<4D F736F F F696E74202D208AE98BC682CC8FEE95F1835A834C A CE8DF482C98AD682B782E98EC091D492B28DB895F18D908F DC58F49816A2E >

Size: px

Start display at page:

Download "<4D F736F F F696E74202D208AE98BC682CC8FEE95F1835A834C A CE8DF482C98AD682B782E98EC091D492B28DB895F18D908F DC58F49816A2E >"

あゆみさんきち
5 years ago
Views:

1 企業の情報セキュリティ対策に関する実態調査報告書

2 はじめに

3 はじめに <はじめに> サイバー攻撃による事故被害は年々増加傾向にありそれら報道をることも常に多くなっている情報セキュリティは経営上の問題であり情報セキュリティ対策を講じることは企業経営としてもはや避けては通れない重要な課題であるそこで今回情報セキュリティ対策への取り組みや被害の状況や課題等企業の情報セキュリティに関する現状および傾向を捉え今後の情報セキュリティリスク低減に資することを的とした企業の実態調査 ( 以下本調査 ) を実施した本調査が企業の皆さまにとってさらなる取り組みの助となれば幸いである

4 はじめに < 本調査結果について> 今回の調査で明らかになったことは 1 組織体制を整備している企業ではサイバーセキュリティ対策においても保険の導率等においても優位な結果が出ている 2 また組織体制整備にプラスして書規定類についてもポリシー ( 針動指針書 ) スタンダード ( 基準標準 ) プロシージャ( 順書 ) と対応がより実務的なものに発展していくこともセキュリティ対策の実態としてはポイントとなっている 3 組織体制を整備することで対策等が進む理由のつにち上げた組織が企業外の団体組織 ( 本シーサート協議会 JNSA IPAなど ) に所属等し外部情報を取り込むことで当該企業として実施すべき対策などが明確になっていくと考えられる 4 サイバー保険についてはその存在体や内容 ( 補償範囲や対象となる事故等 ) に関して企業の理解が進んでいない組織ち上げ強化振り返り書規定類の整備対策 / 対応組織外団体組織との交流での気づき組織の強化すべき観点の明確化

5 調査概要

6 サイバーセキュリティサイバー保険に関する調査調査法概要調査法質問紙郵送法 Web 回答併 ) 対象企業有効回答 10,000 社 ( 業種別に無作為抽出 ) 東洋経済新報社が発する本の会社データ 4 万社 ((1) 基本データ ) から業種別に無作為抽出した企業総回収数 :701 件有効回答数 :689 件 ( 回収率 :6.9%) 調査期間 9 26 発送完了 10 中旬 5

7 サイバーセキュリティサイバー保険に関する調査回答企業の業種と規模建設業, 7.8% その他, 3.6% 鉱業, 0.3% 製造業, 30.1% 不動産業, 3.3% エネルギー業, 1.8% 教育学習援業, 0.5% その他サービス事業, 16.0% 情報通信業, 7.7% (n=688) 5 名以下, 1,001 名以上, 9.4% 5.7% 6 20 名, 11.2% 医療福祉, 0.2% 飲店宿泊業, 1.5% 融保険業, 卸売業, 6.8% 8.9% (n=689) 運輸業, 売業, 6.3% 5.3% 101 名 1,000 名, 43.3% 名, 13.9% 51 名 100 名, 16.6% 6

8 IT 活状況

9 IT 活状況業務サーバー ( クラウド含む ) の利状況利していると回答した企業は全体の 9 割を超えているまた従業員数が多くなるにつれて業務サーバー ( クラウド含む ) の利割合がきくなっている全体 (n=689) 92.7% 7.3% 利している利していない 5 名以下 (n=39) 64.1% 35.9% 6 20 名 (n=83) 名 (n=95) 51 名 100 名 (n=112) 101 名 1,000 名 (n=294) 1,001 名以上 (n=65) 85.5% 93.7% 93.8% 96.3% 100.0% 14.5% 6.3% 6.3% 3.7% 0.0% 利している利していない 8

IT 活状況インターネット上での顧客向けサービス提供の実施状況インターネット上で顧客向けのサービスを実施していると回答した企業は全体の 2 割程度であったが従業員数が 1,001 名以上の企業での回答割合は 4 割超という結果であった全体 (n=689) 21.2% 78.

10 IT 活状況インターネット上での顧客向けサービス提供の実施状況インターネット上で顧客向けのサービスを実施していると回答した企業は全体の 2 割程度であったが従業員数が 1,001 名以上の企業での回答割合は 4 割超という結果であった全体 (n=689) 21.2% 78.8% 提供している提供していない 5 名以下 (n=39) 7.7% 92.3% 6 20 名 (n=83) 13.3% 86.7% 名 (n=95) 12.6% 87.4% 51 名 100 名 (n=112) 15.2% 84.8% 101 名 1,000 名 (n=294) 24.5% 75.5% 1,001 名以上 (n=65) 47.7% 52.3% 提供している提供していない 9

11 IT 活状況他の企業組織 ( 委託先委託元提携先等 ) とのデータ連携有無他の企業組織とネットワークを通じたデータ連携をっていると回答した企業は過半数であったが従業員数が 1,001 名以上の企業での回答割合は 8 割超という結果であった全体 (n=685) 59.3% 40.7% データ連携しているデータ連携していない 5 名以下 (n=39) 6 20 名 (n=81) 名 (n=95) 51 名 100 名 (n=111) 101 名 1,000 名 (n=293) 43.6% 49.4% 53.7% 55.0% 62.1% 56.4% 50.6% 46.3% 45.0% 37.9% 1,001 名以上 (n=65) 83.1% 16.9% データ連携しているデータ連携していない 10

12 社内管理体制状況

13 社内管理体制状況設置されているサイバーセキュリティ体制複数選択回答企業の過半数がサイバーセキュリティ体制を構築していない状況でありサイバーセキュリティ体制があると回答した企業のなかで最も多く設置されていたのは CISO であった全体 (n=672) 36.3% 55.2% 8.5% CISO Chief Information Security Officer ( 別名 : 情報セキュリティ管理責任者, 情報セキュリティ最責任者, 最情報セキュリティ責任者など ) 組織の情報セキュリティを統括管理する役職セキュリティポリシー ( 動指針 ) の策定やセキュリティインシデントが発した際の対処の指揮経営陣への情報セキュリティ関連事項の橋渡し組織内の情報セキュリティ管理などを主な役割としているあるないその他 60% 40% 全体 (n=672) 55.2% CSIRT SOC Computer Security Incident Response Team サイバー攻撃による情報漏えいやシステム障害などサイバーセキュリティに関連するインシデント ( 事故 ) 事象が発した際に対応する組織インシデント発時 ( 有事 ) 以外の平時にもリサーチなどの活動をう Security Operation Center 情報セキュリティ機器サーバコンピュータネットワークなどが成するログを監視分析しサイバー攻撃の検出通知をう組織組織内の監視をう場合と顧客の監視をうサービス提供型の SOC がある 20% 0% 25.6% 16.5% 12.9% 9.8% CISO CSIRT SOC その他ない 12

14 社内管理体制状況設置されているサイバーセキュリティ体制複数選択さらに従業員数別にみると CSIRT を設置をしているのは従業員 1,001 名以上の企業で 40% となり組織規模が CSIRT 設置と関連すると考えられるなおその他を選択した企業ではグループ会社 / 親会社 / 本社に依拠している ISMS 委員会を設置している情報セキュリティ委員会を設置している等の記述を確認した 60% 55.2% 40% 25.6% 33.8% 40.0% 27.7% 38.5% 20% 16.5% 12.9% 9.8% 6.2% 0% CISO CSIRT SOC その他ない全体 (n=672) 1,001 名以上 (n=65) 13

15 社内管理体制状況整備されているセキュリティに関する書規定複数選択セキュリティに関する書規定として最も多く整備されているのがポリシー ( 針動指針書 ) (65.0%) であったなおその他を選択した企業ではグループ会社 / 親会社 / 本社規定に沿っているメーカー作成資料に沿っているハンドブックがあるといった回答があった全体 (n=683) 80% 60% 65.0% 46.7% 40% 29.1% 36.6% 20% 17.7% 4.7% 0% ポリシースタンダードプロシージャガイドラインその他ない ( 針動指針書 ) ( 基準標準 ) ( 順書 ) 14

16 社内管理体制状況整備されているセキュリティに関する書規定複数選択セキュリティに関する書規定の整備状況をポリシースタンダードプロシージャガイドラインと整備することを想定し下記のとおりレベル別に 5 つに分類したところ半数近い企業が書規定を順序てて整備していることが判明した 18.0% 7.3% 8.2% 14.8% 51.7% 48.3% レベル 1(n=123) レベル 2(n=50) レベル 3(n=56) レベル 4(n=101) それ以外 (n=353) ポリシー ( 針動指針書 ) スタンダード ( 基準標準 ) プロシージャ ( 順書 ) ガイドラインレベル1 レベル2 レベル3 レベル4 それ以外レベル1 4に該当しないものすべて 15

17 社内管理体制状況記述された内容の実 / 監査の実施有無複数選択 ( 前設問で書規定などがあると答えた場合のみ ) 書規定などがあると答えた企業のなかでセキュリティに関する書規定に記述された内容が実されているかの確認や監査を実施しているかを確認した社外の第三者の監査を選択した企業は全体では 41.8% だが従業員 1,001 名以上の企業では 60% を超えまた前ページのレベル 4 まで到達している企業では 61.4% であった 0% 20% 40% 60% 社外の第三者の監査 41.8% 社内部の監査 40.7% 社内の第三者 ( 部以外 ) の監査 34.3% 計画している 6.1% 出来ていない ( 計画もない ) 13.6% その他 3.4% 16

18 社外 ( 外部委託 ) 管理体制状況

19 社外 ( 外部委託 ) 管理体制状況外部委託先に対する情報管理についての監査や報告の実施状況全体では出来ていないという企業が最も多かった (43.2%) が従業員数 1,001 名以上の企業では委託先らで監査報告しているという回答が較的かった (47.7%) 0% 10% 20% 30% 40% 50% 60% 全体 (n=671) 5 名以下 (n=36) 6 20 名 (n=80) 名 (n=94) 51 名 100 名 (n=108) 101 名 1,000 名 (n=287) 1,001 名以上 (n=65) 4.8% 8.5% 7.2% 8.3% 11.1% 8.3% 11.1% 11.1% 3.8% 8.8% 5.0% 20.2% 10.6% 16.0% 4.3% 9.6% 3.8% 7.3% 6.6% 20.1% 17.5% 2.8% 13.9% 8.3% 1.5% 9.2% 4.6% 25.0% 22.2% 19.9% 29.8% 32.5% 32.4% 32.3% 32.3% 43.2% 42.5% 39.8% 43.2% 52.8% 52.1% 47.7% 出来ていない委託先らで監査報告している社外の第三者が監査報告している貴社で監査報告している計画しているその他 18

20 リスクの特定状況

リスクの特定状況保有する情報資産の取扱状況保有している情報資産について機密にすべき情報 ( 社内でも部のみ参照可等 ) 社内限定の情報秘密保持契約締結先に提供可能な情報公表可能な情報などの情報分類につき仕訳ルール ( 書化されたもの ) がありそのルールに則り分類していると回答した企業は半数に満たない状況であった ( 全体の 44.

21 リスクの特定状況保有する情報資産の取扱状況保有している情報資産について機密にすべき情報 ( 社内でも部のみ参照可等 ) 社内限定の情報秘密保持契約締結先に提供可能な情報公表可能な情報などの情報分類につき仕訳ルール ( 書化されたもの ) がありそのルールに則り分類していると回答した企業は半数に満たない状況であった ( 全体の 44.4%) なお仕訳ルール ( 書化されたもの ) がない中でルールに則って分類している企業は 3 割を超えている全体 (n=678) 44.4% 9.0% 9.6% 6.9% 17.3% 12.8% 仕訳ルール ( 書化されたもの ) がありそのルールに則り分類している仕訳ルール ( 書化されたもの ) はあるがルールに則って分類できていない仕訳ルール ( 書化されたもの ) はないがルールに則った分類をっておりルールの書化を計画している仕訳ルール ( 書化されたもの ) はないがルールに則って分類しておりルールの書化の予定はない仕訳ルールはないが分類はしている仕訳ルールもなく分類もしていない 20

22 リスクの特定状況保有する情報資産の取扱状況本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合サイバーセキュリティ体制がある企業では分類をしていると回答した企業が 86.1% ありそのうちの約 7 割が仕訳ルール ( 書化されたもの ) がありそのルールに則り分類していると回答しているサイバーセキュリティ体制あり (n=244) 61.5% 9.8% 7.8% 6.1% 10.7% 4.1% サイバーセキュリティ体制なし (n=364) 30.5% 8.2% 11.3% 7.7% 22.3% 20.1% 仕訳ルール ( 書化されたもの ) がありそのルールに則り分類している仕訳ルール ( 書化されたもの ) はあるがルールに則って分類できていない仕訳ルール ( 書化されたもの ) はないがルールに則った分類をっておりルールの書化を計画している仕訳ルール ( 書化されたもの ) はないがルールに則って分類しておりルールの書化の予定はない仕訳ルールはないが分類はしている仕訳ルールもなく分類もしていない 21

23 リスクの特定状況保有する情報資産の課題や脆弱性保有している情報資産の課題脆弱性の管理状況について確認した全体でみると管理をしている ( 管理することを計画している管理していない ( 計画もない ) 以外の選択肢の合計数 ) と回答した企業は 73.8% を占めているものの課題脆弱性共に管理していると回答した企業は 4 割に満たない状況である全体 (n=676) 33.7% 8.0%4.4% 27.7% 10.5% 15.7% 課題脆弱性共に管理している脆弱性については管理している 73.8% 課題については管理している課題或いは脆弱性の部は管理できている管理することを計画している管理していない ( 計画もない ) 22

24 リスクの特定状況保有する情報資産の課題や脆弱性本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合課題脆弱性共に管理していると回答した企業はサイバーセキュリティ体制がある企業では 48.5% を占める体制がない企業では 22.2% にとどまっており体制の有無によってきな差がられるサイバーセキュリティ体制あり (n=241) 48.5% 9.1% 4.6% 25.7% 6.6% 5.4% サイバーセキュリティ体制なし (n=365) 22.2% 7.4% 4.1% 29.0% 14.5% 22.7% 課題脆弱性共に管理している脆弱性については管理している課題については管理している課題或いは脆弱性の部は管理できている管理することを計画している管理していない ( 計画もない ) 23

25 リスクの特定状況保有する IT 機器のハードウェア資産管理での課題や脆弱性 IT 機器のハードウェア資産管理における課題や脆弱性の管理状況について確認した全体でみると管理をしている ( 管理することを計画している管理していない ( 計画もない ) 以外の選択肢の合計数 ) と回答した企業は 79.0% を占めておりその半数程度は課題脆弱性共に管理していると回答している ( 全体の 36.6%) 全体 (n=670) 36.6% 10.0% 5.2% 27.2% 7.5% 13.6% 課題脆弱性共に管理している脆弱性については管理している 79.0% 課題については管理している課題或いは脆弱性の部は管理できている管理することを計画している管理していない ( 計画もない ) 24

26 リスクの特定状況保有する IT 機器のハードウェア資産管理での課題や脆弱性本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合管理していない ( 計画もない ) と回答した企業はサイバーセキュリティ体制がある企業では 6.6% である体制がない企業では 18.5% を占めており体制有無によってきな差がられるサイバーセキュリティ体制あり (n=241) 47.7% 10.4% 5.8% 24.5% 5.0% 6.6% サイバーセキュリティ体制なし (n=363) 25.9% 10.2% 5.5% 30.0% 9.9% 18.5% 課題脆弱性共に管理している脆弱性については管理している課題については管理している課題或いは脆弱性の部は管理できている管理することを計画している管理していない ( 計画もない ) 25

27 防御状況

防御状況インターネットと社ネットワークの境界防御 ( ファイアウォールなど ) インターネットと社ネットワークの境界防御の実施状況について確認した全体でみると実施している ( 外部の防御サービス機器を利している社でファイアウォール等の機器を購して導しているの合計 )

28 防御状況インターネットと社ネットワークの境界防御 ( ファイアウォールなど ) インターネットと社ネットワークの境界防御の実施状況について確認した全体でみると実施している ( 外部の防御サービス機器を利している社でファイアウォール等の機器を購して導しているの合計 ) と回答した企業は約 9 割を占めている全体 (n=678) 46.3% 41.9% 3.7% 4.9% 2.2% 1.0% 外部の防御サービス機器を利している社でファイアウォール等の機器を購して導している導を計画している導していない ( 計画もない ) インターネットと繋がっていないその他 27

29 防御状況ユーザー ID パスワード情報の参照や更新の権限のルール策定 ID パスワード情報の参照更新に関するルールが書化され点検や直しも実施されていると回答した企業は全体では過半数 (50.4%) であった全体 (n=678) 50.4% 14.2% 4.3% 18.7% 11.2% 1.2% ルールが書化され点検や直しも実施されているルールが書化されているが点検や直しは実施できていないルールを書化することを計画しているルールはあるが書化されていないルールがない ( 計画もない ) その他 28

30 防御状況ユーザー ID パスワード情報の参照や更新の権限のルール策定サイバーセキュリティ体制がある企業では 69.5% サイバーセキュリティ体制のない企業では 34.9% とかい離しているなおその他には親会社のルール / 管理に準じるといった記載があったサイバーセキュリティ体制あり (n=243) 69.5% 7.4% 15.6% 0.8% 3.7% 2.9% サイバーセキュリティ体制なし (n=367) 34.9% 14.4% 5.4% 26.4% 18.3% 0.5% ルールが書化され点検や直しも実施されているルールが書化されているが点検や直しは実施できていないルールを書化することを計画しているルールはあるが書化されていないルールがない ( 計画もない ) その他 29

31 防御状況導しているアンチウィルスソフトマルウェア対策ソフトの導状況アンチウィルスソフトマルウェア対策ソフトの導状況については全ての PC/ サーバーに導していると回答した企業が 9 割近くを占めており回答したほとんどの企業が防御のためのソフトを導している状況であるなおその他には親会社で実施している旨の回答があった全体 (n=678) 88.5% 全てのPC/ サーバーに導している部のPC/ サーバーに導していて全てに導する計画がある部のPC/ サーバーに導していて全てに導する計画はない導していないが部あるいは導する計画がある導していない ( 計画もない ) その他 4.1% 4.3% 1.3% 0.4%1.3% 30

32 防御状況導しているソフトの更新監視等の実施状況 ( 前設問で導していると回答した場合のみ ) アンチウィルスソフトマルウェア対策ソフトの更新監視等を実施しているかについて 9 割を超える企業が更新 ( アップデート ) 監視とウィルス発時の対応などを実施していると回答している全体 (n=652) 91.3% 3.7% 2.3% 2.8% 更新監視とウィルス発時の対応などを実施している部を実施している今後実施する計画がある実施していない ( 計画もない ) 31

33 防御状況脆弱性 ( 例 :Windows や Adobe Flash 等の脆弱性 ) に対する管理状況脆弱性 ( 例えば Windows や Adobe Flash 等の脆弱性 ) を管理しているかどうかについて確認した管理法を規定 ( 書化 ) し実施しているおよび部実施しているをあわせて実施していると考えると全体の 6 割超の企業が実施している状況であるただし書化して実施している企業は全体の 3 割に満たない状況であった全体 (n=673) 29.4% 37.6% 8.3% 24.7% 管理法を規定 ( 書化 ) し実施している部実施している今後管理する計画がある管理していない ( 計画もない ) 32

34 防御状況脆弱性 ( 例 :Windows や Adobe Flash 等の脆弱性 ) に対する管理状況サイバーセキュリティ体制の有無ごとにみると体制がある企業では管理法を規定 ( 書化 ) し実施していると回答した企業が 47.1% あり実施している企業は 8 割を超えるという結果であったで体制がない企業では管理していない ( 計画もない ) と回答した企業が 35.9% を占めているサイバーセキュリティ体制あり (n=242) 47.1% 34.3% 7.4% 11.2% サイバーセキュリティ体制なし (n=365) 14.5% 40.0% 9.6% 35.9% 管理法を規定 ( 書化 ) し実施している部実施している今後管理する計画がある管理していない ( 計画もない ) 33

35 検知状況

検知状況 IDS IPS 等のセキュリティ監視システムの導状況 IDS IPS 等のセキュリティ監視システムの導状況については全体でみると最も多かったのは導していない ( 計画もない ) (33.8%) であり次いで外部委託し導している (33.4%) と明暗が分かれた全体 (n=671) 33.4% 18.6% 14.2% 33.

36 検知状況 IDS IPS 等のセキュリティ監視システムの導状況 IDS IPS 等のセキュリティ監視システムの導状況については全体でみると最も多かったのは導していない ( 計画もない ) (33.8%) であり次いで外部委託し導している (33.4%) と明暗が分かれた全体 (n=671) 33.4% 18.6% 14.2% 33.8% 外部委託し導している社で購導し運営している今後導することを計画している導していない ( 計画もない ) サイバーセキュリティ体制がある場合は外部委託し導していると回答した企業が最も多い (44.0%) で体制がない場合は導していない ( 計画もない ) と回答した企業が最も多く 47.3% を占めている状況でこちらも体制有無によって明暗が分かれたサイバーセキュリティ体制あり (n=241) 44.0% 26.1% 12.9% 17.0% サイバーセキュリティ体制なし (n=366) 24.3% 13.1% 15.3% 47.3% 外部委託し導している社で購導し運営している今後導することを計画している導していない ( 計画もない ) 35

37 検知状況セキュリティ監視システムの監査や問題発時の対応対応プロセスの直し有無 ( 前設問で外部委託し導しているまたは社で購導し運営していると回答した場合のみ ) セキュリティ監視システムの監査や問題発時の対応対応プロセスの直しを実施しているかについて監査対応直しまで実施していると回答した企業がもっとも多い (57.2%) その他は問題発時の対応のみ対応プロセスの直しのみ実施等の記述があった全体 (n=346) 57.2% 6.9% 23.4% 12.4% 監査対応直しまで実施している部実施している計画しているその他サイバーセキュリティ体制有無で較するときな差 (28.3 ポイント ) がられた ( 体制がある場合は 69.5% ない場合は 41.2%) サイバーセキュリティ体制あり (n=167) 69.5% 6.0% 18.0% 6.6% サイバーセキュリティ体制なし (n=136) 41.2% 9.6% 35.3% 14.0% 監査対応直しまで実施している部実施している計画しているその他 36

38 検知状況システムログの管理ポリシーシステムログの管理ポリシーについて確認した管理ポリシーがありそれに基づいた監査や直しを実施している企業が全体の 36.2% を占めているで管理ポリシーがなく作成計画もない企業が全体の 32.8% を占めている本結果はセキュリティ監視システムの導 (P35) と類似している全体 (n=674) 36.2% 17.4% 13.6% 32.8% 管理ポリシーがありそれに基づいた監査や直しを実施管理ポリシーの作成を計画している管理ポリシーはあるがそれに基づいた監査や直しはしていない管理ポリシーがなく作成計画もない 37

39 対応復旧状況

40 対応復旧状況セキュリティインシデント ( 事故 ) 発時の訓練実施状況セキュリティインシデント ( 事故 ) 発時の訓練を実施しているかについては全体でた場合過半数 (54.1%) の企業が訓練を実施していない ( 計画もない ) と答えているその他には親会社からの指による迷惑メールの開封訓練を実施している等があった全体 (n=675) 13.3% 6.8% 10.8% 12.9% 54.1% 2.1% 訓練を実施している (IT 以外の部も参加 ) 訓練を実施している (IT 部のみ ) 訓練を部実施している訓練を実施していない ( 計画もない ) 訓練を計画しているその他 39

対応復旧状況セキュリティインシデント ( 事故 ) 発時の訓練実施状況サイバーセキュリティ体制有無で較すると体制のある組織企業では訓練を実施 (IT 以外の部も参加 ) 訓練を実施 (IT 部のみ ) 訓練を部実施の合計が 48.0% と半数近くになった体制がない場合には同合計が 18.

41 対応復旧状況セキュリティインシデント ( 事故 ) 発時の訓練実施状況サイバーセキュリティ体制有無で較すると体制のある組織企業では訓練を実施 (IT 以外の部も参加 ) 訓練を実施 (IT 部のみ ) 訓練を部実施の合計が 48.0% と半数近くになった体制がない場合には同合計が 18.6% となっており 30 ポイント近い差が出ている 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% サイバーセキュリティ体制あり (n=242) 23.6% 8.7% 15.7% 14.9% 36.0% 1.2% サイバーセキュリティ体制なし (n=365) 5.5% 4.9% 8.2% 12.1% 68.5% 0.8% 訓練を実施している (IT 以外の部も参加 ) 訓練を実施している (IT 部のみ ) 訓練を部実施している訓練を計画している訓練を実施していない ( 計画もない ) その他 40

42 対応復旧状況インシデント発時訓練結果の直し有無 ( 前設問で訓練を実施している (IT 以外の部も参加または訓練を実施している (IT 部のみ ) と回答した場合 ) 訓練結果の振り返りや訓練内容の直しを現在実施している企業は全体の 70.7% を占めており訓練内容の直しを計画している企業 (20.3%) を含めると直しをしている / する予定のある企業で 9 割を超える訓練を実施している企業のほとんどで直しが実施されている全体 (n=133) 70.7% 20.3% 7.5%1.5% 訓練結果を振り返り訓練内容の直しを実施している訓練内容の直しはしていない ( 計画もない ) 訓練内容の直しをうことを計画しているその他 41

43 サイバー保険等について

44 サイバー保険等についてサイバー保険 / 情報漏えい保険の加状況サイバー保険または情報漏えい保険に加していない企業がそれぞれ 7 割を超える状況でありサイバー保険に加している企業は 12.7% 情報漏えい保険に加している企業は 18.2% と全体の加状況としては低い結果となったサイバー保険 (n=667) 12.7% 10.8% 76.5% 情報漏えい保険 (n=661) 18.2% 10.3% 71.6% 加している加することを検討している加していない ( 計画もない ) 43

サイバー保険等についてサイバー保険 / 情報漏えい保険の加状況サイバーセキュリティ体制有無で確認すると体制がある企業と体制がない企業では保険の付保率に差がみられるたとえばサイバー保険の付保率は体制がある場合は 16.5% であり体制がない場合 (8.0%) にべると倍増しているまた情報漏えい保険の付保率は体制がある場合は 25.8% であるで体制がない場合は 11.

45 サイバー保険等についてサイバー保険 / 情報漏えい保険の加状況サイバーセキュリティ体制有無で確認すると体制がある企業と体制がない企業では保険の付保率に差がみられるたとえばサイバー保険の付保率は体制がある場合は 16.5% であり体制がない場合 (8.0%) にべると倍増しているまた情報漏えい保険の付保率は体制がある場合は 25.8% であるで体制がない場合は 11.6% であるサイバー保険 ( 体制あり )(n=242) 16.5% 15.3% 68.2% サイバー保険 ( 体制なし )(n=363) 8.0% 8.3% 83.7% 情報漏えい保険 ( 体制あり )(n=240) 25.8% 12.9% 61.3% 情報漏えい保険 ( 体制なし )(n=362) 11.6% 8.6% 79.8% 加している加することを検討している加していない ( 計画もない ) 44

46 サイバー保険等について保険に加していない理由複数選択 ( 前設問で検討している加していないと回答した場合 ) 保険に加していない理由として保険の存在を知らなかった旨の回答をしている企業が定数存在している ( サイバー保険では 36.2% 情報漏えい保険では 37.8%) 0% 20% 40% 22.9% 36.2% サイバー保険 (n=503) 5.8% 11.9% 10.9% 25.6% 保険があることを知らなかった保険があることは知っていたが提案を受けたことが無い保険に加する必要性を感じない 37.8% 保険の内容が分からない難しい 22.1% 情報漏えい保険 (n=466) 12.7% 11.4% 24.7% 保険料がいその他 5.4% 45

47 サイバー保険等についてサイバー保険で補償してほしい内容複数選択保険で補償を期待する損害と最も多かったのが情報漏えい時の損害賠償 (63.3%) であり次いで対応復旧費 (58.6%) であったまた従業員数 1,001 名以上の企業をみると全体の結果とは異なり対応復旧費情報漏えい時の損害賠償どちらも多かった (71.4%) 0% 20% 40% 60% 80% 情報漏えい時の損害賠償 63.3% 対応復旧費 58.6% 代替機器等の準備購費 35.8% システム中断中の売り上げ利益 23.5% その他 1.9% とくにない 23.8% 46

48 サイバーセキュリティ MS&AD プラットフォーム MS&AD グループでは今回調査の範囲について下記のようなリスクマネジメントサービスやアセスメント保険商品などをご意しています今回の調査を受けて今後もサービス内容を拡充していきたいと考えていますので引き続きよろしくお願いします保険質問票外部評価費 ( 調査復旧等 ) 賠償専業者紹介等リスクコンサル企業向け中企業向け CSIRT 基礎研修情報漏えい発時の対応体制整備情報セキュリティ診断サービスインテリジェンスレポートエントホイントセキュリティ対策サーハー Web 診断サーハー Web 診断出対策援出対策援メディア対応トレーニンク事故対応セミナー事故対応セミナーサイバーセキュリティ対策フレームワーク社内管理体制対応針の策定管理体制の構築予算材の確保 1 組織全体のサイバーリスク認識他のリスク管理体制との整合性把握セキュリティホリシー等社外管理体制 ( 外部委託管理 ) 委託先管理と責任境界の明確化 2 サプライチェーンに対するサイバーセキュリティを把握外部委託基準書契約書 ( 雛形 ) 等リスクの特定防御検知資産評価リスクアセスメントの実施 3 全体 (1 と 2) を俯瞰した上での相対的なリスク評価を実施資産管理台帳リスク評価表等境界防御アクセス管理マルウェア対策等イベント発有無チェック ( 監視ログ管理 ) 4 左記 3 を踏まえた優先度のいサイバーセキュリティリスクに対応するための保護対策 ( 防御検知分析に関する対策 ) を実施するための体制構築サイバーセキュリティ監視順書等対応復旧事前準備訓練初動 / 恒久対応報告公表 5 復旧に向けた順書策定や訓練による準備直し復旧順書訓練実施報告書 47

MS&AD インターリスク総研株式会社新領域開発室 101-0062 東京都千代区神淡路町 2-105

49 MS&AD インターリスク総研株式会社新領域開発室東京都千代区神淡路町ワテラスアネックス Tel: /Fax:

目次第 1 章調査概要調査の背景と目的調査内容調査期間調査方法アンケート調査訪問調査... 6 第 2 章アンケート調査回収数回答企業の属性...

目次第 1 章調査概要調査の背景と目的調査内容調査期間調査方法アンケート調査訪問調査... 6 第 2 章アンケート調査回収数回答企業の属性... 2016 年度中小企業における情報セキュリティ対策の実態調査 - 調査報告書 - 2017 年 3 月 30 日目次第 1 章調査概要... 3 1. 調査の背景と目的... 3 2. 調査内容... 3 3. 調査期間... 4 4. 調査方法... 4 4.1 アンケート調査... 4 4.2 訪問調査... 6 第 2 章アンケート調査... 7 1. 回収数... 7 2. 回答企業の属性...