企業の情報セキュリティ対策に関する...
TRANSCRIPT
企業の情報セキュリティ対策に関する 実態調査報告書
はじめに
© MS&AD InterRisk Research & Consulting, Inc.
はじめに
<はじめに> サイバー攻撃による事故・被害は年々増加傾向にあり、それら報道を見ることも非常に多くなっている。情報セキュリティは経営上の問題であり、情報セキュリティ対策を講じることは企業経営として、もはや避けては通れない重要な課題である。 そこで今回、情報セキュリティ対策への取り組みや被害の状況や課題等、企業の情報セキュリティに関する現状および傾向を捉え、今後の情報セキュリティリスク低減に資することを目的とした企業の実態調査(以下、本調査)を実施した。 本調査が、企業の皆さまにとって、さらなる取り組みの一助となれば幸いである。
© MS&AD InterRisk Research & Consulting, Inc.
<本調査結果について> 今回の調査で明らかになったことは ① 組織体制を整備している企業では、サイバーセキュリティ対策においても、保険の導入率等におい
ても、優位な結果が出ている ② また、組織体制整備にプラスして、文書・規定類についても、ポリシー(方針・行動指針書)⇒ス
タンダード(基準・標準)⇒プロシージャ(手順書)と対応がより実務的なものに発展していくこともセキュリティ対策の実態としてはポイントとなっている
③ 組織体制を整備することで、対策等が進む理由の一つに、立ち上げた組織が企業外の団体・組織(日本シーサート協議会、JNSA、IPAなど)に所属等し、外部情報を取り込むことで、当該企業として実施すべき対策などが明確になっていくと考えられる
④ サイバー保険については、その存在自体や内容(補償範囲や対象となる事故等)に関して企業の理解が進んでいない。
はじめに
組織立ち上げ・強化
組織外団体組織との 交流での気づき
文書・規定類の整備
自組織の強化すべき 観点の明確化
対策/対応
振り返り
調査概要
© MS&AD InterRisk Research & Consulting, Inc.
サイバーセキュリティ・サイバー保険に関する調査
5
• 調査方法概要
調査方法 質問紙郵送法 Web回答併用)
対象企業 10,000社(業種別に無作為抽出) 東洋経済新報社が発行する「日本の会社データ4万社((1)基本データ)」から業種別に無作為抽出した企業
有効回答 総回収数:701件 有効回答数:689件(回収率:6.9%)
調査期間 9月26日発送完了~10月中旬
© MS&AD InterRisk Research & Consulting, Inc.
サイバーセキュリティ・サイバー保険に関する調査
6
5名以下, 5.7% 6~20名,
11.2%
21~50名, 13.9%
51名~100名, 16.6%
101名~1,000名, 43.3%
1,001名以上, 9.4%
製造業, 30.1%
情報通信業, 7.7%
運輸業, 6.3% 小売業,
5.3% 卸売業, 8.9%
金融・保険業, 6.8%
飲食店・宿泊業, 1.5%
医療・福祉, 0.2%
教育・学習支援業, 0.5%
エネルギー業, 1.8%
不動産業, 3.3%
建設業, 7.8% 鉱業, 0.3%
その他サービス事業, 16.0%
その他, 3.6%
回答企業の業種と規模
(n=689)
(n=688)
IT活用状況
© MS&AD InterRisk Research & Consulting, Inc.
IT活用状況
8
業務サーバー(クラウド含む)の利用状況
92.7% 7.3%
0% 20% 40% 60% 80% 100%
全体(n=689)
利用している 利用していない
64.1%
85.5%
93.7%
93.8%
96.3%
100.0%
35.9%
14.5%
6.3%
6.3%
3.7%
0.0%
0% 20% 40% 60% 80% 100%
5 名以下(n=39)
6 ~20名(n=83)
21~50名(n=95)
51名~100 名(n=112)
101 名~1,000 名(n=294)
1,001 名以上(n=65)
利用している 利用していない
「利用している」と回答した企業は全体の9割を超えている。また、従業員数が多くなるにつれて業務サーバー(クラウド含む)の利用割合が大きくなっている。
© MS&AD InterRisk Research & Consulting, Inc.
7.7%
13.3%
12.6%
15.2%
24.5%
47.7%
92.3%
86.7%
87.4%
84.8%
75.5%
52.3%
0% 20% 40% 60% 80% 100%
5 名以下(n=39)
6 ~20名(n=83)
21~50名(n=95)
51名~100 名(n=112)
101 名~1,000 名(n=294)
1,001 名以上(n=65)
提供している 提供していない
21.2% 78.8%
0% 20% 40% 60% 80% 100%
全体(n=689)
提供している 提供していない
IT活用状況
9
インターネット上での顧客向けサービス提供の実施状況 インターネット上で顧客向けのサービスを実施していると回答した企業は全体の2割程度であったが、従業員数が1,001名以上の企業での回答割合は4割超という結果であった。
© MS&AD InterRisk Research & Consulting, Inc.
43.6%
49.4%
53.7%
55.0%
62.1%
83.1%
56.4%
50.6%
46.3%
45.0%
37.9%
16.9%
0% 20% 40% 60% 80% 100%
5 名以下(n=39)
6 ~20名(n=81)
21~50名(n=95)
51名~100 名(n=111)
101 名~1,000 名(n=293)
1,001 名以上(n=65)
データ連携している データ連携していない
59.3% 40.7%
0% 20% 40% 60% 80% 100%
全体(n=685)
データ連携している データ連携していない
IT活用状況
10
他の企業・組織(委託先・委託元、提携先等)とのデータ連携有無 他の企業・組織とネットワークを通じたデータ連携を行っていると回答した企業は過半数であったが、従業員数が1,001名以上の企業での回答割合は8割超という結果であった。
社内管理体制状況
© MS&AD InterRisk Research & Consulting, Inc.
25.6%
16.5% 12.9% 9.8%
55.2%
0%
20%
40%
60%
CISO CSIRT SOC その他 ない
全体(n=672)
36.3% 55.2% 8.5%
0% 20% 40% 60% 80% 100%
全体(n=672)
ある ない その他
社内管理体制状況
12
設置されているサイバーセキュリティ体制 ※複数選択 回答企業の過半数がサイバーセキュリティ体制を構築していない状況であり、サイバーセキュリティ体制が「ある」と回答した企業のなかで最も多く設置されていたのは「CISO」であった。
CISO
Chief Information Security Officer (別名:情報セキュリティ管理責任者,情報セキュリティ最高責任者,最高情報セキュリティ責任者など) 組織の情報セキュリティを統括管理する役職。 セキュリティポリシー(行動指針)の策定やセキュリティ・インシデントが発生した際の対処の指揮、経営陣への情報セキュリティ関連事項の橋渡し、組織内の情報セキュリティ管理などを主な役割としている。
CSIR
T
Computer Security Incident Response Team サイバー攻撃による情報漏えいやシステム障害など、サイバーセキュリティに関連するインシデント(事故)・事象が発生した際に対応する組織。インシデント発生時(有事)以外の平時にもリサーチなどの活動を行う。
SOC
Security Operation Center 情報セキュリティ機器、サーバ、コンピュータネットワークなどが生成するログを監視・分析し、サイバー攻撃の検出・通知を行う組織。自組織内の監視を行う場合と、顧客の監視を行うサービス提供型のSOC がある。
© MS&AD InterRisk Research & Consulting, Inc.
25.6%
16.5% 12.9%
9.8%
55.2%
33.8%
40.0%
27.7%
6.2%
38.5%
0%
20%
40%
60%
CISO CSIRT SOC その他 ない
全体(n=672) 1,001 名以上(n=65)
社内管理体制状況
13
設置されているサイバーセキュリティ体制 ※複数選択 さらに従業員数別にみると、 「CSIRT」を設置をしているのは、従業員1,001名以上の企業で40%となり、組織規模がCSIRT設置と関連すると考えられる。 なお「その他」を選択した企業では、”グループ会社/親会社/本社に依拠している”、”ISMS委員会を設置している”、”情報セキュリティ委員会を設置している”等の記述を確認した。
© MS&AD InterRisk Research & Consulting, Inc.
社内管理体制状況
14
整備されているセキュリティに関する文書・規定 ※複数選択 セキュリティに関する文書・規定として最も多く整備されているのが「ポリシー(方針・行動指針書)」(65.0%)であった。 なお「その他」を選択した企業では、” グループ会社/親会社/本社規定に沿っている”、”メーカー作成資料に沿っている”、”ハンドブックがある”といった回答があった。
65.0%
46.7%
29.1% 36.6%
4.7%
17.7%
0%
20%
40%
60%
80%
ポリシー (方針・行動指針書)
スタンダード (基準・標準)
プロシージャ (手順書)
ガイドライン その他 ない
全体(n=683)
© MS&AD InterRisk Research & Consulting, Inc.
18.0% 7.3% 8.2% 14.8% 51.7%
0% 20% 40% 60% 80% 100%
レベル1(n=123) レベル2(n=50) レベル3(n=56) レベル4(n=101) それ以外(n=353)
社内管理体制状況
15
整備されているセキュリティに関する文書・規定 ※複数選択 セキュリティに関する文書・規定の整備状況を、ポリシー⇒スタンダード⇒プロシージャ⇒ガイドラインと整備することを想定し、下記のとおりレベル別に5つに分類したところ、半数近い企業が文書・規定を順序立てて整備していることが判明した。
ポリシー (方針・行動指針書)
スタンダード (基準・標準)
プロシージャ (手順書) ガイドライン
レベル1 ○ ― ― ― レベル2 ○ ○ ― ― レベル3 ○ ○ ○ ― レベル4 ○ ○ ○ ○ それ以外 レベル1~4に該当しないものすべて
48.3%
© MS&AD InterRisk Research & Consulting, Inc.
41.8%
40.7%
34.3%
6.1%
13.6%
3.4%
0% 20% 40% 60%
社外の第三者の監査
社内自部門の監査
社内の第三者 (自部門以外)の監査
計画している
出来ていない (計画もない)
その他
社内管理体制状況
16
記述された内容の実行/監査の実施有無 ※複数選択 (前設問で文書・規定などがあると答えた場合のみ) 文書・規定などがあると答えた企業のなかで、セキュリティに関する文書・規定に記述された内容が実行されているかの確認や監査を実施しているかを確認した。「社外の第三者の監査」を選択した企業は、全体では41.8%だが、従業員1,001名以上の企業では60%を超え、また、前ページのレベル4まで到達している企業では61.4%であった。
社外(外部委託)管理体制状況
© MS&AD InterRisk Research & Consulting, Inc.
社外(外部委託)管理体制状況
18
外部委託先に対する、情報管理についての監査や報告の実施状況
全体では「出来ていない」という企業が最も多かった(43.2%)が、従業員数1,001名以上の企業では「委託先自らで監査・報告している」という回答が比較的高かった(47.7%)。
43.2%
52.8%
42.5%
52.1%
39.8%
43.2%
32.3%
29.8%
8.3%
32.5%
20.2%
25.0%
32.4%
47.7%
4.8%
11.1%
3.8%
10.6%
2.8%
3.8%
1.5%
20.1%
8.3%
17.5%
16.0%
22.2%
19.9%
32.3%
8.5%
11.1%
8.8%
4.3%
13.9%
7.3%
9.2%
7.2%
11.1%
5.0%
9.6%
8.3%
6.6%
4.6%
0% 10% 20% 30% 40% 50% 60%
全体(n=671)
5 名以下(n=36)
6 ~20名(n=80)
21~50名(n=94)
51名~100 名(n=108)
101 名~1,000 名(n=287)
1,001 名以上(n=65)
出来ていない 委託先自らで監査・報告している 社外の第三者が監査・報告している 貴社で監査・報告している 計画している その他
リスクの特定状況
© MS&AD InterRisk Research & Consulting, Inc.
44.4% 9.0% 9.6% 6.9% 17.3% 12.8%
0% 20% 40% 60% 80% 100%
全体(n=678)
仕訳ルール(文書化されたもの)があり、そのルールに則り、分類している
仕訳ルール(文書化されたもの)はあるが、ルールに則って分類できていない
仕訳ルール(文書化されたもの)はないが、ルールに則った分類を行っており、ルールの文書化を計画している
仕訳ルール(文書化されたもの)はないが、ルールに則って分類しており、ルールの文書化の予定はない
仕訳ルールはないが、分類はしている
仕訳ルールもなく、分類もしていない
リスクの特定状況
20
保有する情報資産の取扱状況 保有している情報資産について、機密にすべき情報(社内でも一部のみ参照可等)、社内限定の情報、秘密保持契約締結先に提供可能な情報、公表可能な情報などの情報分類につき、「仕訳ルール(文書化されたもの)があり、そのルールに則り、分類している」と回答した企業は半数に満たない状況であった(全体の44.4%)。なお、仕訳ルール(文書化されたもの)がない中でルールに則って分類している企業は3割を超えている。
© MS&AD InterRisk Research & Consulting, Inc.
61.5%
30.5%
9.8%
8.2%
7.8%
11.3%
6.1%
7.7%
10.7%
22.3%
4.1%
20.1%
0% 20% 40% 60% 80% 100%
サイバーセキュリティ体制あり(n=244)
サイバーセキュリティ体制なし(n=364)
仕訳ルール(文書化されたもの)があり、そのルールに則り、分類している
仕訳ルール(文書化されたもの)はあるが、ルールに則って分類できていない
仕訳ルール(文書化されたもの)はないが、ルールに則った分類を行っており、ルールの文書化を計画している
仕訳ルール(文書化されたもの)はないが、ルールに則って分類しており、ルールの文書化の予定はない
仕訳ルールはないが、分類はしている
仕訳ルールもなく、分類もしていない
リスクの特定状況
21
保有する情報資産の取扱状況 本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合、サイバーセキュリティ体制がある企業では分類をしていると回答した企業が86.1%あり、そのうちの約7割が「仕訳ルール(文書化されたもの)があり、そのルールに則り、分類している」と回答している。
© MS&AD InterRisk Research & Consulting, Inc.
33.7% 8.0% 4.4% 27.7% 10.5% 15.7%
0% 20% 40% 60% 80% 100%
全体(n=676)
課題・脆弱性共に管理している 課題については管理している
脆弱性については管理している 課題或いは脆弱性の一部は管理できている
管理することを計画している 管理していない(計画もない)
リスクの特定状況
22
保有する情報資産の課題や脆弱性 保有している情報資産の課題・脆弱性の管理状況について確認した。全体でみると、「管理をしている(「管理することを計画している」・「管理していない(計画もない)」以外の選択肢の合計数)」と回答した企業は73.8%を占めているものの、「課題・脆弱性共に管理している」と回答した企業は4割に満たない状況である。
73.8%
© MS&AD InterRisk Research & Consulting, Inc.
48.5%
22.2%
9.1%
7.4%
4.6%
4.1%
25.7%
29.0%
6.6%
14.5%
5.4%
22.7%
0% 20% 40% 60% 80% 100%
サイバーセキュリティ体制あり(n=241)
サイバーセキュリティ体制なし(n=365)
課題・脆弱性共に管理している 課題については管理している
脆弱性については管理している 課題或いは脆弱性の一部は管理できている
管理することを計画している 管理していない(計画もない)
リスクの特定状況
23
保有する情報資産の課題や脆弱性 本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合、「課題・脆弱性共に管理している」と回答した企業は、サイバーセキュリティ体制がある企業では48.5%を占める一方、体制がない企業では22.2%にとどまっており、体制の有無によって大きな差が見られる。
© MS&AD InterRisk Research & Consulting, Inc.
36.6% 10.0% 5.2%
27.2% 7.5% 13.6%
0% 20% 40% 60% 80% 100%
全体(n=670)
課題、脆弱性共に管理している 課題については管理している
脆弱性については管理している 課題或いは脆弱性の一部は管理できている
管理することを計画している 管理していない(計画もない)
リスクの特定状況
24
保有するIT機器のハードウェア資産管理での課題や脆弱性 IT機器のハードウェア資産管理における課題や脆弱性の管理状況について確認した。全体でみると、「管理をしている(「管理することを計画している」・「管理していない(計画もない)」以外の選択肢の合計数)」と回答した企業は79.0%を占めており、その半数程度は「課題・脆弱性共に管理している」と回答している(全体の36.6%)。
79.0%
© MS&AD InterRisk Research & Consulting, Inc.
リスクの特定状況
25
保有するIT機器のハードウェア資産管理での課題や脆弱性 本設問を企業のサイバーセキュリティ体制の有無に分けてみた場合、「管理していない(計画もない)」と回答した企業は、サイバーセキュリティ体制がある企業では6.6%である一方、体制がない企業では18.5%を占めており、体制有無によって大きな差が見られる。
47.7%
25.9%
10.4%
10.2%
5.8%
5.5%
24.5%
30.0%
5.0%
9.9%
6.6%
18.5%
0% 20% 40% 60% 80% 100%
サイバーセキュリティ体制あり(n=241)
サイバーセキュリティ体制なし(n=363)
課題、脆弱性共に管理している 課題については管理している
脆弱性については管理している 課題或いは脆弱性の一部は管理できている
管理することを計画している 管理していない(計画もない)
防御状況
© MS&AD InterRisk Research & Consulting, Inc.
46.3% 41.9% 2.2%
3.7% 1.0%
4.9%
0% 20% 40% 60% 80% 100%
全体(n=678)
外部の防御サービス・機器を利用している 自社でファイアウォール等の機器を購入して導入している
導入を計画している 導入していない(計画もない)
インターネットと繋がっていない その他
防御状況
27
インターネットと自社ネットワークの境界防御(ファイアウォールなど) インターネットと自社ネットワークの境界防御の実施状況について確認した。全体でみると、実施している(「外部の防御サービス・機器を利用している」、「自社でファイアウォール等の機器を購入して導入している」の合計)と回答した企業は約9割を占めている。
© MS&AD InterRisk Research & Consulting, Inc.
50.4% 14.2% 4.3%
18.7% 11.2% 1.2%
0% 20% 40% 60% 80% 100%
全体(n=678)
ルールが文書化され、点検や見直しも実施されている ルールが文書化されているが、点検や見直しは実施できていない ルールを文書化することを計画している ルールはあるが、文書化されていない ルールがない(計画もない) その他
防御状況
28
ユーザーID、パスワード、情報の参照や更新の権限のルール策定 「ID、パスワード、情報の参照更新に関するルールが文書化され、点検や見直しも実施されている」と回答した企業は全体では過半数(50.4%)であった。
© MS&AD InterRisk Research & Consulting, Inc.
69.5%
34.9%
15.6%
14.4%
3.7%
5.4%
7.4%
26.4%
2.9%
18.3%
0.8%
0.5%
0% 20% 40% 60% 80% 100%
サイバーセキュリティ体制あり(n=243)
サイバーセキュリティ体制なし(n=367)
ルールが文書化され、点検や見直しも実施されている ルールが文書化されているが、点検や見直しは実施できていない ルールを文書化することを計画している ルールはあるが、文書化されていない ルールがない(計画もない) その他
防御状況
29
ユーザーID、パスワード、情報の参照や更新の権限のルール策定 サイバーセキュリティ体制がある企業では69.5%、サイバーセキュリティ体制のない企業では34.9%とかい離している。なお「その他」には、”親会社のルール/管理に準じる”といった記載があった。
© MS&AD InterRisk Research & Consulting, Inc.
88.5% 4.1%
4.3%
0.4% 1.3% 1.3%
0% 20% 40% 60% 80% 100%
全体(n=678)
全てのPC/サーバーに導入している 一部のPC/サーバーに導入していて、全てに導入する計画がある 一部のPC/サーバーに導入していて、全てに導入する計画はない 導入していないが、一部あるいは導入する計画がある 導入していない(計画もない) その他
防御状況
30
導入しているアンチウィルスソフト・マルウェア対策ソフトの導入状況 アンチウィルスソフト・マルウェア対策ソフトの導入状況については、「全てのPC/サーバーに導入している」と回答した企業が9割近くを占めており、回答したほとんどの企業が防御のためのソフトを導入している状況である。なお「その他」には、”親会社で実施している”旨の回答があった。
© MS&AD InterRisk Research & Consulting, Inc.
91.3% 3.7%
2.8% 2.3%
0% 20% 40% 60% 80% 100%
全体(n=652)
更新・監視とウィルス発見時の対応などを実施している 一部を実施している 今後実施する計画がある 実施していない(計画もない)
防御状況
31
導入しているソフトの更新・監視等の実施状況 (前設問で導入していると回答した場合のみ) アンチウィルスソフト・マルウェア対策ソフトの更新・監視等を実施しているかについて、9割を超える企業が「更新(アップデート)・監視とウィルス発見時の対応などを実施している」と回答している。
© MS&AD InterRisk Research & Consulting, Inc.
29.4% 37.6% 8.3% 24.7%
0% 20% 40% 60% 80% 100%
全体(n=673)
管理方法を規定(文書化)し、実施している 一部実施している 今後管理する計画がある 管理していない(計画もない)
防御状況
32
脆弱性(例:WindowsやAdobe Flash等の脆弱性)に対する管理状況 脆弱性(例えばWindows やAdobe Flash 等の脆弱性)を管理しているかどうかについて確認した。「管理方法を規定(文書化)し、実施している」および「一部実施している」をあわせて「実施している」と考えると、全体の6割超の企業が実施している状況である。ただし、文書化して実施している企業は全体の3割に満たない状況であった。
© MS&AD InterRisk Research & Consulting, Inc.
47.1%
14.5%
34.3%
40.0%
7.4%
9.6%
11.2%
35.9%
0% 20% 40% 60% 80% 100%
サイバーセキュリティ体制あり(n=242)
サイバーセキュリティ体制なし(n=365)
管理方法を規定(文書化)し、実施している 一部実施している 今後管理する計画がある 管理していない(計画もない)
防御状況
33
脆弱性(例:WindowsやAdobe Flash等の脆弱性)に対する管理状況 サイバーセキュリティ体制の有無ごとにみると、体制がある企業では「管理方法を規定(文書化)し、実施している」と回答した企業が47.1%あり、「実施している」企業は8割を超えるという結果であった。一方で体制がない企業では「管理していない(計画もない)」と回答した企業が35.9%を占めている。
検知状況
© MS&AD InterRisk Research & Consulting, Inc.
33.4% 18.6% 14.2% 33.8%
0% 20% 40% 60% 80% 100%
全体(n=671)
外部委託し、導入している 自社で購入・導入し、運営している 今後導入することを計画している 導入していない(計画もない)
検知状況
35
IDS・IPS 等のセキュリティ監視システムの導入状況 IDS・IPS 等のセキュリティ監視システムの導入状況については、全体でみると最も多かったのは「導入していない(計画もない)」(33.8%)であり、次いで「外部委託し、導入している」(33.4%)と明暗が分かれた。
サイバーセキュリティ体制がある場合は「外部委託し、導入している」と回答した企業が最も多い(44.0%)一方で、体制がない場合は「導入していない(計画もない)」と回答した企業が最も多く、47.3%を占めている状況で、こちらも体制有無によって明暗が分かれた。
44.0%
24.3%
26.1%
13.1%
12.9%
15.3%
17.0%
47.3%
0% 20% 40% 60% 80% 100%
サイバーセキュリティ体制あり(n=241)
サイバーセキュリティ体制なし(n=366)
外部委託し、導入している 自社で購入・導入し、運営している 今後導入することを計画している 導入していない(計画もない)
© MS&AD InterRisk Research & Consulting, Inc.
69.5%
41.2%
6.0%
9.6%
18.0%
35.3%
6.6%
14.0%
0% 20% 40% 60% 80% 100%
サイバーセキュリティ体制あり(n=167)
サイバーセキュリティ体制なし(n=136)
監査・対応・見直しまで実施している 一部実施している 計画している その他
57.2% 6.9% 23.4% 12.4%
0% 20% 40% 60% 80% 100%
全体(n=346)
監査・対応・見直しまで実施している 一部実施している 計画している その他
検知状況
36
セキュリティ監視システムの監査や問題発見時の対応・対応プロセスの見直し有無 (前設問で「外部委託し、導入している」または「自社で購入・導入し、運営している」と回答した場合のみ) セキュリティ監視システムの監査や問題発見時の対応・対応プロセスの見直しを実施しているかについて、「監査・対応・見直しまで実施している」と回答した企業がもっとも多い(57.2%)。 「その他」は、”問題発生時の対応のみ“、”対応プロセスの見直しのみ実施”等の記述があった。
サイバーセキュリティ体制有無で比較すると、大きな差(28.3ポイント)が見られた(体制がある場合は69.5%、ない場合は41.2%)。
© MS&AD InterRisk Research & Consulting, Inc.
36.2% 17.4% 13.6% 32.8%
0% 20% 40% 60% 80% 100%
全体(n=674)
管理ポリシーがあり、それに基づいた監査や見直しを実施 管理ポリシーはあるが、それに基づいた監査や見直しはしていない
管理ポリシーの作成を計画している 管理ポリシーがなく、作成計画もない
検知状況
37
システムログの管理ポリシー システムログの管理ポリシーについて確認した。管理ポリシーがあり、それに基づいた監査や見直しを実施している企業が全体の36.2%を占めている一方で、管理ポリシーがなく、作成計画もない企業が全体の32.8%を占めている。 本結果は、セキュリティ監視システムの導入(P35)と類似している。
対応・復旧状況
© MS&AD InterRisk Research & Consulting, Inc.
13.3% 6.8% 10.8% 12.9% 54.1% 2.1%
0% 20% 40% 60% 80% 100%
全体(n=675)
訓練を実施している(IT以外の部門も参加) 訓練を実施している(IT部門のみ)
訓練を一部実施している 訓練を計画している
訓練を実施していない(計画もない) その他
対応・復旧状況
39
セキュリティ・インシデント(事故)発生時の訓練実施状況 セキュリティ・インシデント(事故)発生時の訓練を実施しているかについては、全体で見た場合、過半数(54.1%)の企業が「訓練を実施していない(計画もない)」と答えている。 「その他」には”親会社からの指示による“、”迷惑メールの開封訓練を実施している”等があった。
© MS&AD InterRisk Research & Consulting, Inc.
23.6%
5.5%
8.7%
4.9%
15.7%
8.2%
14.9%
12.1%
36.0%
68.5%
1.2%
0.8%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
サイバーセキュリティ体制あり(n=242)
サイバーセキュリティ体制なし(n=365)
訓練を実施している(IT以外の部門も参加) 訓練を実施している(IT部門のみ) 訓練を一部実施している
訓練を計画している 訓練を実施していない(計画もない) その他
対応・復旧状況
40
セキュリティ・インシデント(事故)発生時の訓練実施状況 サイバーセキュリティ体制有無で比較すると、体制のある組織・企業では、「訓練を実施(IT以外の部門も参加)」、「訓練を実施(IT部門のみ)」、「訓練を一部実施」の合計が48.0%と半数近くになった。一方、体制がない場合には、同合計が18.6%となっており、30ポイント近い差が出ている。
© MS&AD InterRisk Research & Consulting, Inc.
70.7% 20.3% 7.5% 1.5%
0% 20% 40% 60% 80% 100%
全体(n=133)
訓練結果を振り返り、訓練内容の見直しを実施している 訓練内容の見直しを行うことを計画している
訓練内容の見直しはしていない(計画もない) その他
対応・復旧状況
41
インシデント発生時訓練結果の見直し有無(前設問で「訓練を実施している(IT以外の部門も参加」または「訓練を実施している(IT部門のみ)」と回答した場合)
訓練結果の振り返りや訓練内容の見直しを現在実施している企業は、全体の70.7%を占めており、訓練内容の見直しを計画している企業(20.3%)を含めると、見直しをしている/する予定のある企業で9割を超える。訓練を実施している企業のほとんどで見直しが実施されている。
サイバー保険等について
© MS&AD InterRisk Research & Consulting, Inc.
12.7%
18.2%
10.8%
10.3%
76.5%
71.6%
0% 20% 40% 60% 80% 100%
サイバー保険(n=667)
情報漏えい保険(n=661)
加入している 加入することを検討している 加入していない(計画もない)
サイバー保険等について
43
サイバー保険/情報漏えい保険の加入状況 サイバー保険または情報漏えい保険に加入していない企業がそれぞれ7割を超える状況であり、サイバー保険に加入している企業は12.7%、情報漏えい保険に加入している企業は18.2%と、全体の加入状況としては低い結果となった。
© MS&AD InterRisk Research & Consulting, Inc.
サイバー保険等について
44
サイバー保険/情報漏えい保険の加入状況 サイバーセキュリティ体制有無で確認すると、体制がある企業と体制がない企業では保険の付保率に差がみられる。たとえばサイバー保険の付保率は体制がある場合は16.5%であり、体制がない場合(8.0%)に比べると倍増している。また情報漏えい保険の付保率は、体制がある場合は25.8%である一方で、体制がない場合は11.6%である。
16.5%
8.0%
25.8%
11.6%
15.3%
8.3%
12.9%
8.6%
68.2%
83.7%
61.3%
79.8%
0% 20% 40% 60% 80% 100%
サイバー保険(体制あり)(n=242)
サイバー保険(体制なし)(n=363)
情報漏えい保険(体制あり)(n=240)
情報漏えい保険(体制なし)(n=362)
加入している 加入することを検討している 加入していない(計画もない)
© MS&AD InterRisk Research & Consulting, Inc.
サイバー保険等について
45
保険に加入していない理由 ※複数選択 (前設問で「検討している」・「加入していない」と回答した場合) 保険に加入していない理由として、保険の存在を知らなかった旨の回答をしている企業が一定数存在している(サイバー保険では36.2%、情報漏えい保険では37.8%)。
36.2%
37.8%
22.9%
22.1%
25.6%
24.7%
11.9%
12.7%
10.9%
11.4%
5.8%
5.4%
0% 20% 40%
サイバー保険(n=503)
情報漏えい保険(n=466)
保険があることを知らなかった
保険があることは知っていたが、提案を受けたことが無い
保険に加入する必要性を感じない
保険の内容が分からない・難しい
保険料が高い
その他
© MS&AD InterRisk Research & Consulting, Inc.
サイバー保険等について
46
サイバー保険で補償してほしい内容 ※複数選択 保険で補償を期待する損害と最も多かったのが「情報漏えい時の損害賠償(63.3%)」であり、次いで「対応・復旧費用(58.6%)」であった。また従業員数1,001名以上の企業をみると、全体の結果とは異なり、「対応・復旧費用」・「情報漏えい時の損害賠償」どちらも多かった(71.4%)。
63.3%
58.6%
35.8%
23.5%
1.9%
23.8%
0% 20% 40% 60% 80%
情報漏えい時の損害賠償
対応・復旧費用
代替機器等の準備・購入費用
システム中断中の売り上げ・利益
その他
とくにない
© MS&AD InterRisk Research & Consulting, Inc. 47
保険
質問票 外部評価
インテリジェンスレポート
リスクコンサル
CSIRT基礎研修
サーバーWeb診断 出口対策支援
出口対策支援
情報漏えい発生時の 対応体制整備
メディア対応トレーニング
事故対応セミナー
事故対応セミナー
大企業向け
エンドポイントセキュリティ対策
サーバーWeb診断
中小企業
向け
対応・復旧 社内管理体制 社外管理体制 (外部委託管理)
リスクの特定 防御 検知 • 対応方針の策定 • 管理体制の構築 • 予算・人材の確保
• 委託先管理と責任境界の明確化
サイバーセキュリティ
対策フレームワーク
情報セキュリティ診断サービス
①組織全体のサイバーリスク認識、他のリスク管理体制との整合性把握 【セキュリティポリシー等】
②サプライチェーンに対するサイバーセキュリティを把握 【外部委託基準書、契約書(雛形)等】
• 資産評価、リスクアセスメントの実施
• 境界防御 • アクセス管理 • マルウェア対策 等
• イベント発生有無チェック(監視、ログ管理)
• 事前準備・訓練 • 初動/恒久対応 • 報告・公表
③全体(①と②)を俯瞰した上での相対的なリスク評価を実施 【資産管理台帳、 リスク評価表等】
④左記③を踏まえた、優先度の高いサイバーセキュリティリスクに対応するための保護対策(防御・検知・分析に関する対策)を実施するための体制構築 【サイバーセキュリティ監視手順書等】
⑤復旧に向けた手順書策定や、訓練による準備・見直し 【復旧手順書、訓練実施報告書】
サイバーセキュリティ・MS&ADプラットフォーム
費用(調査・復旧等) 賠償 専門業者紹介 等
MS&ADグループでは、今回調査の範囲について下記のようなリスクマネジメントサービスやアセスメント、保険商品などをご用意しています。今回の調査を受けて、今後もサービス内容を拡充していきたいと考えていますので、引き続きよろしくお願いします。
© MS&AD InterRisk Research & Consulting, Inc.
MS&ADインターリスク総研株式会社 新領域開発室
〒101-0063 東京都千代田区神田淡路町2-105ワテラスアネックス
Tel:03-5296-8961/Fax:03-5296-8940 https://www.irric.co.jp/