2008 年国内における情報セキュリティ事象被害状況調査 - 報告書 - 2009 年 5 月
目 次 1. 調査概要... 1 1.1. 調査目的... 1 1.2. 調査対象... 2 1.3. 調査期間... 3 1.4. 調査方法... 3 1.5. 回収結果... 3 1.6. 調査項目... 3 2. 調査項目の考え方... 4 2.1. 2008 年の情報セキュリティに関する脅威 被害の傾向... 4 2.2. アンケート調査項目への取り込み... 5 3. 調査結果... 7 3.1. 回答企業 自治体の概要... 7 3.1.1. 業種... 7 3.1.2. 総従業員数... 8 3.1.3. 総売上高 ( 単体 )... 9 3.1.4. 経営利益 ( 単体 )... 10 3.1.5. 規程年間営業日数および1 日の営業時間... 11 3.1.6. IT 関連の支出総額... 13 3.1.7. 利用しているパソコンのOSと台数... 14 3.1.8. LAN や WAN 等のネットワークの構築状況... 17 3.2. 情報セキュリティ対策の現状... 19 3.2.1. 情報セキュリティ対策管理の社内体制... 19 3.2.2. セキュリティ対策ソフト導入状況... 21 3.2.3. 2008 年のセキュリティ対策ソフトの導入 更新および装置の導入費用... 27 3.2.4. 2009 年のセキュリティ対策への投資額... 29 3.2.5. 情報セキュリティ関連製品やソリューションの導入... 31 3.2.6. 情報セキュリティ被害防止のための組織 運用面の対策... 33 3.2.7. セキュリティパッチの適用... 35 3.2.8. セキュリティパッチを導入しなかった理由... 37 3.2.9. クライアント ( パソコン ) にセキュリティパッチ適用の有無... 38 3.2.10. Windows 98 / Me がインストールされているパソコンの割合... 40 3.2.11. 情報セキュリティ対策教育の実施状況... 42 3.2.12. 重要サーバが停止した場合の売上高への影響... 44 3.2.13. 重要サーバの許容停止時間... 45 3.3. コンピュータウイルス対策に対する意識... 47
3.3.1. 情報セキュリティ対策に関連して知りたいと思っている情報... 47 3.3.2. コンピュータウイルス対策基準 の認知度... 48 3.3.3. 被害届出について... 49 3.4. コンピュータウイルスによる被害状況... 53 3.4.1. コンピュータウイルス遭遇 ( 感染または発見 ) 経験... 53 3.4.2. 感染 発見したウイルスの名称... 56 3.4.3. ウイルスの感染件数... 59 3.4.4. ウイルスに感染したパソコン サーバの台数... 60 3.4.5. ウイルスの直接的な被害... 62 3.4.6. 電子商取引 (EC) 業務... 65 3.4.7. EC サーバ以外の業務遂行上重要なサーバ停止の影響... 67 3.4.8. 2008 年 1 年間の情報管理部門が行った復旧作業人日... 68 3.4.9. 2008 年 1 年間のシステム復旧に関して新たに購入した代替機器の費用... 70 3.4.10. システム復旧に関して外部に発注した業務の費用... 71 3.4.11. ウイルス感染が原因で発生した追加データ処理作業人日... 72 3.4.12. 復旧以外の対応... 74 3.4.13. 2008 年 1 年間のウイルス感染による被害の発生... 80 3.4.14. 復旧時の復旧以外の対応による外部発注費用... 81 3.4.15. 影響の最も大きかったウイルス... 83 3.5. ファイル共有ソフトを介した情報漏えい... 91 3.5.1. 個人情報 業務情報流出被害経験の有無... 91 3.5.2. 流出情報の種類... 92 3.5.3. 対応延べ人日... 93 3.5.4. 対応内容... 95 3.5.5. 流出による間接的な被害の内容... 100 3.6. フィッシング詐欺による被害について... 102 3.6.1. サイトの詐称による顧客情報の詐取または詐取可能性の有無... 102 3.6.2. 詐取情報の種類... 103 3.6.3. 実施した対応... 104 3.6.4. 情報詐取による間接的な被害の発生... 109 3.7. 標的型攻撃による被害について... 110 3.7.1. 標的型攻撃の電子メールの有無... 110 3.7.2. 攻撃の具体的手段... 111 3.7.3. 標的型攻撃メール数... 112 3.8. その他の情報セキュリティ事象について... 113 4. 考察... 117
1. 調査概要 1.1. 調査目的 IT IPA 1
1.2. 調査対象 11,000 10,000 1,000 内容 標本数 11,000 件 ( うち 企業 10,000 件 自治体 1,000 件 ) 標本台帳 (1) 企業 情報処理実態調査 対象機関 四季報 ( 上記の抽出機関の補足 ) (2) 自治体 財団法人地方自治情報センター抽出方法 (1) 企業 : 業種別 就業者規模別無作為抽出 (2) 自治体 : 都道府県 47 東京特別区 23 政令指定都市 17 中核市 39 上記以外の県庁所在地 12 その他 人口を軸とする層別抽出 ( 比例割当法 ) 862 IT IT (0.9) (0.9) 17 300 300 300 2
1.3. 調査期間 2009 1 2008 1 12 1.4. 調査方法 Web Web Web 2008 1.5. 回収結果 11,000 2,317 21.1 発送数 回収数 回収率 全体 11,000 2,317 21.1% ( 企業 / 自治体別内訳 ) 企業 10,000 1,907 19.1% 自治体 1,000 410 41.0% ( 企業業種 規模別内訳 ) 企業群 Ⅰ 2,500 485 19.4% 企業群 Ⅰ 2,500 496 19.8% 企業群 Ⅱ 2,500 401 16.0% 企業群 Ⅱ 2,500 525 21.0% 1.6. 調査項目 3
2. 調査項目の考え方 2.1. 2008 年の情報セキュリティに関する脅威 被害の傾向 (1) 情報セキュリティ関連被害の全体像 [3][10] (2) 企業における脅威認識と対策の変化 [1][6] Winny [4] [1] [10] (3) 攻撃対象 経路の変化 企業がネットワークに公開するサイト ( ウェブサイト等 ) への攻撃 DNS [3] [4][5] - - - 企業内部のネットワークへの攻撃 [6] 4
攻撃技術の変化 [2][7] SQL [7][8][9] 7 [3] 4 [3][5] 2.2. アンケート調査項目への取り込み 2008 2007 2007 年度調査項目 2007~2008 2008 年度の脅威のトレンド Ⅰ. 企業属性 対策状況の把握 モバイル機器の紛失や盗難によるセキュリティ事象 過失によるセキュリティ事象 Ⅱ.. 情報セキュリティ対策 内部犯行によるセキュリティ事象 Ⅲ. ウイルス発見 感染被害 対策項目の整理 見直し 継続する情報漏洩の被害 対策が進んだ企業における対策内容のシフト ( リスク分析や情報収集 ) Ⅳ. ファイル共有ソフトによる情報漏洩被害 Ⅴ.. 標的型攻撃による被害 新たな脅威 紛失 盗難過失等による情報漏洩被害の把握 被害の把握 業種以外の属性 ネットワーク公開サイトへの攻撃増大 内部ネットワークへの攻撃 攻撃技術の変化 ( 攻撃対象を探す手法の自動化 システマティックに動くウイルス等 ) Ⅵ. スパイウェアによる被害 項目の詳細化 ソーシャルエンジニアリングによる脅威の増大 ( 政府 公共 金融等 ) 2007 年度調査の改善点 Ⅶ. 情報セキュリティ事象による間接的被害 用語 把握方法の見直し ファイル共有ソフト以外の情報漏洩被害の把握 間接被害の把握 図 2.2-1 アンケート調査項目と 2008 年度のトレンドの対応 [1] CIO 2007 [2] [3] 2007 5
7 2007 12 [4] IT 2 2007 12 [5] McAfee Avert Labs 2008 10 [6] [7] CSL [8] Web SQL DBSL [9] JSOC vol.10 [10] NRI 2007 6
3. 調査結果 3.1. 回答企業 自治体の概要 3.1.1. 業種 18.9% 17.7% 13.9% 10.5% (N=2,317) 0% 10% 20% 30% 40% 農林漁業 鉱業建設業機械器具製造業他の製造業電気 ガス 熱供給 水道業情報通信業運輸業卸売業小売業金融 保険業不動産業飲食店 宿泊業他のサービス業自治体 公共団体その他無回答 0.9 1.4 0.6 1.0 0.4 6.8 6.2 5.7 5.7 4.9 5.3 10.5 13.9 17.7 18.9 企業群 Ⅰ 企業群 Ⅱ 自治体 図 3.1-1 業種 注 1) 他のサービス業 その他 の回答 および無回答の回収票については 適切な業種へ振り分けを行った 注 2) 標準産業分類に準じ 情報通信業 に 情報サービス業 放送業 映像制作 新聞 出版業 を含む また 他のサービス業 には 医療 福祉業 教育 学習支援業 を含む (N=1,907) 51.4 48.6 企業群 Ⅰ 企業群 Ⅱ 図 3.1-2 業種 ( 企業群別 ) 7
3.1.2. 総従業員数 1,000 3 300 300 300 (N=2,317) 無回答, 0.5% 9 人以下, 0.2% 10~49 人, 4.7% 1,000 人以上, 21.5% 50~99 人, 12.5% 500~999 人, 13.2% 100~299 人, 33.1% 300~499 人, 14.2% 図 3.1-3 総従業員数 企業 (N=1,907) 0.3 自治体 (N=410) 1.0 5.6 14.1 33.6 4.9 30.7 12.9 15.9 14.4 12.7 31.7 9 人以下 10~49 人 50~99 人 100~299 人 300~499 人 500~999 人 1,000 人以上 無回答 19.3 2.9 図 3.1-4 総従業員数 ( 企業 / 自治体別 ) 8
3.1.3. 総売上高 ( 単体 ) 100 921.6 1,164.8 654.3 IT 2007 751.4 2 2008 (N=1,907) 無回答, 6.7% 10 億円未満, 9.5% 10~20 億円未満, 10.9% 100 億円以上, 41.3% 20~40 億円未満, 13.0% 40~100 億円未満, 18.7% 図 3.1-5 総売上高 ( 単体 企業のみ ) 0.6 (N=886) (N=1,021) 4.2 14.7 72.8 1.6 17.3 18.9 20.6 22.1 14.0 6.2 7.1 10 億円未満 10~20 億円未満 20~40 億円未満 40~100 億円未満 100 億円以上 無回答 図 3.1-6 総売上高 ( 企業 就業者規模別 ) 表 3.1-1 総売上高平均 ( 企業 ) 全体 企業群 Ⅰ 企業群 Ⅱ 921.6 億円 1,865.0 億円 95.5 億円 1,164.8 億円 654.3 億円 9
3.1.4. 経営利益 ( 単体 ) 4 56.2 84.7 22.4 IT 2007 38.7 4 (N=1,907) 無回答, 14.7% 4 億円以上, 32.9% 2,000 万円未満, 18.9% 1 億 ~4 億円未満, 18.2% 2,000~5,000 万円未満, 7.6% 5,000 万 ~1 億円未満, 7.8% 図 3.1-7 経営利益 ( 単体 企業のみ ) (N=886) 9.6 3.4 15.1 55.4 14.2 2.3 (N=1,021) 26.9 12.1 11.6 20.9 13.4 15.1 2,000 万円未満 2,000~5,000 万円未満 5,000 万 ~1 億円未満 1 億 ~4 億円未満 4 億円以上 無回答 図 3.1-8 経営利益 ( 企業 就業者規模別 ) 表 3.1-2 経営利益平均 ( 企業 ) 全体 企業群 Ⅰ 企業群 Ⅱ 56.2 億円 116.2 億円 3.7 億円 84.7 億円 22.4 億円 10
3.1.5. 規程年間営業日数および1 日の営業時間 200 249 47.3% 250 299 26.3% 300 300 2007 (N=2,317) ~199 日, 2.0% 無回答, 12.3% 300 日以上, 12.2% 250~ 299 日, 26.3% 200~ 249 日, 47.3% 図 3.1-9 規程年間営業日数 企業 (N=1,907) 2.5 43.5 27.5 13.6 13.0 自治体 (N=410) 64.9 20.5 5.6 9.0 ~199 日 200~249 日 250~299 日 300 日以上無回答 図 3.1-10 規程年間営業日数 ( 企業 / 自治体別 ) (N=886) 2.7 49.4 18.3 15.7 13.9 (N=1,021) 2.3 38.3 35.6 11.8 12.1 ~199 日 200~249 日 250~299 日 300 日以上無回答 図 3.1-11 規程年間営業日数 ( 就業者規模別 ) 11
1 8 8 8 300 300 (N=2,317) 無回答, 7.3% 8 時間以上, 15.8% 8 時間未満, 27.4% 8 時間, 49.5% 図 3.1-12 1 日の営業時間 企業 (N=1,907) 32.1 43.4 16.3 8.2 自治体 (N=410) 5.6 78.0 13.4 2.9 8 時間未満 8 時間 8 時間以上無回答 図 3.1-13 1 日の営業時間 ( 企業 / 自治体別 ) (N=886) 33.7 39.5 17.5 9.3 (N=1,021) 30.7 46.7 15.3 7.3 8 時間未満 8 時間 8 時間以上無回答 図 3.1-14 1 日の営業時間 ( 従業員別 ) 12
3.1.6. IT 関連の支出総額 IT 2,000 3 300 2,000 300 1 4 10 IT IT (N=2,317) 無回答, 15.3% 4 億円以上, 14.6% 1 億 ~ 4 億円未満, 14.5% 2,000 万円未満, 32.2% 2,000~5,000 万円未満, 12.3% 5,000 万 ~1 億円未満, 11.1% 図 3.1-15 IT 関連の支出総額 企業 (N=1,907) 37.1 11.2 9.2 13.3 13.6 15.7 自治体 (N=410) 9.3 17.8 2 20.2 19.3 13.4 2,000 万円未満 2,000~5,000 万円未満 5,000 万 ~1 億円 ] 未満 1 億 ~4 億円未満 4 億円以上 無回答 図 3.1-16 IT 関連の支出総額 ( 企業 / 自治体別 ) (N=886) 14.0 9.0 12.0 22.5 26.5 16.0 (N=1,021) 57.1 13.0 6.8 5.3 15.5 2.4 2,000 万円未満 2,000~5,000 万円未満 5,000 万 ~1 億円 ] 未満 1 億 ~4 億円未満 4 億円以上 無回答 図 3.1-17 IT 関連の支出総額 ( 就業者規模別 ) 13
企業群 Ⅰ (N=981) 33.8 11.3 8.8 13.8 18.1 14.2 企業群 Ⅱ (N=926) 40.5 11.0 9.6 12.7 8.7 17.4 2,000 万円未満 2,000~5,000 万円未満 5,000 万 ~1 億円 ] 未満 1 億 ~4 億円未満 4 億円以上 無回答 図 3.1-18 IT 関連の支出総額 ( 企業群別 ) 3.1.7. 利用しているパソコンの OS と台数 Windows 6 100 Macintosh Unix Linux 1 (N=2,317) Windows 系 1.5 13.9 13.6 38.7 28.1 2.5 1.5 0.4 Macintosh 系 79.5 9.2 4.9 0.5 1.3 2.0 1.3 1.3 Unix Linux 系 78.8 7.1 6.3 0.4 3.1 1.4 1.3 1.5 パソコン全体 1.3 13.8 0.4 13.7 38.8 28.1 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 図 3.1-19 利用しているパソコンの OS と台数 2.5 1.5 14
<Windows 系 > 企業 (N=1,907) 1.8 16.6 15.1 37.2 24.6 0.5 2.5 1.7 自治体 (N=410) 6.6 1.2 45.6 43.9 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 2.2 0.5 <Macintosh 系 > 企業 (N=1,907) 77.4 9.3 5.8 2.3 1.5 1.6 0.6 1.5 自治体 (N=410) 89.5 0.5 0.7 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 8.8 0.5 <Unix Linux 系 > < 全体 > 企業 (N=1,907) 76.4 7.2 7.6 3.3 1.7 1.7 自治体 (N=410) 9 4.9 0.5 2.2 2.0 0.5 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 0.5 1.5 1.6 企業 (N=1,907) 0.5 16.5 15.2 37.3 24.7 2.6 1.7 1.2 自治体 (N=410) 6.6 45.6 43.9 2.2 0.5 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 図 3.1-20 利用しているパソコンの OS と台数 ( 企業 / 自治体別 ) 15
<Windows 系 > (N=886) 2.8 3.7 35.9 50.1 5.4 0.2 1.8 (N=1,021) 0.9 <Macintosh 系 > 3.1 28.5 25.0 38.4 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 2.5 1.6 (N=886) (N=1,021) <Unix Linux 系 > (N=886) 71.6 82.5 9.5 2.7 7.9 2.4 9.1 2.0 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 69.9 6.9 3.5 10.3 4.0 3.0 1.4 1.6 0.8 0.3 1.4 3.4 3.3 1.1 1.7 (N=1,021) 82.1 8.1 3.14.6 0.3 0.4 1.4 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 16
< 全体 > 2.7 (N=886) 3.7 0.2 35.9 50.1 5.5 1.8 2.8 (N=1,021) 0.9 28.4 25.2 38.5 2.6 1.6 0 台 1~4 台 5~9 台 10~49 台 50~99 台 100~499 台 500~999 台 1,000 台以上 無回答 図 3.1-21 利用しているパソコンの OS と台数 ( 就業者規模別 ) 3.1.8. LAN や WAN 等のネットワークの構築状況 7 300 2007 47.9% 52.6% (N=2,317) 2 64.5 11.8 1.6 2.1 事業所内ネットワークのみ構築外部の機関とのネットワークまで構築無回答 機関内の事業所間ネットワークまで構築社内情報ネットワークは構築していない 図 3.1-22 LAN や WAN 等のネットワークの構築状況 企業 (N=1,907) 22.2 62.1 11.5 1.8 2.4 自治体 (N=410) 1 75.6 12.9 事業所内ネットワークのみ構築外部の機関とのネットワークまで構築無回答 0.5 機関内の事業所間ネットワークまで構築社内情報ネットワークは構築していない 1.0 図 3.1-23 LAN や WAN 等のネットワークの構築状況 ( 企業 / 自治体別 ) 17
(N=886) (N=1,021) 9.1 73.1 14.9 事業所内ネットワークのみ構築外部の機関とのネットワークまで構築無回答 33.5 52.6 8.6 0.6 2.8 機関内の事業所間ネットワークまで構築社内情報ネットワークは構築していない 2.3 2.4 図 3.1-24 LAN や WAN 等のネットワークの構築状況 ( 就業者規模別 ) 18
3.2. 情報セキュリティ対策の現状 3.2.1. 情報セキュリティ対策管理の社内体制 8 2007 / 300 9 300 7 IT (N=2,317) 24.3 56.5 5.3 12.6 0.3 1.0 専門部署 ( 担当者 ) がある 兼務だが担当責任者が任命されている 外部委託している 組織的には行っていない ( 各自の対応 ) わからない 無回答 図 3.2-1 情報セキュリティ対策管理の社内体制 企業 (N=1,907) 22.4 55.6 6.1 14.4 0.3 1.2 自治体 (N=410) 33.2 60.7 専門部署 ( 担当者 ) がある 兼務だが担当責任者が任命されている 外部委託している 組織的には行っていない ( 各自の対応 ) わからない 無回答 1.5 0.5 4.1 図 3.2-2 情報セキュリティ対策管理の社内体制 ( 企業 / 自治体別 ) (N=886) 29.8 57.3 4.3 7.2 0.3 1.0 (N=1,021) 16.1 54.1 専門部署 ( 担当者 ) がある 兼務だが担当責任者が任命されている 外部委託している 組織的には行っていない ( 各自の対応 ) わからない 無回答 図 3.2-3 情報セキュリティ対策管理の社内体制 ( 就業者規模別 ) 7.6 20.7 0.3 1.3 19
企業群 Ⅰ (N=981) 25.5 60.9 3.9 8.4 0.3 1.1 企業群 Ⅱ (N=926) 19.2 5 0.3 1.2 専門部署 ( 担当者 ) がある 兼務だが担当責任者が任命されている 外部委託している 組織的には行っていない ( 各自の対応 ) わからない 無回答 8.4 20.8 図 3.2-4 情報セキュリティ対策管理の社内体制 ( 企業群別 ) 20
3.2.2. セキュリティ対策ソフト導入状況 (1) ネットワークサーバ ( メールサーバ Web サーバなど ) への導入 9 9 9 6 (N=2,317) セキュリティ対策ソフト 86.3 2.3 2.0 6.8 2.6 スパムメール対策 60.3 28.3 4.7 3.0 3.8 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-5 ネットワークサーバ ( メールサーバ Web サーバなど ) への導入 < セキュリティ対策ソフト > 企業 (N=1,907) 84.6 2.5 2.3 7.9 2.7 自治体 (N=410) 94.1 1.2 1.0 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 1.7 2.0 < スパムメール対策ソフト > 企業 (N=1,907) 61.0 3.1 3.8 27.1 5.0 自治体 (N=410) 56.8 2.7 3.4 33.9 3.2 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-6 ネットワークサーバ ( メールサーバ Web サーバなど ) への導入 ( 企業 / 自治体別 ) 21
< セキュリティ対策ソフト > (N=886) 89.2 4.6 1.9 2.4 1.9 (N=1,021) 80.6 10.8 3.4 2.62.5 9 割以上に導入済 半数に導入済 半数未満に導入済 導入していない 無回答 < スパムメール対策ソフト > (N=886) 68.8 22.8 3.0 1.5 3.8 (N=1,021) 54.3 4.5 3.8 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 30.8 6.7 図 3.2-7 ネットワークサーバ ( メールサーバ Web サーバなど ) への導入 ( 就業者規模別 ) (2) ローカルサーバ ( ファイルサーバ プリントサーバなど ) への導入 9 8 (N=2,317) セキュリティ対策ソフト 78.1 4.5 3.511.0 2.8 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-8 ローカルサーバ ( ファイルサーバ プリントサーバなど ) への導入 < セキュリティ対策ソフト > 企業 (N=1,907) 76.5 4.9 3.7 12.2 2.8 自治体 (N=410) 85.9 2.7 2.9 5.9 2.7 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-9 ローカルサーバ ( ファイルサーバ プリントサーバなど ) への導入 ( 企業 / 自治体別 ) 22
< セキュリティ対策ソフト > (N=886) 80.9 5.5 4.4 8.0 1.1 (N=1,021) 72.6 4.3 3.0 15.8 4.3 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-10 ローカルサーバ ( ファイルサーバ プリントサーバなど ) への導入 ( 就業者規模別 ) (3) 各自クライアント ( パソコン ) への導入 9 9 4 P2P 4 (N=2,317) セキュリティ対策ソフト 90.2 3.7 3.2 1.9 1.0 スパムメール対策 43.2 4.3 7.1 41.8 3.6 P2P ソフトウェア等のインストール状況チェック 36.3 2.5 3.2 52.9 5.1 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-11 各自クライアント ( パソコン ) への導入 < セキュリティ対策ソフト > 企業 (N=1,907) 89.0 4.1 3.6 2.2 1.0 自治体 (N=410) 95.6 1.7 1.0 0.5 1.2 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 23
< スパムメール対策ソフト > 企業 (N=1,907) 45.5 4.8 7.4 38.6 3.7 自治体 (N=410) 32.9 2.0 5.6 56.3 3.2 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 <P2P ソフトウェア等のインストール状況チェック > 企業 (N=1,907) 35.8 2.7 3.7 52.2 5.6 自治体 (N=410) 38.3 1.2 1.0 56.3 3.2 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-12 各自クライアント ( パソコン ) への導入 ( 企業 / 自治体別 ) < セキュリティ対策ソフト > (N=886) (N=1,021) 92.7 85.9 3.5 2.7 0.7 0.5 4.74.4 3.5 1.5 9 割以上に導入済 半数に導入済 半数未満に導入済 導入していない 無回答 < スパムメール対策ソフト > (N=886) 47.5 3.4 6.3 40.6 2.1 (N=1,021) 43.7 6.0 8.4 36.9 5.0 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 24
<P2P ソフトウェア等のインストール状況チェック > (N=886) 44.2 2.7 2.9 46.3 3.8 (N=1,021) 28.5 2.7 4.4 57.3 7.1 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-13 各自クライアント ( パソコン ) への導入 ( 就業者規模別 ) (4) その他 9 8 IDS/IPS 3 (N=2,317) ファイアウォール 80.8 2.5 3.010.6 3.0 IDS/IPS による侵入検知 29.8 2.0 3.9 58.0 6.2 プロバイダによるウイルスチェックサービス 34.4 1.6 2.8 56.5 4.8 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-14 その他のパソコン サーバに対する導入 < ファイアウォール > 企業 (N=1,907) 78.2 3.0 3.3 12.4 3.1 自治体 (N=410) 93.2 1.5 2.4 0.5 2.4 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 25
<IDS/IPS による侵入検知 > 企業 (N=1,907) 28.4 2.2 4.3 58.5 6.6 自治体 (N=410) 36.3 1.2 2.2 55.9 4.4 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 < プロバイダによるウイルスチェックサービス > 企業 (N=1,907) 38.0 1.9 2.8 52.2 5.0 自治体 (N=410) 17.3 2.4 76.6 3.7 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-15 その他のパソコン サーバに対する導入 ( 企業 / 自治体別 ) < ファイアウォール > (N=886) 86.2 2.1 3.0 7.0 1.6 (N=1,021) 71.2 3.7 3.5 17.0 4.5 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 <IDS/IPS による侵入検知 > (N=886) 34.5 1.5 4.5 55.3 4.2 (N=1,021) 23.1 2.8 4.1 61.2 8.7 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 26
< プロバイダによるウイルスチェックサービス > (N=886) 34.3 1.6 2.4 58.0 3.7 (N=1,021) 41.2 2.3 3.2 47.1 6.2 9 割以上に導入済半数に導入済半数未満に導入済導入していない無回答 図 3.2-16 その他のパソコン サーバに対する導入 ( 就業者規模別 ) 3.2.3. 2008 年のセキュリティ対策ソフトの導入 更新および装置の導入費用 2008 0 12.7% 100 35.2% 100 43.4% 200 41.4 27.6 300 IT (N=2,317) 無回答, 8.7% 0 万円, 12.7% 200 万円以上, 29.7% 1~49 万円, 22.5% 100~199 万円, 13.7% 50~99 万円, 12.7% 図 3.2-17 セキュリティ対策ソフトの導入 更新および装置の導入費用 27
企業 (N=1,907) 13.7 24.3 12.3 12.7 28.2 8.8 自治体 (N=410) 8.3 13.9 14.6 18.5 36.6 8.0 0 万円 1~49 万円 50~99 万円 100~199 万円 200 万円以上無回答 図 3.2-18 セキュリティ対策ソフトの導入 更新および装置の導入費用 ( 企業 / 自治体別 ) (N=886) 8.7 9.0 8.5 13.8 49.4 10.6 (N=1,021) 18.0 37.6 15.6 11.8 9.8 7.2 0 万円 1~49 万円 50~99 万円 100~199 万円 200 万円以上無回答 図 3.2-19 セキュリティ対策ソフトの導入 更新および装置の導入費用 ( 就業者規模別 ) 企業群 Ⅰ (N=981) 11.1 19.9 13.1 13.0 34.1 8.7 企業群 Ⅱ (N=926) 16.4 29.0 11.3 12.3 21.9 9.0 0 万円 1~49 万円 50~99 万円 100~199 万円 200 万円以上無回答 図 3.2-20 セキュリティ対策ソフトの導入 更新および装置の導入費用 ( 企業群別 ) 感染なし ( 発見あり含む ) (N=1,933) 13.7 23.5 13.3 13.5 27.6 8.5 感染あり (N=367) 7.9 16.6 10.1 15.5 41.4 8.4 0 万円 1~49 万円 50~99 万円 100~199 万円 200 万円以上無回答 図 3.2-21 セキュリティ対策ソフトの導入 更新および装置の導入費用 ( 感染有無別 ) 28
3.2.4. 2009 年のセキュリティ対策への投資額 2009 2008 7 300 22.7 14.9 300 16.6 11.0 2007 300 35.5 7.0 300 24.8 7.2 2009 2008 (N=2,317) 2008 年よりも減額する, 11.7% 無回答, 1.6% 2008 年よりも増額する, 18.8% 2008 年と同程度, 67.9% 図 3.2-22 来年 1 年間 (2009 年 ) のセキュリティ対策への投資額 企業 (N=1,907) 19.4 66.1 12.8 1.7 自治体 (N=410) 16.1 76.1 6.8 1.0 2008 年よりも増額する 2008 年と同程度 2008 年よりも減額する 無回答 図 3.2-23 来年 1 年間 (2009 年 ) のセキュリティ対策への投資額 ( 企業 / 自治体別 ) (N=886) 22.7 61.3 14.9 1.1 (N=1,021) 16.6 70.3 11.0 2.2 2008 年よりも増額する 2008 年と同程度 2008 年よりも減額する 無回答 図 3.2-24 来年 1 年間 (2009 年 ) のセキュリティ対策への投資額 ( 就業者規模別 ) 29
企業群 Ⅰ (N=981) 19.1 64.7 14.6 1.6 企業群 Ⅱ (N=926) 19.8 67.6 10.9 1.7 2008 年よりも増額する 2008 年と同程度 2008 年よりも減額する 無回答 図 3.2-25 来年 1 年間 (2009 年 ) のセキュリティ対策への投資額 ( 企業群別 ) 30
3.2.5. 情報セキュリティ関連製品やソリューションの導入 40.7% VPN 46.1% (N=2,317) ウェブ閲覧のフィルタリング顧客情報等の暗号化 ISO/IEC15408 認証取得製品 VPN 検疫ネットワークシンクライアント電子署名生体認証 ( バイオメトリクス ) その他特にない無回答 0% 10% 20% 30% 40% 50% 40.7 15.2 2.2 46.1 4.7 9.2 10.5 11.2 5.7 27.8 2.1 図 3.2-26 情報セキュリティ関連製品やソリューションの導入 ウェブ閲覧のフィルタリング顧客情報等の暗号化 ISO/IEC15408 認証取得製品 VPN 検疫ネットワークシンクライアント電子署名生体認証 ( バイオメトリクス ) その他特にない無回答 35.8 16.9 7.3 2.4 1.0 38.3 5.5 1.0 9.2 9.0 10.3 11.5 10.2 15.9 5.2 7.6 29.2 21.7 2.3 1.2 47.8 63.9 企業 (N=1,907) 自治体 (N=410) 図 3.2-27 情報セキュリティ関連製品やソリューションの導入 ( 企業 / 自治体別 ) 31
ウェブ閲覧のフィルタリング顧客情報等の暗号化 ISO/IEC15408 認証取得製品 VPN 検疫ネットワークシンクライアント電子署名生体認証 ( バイオメトリクス ) その他特にない無回答 22.5 23.1 11.5 3.5 1.5 8.6 2.8 13.1 5.9 14.3 6.8 15.8 5.3 6.8 3.9 14.4 1.5 3.0 33.7 41.9 51.0 64.1 (N=886) (N=1,021) 図 3.2-28 情報セキュリティ関連製品やソリューションの導入 ( 就業者規模別 ) ウェブ閲覧のフィルタリング顧客情報等の暗号化 ISO/IEC15408 認証取得製品 VPN 検疫ネットワークシンクライアント電子署名生体認証 ( バイオメトリクス ) その他特にない無回答 40.9 30.3 23.9 9.5 3.3 1.5 53.0 42.3 7.0 3.9 12.0 6.3 11.3 9.2 14.5 5.6 6.8 3.6 22.3 36.4 1.6 3.0 企業群 Ⅰ(N=981) 企業群 Ⅱ(N=926) 図 3.2-29 情報セキュリティ関連製品やソリューションの導入 ( 企業群別 ) 32
3.2.6. 情報セキュリティ被害防止のための組織 運用面の対策 79.2% ID 67.9% 64.5% 300 300 IT (N=2,317) モバイル機器に関するセキュリティ強化 30.9 無線 LAN に関するセキュリティ強化 26.9 機器や記録媒体の持込み 持出しの制限 58.0 ID/ パスワード アクセス権限管理の強化 67.9 ログの取得 保存 54.2 入退出管理の強化 44.2 専門家によるセキュリティ監視サービスの導入 8.1 ハードディスク等の廃棄時の破壊 64.5 事業継続計画の策定 15.4 重要なシステム データのバックアップ 79.2 その他 1.9 特にない 5.1 無回答 1.0 図 3.2-30 情報セキュリティ被害防止のための組織 運用面の対策 モバイル機器に関するセキュリティ強化無線 LANに関するセキュリティ強化 1 27.6 23.4 35.4 53.0 機器や記録媒体の持込み 持出しの制限 ID/ パスワード アクセス権限管理の強化ログの取得 保存入退出管理の強化専門家によるセキュリティ監視サービスの導入ハードディスク等の廃棄時の破壊事業継続計画の策定重要なシステム データのバックアップその他特にない無回答 7.5 11.0 17.4 6.1 1.5 3.7 6.0 0.7 1.2 0.2 49.5 40.1 60.6 66.1 63.4 81.2 76.3 76.1 82.9 77.2 88.3 企業 (N=1,907) 自治体 (N=410) 図 3.2-31 情報セキュリティ被害防止のための組織 運用面の対策 ( 企業 / 自治体別 ) 33
モバイル機器に関するセキュリティ強化 49.8 23.0 無線 LANに関するセキュリティ強化 35.4 20.9 機器や記録媒体の持込み 持出しの制限 64.4 43.1 ID/ パスワード アクセス権限管理の強化 74.9 58.4 ログの取得 保存 63.5 37.3 入退出管理の強化 55.6 26.6 専門家によるセキュリティ監視サービスの導入 10.7 4.7 ハードディスク等の廃棄時の破壊 72.1 50.5 事業継続計画の策定 27.8 8.3 重要なシステム データのバックアップ 82.8 その他特にない無回答 1.7 1.4 2.4 9.2 1.0 1.4 72.3 (N=886) (N=1,021) 図 3.2-32 情報セキュリティ被害防止のための組織 運用面の対策 ( 就業者規模別 ) モバイル機器に関するセキュリティ強化無線 LANに関するセキュリティ強化機器や記録媒体の持込み 持出しの制限 ID/ パスワード アクセス権限管理の強化ログの取得 保存入退出管理の強化 8.5 専門家によるセキュリティ監視サービスの導入 6.5 ハードディスク等の廃棄時の破壊事業継続計画の策定 9.9 重要なシステム データのバックアップその他 1.4 1.6 特にない 3.5 8.7 無回答 1.0 1.4 企業群 Ⅰ(N=981) 44.5 25.8 31.4 23.7 64.6 40.7 73.7 58.0 58.1 40.4 52.2 27.3 68.8 51.8 24.4 83.1 71.0 企業群 Ⅱ(N=926) セキュリティ被害防止のための組織 運用面の対策 ( 企業群別 ) 図 3.2-33 情報 34
3.2.7. セキュリティパッチの適用 44.9% 38.0% 4 32.8% 図 3.2-40 300 63.4 300 47.3 300 14.3 300 15.5 300 60.3 300 48.3 300 24.3 300 20.3 15% 25% (N=2,317) 外部公開ネットワークサーバ 44.9 12.4 9.1 14.2 11.7 7.6 内部利用ローカルサーバ 38.0 17.3 14.0 21.7 6.8 2.2 ほぼ全サーバに計画的に適用している一部のサーバには計画的に適用 他は気がついたら適用気がついたときに適用ほとんど適用していない分からない無回答 図 3.2-34 セキュリティパッチの適用 < 外部公開ネットワークサーバ > 企業 (N=1,907) 42.9 11.9 8.9 14.9 12.6 8.8 自治体 (N=410) 54.1 14.9 10.2 10.7 7.6 ほぼ全サーバに計画的に適用している一部のサーバには計画的に適用 他は気がついたら適用気がついたときに適用ほとんど適用していない分からない無回答 2.4 35
< 内部利用ローカルサーバ > 企業 (N=1,907) 36.8 17.0 14.7 22.1 6.7 2.6 自治体 (N=410) 43.4 18.3 10.7 19.5 7.3 0.7 ほぼ全サーバに計画的に適用している一部のサーバには計画的に適用 他は気がついたら適用気がついたときに適用ほとんど適用していない分からない無回答 図 3.2-35 セキュリティパッチの適用 ( 企業 / 自治体別 ) < 外部公開ネットワークサーバ > (N=886) 51.1 12.3 6.7 14.3 7.7 7.9 (N=1,021) 35.8 11.5 10.8 15.5 16.9 9.5 ほぼ全サーバに計画的に適用している一部のサーバには計画的に適用 他は気がついたら適用気がついたときに適用ほとんど適用していない分からない無回答 < 内部利用ローカルサーバ > (N=886) 41.3 19.0 10.9 24.3 2.8 1.7 (N=1,021) 32.9 15.4 18.0 20.3 10.1 3.3 ほぼ全サーバに計画的に適用している一部のサーバには計画的に適用 他は気がついたら適用気がついたときに適用ほとんど適用していない分からない無回答 図 3.2-36 セキュリティパッチの適用 ( 就業者規模別 ) 36
3.2.8. セキュリティパッチを導入しなかった理由 66.8% (N=557) 66.8 5.4 25.1 13.5 13.5 1.3 パッチの適用が悪影響を及ぼすリスクを避けるため適用パッチ以外の手段が有効であるためパッチを適用しなくても問題ないと判断したためパッチの評価や適用に多大なコストがかかためその他無回答 図 3.2-37 セキュリティパッチを導入しなかった理由 企業 (N=471) 64.1 5.3 26.8 13.6 13.8 1.5 自治体 (N=86) 81.4 5.8 16.3 12.8 11.6 パッチの適用が悪影響を及ぼすリスクを避けるため適用パッチ以外の手段が有効であるためパッチを適用しなくても問題ないと判断したためパッチの評価や適用に多大なコストがかかためその他無回答 図 3.2-38 セキュリティパッチを導入しなかった理由 ( 企業 / 自治体別 ) 37
(N=233) 75.5 6.4 20.6 18.0 12.0 0.4 (N=238) 52.9 4.2 32.8 9.2 15.5 2.5 パッチの適用が悪影響を及ぼすリスクを避けるため適用パッチ以外の手段が有効であるためパッチを適用しなくても問題ないと判断したためパッチの評価や適用に多大なコストがかかためその他無回答 図 3.2-39 セキュリティパッチを導入しなかった理由 ( 就業者規模別 ) 3.2.9. クライアント ( パソコン ) にセキュリティパッチ適用の有無 3 (N=2,317) 32.8 27.6 19.5 14.7 3.5 1.9 常に適用し 適用状況も把握している常に適用する方針 設定だが 実際の適用状況は不明各ユーザーに適用を任せているほとんど適用していない分からない無回答 図 3.2-40 セキュリティパッチ適用の有無 38
企業 (N=1,907) 29.8 27.7 21.9 14.7 3.8 2.0 自治体 (N=410) 46.8 26.8 8.0 14.6 2.0 1.7 常に適用し 適用状況も把握している常に適用する方針 設定だが 実際の適用状況は不明各ユーザーに適用を任せているほとんど適用していない分からない無回答 図 3.2-41 セキュリティパッチ適用の有無 ( 企業 / 自治体別 ) (N=886) 37.2 25.4 15.6 18.4 1.8 1.6 (N=1,021) 23.4 29.8 27.4 11.6 5.5 2.4 常に適用し 適用状況も把握している常に適用する方針 設定だが 実際の適用状況は不明各ユーザーに適用を任せているほとんど適用していない 分からない無回答 図 3.2-42 セキュリティパッチ適用の有無 ( 就業者規模別 ) 39
3.2.10. Windows 98 / Me がインストールされているパソコンの割合 Windows98/Me 2 (N=2,317) 74.6 19.5 0% 10% 20% 30% 40% 50% 60% 70% 80% 100% 無回答 (%) 0% 10% 20% 30% 40% 50% 全体 (N=2,317) 74.6 19.5 2.0 0.9 0.3 0.3 60% 70% 80% 90% 100% 無回答 全体 (N=2,317) 0.1 0.2 0.1 0.5 0.7 0.8 図 3.2-43 Windows 98 / Me がインストールされているパソコンの割合 企業 (N=1,907) 72.7 20.5 自治体 (N=410) 83.2 15.1 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 無回答 (%) 0% 10% 20% 30% 40% 50% 企業 (N=1,907) 72.7 20.5 2.4 0.9 0.4 0.4 自治体 (N=410) 83.2 15.1 0.2 0.7 0.2 60% 70% 80% 90% 100% 無回答企業 (N=1,907) 0.1 0.2 0.1 0.6 0.8 0.9 自治体 (N=410) 0.2 0.2 図 3.2-44 Windows 98 / Me がインストールされているパソコンの割合 ( 企業 / 自治体別 ) 40
(N=886) 75.3 19.9 (N=1,021) 70.5 21.0 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 無回答 (%) 0% 10% 20% 30% 40% 50% (N=886) 75.3 19.9 1.9 0.9 (N=1,021) 70.5 21.0 2.8 0.9 0.7 0.7 60% 70% 80% 90% 100% 無回答 (N=886) 0.1 0.1 0.7 1.1 (N=1,021) 0.2 0.3 0.2 1.1 1.0 0.7 図 3.2-45 Windows 98 / Me がインストールされているパソコンの割合 ( 就業者規模別 ) 41
3.2.11. 情報セキュリティ対策教育の実施状況 7 3 300 44.3 46.5 (N=2,317) 役員 ( 経営トップを含む ) 13.6 17.6 50.1 34.7 1.3 正社員 正職員 18.8 29.2 55.1 24.6 0.8 準社員 準職員 アルバイト 11.4 17.0 47.9 37.0 1.9 e ラーニング講習会やセミナーの実施 参加関連情報の周知特に実施していない無回答 < 役員 > 図 3.2-46 情報セキュリティ対策教育の実施状況 企業 (N=1,907) 12.6 14.9 48.7 36.7 1.3 自治体 (N=410) 18.3 3 56.3 25.4 1.2 eラーニング関連情報の周知無回答 講習会やセミナーの実施 参加特に実施していない < 正社員 正職員 > 企業 (N=1,907) 15.5 24.1 54.6 26.7 0.9 自治体 (N=410) 34.4 52.7 57.1 14.9 eラーニング関連情報の周知無回答 講習会やセミナーの実施 参加特に実施していない 42
< 準社員 準職員 アルバイト > 企業 (N=1,907) 12.2 16.2 47.1 37.2 2.2 自治体 (N=410) 7.6 20.7 51.5 36.1 0.7 eラーニング関連情報の周知無回答 講習会やセミナーの実施 参加特に実施していない 図 3.2-47 情報セキュリティ対策教育の実施状況 ( 企業 / 自治体別 ) < 役員 > (N=886) 20.1 15.8 54.7 27.9 1.0 (N=1,021) eラーニング関連情報の周知無回答 6.2 14.1 43.5 44.3 講習会やセミナーの実施 参加特に実施していない 1.6 < 正社員 正職員 > (N=886) 24.6 3 59.5 17.5 0.7 (N=1,021) eラーニング関連情報の周知無回答 7.5 19.0 50.4 34.7 講習会やセミナーの実施 参加特に実施していない 1.2 43
< 準社員 準職員 アルバイト > (N=886) 20.2 20.3 54.9 26.5 1.1 (N=1,021) 5.3 12.5 40.4 46.5 3.1 eラーニング関連情報の周知無回答 講習会やセミナーの実施 参加特に実施していない 図 3.2-48 情報セキュリティ対策教育の実施状況 ( 就業者規模別 ) 3.2.12. 重要サーバが停止した場合の売上高への影響 DNS 24 50% 6 50 300 65.8 300 70.9 75 300 16.7 300 13.7 15 (N=2,317) 全体 31.9 29.3 14.5 19.9 4.3 ほとんど影響を受けない (25% 減以下 ) 影響はあるが部分的にとどまる (25~50% 以下 ) 大きな影響を受ける (50~75% 以下 ) 深刻な影響を受ける (75% 減以上 ) 無回答 図 3.2-49 重要サーバが停止した場合の影響 44
企業 (N=1,907) 36.2 32.3 14.1 15.1 2.3 自治体 (N=410) 12.0 15.6 16.6 42.2 13.7 ほとんど影響を受けない (25% 減以下 ) 影響はあるが部分的にとどまる (25% 減 ~50% 以下 ) 大きな影響を受ける (50% 減 ~75% 以下 ) 深刻な影響を受ける (75% 減以上 ) 無回答 図 3.2-50 重要サーバが停止した場合の影響 ( 企業 / 自治体別 ) (N=886) 34.5 31.3 14.8 16.7 2.7 (N=1,021) 37.7 33.2 13.5 13.7 ほとんど影響を受けない (25% 減以下 ) 影響はあるが部分的にとどまる (25% 減 ~50% 以下 ) 大きな影響を受ける (50% 減 ~75% 以下 ) 深刻な影響を受ける (75% 減以上 ) 無回答 1.9 図 3.2-51 重要サーバが停止した場合の影響 ( 就業者規模別 ) 3.2.13. 重要サーバの許容停止時間 7 1 DNS (N=2,317) 全体 18.7 32.5 22.0 15.6 2.4 1.7 2.0 5.2 1 時間以内半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上無回答 図 3.2-52 重要サーバの許容停止時間 45
企業 (N=1,907) 13.7 32.8 24.8 18.4 2.7 2.5 2.0 3.2 自治体 (N=410) 41.7 31.0 9.3 2.4 14.4 1 時間以内 半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上 無回答 1.0 0.2 図 3.2-53 重要サーバの許容停止時間 ( 企業 / 自治体別 ) (N=886) 16.0 33.7 24.5 17.3 2.4 1.8 0.9 3.4 (N=1,021) 11.8 31.9 25.0 19.4 2.9 3.0 2.9 3.0 1 時間以内半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上無回答 図 3.2-54 重要サーバの許容停止時間 ( 就業者規模別 ) 46
3.3. コンピュータウイルス対策に対する意識 3.3.1. 情報セキュリティ対策に関連して知りたいと思っている情報 50.2% 48.3% (N=2,317) 0% 20% 40% 60% ウイルス感染時の復旧方法 感染を防ぐ方法 新種ウイルス 要注意ウイルスの警戒情報 不正アクセスを受けた際の対処方法 情報漏えいが発生した場合の対処方法 他機関における各種情報セキュリティ対策の導入状況情報セキュリティ対策の導入 運用に関する基準やガイドライン委託先のセキュリティ対策実施状況に関するチェック事項 情報セキュリティ対策を外部委託する際のチェック事項 情報セキュリティに関わる試験 検定情報 国内 海外の情報セキュリティ被害の状況 その他 特にない 無回答 0.9 1.1 7.2 8.1 17.5 16.4 20.9 41.3 41.5 37.2 38.4 48.3 50.2 図 3.3-1 情報セキュリティ対策に関連して知りたいと思っている情報 ウイルス感染時の復旧方法 感染を防ぐ方法 新種ウイルス 要注意ウイルスの警戒情報 不正アクセスを受けた際の対処方法 情報漏えいが発生した場合の対処方法 他機関における各種情報セキュリティ対策の導入状況 情報セキュリティ対策の導入 運用に関する基準やガイドライン 委託先のセキュリティ対策実施状況に関するチェック事項 情報セキュリティ対策を外部委託する際のチェック事項 情報セキュリティに関わる試験 検定情報 国内 海外の情報セキュリティ被害の状況 その他 特にない 無回答 企業 (N=1,907) 38.6 53.7 39.3 51.7 45.4 62.2 45.6 71.7 34.6 49.3 37.2 43.9 17.5 36.6 14.8 30.2 7.0 8.3 15.6 20.2 0.7 1.5 9.1 3.4 1.3 自治体 (N=410) 図 3.3-2 情報セキュリティ対策に関連して知りたいと思っている情報 ( 企業 / 自治体別 ) 47
ウイルス感染時の復旧方法 感染を防ぐ方法 新種ウイルス 要注意ウイルスの警戒情報 不正アクセスを受けた際の対処方法 情報漏えいが発生した場合の対処方法 他機関における各種情報セキュリティ対策の導入状況 情報セキュリティ対策の導入 運用に関する基準やガイドライン 委託先のセキュリティ対策実施状況に関するチェック事項 情報セキュリティ対策を外部委託する際のチェック事項 情報セキュリティに関わる試験 検定情報 国内 海外の情報セキュリティ被害の状況 その他 特にない 無回答 33.5 43.0 39.4 39.2 43.5 47.0 47.6 43.9 43.7 26.7 41.3 33.6 24.9 11.1 18.5 11.6 7.4 6.6 20.9 11.0 1.1 0.4 6.1 11.7 1.5 1.2 (N=886) (N=1,021) 図 3.3-3 情報セキュリティ対策に関連して知りたいと思っている情報 ( 就業者規模別 ) 3.3.2. コンピュータウイルス対策基準 の認知度 2007 6 1 (N=2,317) 不明, 0.6% 内容を理解している, 8.0% 知らない, 35.4% 読んだことがある, 20.8% 存在は知っている, 35.2% 図 3.3-4 コンピュータウイルス対策基準 の認知度 48
企業 (N=1,907) 7.4 19.9 34.9 37.0 0.7 自治体 (N=410) 10.5 25.1 36.3 28.0 内容を理解している 読んだことがある 存在は知っている 知らない 不明 図 3.3-5 コンピュータウイルス対策基準 の認知度 ( 企業 / 自治体別 ) (N=886) 11.9 25.7 36.2 25.6 0.6 (N=1,021) 3.6 14.9 33.8 46.9 内容を理解している 読んだことがある 存在は知っている 知らない 不明 0.8 図 3.3-6 コンピュータウイルス対策基準 の認知度 ( 就業者規模別 ) 3.3.3. 被害届出について (1) 届出機関としての IPA の認知度 IPA 2007 6 (N=2,317) 無回答, 0.6% 知らない, 39.7% 知っている, 59.6% 図 3.3-7 届出機関としての IPA の認知度 49
企業 (N=1,907) 58.5 40.8 自治体 (N=410) 64.6 知っている知らない無回答 34.9 0.7 0.5 図 3.3-8 届出機関としての IPA の認知度 ( 企業 / 自治体別 ) (N=886) 72.1 27.3 0.6 (N=1,021) 46.7 知っている知らない無回答 52.5 0.8 図 3.3-9 届出機関としての IPA の認知度 ( 就業者規模別 ) (2) 届出の実施 18 3 (N=2,317) 無回答, 1.8% 届出を行う, 35.0% 届出を行わない, 63.2% 図 3.3-10 届出の実施 50
企業 (N=1,907) 31.9 66.2 1.9 自治体 (N=410) 49.5 49.3 届出を行う届出を行わない無回答 1.2 図 3.3-11 届出の実施 ( 企業 / 自治体別 ) (N=886) (N=1,021) 30.8 67.5 32.8 65.0 届出を行う届出を行わない無回答 1.7 2.2 図 3.3-12 届出の実施 ( 就業者規模別 ) (3) 届出を行わない理由 35.7% 11.6 300 300 8.3 300 2007 45.5% 39.9% (N=1,464) 0% 10% 20% 30% 40% 50% 届出に手間がかかる 18.8 届出方法が不明なため 35.7 届出る時間がないため 6.7 自分で修復できるため 被害が大きければ届出する 社内規定による届出で済ませる 11.5 13.3 49.9 その他 8.7 無回答 0.3 図 3.3-13 届出を行わない理由 51
0% 20% 40% 60% 届出に手間がかかる届出方法が不明なため届出る時間がないため自分で修復できるため被害が大きければ届出する 19.7 12.9 6.7 6.4 13.7 10.9 36.0 33.7 48.3 社内規定による届出で済ませるその他無回答 0.3 11.0 14.4 8.9 7.9 59.9 企業 (N=1,262) 自治体 (N=202) 図 3.3-14 届出を行わない理由 ( 企業 / 自治体別 ) 0% 20% 40% 60% 届出に手間がかかる 20.4 19.1 届出方法が不明なため 31.6 39.9 届出る時間がないため 6.2 7.2 自分で修復できるため 13.4 14.0 被害が大きければ届出する社内規定による届出で済ませる 13.4 8.9 51.0 45.8 その他 9.7 8.1 無回答 0.2 0.5 (N=598) (N=664) 図 3.3-15 届出を行わない理由 ( 就業者規模別 ) 52
3.4. コンピュータウイルスによる被害状況 3.4.1. コンピュータウイルス遭遇 ( 感染または発見 ) 経験 15.8 4 300 27.4 47.9 24.0 300 52.4 37.2 9.5 300 300 2 300 IT 300 20.6 300 28.2 300 7.9 300 11.0 (N=2,317) 無回答, 0.7% ウイルスに感染した, 15.8% ウイルスを発見したが 感染には至らなかった, 44.6% ウイルスには感染も発見もしなかった, 38.8% 図 3.4-1 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 企業 (N=1,907) 自治体 (N=410) 40.8 42.2 16.3 29.5 56.1 13.9 ウイルスには感染も発見もしなかったウイルスを発見したが 感染には至らなかったウイルスに感染した無回答 0.8 0.5 図 3.4-2 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 ( 企業 / 自治体別 ) 53
(N=886) (N=1,021) 27.4 47.9 24.0 52.4 37.2 9.5 ウイルスには感染も発見もしなかったウイルスを発見したが 感染には至らなかったウイルスに感染した無回答 0.7 0.9 図 3.4-3 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 ( 就業者規模別 ) 企業群 Ⅰ(N=981) 38.0 47.0 14.2 0.8 企業群 Ⅱ(N=926) 43.7 37.0 18.5 ウイルスには感染も発見もしなかったウイルスを発見したが 感染には至らなかったウイルスに感染した無回答 0.8 図 3.4-4 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 ( 企業群別 ) 企業群 Ⅰ (N=485) 26.4 52.2 20.6 0.8 企業群 Ⅱ (N=401) 28.7 42.6 28.2 0.5 企業群 Ⅰ (N=496) 49.4 41.9 7.9 0.8 企業群 Ⅱ (N=525) 55.2 32.8 11.0 1.0 ウイルスには感染も発見もしなかったウイルスを発見したが 感染には至らなかったウイルスに感染した無回答 図 3.4-5 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 ( 企業群別 就業者規模別 ) 表 3.4-1 ウイルスに遭遇したうち 実際に感染した割合 全体 企業 自治体 300 人以上 300 人未満 企業群 Ⅰ 企業群 Ⅱ 企業 企業 26.2% 27.8% 19.9% 33.4% 20.3% 23.2% 33.3% 54
2002 2003 2005 2006 2007 2008 2007 2.7 2008 年 (N=2,300) 2007 年 (N=2,267) 2006 年 (N=1,764) 2005 年 (N=1,682) 2004 年 (N=1,150) 2003 年 (N=1,108) 2002 年 (N=1,789) 2001 年 (N=1,671) 2000 年 (N=1,671) 1999 年 (N=1,500) 1998 年 (N=1,541) 60.9 58.2 63.7 69.8 68.9 7 80.3 74.8 49.3 44.1 39.8 遭遇経験あり 39.1 41.8 36.3 30.2 31.1 3 19.7 25.2 50.7 55.9 60.2 遭遇経験なし 図 3.4-6 コンピュータウイルス遭遇 ( 感染または発見 ) 経験 ( 時系列 ) 1 2 2004 55
3.4.2. 感染 発見したウイルスの名称 W32/Autorun 39.5% W32/Autorun 300 2007 W32/ Netsky 2007 20.5% 6.8% (N=367) W32/Netsky W32/Mydoom W32/Bagle W32/Mytob W32/Klez W32/Virut W32/Mywife W32/Autorun W32/Sality W32/Stration W32/Lovgate その他不明 0% 10% 20% 30% 40% 50% 6.8 3.3 2.5 2.2 4.9 2.7 39.5 0.5 0.8 1.4 39.0 26.7 図 3.4-7 感染したウイルスの名称 W32/Netsky W32/Mydoom W32/Bagle W32/Mytob W32/Klez W32/Virut W32/Mywife W32/Autorun W32/Sality W32/Stration W32/Lovgate その他不明無回答 6.8 7.0 3.5 1.8 2.6 1.8 2.3 1.8 5.5 1.8 1.9 7.0 0.3 1.8 1.0 1.6 8.8 3 企業 (N=310) 35.5 61.4 38.7 40.4 自治体 (N=57) 図 3.4-8 感染したウイルスの名称 ( 企業 / 自治体別 ) 56
W32/Netsky W32/Mydoom W32/Bagle W32/Mytob W32/Klez W32/Virut W32/Mywife W32/Autorun W32/Sality W32/Stration W32/Lovgate その他 不明 無回答 7.5 5.2 4.7 1.0 3.8 2.8 1.0 6.1 4.1 2.8 0.5 1.4 2.3 39.0 27.8 41.8 24.4 32.0 42.3 (N=213) (N=97) 図 3.4-9 感染したウイルスの名称 ( 就業者規模別 ) W32/ Autorun 27.2% (N=1,401) W32/Netsky W32/Mydoom W32/Bagle W32/Mytob W32/Klez W32/Virut W32/Mywife W32/Autorun W32/Sality W32/Stration W32/Lovgate その他不明 0% 10% 20% 30% 40% 50% 18.2 7.4 4.5 4.6 9.4 2.6 1.1 27.2 1.6 1.6 1.1 24.6 26.8 図 3.4-10 発見したウイルスの名称 57
W32/Netsky W32/Mydoom W32/Bagle W32/Mytob W32/Klez W32/Virut W32/Mywife W32/Autorun W32/Sality W32/Stration W32/Lovgate その他不明 7.5 6.6 4.8 3.1 5.0 2.8 9.4 9.4 2.4 3.1 1.3 1.3 2.8 1.9 0.7 1.2 0.7 17.8 19.9 22.9 24.6 24.4 28.1 21.6 43.9 企業 (N=1,114) 自治体 (N=287) 図 3.4-11 発見したウイルスの名称 ( 企業 / 自治体別 ) W32/Netsky W32/Mydoom W32/Bagle W32/Mytob W32/Klez W32/Virut W32/Mywife W32/Autorun W32/Sality W32/Stration W32/Lovgate その他不明 20.3 14.5 8.8 5.9 6.4 2.7 6.4 3.1 11.9 6.1 3.1 1.5 1.9 0.6 15.1 1.9 0.6 2.8 0.6 1.6 0.6 18.4 21.2 28.7 29.2 37.3 (N=637) (N=477) 図 3.4-12 発見したウイルスの名称 ( 就業者規模別 ) 58
3.4.3. ウイルスの感染件数 1 51.0% 5 25.1% 2007 1 36.7 5 3 5 300 3 300 1 (N=367) 無回答, 2.2% 5 件以上, 25.1% 1 件, 51.0% 4 件, 2.2% 3 件, 8.4% 2 件, 11.2% 図 3.4-13 ウイルスの感染件数 企業 (N=310) 52.3 11.9 8.1 1.9 23.9 1.9 自治体 (N=57) 43.9 7.0 10.5 3.5 31.6 3.5 1 件 2 件 3 件 4 件 5 件以上無回答 図 3.4-14 ウイルスの感染件数 ( 企業 / 自治体別 ) (N=213) 44.6 11.7 8.5 30.5 1.9 2.8 (N=97) 69.1 12.4 7.2 9.3 2.1 1 件 2 件 3 件 4 件 5 件以上無回答 図 3.4-15 ウイルスの感染件数 ( 就業者規模別 ) 59
企業群 Ⅰ(N=139) 54.0 11.5 7.9 2.2 23.0 1.4 企業群 Ⅱ(N=171) 50.9 12.3 8.21.8 24.6 2.3 1 件 2 件 3 件 4 件 5 件以上無回答 図 3.4-16 ウイルスの感染件数 ( 企業群別 ) 3.4.4. ウイルスに感染したパソコン サーバの台数 38.7% 0 75.5% (N=367) 100 台以上 7.9% 無回答 2.5% 0 台 1.1% 50~99 台 5.2% 20~49 台 12.3% 1~4 台 38.7% 10~19 台 16.1% 5~9 台 16.3% 図 3.4-17 ウイルスに感染したパソコンの台数 企業 (N=310) 1.0 39.7 15.2 15.5 13.5 4.8 8.1 2.3 自治体 (N=57) 1.8 33.3 22.8 19.3 5.3 7.0 7.0 3.5 0 台 1~4 台 5~9 台 10~19 台 20~49 台 50~99 台 100 台以上 無回答 図 3.4-18 ウイルスに感染したパソコンの台数 ( 企業 / 自治体別 ) 60
300 6 1 4 300 100 1 (N=213) 0.9 3 15.5 18.8 16.4 4.7 10.8 2.8 (N=97) 1.0 60.8 14.4 8.2 7.2 0 台 1~4 台 5~9 台 10~19 台 20~49 台 50~99 台 100 台以上 無回答 5.2 2.1 1.0 図 3.4-19 ウイルスに感染したパソコンの台数 ( 就業者規模別 ) (N=367) 20~49 台, 0.3% 50~99 台, % 100 台以上, 0.3% 10~19 台, 1.9% 無回答, 9.0% 5~9 台, 1.4% 1~4 台, 11.7% 0 台, 75.5% 図 3.4-20 ウイルスに感染したサーバの台数 61
1 17.4 5.3 企業 (N=310) 73.9 12.9 8.7 自治体 (N=57) 84.2 5.3 10.5 0 台 1~4 台 5~9 台 10~19 台 20~49 台 50~99 台 100 台以上 無回答 (%) 0 台 1~4 台 5~9 台 10~ 20~ 50~ 100 台 19 台 49 台 99 台以上 無回答 全体 75.5 11.7 1.4 1.9 0.3 0.3 9.0 企業 (N=310) 73.9 12.9 1.6 2.3 0.3 0.3 8.7 自治体 (N=57) 84.2 5.3 10.5 図 3.4-21 ウイルスに感染したサーバの台数 ( 企業 / 自治体別 ) (N=213) 72.3 13.6 8.5 (N=97) 77.3 11.3 9.3 0 台 1~4 台 5~9 台 10~19 台 20~49 台 50~99 台 100 台以上 無回答 (%) 0 台 1~4 台 5~9 台 10~ 20~ 50~ 100 台 19 台 49 台 99 台以上 無回答 (N=213) 72.3 13.6 1.9 2.8 0.5 0.5 8.5 (N=97) 77.3 11.3 1.0 1.0 9.3 図 3.4-22 ウイルスに感染したサーバの台数 ( 就業者規模別 ) 3.4.5. ウイルスの直接的な被害 46.0% 44.4% 300 14.0 IT 62
(N=367) 0% 10% 20% 30% 40% 50% 情報破壊 情報流出 1.1 3.0 ウイルスメール等の発信 5.7 ネットワークの遅延 10.4 システム停止 性能低下 16.9 パソコン単体の停止 44.4 関連部門の業務停滞 9.5 個人の業務停滞 46.0 取引先への感染拡大 0.8 その他 3.8 特になし 20.4 無回答 0.5 図 3.4-23 ウイルスの直接的な被害の有無 情報破壊情報流出ウイルスメール等の発信ネットワークの遅延システム停止 性能低下パソコン単体の停止関連部門の業務停滞個人の業務停滞取引先への感染拡大その他特になし無回答 3.5 1.3 6.8 11.6 3.5 19.4 3.5 9.7 8.8 1.0 3.9 3.5 19.0 0.6 28.1 43.5 49.1 47.4 38.6 企業 (N=310) 自治体 (N=57) 図 3.4-24 ウイルスの直接的な被害の有無 ( 企業 / 自治体別 ) 63
情報破壊情報流出ウイルスメール等の発信ネットワークの遅延システム停止 性能低下パソコン単体の停止関連部門の業務停滞個人の業務停滞取引先への感染拡大その他特になし無回答 3.3 4.1 1.9 7.5 5.2 10.8 13.4 17.4 23.7 10.8 7.2 0.9 1.0 4.2 3.1 19.7 17.5 0.5 1.0 45.1 40.2 52.6 36.1 (N=213) (N=97) 図 3.4-25 ウイルスの直接的な被害の有無 ( 就業者規模別 ) 2.0 情報破壊 4.4 2.6 5.2 1.0 情報流出 2.7 ウイルスメール等の発信 6.0 8.8 5.1 5.2 1 ネットワークの遅延 11.5 12.8 13.8 18.0 システム停止 性能低下 16.8 20.5 25.9 パソコン単体の停止 41.0 48.7 35.9 43.1 関連部門の業務停滞 14.0 8.0 5.1 8.6 58.0 個人の業務停滞 47.8 43.6 31.0 2.0 取引先への感染拡大 2.6 その他 1.0 7.1 2.6 3.4 22.0 特になし 17.7 17.9 17.2 1.0 無回答 1.7 企業群 Ⅰ (N=100) 企業群 Ⅱ (N=113) 企業群 Ⅰ (N=39) 企業群 Ⅱ (N=58) 図 3.4-26 ウイルスの直接的な被害の有無 ( 企業群別 就業者規模別 ) 64
3.4.6. 電子商取引 (EC) 業務 (1) 電子商取引業務の売上が全体の売上に占める割合 55.8 0% 24.2 (N=310) 0% 24.2 10% 12.9 20% 4.5 30% 1.9 40% 1.9 50% 1.9 60% 1.0 70% 1.3 80% 1.9 90% 3.2 100% 1.0 電子商取引は行っていない 5.5 無回答 38.7 図 3.4-27 電子取引業務の売上が全体の売上に占める割合 ( 企業のみ ) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 電子商取引は行っていない無回答 10.3 4.2 5.2 1.9 2.1 2.3 1.0 2.3 1.0 0.9 1.0 1.9 1.9 2.1 4.7 1.4 5.6 5.2 26.3 19.6 18.6 36.2 44.3 (N=213) (N=97) 図 3.4-28 電子取引業務の売上が全体の売上に占める割合 ( 就業者規模別 ) 65
(2) 電子商取引業務が停止した年間の延べ日数 2008 1.0 1 (N=310) 停止していない 1 時間以内半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上電子商取引は行っていない無回答 1.0 8.1 39.7 51.3 図 3.4-29 電子商取引業務が停止した年間延べ日数 ( ウイルス感染経験あり 企業のみ ) 停止していない 1 時間以内半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上電子商取引は行っていない無回答 0.5 2.1 8.5 7.2 41.8 35.1 49.3 55.7 (N=213) (N=97) 図 3.4-30 電子商取引業務が停止した年間延べ日数 ( ウイルス感染経験あり 就業者規模別 ) 66
3.4.7. EC サーバ以外の業務遂行上重要なサーバ停止の影響 (1)EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数 EC 5.2% 5 (N=367) 停止していない 68.4 1 時間以内半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上無回答 0.3 2.5 0.5 1.4 0.5 26.4 図 3.4-31 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数 停止していない 1 時間以内半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上無回答 0.3 2.9 0.6 1.6 0.3 1.8 25.5 31.6 68.7 66.7 企業 (N=310) 自治体 (N=57) 図 3.4-32 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数 ( 企業 / 自治体別 ) 67
停止していない 1 時間以内半日以内 1 日以内 2~3 日以内 4~5 日以内 6~10 日以内 11 日以上無回答 0.5 2.8 3.1 0.9 1.4 2.1 0.5 23.0 30.9 63.9 70.9 (N=213) (N=97) 図 3.4-33 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数 ( 就業者規模別 ) 3.4.8. 2008 年 1 年間の情報管理部門が行った復旧作業人日 2008 1 2 3 5 (N=367), 26~30 人 日 2.2% 21~25 人 日 1.6% 31 人 日以上 1.1% 無回答 1.9% 0 人 日 5.7% 16~20 人 日 4.4% 1 人 日以内 28.3% 11~15 人 日 8.2% 2~3 人 日 25.1% 6~10 人 日 11.7% 4~5 人 日 9.8% 図 3.4-34 2008 年 1 年間のウイルス感染からの復旧作業延べ人日 68
0 人 日 1 人 日以内 2~3 人 日 4~5 人 日 6~10 人 日 11~15 人 日 16~20 人 日 21~25 人 日 26~30 人 日 31 人 日以上無回答 5.5 7.0 19.3 9.7 10.5 11.0 15.8 8.7 5.3 4.5 3.5 1.3 3.5 2.6 1.3 1.9 1.8 27.4 33.3 26.1 企業 (N=310) 自治体 (N=57) 図 3.4-35 2008 年 1 年間のウイルス感染からの復旧作業延べ人日 ( 企業 / 自治体別 ) 0 人 日 1 人 日以内 2~3 人 日 4~5 人 日 6~10 人 日 11~15 人 日 16~20 人 日 21~25 人 日 26~30 人 日 31 人 日以上無回答 5.6 5.2 9.9 9.3 12.7 7.2 10.8 4.1 5.6 2.1 1.4 1.0 2.8 2.1 1.4 1.0 2.3 1.0 23.9 23.5 32.0 35.1 (N=213) (N=97) 図 3.4-36 2008 年 1 年間のウイルス感染からの復旧作業延べ人日 ( 就業者規模別 ) 69
3.4.9. 2008 年 1 年間のシステム復旧に関して新たに購入した代替機器の費用 2008 77.9% 100 200 (N=367) 70~100 万円未満 % 50~70 万円未満 0.5% 100~200 万円未満 0.3% 200~300 万円未満 % 300 万円以上 % 30~50 万円未満 1.6% 無回答 1.9% 10~30 万円未満 5.7% 10 万円未満 12.0% 0 円 77.9% 図 3.4-37 2008 年 1 年間のシステム復旧に関して新たに購入した代替機器の費用 0 円 10 万円未満 10~30 万円未満 30~50 万円未満 50~70 万円未満 70~100 万円未満 100~200 万円未満 200~300 万円未満 300 万円以上無回答 5.3 6.8 1.6 1.8 0.6 0.3 1.9 1.8 13.2 75.5 91.2 企業 (N=310) 自治体 (N=57) 図 3.4-38 2008 年 1 年間のシステム復旧に関して新たに購入した代替機器の費用 ( 企業 / 自治体別 ) 70
0 円 10 万円未満 10~30 万円未満 30~50 万円未満 50~70 万円未満 70~100 万円未満 100~200 万円未満 200~300 万円未満 300 万円以上無回答 10.8 5.6 9.3 0.9 3.1 0.9 1.0 2.3 1.0 18.6 67.0 79.3 (N=213) (N=97) 図 3.4-39 2008 年 1 年間のシステム復旧に関して新たに購入した代替機器の費用 ( 就業者規模別 ) 3.4.10. システム復旧に関して外部に発注した業務の費用 300 81.2% (N=367), 70~100 万円未満 0.3% 50~70 万円未満 0.5% 30~50 万円未満 0.5% 10~30 万円未満 2.5% 100~200 万円未満 0.8% 10 万円未満 10.4% 200~300 万円未満 0.8% 300 万円以上 1.1% 無回答 1.9% 0 円 81.2% 図 3.4-40 2008 年 1 年間にシステム復旧に関して外部に発注した業務の費用 71
0 円 10 万円未満 10~30 万円未満 30~50 万円未満 50~70 万円未満 70~100 万円未満 100~200 万円未満 200~300 万円未満 300 万円以上無回答 1.8 2.9 0.6 0.6 0.3 1.0 0.6 1.8 1.0 1.8 1.3 5.3 11.9 79.7 89.5 企業 (N=310) 自治体 (N=57) 図 3.4-41 2008 年 1 年間にシステム復旧に関して外部に発注した業務の費用 ( 企業 / 自治体別 ) 0 円 10 万円未満 10~30 万円未満 30~50 万円未満 50~70 万円未満 70~100 万円未満 100~200 万円未満 200~300 万円未満 300 万円以上無回答 9.9 1.4 6.2 0.5 1.0 0.9 0.5 1.4 0.5 1.0 1.4 0.9 2.1 16.5 73.2 82.6 (N=213) (N=97) 図 3.4-42 2008 年 1 年間にシステム復旧に関して外部に発注した業務の費用 ( 従業員規模 ) 3.4.11. ウイルス感染が原因で発生した追加データ処理作業人日 68.7% 16 72
(N=367), 11~15 人 日, 0.3 6~10 人 日, 1.1 4~5 人 日, 4.4 16 人 日以上, 0.8 無回答, 3.8 2~3 人 日, 7.6 1 人 日以内, 13.4 0 人 日, 68.7 図 3.4-43 ウイルス感染が原因で発生した追加データ処理作業人日 0 人 日 1 人 日以内 2~3 人 日 4~5 人 日 6~10 人 日 11~15 人 日 16 人 日以上 無回答 13.9 10.5 7.7 7.0 4.5 3.5 1.3 0.3 1.0 3.2 7.0 68.1 71.9 企業 (N=310) 自治体 (N=57) 図 3.4-44 ウイルス感染が原因で発生した追加データ処理作業人日 ( 企業 / 自治体別 ) 73
0 人 日 1 人 日以内 2~3 人 日 4~5 人 日 6~10 人 日 11~15 人 日 16 人 日以上無回答 8.5 7.0 9.3 4.2 5.2 1.4 1.0 0.5 1.4 3.3 3.1 25.8 55.7 73.7 (N=213) (N=97) 図 3.4-45 ウイルス感染が原因で発生した追加データ処理作業人日 ( 就業者規模別 ) 3.4.12. 復旧以外の対応 (1) 作業内容 18.8% (N=367) 原因追求 影響範囲特定のための外部調査問合せ窓口の設置電話郵送等での取引先 顧客等への謝罪謝罪広告の出稿社内に配布する対策用 CD-ROMの作成その他特に実施していない無回答 55.3% 18.8 7.4 1.1 0.3 2.2 13.4 55.3 10.4 図 3.4-46 復旧以外の対応作業内容 74
原因追求 影響範囲特定のための外部調査問合せ窓口の設置電話郵送等での取引先 顧客等への謝罪謝罪広告の出稿社内に配布する対策用 CD-ROMの作成その他特に実施していない無回答 19.7 14.0 8.4 1.8 1.3 0.3 1.9 3.5 11.6 22.8 10.3 10.5 企業 (N=310) 56.1 50.9 自治体 (N=57) 図 3.4-47 復旧以外の対応作業内容 ( 企業 / 自治体別 ) 原因追求 影響範囲特定のための外部調査問合せ窓口の設置電話郵送等での取引先 顧客等への謝罪謝罪広告の出稿社内に配布する対策用 CD-ROMの作成その他特に実施していない無回答 21.6 15.5 9.9 5.2 1.4 1.0 1.0 2.3 1.0 14.1 6.2 9.4 12.4 53.1 62.9 (N=213) (N=97) 図 3.4-48 復旧以外の対応作業内容 ( 就業者規模別 ) (2) 作業人日 75
原因追求 影響範囲特定のための外部調査 (N=69) 34.8 21.7 10.1 14.5 14.5 1.4 問合せ窓口の設置 (N=27) 44.4 7.4 11.1 18.5 11.1 電話郵送等で取引先 顧客等へ謝罪 (N=4) 5 5 謝罪広告の出稿 (N=1) 10 機関内配布する対策用 CD-ROM 作成 (N=8) 5 25.0 25.0 その他 (N=49) 44.9 6.1 10.2 12.2 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11~15 人 日 16~20 人 日 図 3.4-49 作業人日 12.2 2.0 2.0 76
企業 (N=61) 32.8 23.0 8.2 14.8 16.4 1.6 3.3 自治体 (N=8) 5 12.5 25.0 12.5 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 企業 (N=26) 46.2 7.7 11.5 15.4 11.5 7.7 自治体 (N=1) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 人 日以上 無回答 ( ) 企業 (N=4) 5 5 自治体 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 人 日以上 無回答 企業 (N=1) 10 自治体 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 77
CD-ROM 企業 (N=6) 33.3 33.3 33.3 自治体 (N=2) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 企業 (N=36) 38.9 8.3 11.1 13.9 16.7 8.3 2.8 自治体 (N=13) 61.5 7.7 7.7 7.7 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 15.4 図 3.4-50 作業人日 ( 企業 / 自治体別 ) (N=46) 28.3 23.9 6.5 15.2 21.7 4.3 (N=15) 46.7 2 13.3 13.3 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 6.7 (N=21) 52.4 4.8 4.8 14.3 14.3 9.5 (N=5) 2 2 4 2 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 78
( ) (N=3) 66.7 33.3 (N=1) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 (N=0) (N=1) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 CD-ROM (N=5) 4 2 4 (N=1) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 (N=30) 4 1 1 13.3 13.3 1 3.3 (N=6) 33.3 16.7 16.7 33.3 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 人 日以上 無回答 図 3.4-51 作業人日 ( 就業者規模別 ) 79
3.4.13. 2008 年 1 年間のウイルス感染による被害の発生 2008 1 97.3% (N=367), 無回答, 2.2 インターネット上で中傷されたり 流言を流された, 顧客が減尐した 顧客から指名停止を受けた, 0.3 その他, 取引先から補償 補填を求められた 関係者から訴訟を起こされた, 0.3 特に間接的な被害は受けなかった, 97.3 図 3.4-52 ウイルス感染による被害の発生 顧客が減尐した 顧客から指名停止を受けた 取引先から補償 補填を求められた 関係者から訴訟を起こされた インターネット上で中傷されたり 流言を流された その他 特に間接的な被害は受けなかった 無回答 0.3 0.3 2.6 96.8 10 企業 (N=310) 自治体 (N=57) 図 3.4-53 ウイルス感染による被害の発生 ( 企業 / 自治体別 ) 顧客が減尐した 顧客から指名停止を受けた 取引先から補償 補填を求められた 関係者から訴訟を起こされた インターネット上で中傷されたり 流言を流された その他 特に間接的な被害は受けなかった 無回答 0.5 1.0 2.8 2.1 96.7 96.9 (N=213) (N=97) 図 3.4-54 ウイルス感染による被害の発生 ( 就業者規模別 ) 80
3.4.14. 復旧時の復旧以外の対応による外部発注費用 11.5 1000 (N=367), 300~500 万円未満 % 100~300 万円未満 1.1% 10~100 万円未満 3.8% 10 万円未満 5.2% 500~1000 万円未満 0.5% 1000 万円以上 0.8% 無回答 1.9% 0 円 86.6% 図 3.4-55 復旧以外の対応による外部発注費用 企業 (N=310) 85.2 6.1 4.5 自治体 (N=57) 94.7 0 円 0 円 10 万円未満 10~100 万円未満 100~300 万円未満 300~500 万円未満 500~1000 万円未満 1000 万円以上 無回答 10 万円未満 10~100 万円未満 100~300 万円未満 300~500 万円未満 500~1000 万円未満 1000 万円以上 (%) 無回答 企業 (N=310) 85.2 6.1 4.5 1.0 0.6 0.6 1.9 自治体 (N=57) 94.7 1.8 1.8 1.8 図 3.4-56 復旧以外の対応による外部発注費用 ( 企業 / 自治体別 ) 81
(N=213) 86.4 4.2 4.7 1.9 (N=97) 82.5 10.3 4.1 2.1 0 円 10 万円未満 10~100 万円未満 100~300 万円未満 300~500 万円未満 500~1000 万円未満 1000 万円以上 無回答 0 円 10 万円未満 10~100 万円未満 100~300 万円未満 300~500 万円未満 500~1000 万円未満 1000 万円以上 (%) 無回答 (N=213) 86.4 4.2 4.7 0.9 0.9 0.9 1.9 (N=97) 82.5 10.3 4.1 1.0 2.1 図 3.4-57 復旧以外の対応による外部発注費用 ( 就業者規模別 ) 82
3.4.15. 影響の最も大きかったウイルス (1) ウイルス名及び発見月 20 Autorun (N=367) 0% 10% 20% 30% 40% 50% W32/Autorun W32/Downad W32/Agent USB ワーム AntivirusXP2008 REVO W32/Netsky W32/Virut W32/Mydoom W32/Mytob W32/Sality W32/Lovgate W32/Bagle W32/Klez W32/Mywife W32/Stration トロイの木馬エクセルマクロウイルスその他 (3 件未満 ) 不明無回答 2.7 1.9 1.4 1.4 1.1 0.8 0.3 0.3 0.3 0.3 1.1 6.8 8.2 8.7 13.1 23.7 28.1 図 3.4-58 被害の最も大きかったウイルス名 W32/Autorun W32/Downad W32/Agent USBワーム AntivirusXP2008 REVO W32/Netsky W32/Virut W32/Mydoom W32/Mytob W32/Sality W32/Lovgate W32/Bagle W32/Klez W32/Mywife W32/Stration トロイの木馬エクセルマクロウイルスその他 (3 件未満 ) 不明無回答 0% 10% 20% 30% 40% 50% 2.9 1.8 1.6 3.5 1.6 1.3 1.8 1.0 1.8 0.6 1.8 0.3 0.3 1.8 0.3 1.8 1.3 25.2 43.9 9.7 7.7 8.4 10.5 13.9 8.8 23.9 22.8 企業 (N=310) 自治体 (N=57) 図 3.4-59 被害の最も大きかったウイルス名 ( 企業 / 自治体別 ) 83
0% 10% 20% 30% 40% 50% W32/Autorun W32/Downad W32/Agent USBワーム AntivirusXP2008 REVO W32/Netsky W32/Virut W32/Mydoom W32/Mytob W32/Sality W32/Lovgate W32/Bagle W32/Klez W32/Mywife W32/Stration トロイの木馬エクセルマクロウイルスその他 (3 件未満 ) 不明無回答 3.1 3.8 1.0 1.9 1.0 0.9 3.1 0.9 2.1 0.9 1.0 0.9 0.5 0.5 0.5 5.6 1.9 5.2 12.7 12.4 9.9 8.9 28.2 18.6 24.7 22.1 27.8 (N=213) (N=97) 図 3.4-60 被害の最も大きかったウイルス名 ( 就業者規模別 ) (N=367) 0% 10% 20% 30% 40% 50% 1 月 4.6 2 月 2.2 3 月 1.9 4 月 2.7 5 月 2.5 6 月 5.7 7 月 5.7 8 月 4.9 9 月 5.2 10 月 13.4 11 月 14.2 12 月 12.5 無回答 24.5 図 3.4-61 被害の最も大きかったウイルス発見月 84
1 月 4.5 5.3 2 月 2.3 1.8 3 月 2.3 4 月 2.6 3.5 5 月 2.3 3.5 6 月 6.1 3.5 7 月 8 月 6.1 3.5 4.8 5.3 9 月 4.8 7.0 10 月 12.9 15.8 11 月 14.2 14.0 12 月 12.9 10.5 無回答 24.2 26.3 企業 (N=310) 自治体 (N=57) 図 3.4-62 被害の最も大きかったウイルス発見月 ( 企業 / 自治体別 ) 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月無回答 5.6 2.1 2.3 2.1 1.4 4.1 3.3 1.0 1.9 3.1 5.2 8.2 3.8 11.3 4.7 5.2 3.8 7.2 14.6 9.3 14.6 13.4 14.6 9.3 24.4 23.7 (N=213) (N=97) 図 3.4-63 被害の最も大きかったウイルス発見月 ( 就業者規模別 ) 85
(2) ウイルス発見の経緯 (N=367) クライアント対策ソフトゲートウェイ対策ソフトプロバイダのチェックサービスファイアウォール IDS IPSによる侵入検知目視による外部からの連絡その他無回答 73.6.% 73.6 7.1 1.4 3.8 4.6 21.3 3.8 4.6 3.5 図 3.4-64 ウイルス発見の経緯 クライアント対策ソフトゲートウェイ対策ソフトプロバイダのチェックサービスファイアウォール IDS IPSによる侵入検知目視による外部からの連絡その他無回答 7.1 7.0 1.6 4.2 1.8 5.5 3.9 3.5 3.9 8.8 4.2 21.6 19.3 72.3 80.7 企業 (N=310) 自治体 (N=57) 図 3.4-65 ウイルス発見の経緯 ( 企業 / 自治体別 ) 86
クライアント対策ソフトゲートウェイ対策ソフトプロバイダのチェックサービスファイアウォール IDS IPSによる侵入検知目視による外部からの連絡その他無回答 76.5 62.9 9.9 1.0 1.9 1.0 6.1 7.5 1.0 16.9 32.0 4.2 3.1 4.7 2.1 3.8 5.2 (N=213) (N=97) 図 3.4-66 ウイルス発見の経緯 ( 就業者規模別 ) (3) 想定されるコンピュータウイルスの感染経路 4 37.4 59.6 2007 23.6 23.9 AUTORUN USB (N=367) 10.4 20.2 3.8 40.9 14.2 8.4 2.2 電子メール インターネット接続 ( ホームページ閲覧など ) 自らダウンロードしたファイル P2P(Peer to Peer) などのファイル共有ソフト 外部媒体 持ち込みクライアント ( パソコン ) その他 不明 無回答 図 3.4-67 想定されるコンピュータウイルスの感染経路 87
企業 (N=310) 11.3 21.3 4.2 37.4 14.2 9.0 2.6 自治体 (N=57) 5.3 14.0 1.8 59.6 14.0 5.3 電子メール インターネット接続 ( ホームページ閲覧など ) 自らダウンロードしたファイル P2P(Peer to Peer) などのファイル共有ソフト 外部媒体 持ち込みクライアント ( パソコン ) その他 不明 無回答 図 3.4-68 想定されるコンピュータウイルスの感染経路 ( 企業 / 自治体別 ) (N=213) 9.4 18.8 3.3 41.3 16.0 8.9 2.3 (N=97) 15.5 26.8 6.2 28.9 10.3 9.3 3.1 電子メール インターネット接続 ( ホームページ閲覧など ) 自らダウンロードしたファイル P2P(Peer to Peer) などのファイル共有ソフト 外部媒体 持ち込みクライアント ( パソコン ) その他 不明 無回答 図 3.4-69 想定されるコンピュータウイルスの感染経路 ( 就業者規模別 ) (4) 感染したパソコンの OS と台数 300 OS Windows 10 300 (N=367) Windows 系 1.1 17.2 6.8 15.5 16.1 12.5 10.1 3.8 5.2 7.4 3.3 1.1 Macintosh 系 92.4 7.6 Unix Linux 系 91.6 0.5 7.6 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上 無回答 図 3.4-70 感染したパソコンの OS と台数 88
<Windows 系 > 企業 (N=310) 1.3 17.4 7.1 14.2 16.5 12.3 1 3.5 3.5 5.8 7.1 1.3 自治体 (N=57) 15.8 5.3 22.8 5.3 14.0 14.0 10.5 8.8 1.8 1.8 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上 無回答 <Macintosh 系 > 企業 (N=310) 92.6 7.4 自治体 (N=57) 91.2 8.8 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上 無回答 <Unix Linux 系 > 企業 (N=310) 91.6 7.4 0.6 自治体 (N=57) 91.2 8.8 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上 無回答 図 3.4-71 感染したパソコンの OS と台数 ( 企業 / 自治体別 ) 89
<Windows 系 > (N=213) 1.4 12.2 5.6 12.2 16.9 14.6 12.7 3.8 7.5 8.5 3.3 1.4 (N=97) 1.0 28.9 10.3 18.6 15.5 4.1 4.1 3.1 4.1 7.2 1.0 2.1 <Macintosh 系 > 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上 無回答 (N=213) 91.1 8.9 (N=97) 95.9 4.1 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上 無回答 <Unix Linux 系 > 0% 20% 40% 60% 80% 100% (N=213) 90.1 8.9 (N=97) 94.8 4.1 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上 無回答 (N=213) (N=97) (N=213) (N=97) (%) 0 台 1 台 2 台 3~4 台 5~9 台 10~19 台 90.1 0.5 0.5 94.8 1.0 20~29 台 30~39 台 40~49 台 50~99 台 100 台以上無回答 8.9 4.1 図 3.4-72 感染したパソコンの OS と台数 ( 就業者規模別 ) 90
3.5. ファイル共有ソフトを介した情報漏えい 3.5.1. 個人情報 業務情報流出被害経験の有無 1.4% 32 2007 2.2 51 22 I 300 18 81.8 IT (N=2,317) 無回答, 0.9% 被害経験がある, 1.4% 被害経験はない, 97.7% 図 3.5-1 個人情報 業務情報流出被害経験の有無 企業 (N=1,907) 98.0 1.2 0.9 自治体 (N=410) 2.4 96.3 被害経験がある被害経験はない無回答 1.2 図 3.5-2 個人情報 業務情報流出被害経験の有無 ( 企業 / 自治体別 ) (N=886) (N=1,021) 2.4 96.8 0.1 98.9 被害経験がある被害経験はない無回答 0.8 1.0 図 3.5-3 個人情報 業務情報流出被害経験の有無 ( 就業者規模別 ) 91
被害経験がある (N=22) 81.8 13.6 4.5 企業群 Ⅰ 企業群 Ⅱ 企業群 Ⅰ 企業群 Ⅱ 図 3.5-4 個人情報 業務情報流出被害経験の有無 ( 企業群別 就業者規模別 ) 3.5.2. 流出情報の種類 6 3 2007 49.0% 25 15.6% 5 (N=32) 顧客 ( 個人 ) 情報 15.6 顧客 ( 企業 ) 情報 34.4 機関内の業務情報 59.4 その他 9.4 無回答 3.1 図 3.5-5 流出情報の種類 顧客 ( 個人 ) 情報顧客 ( 企業 ) 情報機関内の業務情報その他無回答 9.1 1 9.1 1 4.5 3 45.5 5 8 企業 (N=22) 自治体 (N=10) 図 3.5-6 流出情報の種類 ( 企業 / 自治体別 ) 92
顧客 ( 個人 ) 情報顧客 ( 企業 ) 情報 9.5 42.9 機関内の業務情報その他無回答 9.5 4.8 52.4 10 (N=21) (N=1) 図 3.5-7 流出情報の種類 ( 就業者規模別 ) 3.5.3. 対応延べ人日 11 46.9% (N=32), 無回答 6.3% 0 人 日 3.1% 2~3 人 日 6.3% 1 人 日以内 6.3% 16 人 日以上 28.1% 4~5 人 日 15.6% 11~15 人 日 18.8% 6~10 人 日 15.6% 図 3.5-8 対応延べ人日 4.5 企業 (N=22) 4.5 13.6 18.2 27.3 27.3 4.5 自治体 (N=10) 1 1 1 2 1 3 1 0 人 日 1 人 日以内 2~3 人 日 4~5 人 日 6~10 人 日 11~15 人 日 16 人 日以上 無回答 図 3.5-9 対応延べ人日 ( 企業 / 自治体別 ) 93
4.8 4.8 14.3 19.0 (N=21) 28.6 23.8 4.8 (N=1) 10 0 人 日 1 人 日以内 2~3 人 日 4~5 人 日 6~10 人 日 11~15 人 日 16 人 日以上 無回答 図 3.5-10 対応延べ人日 ( 就業者規模別 ) 94
3.5.4. 対応内容 43.8% 53.1% (N=32) 原因追求 影響範囲特定のための外部調査問合せ窓口の設置電話郵送等での取引先 顧客等への謝罪 ( 金券等 ) 謝罪広告の出稿機関内に配布する対策用 CD-ROMの作成その他特に実施していない無回答 53.1 21.9 43.8 6.3 28.1 6.3 15.6 図 3.5-11 対応内容 0% 20% 40% 60% 原因追求 影響範囲特定のための外部調査問合せ窓口の設置電話郵送等での取引先 顧客等への謝罪 ( 金券等 ) 謝罪広告の出稿機関内に配布する対策用 CD-ROMの作成その他特に実施していない無回答 4.5 4.5 1 1 1 1 18.2 18.2 27.3 4 54.5 5 45.5 5 企業 (N=22) 自治体 (N=10) 図 3.5-12 対応内容 ( 企業 / 自治体別 ) 95
原因追求 影響範囲特定のための外部調査 52.4 問合せ窓口の設置 23.8 10 電話郵送等での取引先 顧客等への謝罪 ( 金券等 ) 42.9 10 謝罪広告の出稿 4.8 10 機関内に配布する対策用 CD-ROM の作成 その他 19.0 特に実施していない 4.8 無回答 19.0 (N=21) (N=1) 図 3.5-13 対応内容 ( 就業者規模別 ) 原因追求 影響範囲特定のための外部調査 (N=16) 12.5 6.3 37.5 12.5 12.5 6.3 12.5 問合せ窓口の設置 (N=7) 42.9 28.6 14.3 14.3 取引先 顧客等へ謝罪 ( 金券等を含む ) (N=14) 謝罪広告の出稿 (N=2) 7.1 14.3 5 42.9 7.1 7.1 5 21.4 機関内に配布する対策用 CD-ROM 作成 (N=0) その他 (N=9) 33.3 11.1 11.1 33.3 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 11.1 図 3.5-14 機関内で発生したおおよその作業規模または費用 ( 全体 ) < 原因追求 影響範囲特定のための外部調査 > 企業 (N=11) 18.2 45.5 9.1 18.2 9.1 自治体 (N=5) 2 2 2 2 2 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 96
< 問合せ窓口の設置 > 企業 (N=6) 5 33.3 16.7 自治体 (N=1) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < 取引先 顧客等へ謝罪 ( 金券等を含む )> 企業 (N=10) 1 1 4 1 3 自治体 (N=4) 25.0 5 25.0 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < 謝罪広告の出稿 > 企業 (N=1) 10 自治体 (N=1) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < 機関内に配布する対策用 CD-ROM 作成 > 0% 20% 企業 (N=0) 自治体 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 97
< その他 > 企業 (N=4) 25.0 25.0 25.0 25.0 自治体 (N=5) 4 4 2 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 図 3.5-15 機関内で発生したおおよその作業規模または費用 ( 企業 / 自治体別 ) < 原因追求 影響範囲特定のための外部調査 > (N=10) 2 5 1 1 1 10 (N=1) < 問合せ窓口の設置 > 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 (N=5) 6 2 2 (N=1) 10 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < 取引先 顧客等への謝罪 ( 金券等含む )> (N=9) 11.1 44.4 10 (N=1) 11.1 33.3 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 98
< 謝罪広告の出稿 > (N=1) 10 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < 機関内に配布する対策用 CD-ROM 作成 > 0% 20% (N=0) (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < その他 > (N=4) 25.0 25.0 25.0 25.0 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 図 3.5-16 機関内で発生したおおよその作業規模または費用 ( 就業者規模別 ) 99
3.5.5. 流出による間接的な被害の内容 8 (N=32) 顧客が減尐した 顧客から指名停止を受けた 3.1 取引先から補償 補填を求められた 関係者から訴訟を起こされた インターネット上で中傷されたり 流言を流された 6.3 その他 特に間接的な被害は受けなかった 81.3 無回答 9.4 図 3.5-17 流出による間接的な被害の内容 顧客が減尐した 顧客から指名停止を受けた 取引先から補償 補填を求められた 関係者から訴訟を起こされた 4.5 インターネット上で中傷されたり 流言を流された その他 9.1 特に間接的な被害は受けなかった 72.7 無回答 13.6 10 企業 (N=22) 自治体 (N=10) 図 3.5-18 流出による間接的な被害の内容 ( 企業 / 自治体別 ) 100
顧客が減尐した 顧客から指名停止を受けた 取引先から補償 補填を求められた 関係者から訴訟を起こされた 4.8 インターネット上で中傷されたり 流言を流された その他 9.5 特に間接的な被害は受けなかった 71.4 無回答 14.3 10 (N=21) (N=1) 図 3.5-19 流出による間接的な被害の内容 ( 就業者規模別 ) 101
3.6. フィッシング詐欺による被害について 3.6.1. サイトの詐称による顧客情報の詐取または詐取可能性の有無 0.3% 8 98.7% (N=2,317) 無回答, 0.9% 被害経験がある, 0.3% 被害経験はない, 98.7% 図 3.6-1 サイトの詐称による顧客情報の詐取または詐取可能性の有無 企業 (N=1,907) 98.7 0.4 0.9 自治体 (N=410) 98.8 被害経験がある被害経験はない無回答 1.2 図 3.6-2 サイトの詐称による顧客情報の詐取または詐取可能性の有無 ( 企業 / 自治体別 ) (N=886) 0.7 98.4 0.9 (N=1,021) 98.9 0.2 0.9 被害経験がある被害経験はない無回答 図 3.6-3 サイトの詐称による顧客情報の詐取または詐取可能性の有無 ( 就業者規模別 ) 102
3.6.2. 詐取情報の種類 (N=8) 個人情報 5 銀行口座番号 クレジットカード番号等 12.5 他の機微情報 ( 学歴, 職業, 年収, 病歴等 ) 12.5 その他 25.0 無回答 図 3.6-4 詐取情報の種類 0% 20% 40% 60% 個人情報 5 銀行口座番号 クレジットカード番号等 他の機微情報 ( 学歴, 職業, 年収, 病歴等 ) 12.5 12.5 その他 25.0 無回答 企業 (N=8) 自治体 (N=0) 図 3.6-5 詐取情報の種類 ( 企業 / 自治体別 ) 0% 20% 40% 60% 個人情報 5 5 銀行口座番号 クレジットカード番号等 16.7 他の機微情報 ( 学歴, 職業, 年収, 病歴等 ) 5 その他 無回答 33.3 (N=6) (N=2) 図 3.6-6 詐取情報の種類 ( 就業者規模別 ) 103
3.6.3. 実施した対応 37.5% 5% HP (N=8) 状況把握のための調査 5 関係機関 ( 警察 IPA JPCERT/CC 等 ) への届出 問合せ窓口の設置 12.5 12.5 電話 郵送 HP 等での顧客等への注意喚起 37.5 新聞 テレビ等の出稿 その他 37.5 特に実施していない 12.5 無回答 図 3.6-7 実施した対応 0% 20% 40% 60% 状況把握のための調査関係機関 ( 警察 IPA JPCERT/CC 等 ) への届出問合せ窓口の設置電話 郵送 HP 等での顧客等への注意喚起新聞 テレビ等の出稿その他特に実施していない無回答 12.5 12.5 12.5 37.5 37.5 5 企業 (N=8) 自治体 (N=0) 図 3.6-8 実施した対応 ( 企業 / 自治体別 ) 104
状況把握のための調査 66.7 関係機関 ( 警察 IPA JPCERT/CC 等 ) への届出 16.7 問合せ窓口の設置 16.7 電話 郵送 HP 等での顧客等への注意喚起 33.3 5 新聞 テレビ等の出稿 その他 33.3 5 特に実施していない 16.7 無回答 (N=6) (N=2) 図 3.6-9 実施した対応 ( 就業者規模別 ) 把握のための調査 (N=4) 25.0 75.0 関係機関への届出 (N=1) 10 問合せ窓口の設置 (N=1) 電話 郵送 HP 等での顧客等注意喚起 (N=3) 33.3 10 33.3 33.3 新聞 テレビ等の出稿 (N=0) その他 (N=2) 5 5 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 図 3.6-10 機関内で発生したおおよその作業規模または費用 ( 全体 ) 105
< 把握のための調査 > 企業 (N=4) 25.0 75.0 自治体 (N=0) < 関係機関への届出 > 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 企業 (N=1) 10 自治体 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < 問合せ窓口の設置 > 企業 (N=1) 10 自治体 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 < 電話 郵送 HP 等での顧客等注意喚起 > 企業 (N=3) 33.3 33.3 33.3 自治体 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 106
< 新聞 テレビ等の出稿 > 0% 20% 企業 (N=0) 自治体 (N=0) < その他 > 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 企業 (N=2) 5 5 自治体 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 図 3.6-11 機関内で発生したおおよその作業規模または費用 ( 企業 / 自治体別 ) < 把握のための調査 > (N=4) 25.0 75.0 (N=0) < 関係機関への届出 > 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 (N=1) 10 (N=0) 1 人 日 2 人 日 3 人 日 4~5 人 日 6~10 人 日 11 以上人 日 無回答 107