Transcription

1

2

3 別表アンケート設問案 ( 自社向け )(1 / 7) Q1 自部署における情 あなたが働いている部署には 情報セキュリティ対策に関する以下の 対策の必要が無いため担当者は不要 Q2へ 報セキュリティ対策ような役割を担当する人がいますか もっともよくあてはまるものを1つ外部に委託しているので担当者不要 Q3へ担当者の有無選択してください ( マトリックスSA) 必要と考えているが現在のところいない Q6へ 兼務者がいる Q7へ 専任者がいる Q7へ 1 組織全体の情報セキュリティ対策を統括 管理する人 ( 例 :CISO( 最高情報セキュリティ責任者 )) 2 1の役割の人からの指示のもとで 部署内の情報セキュリティ対策の実施を主導する人 ( 例 : 情報セキュリティアドミニストレータ 部署の情報セキュリティ管理者 ) 3 情報セキュリティに関する専門的な地域 スキルを有する立場から 対策に従事する人 ( 例 : 情報セキュリティに関するインシデント担当者 製品のセキュリティ対策担当者 情報セキュリティ監査者 ) Q2 情報セキュリティ対 Q1で 対策の必要が無いため担当者は不要 と回答した方にお尋ね 保護すべき情報資産を扱っていない 策が不要な理由します 担当者が不要と回答した理由として もっともよくあてはまるも情報資産に対する脅威の発生が考えにくい のを1つ選んでください (SA) Q3 外部委託の内容 Q1で 外部に委託しているので担当者は不要 と回答した方にお尋 情報セキュリティ対策方針の策定 Q4 ねします 情報セキュリティ対策に関する手続の整備 Q4 外部委託している内容として あてはまるものをすべて選んでくださ情報セキュリティ対策に関する手続の運用 Q4 い (MA) 情報セキュリティ対策としての監視 異常検出 Q4 情報セキュリティインシデントへの対応 Q4 情報セキュリティ監査 Q4 Q4 Q4 外部委託をする理由 Q1で 外部に委託しているので担当者は不要 と回答した方にお尋自社に必要な知識やスキルを有する人材がいなねします い Q5 外部委託をした理由はどのようなものですか あてはまるものをすべ 自社の人材に当該業務を行う余裕がない Q5 て選んでください (MA) 外部委託を行うほうがコストの面で有利 Q5 外部委託を行うほうが効果の面で有利 Q5 経営層や親会社等の方針 Q5 Q5 Q5 外部委託先の選定 Q1で 外部に委託しているので担当者は不要 と回答した方にお尋 委託先の知名度や実績 理由ねします 委託先が提示したサービスの内容 外部委託先の選定理由として あてはまるものをすべて選んでくださ委託先人材の知識やスキル い (MA) 委託費用 経営層や親会社の指示や推奨 取引先の指示や推奨 Q6 担当者がいない理 Q1で 必要と考えているが現在のところいない と回答した方にお尋 業務繁忙につき担当者を割り当てる余裕がない Q7へ 由ねします 担当者がいないと回答した理由として もっともよくあてはまるものを1 情報セキュリティ対策は各自が行うことになっている Q7へ つ選んでください (SA) 担当者を確保するコストを負担できない Q7へ 経営層や本部組織から拒否されている Q7へ

4 別表アンケート設問案 ( 自社向け )(2 / 7) 退職等の理由で欠員になっている Q7へ Q7へ Q7 情報システム部門の有無 ある Q8へ Q8 Q9 Q10 Q11 情報セキュリティ人材の採用 情報セキュリティ人材採用状況 満足な採用ができない理由 保有している資格 あなたの勤務先には 自社向けの情報システムやITに関する企画 開発 管理等の業務を担当する部署がありますか (SA) 自社内での情報システム開発 運用業務のみを対象とし 顧客向けの業務は対象外とします 御社における 自社向けの情報システムもしくは 情報セキュリティを担当する人の採用について当てはまるものをお答えください (SA) Q10 において 人材を採用していると回答した方にお尋ねします 自社向けの情報セキュリティを担当する人材について 満足する人材を採用することができていますか (SA) Q11 において 満足な採用ができていないと回答した方にお尋ねします 満足な採用ができていない理由について あてはまるものをお答えください ( マトリックス SA) S8 で 行っている または S9 で 自身が担当者 と回答した方にお尋ねします 情報セキュリティ関連の資格 認定制度に関する保有状況と取得意向として もっともよくあてはまるものを 1 つ選んでください (SA) なお 複数の資格 認定制度を含む選択肢については いずれか 1 つあてはまるものがあればそれについてご回答いただいて結構です 情報セキュリティスペシャリスト ( 独立行政法人情報処理推進機構 ) システム監査技術者 ( 独立行政法人情報処理推進機構 ) CISSP 認定資格 ((ISC)2 ジャパン ) 公認情報セキュリティ監査人 ( 日本セキュリティ監査協会 ) 公認情報セキュリティマネージャー (ISACA) 情報セキュリティ専門監査人 ( システム監査学会 ) GIAC 認定試験各種 (SANS Institute) Comp TIA Security+(Comp TIA) ネットワーク情報セキュリティマネージャー資格制度 (NISM) CCSP( シスコシステムズ ) MCSE MCSA( マイクロソフト ) Project Management Professonal(PMI) Certified Ethical Hacker(EC-Council) ない Q8へ 新卒採用に 専用の採用枠がある Q9へ 新卒採用にはないが 中途採用には専用の採用枠がある Q9へ 他の業務と区別なく採用している Q9へ 特に採用はしていない Q11へ Q11へ はい Q11へ いいえ Q10へ 情報セキュリティに関する業務経験や知識がある という人材を採用しても 満足するスキルを有して Q11へ いない 求めるレベルの人材が応募してこない Q11へ 高度なスキルを有する人材の給与水準が高い Q11へ Q11へ 取得している Q12へ 以前取得したが 更新していない 取得すべく取組中 取得に関心があり 検討中 取得に関心があるが取得予定はない 取得に関心がないので取得予定はない

5 別表アンケート設問案 ( 自社向け )(3 / 7) Q12 資格を取得した理由 Q11で 情報セキュリティスペシャリスト試験を取得している と回答し 就職や転職に有利と思った た方にお尋ねします 試験を受験した理由として もっとも近いものを1つ選んでください (SA) Q13 Q14 Q15 Q16 資格を取得した理由 Q12 で CISSP を取得している と回答した方にお尋ねします 試験を受験した理由として もっとも近いものを 1 つ選んでください (SA) 資格を取得した理由 Q12 で 公認情報セキュリティマネージャーを取得している と回答した方にお尋ねします 試験を受験した理由として もっとも近いものを 1 つ選んでください (SA) 資格を保有しない理由 試験 認定制度の活用状況 Q11 で 取得に関心があるが取得予定はない と 1 つ以上回答した方にお尋ねします 資格等を取得しない理由として あてはまるものをすべて選んでください (MA) なお 複数の資格 認定制度を含む選択肢については いずれか 1 つ あてはまるものがあればそれについてご回答いただいて結構です 御社では 以下の資格 認定制度を何らかの形で利用されていますか あてはまるものをすべて選んでください ( マトリックスMA) なお 複数の資格 認定制度を含む選択肢については いずれか1つあてはまるものがあればそれについてご回答いただいて結構です 勤務先での優遇措置 ( 一時金 待遇等 ) を期待した勤務先に取得するように言われた顧客との取引上必要になったスキルアップの目標として受験を設定した自分の実力を試してみようと思った就職や転職に有利と思った勤務先での優遇措置 ( 一時金 待遇等 ) を期待した勤務先に取得するように言われた顧客との取引上必要になったスキルアップの目標として受験を設定した自分の実力を試してみようと思った就職や転職に有利と思った勤務先での優遇措置 ( 一時金 待遇等 ) を期待した勤務先に取得するように言われた顧客との取引上必要になったスキルアップの目標として受験を設定した自分の実力を試してみようと思った忙しくて受験のための時間を確保できない受験費用を確保できない取得してもメリットがない試験に合格する見込みがない受験料の助成制度 ( 補助金支給など ) がある社内で試験対策講座を実施している社外の試験対策講座の受講に対する助成制度 ( 補助金支給など ) がある試験合格者に対して 合格一時金 ( 報奨金等 ) が支給される試験合格者に対して 継続的な合格者手当等が 支給される入社年次や職種などによって 最低限合格すべき試験が決められている Q14 へ Q15 へ Q16へ Q16へ Q16へ Q16へ Q16へ Q17 へ Q17 へ Q17 へ Q17 へ

6 別表アンケート設問案 ( 自社向け )(4 / 7) 試験合格が人事上の昇進 昇格の要件の一つになっている 試験合格が スキル標準に基づくレベル認定の要件の一つになっている 上記には特に当てはまらないが 試験合格を推奨している 上記のいずれにも当てはまらない ( 受験は各個人 に任されている ) 試験合格者の有無や数などを外部発注時の要件 に含めている 自社の合格者数を公表している Q17 試験 認定制度の課 情報セキュリティスペシャリスト試験 ( 独立行政法人情報処理推進機システム監査技術者試験 ( 独立行政法人情報処理推進機構 ) ITパスポート試験 ( 独立行政法人情報処理推進機構 ) 基本情報技術者試験 ( 独立行政法人情報処理推進機構 ) 応用情報技術者試験 ( 独立行政法人情報処理推進機構 ) ITストラテジスト試験 ( 独立行政法人情報処理推進機構 ) システムアーキテクト試験 ( 独立行政法人情報処理推進機構 ) プロジェクトマネージャ試験 ( 独立行政法人情報処理推進機構 ) ネットワークスペシャリスト試験 ( 独立行政法人情報処理推進機構 ) データベーススペシャリスト試験 ( 独立行政法人情報処理推進機構 ) エンベデッドシステムスペシャリスト試験 ( 独立行政法人情報処理推進 ITサービスマネージャ試験 ( 独立行政法人情報処理推進機構 ) CISSP 認定資格 ((ISC)2ジャパン) 公認情報セキュリティ監査人 ( 日本セキュリティ監査協会 ) 公認情報セキュリティマネージャー (ISACA) 情報セキュリティ専門監査人 ( システム監査学会 ) GIAC 認定試験各種 (SANS Institute) Comp TIA Security+(Comp TIA) ネットワーク情報セキュリティマネージャー資格制度 (NISM) CCSP( シスコシステムズ ) MCSE MCSA( マイクロソフト ) Project Management Professonal(PMI) 以下の資格 認定制度において課題と感じていることはありますか あ受験料が高額である 題 てはまるものをすべて選んでください ( マトリックスMA) 受験機会が少ない ソフトウェア開発手法に関する知識など 実務に関係のない知識やスキルが求められる 試験の難度が高く なかなか合格できない 有効期限がなく資格取得者が最新の技術や脅威を理解しているかどうかがわからない 更新費用が高額である 更新に必要な活動の負荷が大きく 業務に支障が出るおそれがある 試験の知名度が低く 取引先等が資格 認定制度の価値を認知していない

7 別表アンケート設問案 ( 自社向け )(5 / 7) 情報セキュリティスペシャリスト試験 ( 独立行政法人情報処理推進機システム監査技術者試験 ( 独立行政法人情報処理推進機構 ) ITパスポート試験 ( 独立行政法人情報処理推進機構 ) 基本情報技術者試験 ( 独立行政法人情報処理推進機構 ) 応用情報技術者試験 ( 独立行政法人情報処理推進機構 ) ITストラテジスト試験 ( 独立行政法人情報処理推進機構 ) システムアーキテクト試験 ( 独立行政法人情報処理推進機構 ) プロジェクトマネージャ試験 ( 独立行政法人情報処理推進機構 ) ネットワークスペシャリスト試験 ( 独立行政法人情報処理推進機構 ) データベーススペシャリスト試験 ( 独立行政法人情報処理推進機構 ) エンベデッドシステムスペシャリスト試験 ( 独立行政法人情報処理推進 ITサービスマネージャ試験 ( 独立行政法人情報処理推進機構 ) CISSP 認定資格 ((ISC)2ジャパン) 公認情報セキュリティ監査人 ( 日本セキュリティ監査協会 ) 公認情報セキュリティマネージャー (ISACA) 情報セキュリティ専門監査人 ( システム監査学会 ) GIAC 認定試験各種 (SANS Institute) Comp TIA Security+(Comp TIA) ネットワーク情報セキュリティマネージャー資格制度 (NISM) CCSP( シスコシステムズ ) MCSE MCSA( マイクロソフト ) Project Management Professonal(PMI) Q18 Q19 資格取得がもたらすべきメリット 資格が備えるべき内容 情報セキュリティ人材向けの資格 認定制度の取得によって合格者にもたらされるべきメリットとして 望ましいと考えるものを 3 つまで選択してください (MA 3 個まで ) 情報セキュリティ人材向けの資格 認定制度の試験において問うべき内容として 望ましいと考えるものを 3 つまで選択してください (MA 3 個まで ) 資格保有者として公的に評価される就職や転職の際に好待遇で扱われる 有資格者でないと就任できない役割 ( 例 : 労働安全衛生法の定める安全管理者 衛生管理者に相当するもの ) を担える Q19へ Q19へ Q19 へ 勤務先が受注活動を行う際に 調達元から有利に扱われる Q19へ 勤務先が情報セキュリティや個人情報保護対策等に関する認定 評価を受ける際に有利に扱わ Q19へ Q19へ 最新の技術や脅威の動向を反映したもの Q20へ 運用や管理の経験を通じて得られる知見を問うも Q20への 情報セキュリティに関わる幅広い分野についての網羅的理解を求めるもの Q20へ 基礎知識は網羅性を担保しつつ 高度な知識については各自の専門分野のみで対応可能なもの Q20へ 面接等を含めることで 受験者の倫理的な資質 の評価も行うもの Q20へ Q20へ

8 別表アンケート設問案 ( 自社向け )(6 / 7) Q20 情報セキュリティ人 御社では 情報セキュリティ関連業務に従事する人材のスキルを評価 いったん合格したら 生涯有効とする Q21へ 材向けの試験の有するための試験の有効期限に関して どのようなものが望ましいと考有効期限はないが 再度の受験を可能とし 資効期限えますか もっとも近いものを1つ選んでください (SA) 格 認定制度の名称と合格年次を示すことで最新 Q21へ の知識 スキルを有することを示せるようにする 3 年程度の有効期限があり 更新には再度の受 験 更新講座の受講 または情報セキュリティ関 Q21へ 連の活動実績の提出等を求める 5 年程度の有効期限があり 更新には再度の受 験 更新講座の受講 または情報セキュリティ関 Q21へ 連の活動実績の提出等を求める 10 年程度の有効期限があり 更新には再度の受 験 更新講座の受講 または情報セキュリティ関 Q21へ 連の活動実績の提出等を求める 分からない Q21へ Q21へ 情報セキュリティ関連の技術的知識やスキルを対象とするもの Q21 Q22 Q23 情報セキュリティ人材向けの試験の実施回数 情報セキュリティ人材のスキル評価 情報セキュリティ人材の育成 情報セキュリティ関連のマネジメントの知識やスキルを対象とするもの御社では 情報セキュリティ関連業務に従事する人材のスキルを評価するための試験の実施回数について 年間何回程度受験可能とするのがよいと考えますか もっとも近いものを1つ選んでください (SA) 御社では 情報セキュリティ対策の担当者のスキルをどのように評価していますか もっともよくあてはまるものを 1 つ選んでください 御社では 情報セキュリティ業務を担当する人材の育成についてどのように取組んでいますか もっともよくあてはまるものを 1 つ選んでください 年 1 回 Q22へ 年 2 回 Q22へ 年 4 回 Q22へ 年 5 回以上 Q22へ Q22へ ITスキル標準に基づいた評価を行っている Q23へ 社内で独自のスキル体系に基づき評価を行っている Q23へ 他の業務と区別はない Q23へ 分からない Q23へ Q23へ 情報セキュリティ担当者向けの教育制度がある Q24へ 情報システム関連業務担当者向けの教育制度が Q24へある 外部の研修 教育制度を活用している Q24へ OJT 中心で教育を行なっている Q24へ 特に取組んでいることはない Q24へ Q24へ

9 別表アンケート設問案 ( 自社向け )(7 / 7) Q24 情報セキュリティ人材のキャリアパス御社における情報セキュリティ業務に従事する人材のキャリアパスとして もっともよくあてはまるものを1つ選んでください 情報セキュリティ業務の専門性に配慮したキャリアパスが設けられている Q25へ 性が考慮されている独自のキャリアパスはないが 異動の際に専門 Q25へ 特に配慮はされていない Q25へ 分からない Q25へ Q25へ Q25 情報セキュリティ分 御社における情報セキュリティに関する以下の脅威についての直近 3 過去から現在まで 一貫して脅威ではない Q26へ 野の最近の状況年間の動向として 最も近いと考えるものをそれぞれ1つずつ選んでくかつては重大な脅威であったが 影響は低下しださい (SA) つつある Q26へ かつては意識していなかったが 現在は重大な脅 Q26へ威と認識している 過去から現在まで 重大な脅威である Q26へ 脅威かどうかは一概には評価できない Q26へ わからない Q26へ Q26へ インターネットからのDoS 攻撃や通信路上の妨害自組織のウェブサイトの改ざん 既知脆弱性の悪用コンピュータウイルスやマルウェア 不正アプリケーション SPAMメール 迷惑メールフィッシング詐欺 偽サイト標的型攻撃 APT 攻撃等による情報漏えい従業員の過失 ( ノートPC 紛失等 ) による機密 個人情報の漏えい従業員の内部不正 Q26 情報セキュリティ人 Q24までの設問で回答した内容以外で 情報セキュリティ対策に従事 ある Q27へ 材に関する課題のする人材に関する課題としてお感じのことはありますか S8= 行って有無ないいる ならQ24 それ以外は終了 Q27 情報セキュリティ人材に関する課題 情報セキュリティ人材に関する課題があると回答した方にお尋ねします 課題について 具体的な内容をお答え下さい ( ) FA 必須 S8= 行っている なら Q28 それ以外は終了

10 別表アンケート設問案 ( 社外向け )(1 / 2) Q28 部署の業務内容自部署で担当している社外向けの情報セキュリティ関連事業として 当てはまるものを全て選んでください (MA) 情報セキュリティに関するコンサルティング ポリシーや手続の整備 対策についての企画 設計顧客の施設や組織を対象とする情報セキュリティ 自社製品 サービスの企画 設計 情報セキュリティ関連製品 サービスの開発 構築 情報セキュリティに関する監視 情報セキュリティ製品 サービスの運用 情報セキュリティ製品 サービスの保守 サポート 脆弱性検査 情報セキュリティ監査 情報セキュリティ教育 研修 ( 教材作成等を含む ) Q29 情報セキュリティ人 御社における 社外向けの情報セキュリティ事業を担当する人の採用 新卒採用に 専用の採用枠がある Q30へ 材の採用について当てはまるものをお答えください (SA) 新卒採用にはないが 中途採用には専用の採用枠がある Q30へ 他の業務と区別なく採用している Q30へ 特に採用はしていない Q30へ Q30へ Q30 情報セキュリティ人材採用状況 はい Q31へ Q31 満足な採用ができない理由 Q25 において 人材を採用していると回答した方にお尋ねします 社外向けの情報セキュリティを担当する人材について 満足する人材を採用することができていますか (SA) Q26 において 満足な採用ができていないと回答した方にお尋ねします 満足な採用ができていない理由について あてはまるものをお答えください ( マトリックス SA) いいえ Q31へ情報セキュリティに関する業務経験や知識があるという人材を採用しても 満足するスキルを有して Q32へいない求めるレベルの人材が応募してこない Q32へ高度なスキルを有する人材の給与水準が高い Q32へ Q32へ

11 別表アンケート設問案 ( 社外向け )(2 / 2) Q32 情報セキュリティ分 御社における以下の製品 サービスの市場に関する直近 3 年間の動 過去から現在まで 大きな市場ではない 野の最近の状況向として 最も近いと考えるものをそれぞれ1つずつ選んでください かつては大きな市場であったが 最近は低下しつ (SA) つある ( 業界全体でなく 貴社事業からみた市場としてご回答ください ) かつては市場は小さかったが 近年拡大している 一貫して大規模な市場である 市場規模は一概に評価できない わからない DoS 攻撃対策 通信帯域の保護 ウェブサイトの改ざん検知 脆弱性対応 ウイルス対策 マルウェア対策 不正アプリケーション検知 SPAMメールや迷惑メールの検知 フィルタリング フィッシング詐欺や偽サイトの検知 フィルタリング 標的型攻撃やAPT 攻撃への対策 機密 個人情報の漏えい対策 内部不正対策