.8% 61

68 業種分析別 業種別にみると ID パスワード認証 については 金融 が 77.8% で最も多く 次 いで 行政サービス が 70.6% 運輸業 が 70.5% で続いている 認証なし については 情報通 信 が 42.9% で最も多く 次いで 製造業 が 32.7% 不動産 建築 が 32.6% で多くなっている 業種別分析 インターネットへの接続の認証方法 ID パスワード認証 認証なし 農林 水産 鉱業 (n=6) 66.7% 農林 水産 鉱業 (n=6) 33.3% 製造業 (n=104) 59.6% 製造業 (n=104) 32.7% 不動産 建築 (n=43) 60.5% 不動産 建築 (n=43) 32.6% 金融 (n=36) 77.8% 金融 (n=36) 11.1% エネルギー (n=12) 66.7% エネルギー (n=12) 16.7% 運輸業 (n=61) 70.5% 運輸業 (n=61) 23.0% 情報通信 (n=21) 52.4% 情報通信 (n=21) 42.9% サービス (n=138) 61.6% サービス (n=138) 30.4% 教育 (n=109) 68.8% 教育 (n=109) 26.6% 行政サービス (n=136) 70.6% 行政サービス (n=136) 24.3% 全体 (n=679) 65.7% 全体 (n=679) 27.5% 62

69 ID パスワードの管理方法 問 13 全体 全体では パスワード長を一定以上に定める が65.5% で最も多く 次いで 異動等で使用しなくなったIDはすぐに削除する が57.8% IDを複数ユーザーで使わせない が51.1% で多くなっている 一方 特に行っていない は8.7% であった 本項目は インターネット接続を行う際にID パスワード認証を利用している社 団体等を対象としている 全体 ID パスワードの管理対策 (MA,n=446) パスワード長を一定以上に定める異動等で使用しなくなったIDはすぐに削除する IDを複数ユーザーで使わせない定期的にパスワードを強制的に変更させる 65.5% 57.8% 51.1% 47.3% パスワードの複雑性をチェックし 簡単すぎるものは変更させる 32.3% ID パスワードは利用者側の端末に保存されない ID をメールアドレス等の他の用途で流用しない 21.7% 18.6% その他 特に行っていない 2.7% 0.0% 8.7% 63

70 業種別分析 業種別にみると パスワード長を一定以上に定める については 情報通信 が 90.9% で最も多く 次いで 製造業 が 74.2% となっている 異動等で使用しなくなった ID はすぐに削除する については 金融 が 78.6% で最も多くなっている 業種別分析 ID パスワードの管理対策 パスワード長を一定以上に定める 異動等で使用しなくなった ID はすぐに削除する 農林 水産 鉱業 (n=4) 50.0% 農林 水産 鉱業 (n=4) 0.0% 製造業 (n=62) 74.2% 製造業 (n=62) 62.9% 不動産 建築 (n=26) 53.8% 不動産 建築 (n=26) 53.8% 金融 (n=28) 67.9% 金融 (n=28) 78.6% エネルギー (n=8) 50.0% エネルギー (n=8) 62.5% 運輸業 (n=43) 60.5% 運輸業 (n=43) 60.5% 情報通信 (n=11) 90.9% 情報通信 (n=11) 72.7% サービス (n=85) 60.0% サービス (n=85) 56.5% 教育 (n=75) 70.7% 教育 (n=75) 54.7% 行政サービス (n=96) 64.6% 行政サービス (n=96) 54.2% 全体 (n=446) 65.5% 全体 (n=446) 57.8% ID を複数ユーザーで使わせない 定期的にパスワードを強制的に変更させる 農林 水産 鉱業 (n=4) 25.0% 農林 水産 鉱業 (n=4) 0.0% 製造業 (n=62) 45.2% 製造業 (n=62) 54.8% 不動産 建築 (n=26) 53.8% 不動産 建築 (n=26) 50.0% 金融 (n=28) 64.3% 金融 (n=28) 82.1% エネルギー (n=8) 62.5% エネルギー (n=8) 75.0% 運輸業 (n=43) 39.5% 運輸業 (n=43) 39.5% 情報通信 (n=11) 54.5% 情報通信 (n=11) 54.5% サービス (n=85) 54.1% サービス (n=85) 38.8% 教育 (n=75) 49.3% 教育 (n=75) 34.7% 行政サービス (n=96) 56.3% 行政サービス (n=96) 53.1% 全体 (n=446) 51.1% 全体 (n=446) 47.3% パスワードの複雑性をチェックし 簡単すぎるものは変更させる 農林 水産 鉱業 (n=4) 製造業 (n=62) 不動産 建築 (n=26) 金融 (n=28) エネルギー (n=8) 運輸業 (n=43) 情報通信 (n=11) サービス (n=85) 教育 (n=75) 行政サービス (n=96) 全体 (n=446) 25.0% 37.1% 11.5% 46.4% 25.0% 34.9% 45.5% 23.5% 42.7% 29.2% 32.3% 64

71 不正ログイン対策 問 14 全体 全体では 特に実施して行っていない が49.8% で最も多くなっている 実施している対策では 同一 ID パスワードを固定した繰り返し入力の規制 が24.3% 正規の利用者が使用する通信端末機器の事前登録 が20.8% となっている 本項目は インターネット環境を整備している または整備を計画中の社 団体等を対象としている 全体 不正ログイン対策 (MA,n=679) 同一 ID パスワードを固定した繰り返し入力の規制 正規の利用者が使用する通信端末機器の事前登録 同一 IP アドレスからの誤った ID パスワードの繰り返し入力の規制 12.4% 24.3% 20.8% CAPCHA( プログラムでは読み取り 入力が困難な符号の入力要求 ) その他 0.4% 6.2% 特に行っていない 49.8% 2.2% 65

72 業種分析別 業種別にみると 同一 ID パスワードを固定した繰り返し入力の規制 については エネルギー が 58.3% で最も多く 次いで 金融 が 52.8% となっている 正規の利用者が使用する 通信端末機器の事前登録 については 金融 で 30.6% と最も多くなっている 業種別分析 不正ログイン対策 同一 ID パスワードを固定した 繰り返し入力の規制 正規の利用者が使用する通信端末機器の事前登録 農林 水産 鉱業 (n=6) 0.0% 農林 水産 鉱業 (n=6) 16.7% 製造業 (n=104) 24.0% 製造業 (n=104) 21.2% 不動産 建築 (n=43) 16.3% 不動産 建築 (n=43) 14.0% 金融 (n=36) 52.8% 金融 (n=36) 30.6% エネルギー (n=12) 58.3% エネルギー (n=12) 25.0% 運輸業 (n=61) 26.2% 運輸業 (n=61) 21.3% 情報通信 (n=21) 42.9% 情報通信 (n=21) 19.0% サービス (n=138) 23.9% サービス (n=138) 21.0% 教育 (n=109) 13.8% 教育 (n=109) 15.6% 行政サービス (n=136) 22.8% 行政サービス (n=136) 22.8% 全体 (n=679) 24.3% 全体 (n=679) 20.8% 特に行っていない 農林 水産 鉱業 (n=6) 製造業 (n=104) 不動産 建築 (n=43) 金融 (n=36) エネルギー (n=12) 運輸業 (n=61) 情報通信 (n=21) サービス (n=138) 教育 (n=109) 行政サービス (n=136) 全体 (n=679) 50.0% 53.8% 65.1% 16.7% 33.3% 49.2% 42.9% 44.9% 63.3% 49.3% 49.8% 66

73 経年変化 昨年度と比較すると 同一 ID パスワードを固定した繰り返し入力の規制 は 4.9 ポイン トの減少 同一 IP アドレスからの誤った ID パスワードの繰り返し入力の規制 は 4.7 ポイントの減少 となっている 一方 特に行っていない は増加傾向となっている 経年変化 不正ログイン対策 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 同一 ID パスワードを固定した繰り返し入力の規制 24.3% 29.2% 42.7% 正規の利用者が使用する通信端末機器の事前登録 20.8% 21.8% 27.7% 同一 IP アドレスからの誤った ID パスワードの繰り返し入力の規制 6.6% 12.4% 17.1% CAPCHA( プログラムでは読み取り 入力が困難な符号の入力要求 ) 0.4% 0.8% 1.0% その他 6.2% 4.3% 9.6% 特に行っていない 2.2% 1.4% 4.3% 49.8% 40.1% 33.5% 平成 28 年度 (n=679) 平成 27 年度 (n=780) 平成 26 年度 (n=588) 67

74 クラウドサービスの利用状況 問 15 全体 全体では 利用している が 50.7% 利用していない が 43.7% となっている 本項目は インターネット環境を整備している または整備を計画中の社 団体等を対象としている 全体 クラウドサービスの利用 (SA,n=679) 5.6% 利用している 43.7% 50.7% 利用していない 68

75 業種分析別 業種別にみると 利用している は 教育 で 66.1% と最も多く 次いで 金融 が 63.9% 行政サービス が 61.8% で多くなっている 業種別分析 クラウドサービスの利用 農林 水産 鉱業 (n=6) 50.0% 50.0% 製造業 (n=104) 48.1% 47.1% 4.8% 不動産 建築 (n=43) 34.9% 58.1% 7.0% 金融 (n=36) 63.9% 33.3% 2.8% エネルギー (n=12) 16.7% 75.0% 8.3% 運輸業 (n=61) 45.9% 47.5% 6.6% 情報通信 (n=21) 52.4% 42.9% 4.8% サービス (n=138) 36.2% 58.7% 5.1% 教育 (n=109) 66.1% 28.4% 5.5% 行政サービス (n=136) 61.8% 31.6% 6.6% 全体 (n=679) 50.7% 43.7% 5.6% 利用している利用していない 69

76 利用しているクラウドサービスの種類 問 16 全体 全体では SaaS が 80.8% で最も多く 次いで IaaS が 23.3% となっている 本項目は 情報システム等においてクラウドサービスを利用している社 団体等を対象としている 全体 利用しているクラウドサービス (MA,n=344) SaaS 80.8% IaaS 23.3% PaaS 16.6% わからない 9.6% 0.6% 70

77 業種分析別 業種別にみると SaaS については 行政サービス が 90.5% 製造業 が 84.0% となっている IaaS については 製造業 が 36.0% PaaS については 運輸業 が 35.7% で 最も多い 業種別分析 利用しているクラウドサービス SaaS IaaS 農林 水産 鉱業 (n=3) 66.7% 農林 水産 鉱業 (n=3) 33.3% 製造業 (n=50) 84.0% 製造業 (n=50) 36.0% 不動産 建築 (n=15) 66.7% 不動産 建築 (n=15) 20.0% 金融 (n=23) 78.3% 金融 (n=23) 26.1% エネルギー (n=2) 100.0% エネルギー (n=2) 0.0% 運輸業 (n=28) 82.1% 運輸業 (n=28) 35.7% 情報通信 (n=11) 81.8% 情報通信 (n=11) 27.3% サービス (n=50) 66.0% サービス (n=50) 20.0% 教育 (n=72) 80.6% 教育 (n=72) 23.6% 行政サービス (n=84) 90.5% 行政サービス (n=84) 14.3% 全体 (n=344) 80.8% 全体 (n=344) 23.3% PaaS 農林 水産 鉱業 (n=3) 製造業 (n=50) 不動産 建築 (n=15) 金融 (n=23) エネルギー (n=2) 運輸業 (n=28) 情報通信 (n=11) サービス (n=50) 教育 (n=72) 行政サービス (n=84) 全体 (n=344) 0.0% 20.0% 20.0% 21.7% 0.0% 35.7% 18.2% 14.0% 16.7% 9.5% 16.6% 71

78 クラウドサービスに対する問題点 問 17 全体 全体では システムからの情報漏洩対策 ( 機密性 ) に問題を感じている が 35.8% で最も多く 次いで 情報セキュリティ対策全体に問題を感じている が21.8% となっている 一方 特に問題はない は37.0% であった 本項目は インターネット環境を整備している または整備を計画中の社 団体等を対象としている 全体 クラウドサービス上のシステムの問題 (MA,n=679) システムからの情報漏洩対策 ( 機密性 ) に問題を感じている 35.8% 情報セキュリティ対策全体に問題を感じているシステムの継続的稼働 ( 可用性 ) に問題を感じているシステムのログの保管 ( 責任追及性 ) に問題を感じているシステム上のデータの完全性に疑問を感じているその他 21.8% 18.1% 14.0% 12.2% 5.3% 特に問題はない 37.0% 3.2% 72

79 業種分析別 業種別にみると システムからの情報漏洩対策( 機密性 ) に問題を感じている については エネルギー が58.3% で最も多く 次いで 教育 が39.4% となっており 情報セキュリティ対策全体に問題を感じている については 金融 が27.8% で最も多く 次いで 製造業 が26.9% となっている 業種別分析 クラウドサービス上のシステムの問題 システムからの情報漏洩対策 ( 機密性 ) に 問題を感じている 情報セキュリティ対策全体に 問題を感じている 農林 水産 鉱業 (n=6) 33.3% 農林 水産 鉱業 (n=6) 0.0% 製造業 (n=104) 38.5% 製造業 (n=104) 26.9% 不動産 建築 (n=43) 32.6% 不動産 建築 (n=43) 25.6% 金融 (n=36) 36.1% 金融 (n=36) 27.8% エネルギー (n=12) 58.3% エネルギー (n=12) 0.0% 運輸業 (n=61) 27.9% 運輸業 (n=61) 24.6% 情報通信 (n=21) 23.8% 情報通信 (n=21) 19.0% サービス (n=138) 35.5% サービス (n=138) 22.5% 教育 (n=109) 39.4% 教育 (n=109) 15.6% 行政サービス (n=136) 34.6% 行政サービス (n=136) 20.6% 全体 (n=679) 35.8% 全体 (n=679) 21.8% システムの継続的稼働 ( 可用性 ) に 問題を感じている システムのログの保管 ( 責任追及性 ) に 問題を感じている 農林 水産 鉱業 (n=6) 0.0% 農林 水産 鉱業 (n=6) 0.0% 製造業 (n=104) 21.2% 製造業 (n=104) 10.6% 不動産 建築 (n=43) 9.3% 不動産 建築 (n=43) 14.0% 金融 (n=36) 11.1% 金融 (n=36) 16.7% エネルギー (n=12) 16.7% エネルギー (n=12) 16.7% 運輸業 (n=61) 11.5% 運輸業 (n=61) 9.8% 情報通信 (n=21) 19.0% 情報通信 (n=21) 9.5% サービス (n=138) 18.1% サービス (n=138) 10.1% 教育 (n=109) 20.2% 教育 (n=109) 22.9% 行政サービス (n=136) 22.8% 行政サービス (n=136) 15.4% 全体 (n=679) 18.1% 全体 (n=679) 14.0% システム上のデータの完全性に疑問を感じている 農林 水産 鉱業 (n=6) 製造業 (n=104) 不動産 建築 (n=43) 金融 (n=36) エネルギー (n=12) 運輸業 (n=61) 情報通信 (n=21) サービス (n=138) 教育 (n=109) 行政サービス (n=136) 全体 (n=679) 16.7% 15.4% 7.0% 5.6% 25.0% 3.3% 4.8% 16.7% 13.8% 11.0% 12.2% 73

80 3.2. アクセスログ取得状況 ログの取得状況 問 18 全体 全体では ファイアウォール 侵入検知システム等(IDS IPS 等 ) のログ が66.5% で最も多く 次いで メールサーバのログ が63.6% となっている 一方 全く取得していない は16.6% であった 全体 ログの取得状況 (MA,n=704) ファイアウォール 侵入検知システム等 (IDS IPS 等 ) のログ 66.5% メールサーバのログ 63.6% ウェブサーバへのアクセスログ 62.2% 情報システムへの認証ログ 58.4% データベースのログ 58.2% クライアント PC のログ 56.7% プロキシサーバのログ 52.4% その他 5.5% 全く取得していない 16.6% 4.0% 業種別分析 業種別にみると ファイアウォール 侵入検知システム等(IDS IPS 等 ) のログ については 行政サービス が92.0% 教育 が90.0% で9 割以上と多く メールサーバのログ については 行政サービス が93.4% で9 割を超えている また 全く取得していない については 不動産 建築 が39.5% である 業種別分析 ログの取得状況ファイアウォール 侵入検知システム等メールサーバのログ (IDS IPS 等 ) のログ 農林 水産 鉱業 (n=6) 33.3% 農林 水産 鉱業 (n=6) 33.3% 製造業 (n=113) 58.4% 製造業 (n=113) 53.1% 不動産 建築 (n=43) 48.8% 不動産 建築 (n=43) 39.5% 金融 (n=36) 66.7% 金融 (n=36) 72.2% エネルギー (n=12) 41.7% エネルギー (n=12) 41.7% 運輸業 (n=62) 51.6% 運輸業 (n=62) 46.8% 情報通信 (n=22) 50.0% 情報通信 (n=22) 63.6% サービス (n=148) 48.0% サービス (n=148) 43.9% 教育 (n=110) 90.0% 教育 (n=110) 84.5% 行政サービス (n=137) 92.0% 行政サービス (n=137) 93.4% 全体 (n=704) 66.5% 全体 (n=704) 63.6% 74

81 ウェブサーバへのアクセスログ 情報システムへの認証ログ 農林 水産 鉱業 (n=6) 33.3% 農林 水産 鉱業 (n=6) 33.3% 製造業 (n=113) 46.0% 製造業 (n=113) 45.1% 不動産 建築 (n=43) 41.9% 不動産 建築 (n=43) 32.6% 金融 (n=36) 63.9% 金融 (n=36) 55.6% エネルギー (n=12) 41.7% エネルギー (n=12) 33.3% 運輸業 (n=62) 45.2% 運輸業 (n=62) 46.8% 情報通信 (n=22) 59.1% 情報通信 (n=22) 40.9% サービス (n=148) 48.0% サービス (n=148) 44.6% 教育 (n=110) 87.3% 教育 (n=110) 81.8% 行政サービス (n=137) 88.3% 行政サービス (n=137) 86.1% 全体 (n=704) 62.2% 全体 (n=704) 58.4% データベースのログ クライアント PC のログ 農林 水産 鉱業 (n=6) 33.3% 農林 水産 鉱業 (n=6) 33.3% 製造業 (n=113) 51.3% 製造業 (n=113) 46.9% 不動産 建築 (n=43) 41.9% 不動産 建築 (n=43) 30.2% 金融 (n=36) 69.4% 金融 (n=36) 72.2% エネルギー (n=12) 50.0% エネルギー (n=12) 66.7% 運輸業 (n=62) 48.4% 運輸業 (n=62) 48.4% 情報通信 (n=22) 50.0% 情報通信 (n=22) 40.9% サービス (n=148) 41.9% サービス (n=148) 40.5% 教育 (n=110) 72.7% 教育 (n=110) 67.3% 行政サービス (n=137) 79.6% 行政サービス (n=137) 85.4% 全体 (n=704) 58.2% 全体 (n=704) 56.7% プロキシサーバのログ 全く取得していない 農林 水産 鉱業 (n=6) 33.3% 農林 水産 鉱業 (n=6) 50.0% 製造業 (n=113) 44.2% 製造業 (n=113) 21.2% 不動産 建築 (n=43) 27.9% 不動産 建築 (n=43) 39.5% 金融 (n=36) 55.6% 金融 (n=36) 8.3% エネルギー (n=12) 41.7% エネルギー (n=12) 16.7% 運輸業 (n=62) 37.1% 運輸業 (n=62) 29.0% 情報通信 (n=22) 27.3% 情報通信 (n=22) 27.3% サービス (n=148) 30.4% サービス (n=148) 26.4% 教育 (n=110) 64.5% 教育 (n=110) 2.7% 行政サービス (n=137) 90.5% 行政サービス (n=137) 0.0% 全体 (n=704) 52.4% 全体 (n=704) 16.6% 75