2011 年度 情報セキュリティ事象被害状況調査 - 報告書 - 2012 年 12 月
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
2011年度
情報セキュリティ事象被害状況調査
- 報告書 -
2012 年 12 月
目 次
1. 調査概要 ......................................................................... 1 1.1. 調査目的 ..................................................................... 1 1.2. 調査対象 ..................................................................... 2 1.3. 調査期間 ..................................................................... 2 1.4. 調査方法 ..................................................................... 2 1.5. 回収結果 ..................................................................... 2 1.6. 調査項目 ..................................................................... 3
2. 調査項目の考え方 ................................................................. 4 2.1. 「情報セキュリティ白書 2012」における脅威 .................................... 4 2.2. 2011 年の情報セキュリティに関する脅威・被害の傾向 ............................. 5 2.3. アンケート調査項目への取り込み ............................................... 5 2.4. 報告書の見方 ................................................................. 6
3. 調査結果 ......................................................................... 8 3.1. 回答企業の概要 ............................................................... 8 3.1.1. 業種 ..................................................................... 8 3.1.2. 総従業員数 ............................................................... 9 3.1.3. 総売上高(単体) ........................................................ 10 3.1.4. 経営利益(単体) ........................................................ 12 3.1.5. 規程年間営業日数および1日の営業時間 .................................... 14 3.1.6. 上場の有無 .............................................................. 16 3.1.7. 海外拠点の有無 .......................................................... 17 3.1.8. IT 関連の支出総額 ........................................................ 18 3.1.9. 電子商取引業務(EC) ................................................... 21 3.1.10. 利用しているクライアント(パソコン)の台数 ................................ 24 3.1.11. 業務におけるスマートフォンやタブレット端末の利用の有無 ................. 25
3.2. 情報セキュリティ対策の現状 .................................................. 33 3.2.1. 情報セキュリティ対策に取り組む基本的な方針の公開 ........................ 33 3.2.2. CISO の有無 ............................................................. 34 3.2.3. 情報セキュリティ対策管理の社内体制 ...................................... 35 3.2.4. 情報セキュリティ関連製品やソリューションの導入 .......................... 40 3.2.5. 情報セキュリティ被害防止のための組織・運用面の対策 ...................... 43 3.2.6. セキュリティ関連製品・ソリューションの導入や、実施している組織面・運用面の対
策費用 ......................................................................... 46 3.2.7. セキュリティ関連製品・ソリューションの導入で実施している対策の情報セキュリテ
ィ対策上の効果 ................................................................. 50 3.2.8. セキュリティパッチの適用 ................................................ 51 3.2.9. セキュリティパッチを適用しない理由 ...................................... 53 3.2.10. クライアント(パソコン)へのセキュリティパッチ適用の有無 ............... 54 3.2.11. 情報セキュリティ対策教育の実施状況 ..................................... 56 3.2.12. 情報セキュリティ対策の必要性を感じたきっかけ ........................... 58
3.3. コンピュータウイルスによる被害状況 .......................................... 60 3.3.1. コンピュータウイルス遭遇(感染または発見)経験 .......................... 60 3.3.2. コンピュータウイルスを発見した方法 ...................................... 63 3.3.3. 感染、あるいは発見されたコンピュータウイルスの侵入経路 .................. 64 3.3.4. ウイルスの感染件数 ...................................................... 65 3.3.5. ウイルスに感染したパソコン・サーバ・スマートフォンの台数 ................ 66 3.3.6. ウイルスの直接的な被害 .................................................. 69
3.4. サイバー攻撃(ウイルス以外)について ........................................ 71 3.4.1. サイバー攻撃の遭遇経験 .................................................. 71 3.4.2. サイバー攻撃の手口 ...................................................... 72 3.4.3. 標的型攻撃の電子メール受信の有無 ........................................ 74 3.4.4. 標的型攻撃の具体的な手段 ................................................ 75 3.4.5. 標的型攻撃と思われる電子メールの件数 .................................... 76 3.4.6. サイバー攻撃による被害 .................................................. 77
3.5. 被害により生じた直接的損失 .................................................. 79 3.5.1. ウイルス感染やサイバー攻撃による電子商取引(EC)が停止した期間 .......... 79 3.5.2. ウイルス感染やサイバー攻撃による EC サーバ以外の業務遂行上重要なサーバ停止の
影響 ........................................................................... 80 3.5.3. ウイルス感染やサイバー攻撃による情報管理部門が行った復旧作業人日 ........ 81 3.5.4. ウイルス感染やサイバー攻撃によるシステム復旧に関して新たに購入した代替機器
の費用 ......................................................................... 82 3.5.5. ウイルス感染やサイバー攻撃によるシステム復旧に関して外部に発注した業務の費
用 ............................................................................. 83 3.5.6. ウイルス感染やサイバー攻撃が原因で発生した追加データ処理作業人日 ........ 84 3.5.7. ウイルス感染やサイバー攻撃による復旧以外の対応 .......................... 85 3.5.8. ウイルス感染やサイバー攻撃による被害の発生 .............................. 89 3.5.9. ウイルス感染やサイバー攻撃からの復旧以外の対応による外部発注費用 ........ 90 3.5.10. ウイルスやサイバー攻撃の被害内容や対応状況に関する情報の外部公開 ....... 91 3.5.11. 公開した情報の掲載 ..................................................... 92 3.5.12. 発生した被害について想定される影響の規模 ............................... 93
3.6. 内部者の不正による被害 ...................................................... 94
3.6.1. 内部者(委託先を含む)による情報漏洩やシステムの悪用等の情報セキュリティ上の
トラブル ....................................................................... 94 3.6.2. 内部者(委託先を含む)の不正による被害 .................................. 95 3.6.3. 内部者の不正に起因する被害が起きた原因 .................................. 96 3.6.4. 内部者(委託先を含む)の不正による被害について想定される影響の規模 ...... 97 3.6.5. 内部者(委託先を含む)の不正による被害への対応として実施した内容 ........ 98 3.6.6. 内部者(委託先を含む)の不正により生じた間接的な被害 ................... 101 3.6.7. 内部者(委託先を含む)の不正による被害内容や対応状況に関する情報の外部公開
.............................................................................. 102 3.6.8. 公開した情報を掲載した媒体 ............................................. 103
4. 考察 ........................................................................... 104
1
1.調査概要 1.1.調査目的 近年、組織の情報システムや情報資産をターゲットとした攻撃が巧妙化してきており、標的型
攻撃や特定のシステムを対象とした新しいタイプの攻撃も発生している。また、ホームページの
改ざんにより、そのページを閲覧した取引先や提供サービスのエンドユーザがウイルス感染する
など、被害が瞬時に拡大する危険性が存在する。事実、このような情報セキュリティ事象(コン
ピュータウイルス、不正アクセス、情報漏えい等)による被害は、継続して発生している状況で
ある。 このように、コンピュータユーザの情報システム等は危険にさらされているため、その動向を
調査するとともに、被害が発生した場合の原因分析及び有効な情報セキュリティ対策を含めた実
態を把握し、適切な普及・啓発対策等の検討を行い、コンピュータユーザに対して有効な対策の
実施を促す必要がある。 これまで、情報セキュリティ事象に関する被害状況を継続的に調査してきたが、本調査では最
新の動向を反映し、より有用な対策情報の提供を行うことを目的とする。
2
1.2. 調査対象
本調査は、経済産業省の「情報処理実態調査」の発送先リスト及び民間の企業データベースよ
り、業種別・従業員数別に 12,000 件の企業を抽出し、アンケートを実施した。 企業対象の調査結果は、業種や企業規模による回収のばらつきにより精度が低下する恐れがあ
るため、統計上の妥当性を確保するため、「平成 21 年経済センサス」の日本標準産業分類に基づ
く従業員数規模毎・業種毎の企業数分布に則って、層別抽出(比例割当法)を行った。 従業員数規模は、300 人以上と 300 人未満で区分したが、本調査の対象となる IT を企業として
活用している層として、小規模事業者(20 人以下の企業)を除外した分布を用いた。 なお、本調査では従業員数 300 人以上の企業を大企業または「300 人以上企業」、300 人未満の
企業を中小企業または「300 人未満企業」と呼ぶ。 従業員規模・業種毎の調査対象は下表の通りである。
業種分類 300人以上 300人未満
農林漁業・同協同組合、鉱業 13 48建設業 240 599製造業 1,690 1,473電気・ガス・熱供給・水道業 18 7情報通信業 334 222運輸業、郵便業 509 529卸売業、小売業 1,375 1,376金融業、保険業 135 32その他のサービス業 1,560 1,489教育、学習支援業 65 75医療、福祉 61 150(小計) 6,000 6,000(合計) 12,000
1.3.調査期間 調査実施期間:2012 年 8 月~10 月 調査対象期間:2011 年 4 月~2012 年 3 月
1.4. 調査方法 基本的に郵送調査法による。但し、アンケートの回収率を高めるため、IPA のウェブサイトに
調査票を掲載し、電子メールによる回収も併用した。
1.5. 回収結果 発送総数 12,000 件に対し、1,767 件の有効回収があり、有効回収率は 14.7%であった。大企業
ならびに中小企業の内訳は次表の通りである。
3
<アンケート> 発送数 回収数 回収率 全体 12,000 1,767 14.7%
300 人以上企業 6,000 900 15.0% 300 人未満企業 6,000 867 14.5%
1.6. 調査項目
調査の主な調査項目は下記の通りである。 (1)回答企業の概要 (2)情報セキュリティ対策の現状 (3)コンピュータウイルスによる被害状況 (4)サイバー攻撃による被害状況 (5)内部者の不正による被害
4
2. 調査項目の考え方 2.1.「情報セキュリティ白書 2012」における脅威
情報処理推進機構(IPA)が 2012 年 3 月に取りまとめた「2012 年版 10 大脅威 変化・増大す
る脅威!」1においては、情報セキュリティを取り巻く環境の変化が指摘されている。 情報セキュリティに関する脅威・被害は、攻撃手法、システム環境、攻撃側/防御側の構図、情
報セキュリティ被害による影響、といった各側面の動向を受けて新たなものに変わり続けている。
2011 年はこれらの変化に伴って新たな脅威が顕在化した年であった。 近年の攻撃手法については、心理的な騙しのテクニックや対策を迂回する戦略的設計などが取
り入れられた攻撃への変化が見られる。近年の攻撃手法の大きな特徴としては、多段化された攻
撃、正規のウェブサイトを悪用した攻撃、ソーシャルエンジニアリングを悪用した攻撃、特定の
組織を対象とした戦略的攻撃などが挙げられる。 システム環境については、スマートフォンなどの新たなデバイスの普及、制御システムのオー
プン化、クラウド・コンピューティングの利用増などの変化が近年は進んでいる。 攻撃側と防御側の構図に関しては、社会インフラへの攻撃、企業へのスパイ活動、思想的な主
張を背景とする攻撃活動(ハクティビズム)などが近年見られるようになり、企業や重要インフ
ラにおいて重要な情報やシステムを防御する視点が強調されつつある。 セキュリティインシデントが与える影響や社会の捉え方にも変化が見られ、2011 年には、軍需
関係の機密情報の漏洩や、顧客情報の大量漏洩といったインシデントが事件として大きく取り上
げられた。 「2012 年版 10 大脅威 変化・増大する脅威!」においては、2011 年に社会的影響が大きかっ
たセキュリティ上の脅威として次の 10 大脅威が挙げられている。
2012年版 10大脅威
順位 タイトル
1位 機密情報が盗まれる!? 新しいタイプの攻撃
2位 予測不能の災害発生! 引き起こされた業務停止
3位 特定できぬ、共通思想集団による攻撃
4位 今もどこかで… 更新忘れのクライアントソフトを狙った攻撃
5位 止まらない! ウェブサイトを狙った攻撃
6位 続々発覚、スマートフォンやタブレットを狙った攻撃
7位 大丈夫!? 電子証明書に思わぬ落し穴
8位 身近に潜む魔の手… あなたの職場は大丈夫?
9位 危ない! アカウントの使いまわしが被害を拡大!
10位 利用者情報の不適切な取扱いによる信用失墜
1 情報処理推進機構、"2012 年版 10 大脅威 変化・増大する脅威!"
http://www.ipa.go.jp/security/vuln/10threats2012.html
5
順位表の 1 位「新しいタイプの攻撃(=標的型攻撃)」や 6 位「スマートフォンやタブレットを
狙った攻撃」については、特徴的な脅威として他の情報セキュリティ関連報告書等でも大きく取
り上げられた。これらについて次項で述べる。
2.2.2011 年の情報セキュリティに関する脅威・被害の傾向 アンケート調査項目を設定するにあたり、2011 年の情報セキュリティに関する動向について文
献調査を行った。
(1)企業の機密情報を狙った標的型攻撃
2011 年には、国内の大手メーカや衆議院・参議院が情報窃取型のサイバー攻撃を受け注目を集
めた。これらの攻撃の手口は、組織内の従業員・職員等を標的として巧妙に作られたメールを送
り付けてシステムにウイルスを感染させ、外部からの侵入口をつけてスパイ活動を行うものであ
った。このような手口の脅威は「APT(Advanced Persistent Threat:先進的で執拗な脅威)」と
呼ばれる(IPA では「新しいタイプの攻撃」と呼んでいる)。 このような標的型サイバー攻撃、APT については、被害事例の分析や対策手法等が公開され、
脅威の周知が進んだ。 本調査を行う上で標的型攻撃については「脅威としての認識(理解)は以前より進んだが、検
知に役立つログ監視等の対策は進んでおらず、被害状況も明らかではない」という仮説のもとに
調査項目を設定した。
(2)企業におけるモバイル端末/スマートフォンの利用とセキュリティ
スマートデバイス(スマートフォンやタブレット)は、高機能で携帯性に優れた通信端末であ
り利用者に関する情報が集約されやすい性質を持っている。スマートデバイスの利用者は近年急
増しており、これらを狙った攻撃も増加している。 企業でのスマートフォンを用いた業務においては、盗難・紛失、私物のデバイスの利用等とい
った様々なセキュリティに関する問題・課題が生じうる。また、脅威についても、脆弱性を悪用
したウイルス、不正なアプリケーションをインストールさせようとする試み、ワンクリック詐欺
などが既に報告されている。 本調査では企業におけるスマートデバイスの利用とセキュリティについて「組織内での取扱に
ついてはポリシー等が定められつつあるが、私物利用については範囲の線引きが難しく苦慮して
いる企業が多い。機器の紛失や盗難に関する脅威は認識されており、不正アプリやウイルスの脅
威についても認識が進んでいる」という仮説を立て、これをもとに調査項目を設定した。 2.3.アンケート調査項目への取り込み 前述の文献調査を受け、アンケート調査項目では、標的型攻撃については、被害実態の調査を
行う。 企業において急速に導入が進んでおり情報セキュリティ面での対策が必要となるスマートフォ
6
ン/タブレット端末については、2010 年度との比較可能な項目を念頭に、利用状況、セキュリテ
ィ対策状況、被害実態等の調査を行う。 参考文献:
<脅威全体の動向> [1] 日本マイクロソフト株式会社 「セキュリティ インテリジェンス レポート第 12 版」 [2] ラック「JSOC 侵入傾向分析レポート Vol.18」 [3] トレンドマイクロ 「インターネット脅威年間レポート 2011 年度」 [4] マカフィー 「McAfee 脅威レポート:2011 年第 2 四半期~第 4 四半期」 [5] Symantec「Internet Security Threat Repot (ISTR), Volume 17」 [6] シマンテック「インテリジェンスレポート 2011 年 11 月」 [7] IBM「2011 年上半期 東京 SOC レポート」「2011 年下半期 東京 SOC レポート」 [8] NPO 日本ネットワークセキュリティ協会 「2011 年情報セキュリティインシデントに関する
調査報告書」 [9] ネットセキュリティ総合研究所「日本情報漏えい年鑑 2011」 <標的型攻撃> [10] 情報処理推進機構 「標的型サイバー攻撃の事例分析と対策レポート」 [11] トレンドマイクロ「Inside an APT Campaign with Multiple Targets in India and Japan」 [12] マカフィー「Combating Advanced Persistent Threats」 [13] IDG ジャパン「国内のサイバースパイ(APT:標的型攻撃)被害実態と対策の最新動向(CIO
Magazine 2012 年 1 月号)」 [14]トレンドマイクロ「国内における標的型攻撃の傾向と対策」 <モバイルセキュリティ> [15] Sophos「Mobile Device Security What's Coming Next?」 [16] トレンドマイクロ「モバイル時代のセキュリティ」 [17] マカフィー「スマートフォン利用におけるセキュリティ意識調査」 [18] IDC Japan「国内モバイルセキュリティ市場 2011 年の実績と 2012 年~2016 年の予測」 [19] エフセキュア「モバイル脅威レポート、2011 年第 4 四半期」 [20] 日本スマートフォンセキュリティフォーラム(JSSEC)「スマートフォン&タブレットの業
務利用に関するセキュリティガイドライン」 2.4.報告書の見方
以下、3 章で示す調査結果において、過年度の数値は、2012 年度に実施した本調査結果(別紙:
調査票参照)と、過去調査で収集した数値があるため、特に明記がない場合は【2011 年度調査結
果】を示すものとし、過去調査結果の場合は調査年度と共に【2010 年度調査結果】等と示す。【時
7
系列】と示した図については、過去調査結果を利用したものである。 また、3 章はデータ集としての位置づけもあるため、得られた全てのデータを掲載し、特徴的
な傾向について説明する。
8
3. 調査結果 3.1. 回答企業の概要
3.1.1.業種 回答企業の業種については「その他のサービス業」(17.0%)が最も多く、「建設業」(8.9%)、
「卸売業」(8.7%)、「情報サービス業」(7.8%)、「運輸業・郵便業」(7.4%)が続く。
3.1
0.6
0.8
2.2
1.4
1.1
1.5
2.8
4.2
0.5
2.2
2.7
5.7
1.3
8.9
0.7
0.6
0.2
7.8
7.4
8.7
6.7
4.0
2.7
3.017.0
2.3
2.9
0.3
0.6
2.4
1.1
1.0
1.4
2.8
4.2
0.6
2.8
3.2
5.7
1.0
7.1
0.6
0.6
0.3
7.3
7.7
5.2
8.8
6.6
2.6
3.0
18.0
2.3
3.2
0.8
1.2
1.8
1.6
1.2
1.5
2.9
4.2
0.5
1.5
2.2
5.8
1.6
10.7
0.8
0.6
0.1
8.3
7.2
12.3
4.6
1.4
2.9
3.0
16.0
2.2
0% 5% 10% 15% 20%
食料品、飲料・たばこ飼料製造業
繊維工業
パルプ・紙・紙加工品製造業
化学工業
石油・石炭・プラスチック製品製造業
窯業・土石製品製造業
鉄鋼業
非鉄金属・金属製品製造業
電気機械器具製造業
情報通信機械器具製造業
輸送用機械器具製造業
その他機械器具製造業
その他の製造業
農林漁業・同協同組合、鉱業
建設業
電気・ガス・熱供給・水道業
映像・音声情報制作・放送・通信業
新聞・出版業
情報サービス業
運輸業・郵便業
卸売業
小売業
金融業・保険業
医療業(国・公立を除く)
教育(国・公立を除く)、学習支援業
その他のサービス業
無回答
全体
(N=1,767)
300人以上
(N=900)
300人未満
(N=867)
図 3.1-1 業種
9
2010 年度調査から、2009 年以前の調査と対象を変更したため、参考までに 2011 年度調査結果
の回答企業を、2009 年調査結果、2010 年度調査結果における回答企業の業種と比較すると、全
体的な傾向は概ね変化はない。
1.3
8.9
9.6
19.1
0.7
8.6
7.4
8.7
6.7
4.0
0.0
0.0
17.0
0.0
5.7
2.3
1.2
8.3
11.5
21.8
0.6
10.5
6.8
8.0
6.2
3.2
0.0
0.0
14.4
0.0
5.7
1.8
0.8
7.1
7.1
23.6
1.7
7.8
6.7
7.5
6.3
4.7
0.5
1.7
15.6
0.4
6.6
1.9
0% 10% 20% 30% 40%
農林漁業・鉱業
建設業
機械器具製造業
他の製造業
電気・ガス・熱供給・水道業
情報通信業
運輸業
卸売業
小売業
金融・保険業
不動産業
飲食店、宿泊業
他のサービス業
公共団体
その他
無回答
2011年度調査
(N=1,767)
2010年度調査
(N=1,642)
2009年調査
(N=1,658)
図 3.1-2 業種(時系列)
3.1.2. 総従業員数 回答企業 1,767社の内訳を総従業員数でみると、調査サンプリングの関係上、「300人未満企業」
と「300 人以上企業」でほぼ半々の割合となるが、「300 人未満企業」は 49.1%、「300 人以上企業」
は 51.0%である。
9人以下
0.7%10~49人
3.2%
50~99人
13.7%
100~299人
31.5%
300~499人
15.1%
500~999人
15.4%
1,000人以上
20.5%
無回答
0.0%(N=1,767)
図 3.1-3 総従業員数(2011 年度)
10
9人以下
0.7%10~49人
3.1%
50~99人
12.9%
100~299人
30.2%
300~499人
12.6%
500~999人
13.9%
1,000人以上
17.9%
無回答
8.9%
(N=1,767)
図 3.1-4 総従業員数(2010 年度)
3.1.3. 総売上高(単体) 企業における 2011 年度の総売上高は「100 億円以上」が 36.9%であり、100 億円未満が約半数
である。全体平均は 711.6 億円、中央値は 71.5 億円である。 従業員規模別にみると、300 人以上企業の 62.0%が「100 億円以上」であり、300 人未満企業
の 22.6%が「40~100 億円未満」、21.5%が「20~40 億円未満」である。
10億円未満
8.6%
10~20億円未
満
9.9%
20~40億円未
満
13.5%
40~100億円
未満
20.4%
100億円以上
36.9%
無回答
10.7%
(N=1,767)
図 3.1-5 総売上高(単体)(2011 年度)
11
0.9
16.6
2.1
18.0
5.8
21.5
18.3
22.6
62.0
10.8
10.9
10.5
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
10億円未満 10~20億円未満 20~40億円未満
40~100億円未満 100億円以上 無回答
図 3.1-6 総売上高(従業員規模別)(2011 年度)
10億円未満
8.9%
10~20億円未
満
9.5%
20~40億円未
満
13.5%
40~100億円
未満
19.7%
100億円以上
35.3%
無回答
13.1%
(N=1,767)
図 3.1-7 総売上高(単体)(2010 年度)
1.1
17.1
2.0
17.3
6.2
21.0
17.6
21.9
59.1
10.5
14.0
12.2
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
10億円未満 10~20億円未満 20~40億円未満
40~100億円未満 100億円以上 無回答
図 3.1-8 総売上高(従業員規模別)(2010 年度)
12
3.1.4. 経営利益(単体)
経常利益は「4 億円以上」が 29.1%であり、4 億円未満が 44.5%程度である。全体平均は 26.7億円、中央値は 1.9 億円である。 従業員規模別にみると、300 人以上企業の 47.9%が「4 億円以上」であり、300 人未満企業の
24.5%が「1 億~4 億円未満」である。
2,000万円未満
7.4%
2,000~5,000
万円未満
8.1%
5,000~1億円
未満
8.2%
1億~4億円未
満
20.8%
4億円以上
29.1%
無回答
26.5%
(N=1,767)
図 3.1-9 経営利益(単体)(2011 年度)
1.9
13.0
2.8
13.6
4.9
11.6
17.2
24.5
47.9
9.6
25.3
27.7
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
2,000万円未満 2,000~5,000万円未満5,000~1億円未満 1億~4億円未満4億円以上 無回答
図 3.1-10 経営利益(従業員規模別)(2011 年度)
13
2,000万円未満
6.5%
2,000~5,000
万円未満
8.8%
5,000~1億円
未満
8.4%
1億~4億円未
満
19.6%4億円以上
28.4%
無回答
28.3%
(N=1,767)
図 3.1-11 経営利益(単体)(2010 年度)
1.4
11.8
2.8
15.0
5.6
11.4
17.6
21.7
45.9
10.3
26.8
29.9
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
2,000万円未満 2,000~5,000万円未満5,000~1億円未満 1億~4億円未満4億円以上 無回答
図 3.1-12 経営利益(従業員規模別)(2010 年度)
14
3.1.5. 規程年間営業日数および1日の営業時間
規程年間営業日数は、「200~249 日」が 43.1%で最も多く、次いで「250~299 日」が 28.1.%である。
従業員規模別にみると、300人以上企業では、「200~249日」が最も多く48.8%とほぼ半数だが、
300 人未満企業は「200~249 日」(37.3%)よりも「250~299 日」(37.9%)の方が多い。
~199日
1.5%
200~249日
43.1%
250~299日
28.1%
300日以上
15.1%
無回答
12.2%
(N=1,767)
図 3.1-13 規程年間営業日数
0.9
2.2
48.8
37.3
18.6
37.9
17.0
13.0
14.8
9.6
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
~199日 200~249日 250~299日 300日以上 無回答
図 3.1-14 規程年間営業日数(従業員規模別)
15
1 日の営業時間は「8 時間」が 42.2%と半数近くに達し、次が「8 時間未満」の 33.1%である。 従業員規模別にみると、傾向はほとんど変わらない。
8時間未満
33.1%
8時間
42.2%
8時間以上
16.9%
無回答
7.9%
(N=1,767)
図 3.1-15 1日の営業時間
32.3
33.8
40.8
43.7
17.2
16.5
9.7
6.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
8時間未満 8時間 8時間以上 無回答
図 3.1-16 1日の営業時間(従業員規模別)
16
3.1.6. 上場の有無 「上場している」企業は 17.4%である。 従業員規模別にみると、300 人以上企業では 28.9%が「上場している」が、300 人未満企業で
「上場している」のは 5.4%である。
上場してい
る
17.4%
上場してい
ない
80.9%
無回答
1.8%
(N=1,767)
図 3.1-17 上場の有無
28.9
5.4
69.3
92.8
1.8
1.7
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
上場している 上場していない 無回答
図 3.1-18 上場の有無(従業員規模別)
17
3.1.7. 海外拠点の有無
海外拠点が「有り」の企業は 22.2%である。 従業員規模別にみると、300 人以上企業では、「有り」が 31.6%で、300 人未満企業では「有り」
が 12.5%である。
無し
76.1%
有り
22.2%
無回答
1.7%(N=1,767)
図 3.1-19 海外拠点の有無
66.4
86.2
31.6
12.5
2.0
1.4
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
無し 有り 無回答
図 3.1-20 海外拠点の有無(従業員規模別)
18
3.1.8. IT 関連の支出総額
2011 年度の IT 関連の支出総額は、「2,000 万円未満」が最も多く 38.4%であり、平均は 4,648.2万円、中央値は 167.6 万円であった。2010 年度の IT 関連の支出総額は、2011 年の傾向とほぼ同
様であり、平均は 4,245.5 万円、中央値は 151.0 万円であった。2010 年度から 2011 年度の IT 関
連の支出総額は平均値で上がっており、回答を個別にみても、「増加」(28.3%)が「減少」(24.7%)
を 3.6 ポイントと若干上回っている。「増減なし」は 18.6%である。 従業員規模別にみると、2011 年度、2010 年度とも、300 人以上企業の約 3 割は 1 億円以上で
あるが、300 人未満企業の 5 割以上が「2,000 万円未満」である。300 人以上企業、300 人未満企
業とも「増加」が最も多いが、300 人以上企業では、「増減なし」が 11.8%であるのに比べ、300人未満企業では「増減なし」が 25.7%と、増減がない企業の割合が高い。
2,000万円
未満
38.4%
2,000~
5,000万円
未満
9.9%
5,000~1億
円未満
6.8%1億~4億
円未満
9.5%
4億円以上
9.5%
無回答
25.9%
(N=1,767)
図 3.1-21 2011 年度 IT 関連の支出総額
21.2
56.2
9.2
10.6
8.6
5.1
15.2
3.6
18.2
0.5
27.6
24.1
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
2,000万円未満 2,000~5,000万円未満
5,000~1億円未満 1億~4億円未満
4億円以上 無回答
図 3.1-22 2011 年度 IT 関連の支出総額(従業員規模別)
19
2,000万円未
満
37.5%
2,000~
5,000万円未
満
9.8%
5,000~1億
円未満
6.2%1億~4億円
未満
9.7%
4億円以上
8.8%
無回答
28.0%
(N=1,767)
図 3.1-23 2010 年度 IT 関連の支出総額
19.7
55.9
9.1
10.6
7.9
4.5
16.0
3.2
16.8
0.5
30.6
25.3
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
2,000万円未満 2,000~5,000万円未満
5,000~1億円未満 1億~4億円未満
4億円以上 無回答
図 3.1-24 2010 年度 IT 関連の支出総額(従業員規模別)
2,000万円未
満
37.0%
2,000~
5,000万円未
満
9.6%
5,000~1億
円未満
5.5%1億~4億円
未満
9.3%
4億円以上
8.3%
無回答
30.3%
(N=1,767)
図 3.1-25 2009 年度 IT 関連の支出総額
20
19.2
55.5
9.9
9.2
6.6
4.5
15.1
3.2
16.0
0.3
33.2
27.2
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
2,000万円未満 2,000~5,000万円未満
5,000~1億円未満 1億~4億円未満
4億円以上 無回答
図 3.1-26 2009 年度 IT 関連の支出総額(従業員規模別)
増加
28.3%
増減なし
18.6%減少
24.7%
無回答
28.4%
(N=1,767)
図 3.1-27 IT関連の支出総額(2011 年度と 2010 年度の差分 2)
29.2
27.3
11.8
25.7
27.9
21.5
31.1
25.5
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
増加 増減なし 減少 無回答
図 3.1-28 IT 関連の支出総額(2011 年度と 2010 年度の差分・従業員規模別)
2 本調査において回答を得られた IT 関連の支出総額の 2011 年度数値と 2010 年度の数値を比較し、同額であれ
ば「増減なし」、2011 年度数値の方が大きければ「増加」、2011 年度数値の方が小さければ「減少」、いずれかの
年度の回答がなく比較不能の場合「無回答」とした。
21
3.1.9. 電子商取引業務(EC) (1)電子商取引業務の売上が全体の売上に占める割合
電子商取引業務の売上が全体の売上に占める割合は、61.5%が「0%」であり、12.3%が「10%」
である。 従業員規模別にみると、300 人未満企業の方が電子商取引業務が「0%」との回答が 9.4 ポイン
ト高い。
61.512.3
2.9
2.8
1.2
2.2
1.4
1.4
2.0
2.1
1.1
9.2
0% 20% 40% 60% 80% 100%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
無回答
(N=1,767)
図 3.1-29 電子商取引業務の売上が全体の売上に占める割合
56.9
13.1
3.2
2.4
1.3
2.1
1.1
1.7
2.7
2.8
1.2
11.4
66.3
11.4
2.7
3.1
1.0
2.3
1.7
1.0
1.3
1.4
0.9
6.8
0% 20% 40% 60% 80% 100%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
無回答
300人以上企業
(N=900)
300人未満企業
(N=867)
図 3.1-30 電子商取引業務の売上が全体の売上に占める割合 (従業員規模別)
22
(2)電子商取引業務関連以外の業務遂行上重要なサーバ(業務サーバ、メールサーバ、DNS
サーバ等)が営業日に「24 時間」停止した場合のその日の売上高への影響 電子商取引業務関連以外の業務遂行上重要なサーバが営業日に 24 時間停止した場合の売上高
への影響では、41.6%が「ほとんど影響を受けない」。「大きな影響を受ける」「深刻な影響を受け
る」をあわせると、25.9%とほぼ 1/4 にあたる。 従業員規模別にみると、傾向はほぼ同じである。
41.6 27.3 13.2 12.7 5.1
0% 20% 40% 60% 80% 100%
ほとんど影響を受けない(25%減以下)
影響はあるが部分的にとどまる(25%減~50%減以下)
大きな影響を受ける(50%減~75%減以下)
深刻な影響を受ける(75%減以上)
無回答
(N=1,767)
図 3.1-31 EC 以外重要サーバ停止による売上高への影響
40.9
42.3
26.6
28.0
13.9
12.6
13.1
12.3
5.6
4.7
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
ほとんど影響を受けない(25%減以下)
影響はあるが部分的にとどまる(25%減~50%減以下)
大きな影響を受ける(50%減~75%減以下)
深刻な影響を受ける(75%減以上)
無回答
図 3.1-32 EC 以外重要サーバ停止による売上高への影響(従業員規模別)
23
(3)EC 関連以外の業務遂行上重要なサーバ(業務サーバ、メールサーバ、DNS サーバ等)に
おける売上高に影響を及ぼさないで済む最長の時間(許容停止時間) 電子商取引業務関連以外の業務遂行上重要なサーバが売上高に影響を及ぼさないで済む最長の
停止時間は、「半日以内」が最も多く 32.0%、「1 日以内」が 23.5%、「2~3 日以内」が 17.7%と
続く。 従業員規模別にみると、300 人以上企業の方が「1 時間以内」との回答が 4.3 ポイント高いが、
「1 日以内」より長い回答は 300 人未満企業の方がいずれも回答率が高く、300 人以上の方が売
上高に影響を及ぼさないで済む最長時間が短い傾向にある。
13.4 32.0 23.5 17.7 3.5
2.7 1.1
6.1
0% 20% 40% 60% 80% 100%
1時間以内 半日以内 1日以内 2~3日以内
4~5日以内 6~10日以内 11日以上 無回答
(N=1,767)
図 3.1-33 EC 以外重要サーバの許容停止時間
16.0
10.7
32.4
31.6
22.3
24.7
16.8
18.7
3.3
3.7
2.4
2.9
1.0
1.3
5.7
6.5
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
1時間以内 半日以内 1日以内 2~3日以内
4~5日以内 6~10日以内 11日以上 無回答
図 3.1-34 EC 以外重要サーバの許容停止時間(従業員規模別)
24
3.1.10. 利用しているクライアント(パソコン)の台数 ほぼ全ての組織が Windows 系のパソコンを利用しており、「100~499 台」が 34.8%と最も多
い。全体の 6 割以上が 100 台以上を利用している。 従業員規模別にみると、300 人以上企業では「1,000 台以上」が 33.7%で最も多く、300 人未満
企業では、「100~499 台」が 37.8%と最も多い。
0.6
0.7
1.4
15.0
12.5
34.8
10.1
17.4
7.6
0% 20% 40% 60%
0台
1~4台
5~9台
10~49台
50~99台
100~499台
500~999台
1,000台以上
無回答
(N=1,767)
図 3.1-35 利用しているクライアント(パソコン)の台数
0.3
0.0
0.1
3.9
4.7
31.9
18.0
33.7
7.4
0.8
1.4
2.8
26.5
20.6
37.8
1.8
0.5
7.7
0% 20% 40% 60%
0台
1~4台
5~9台
10~49台
50~99台
100~499台
500~999台
1,000台以上
無回答
300人以上企業(N=900) 300人未満企業(N=867)
図 3.1-36 クライアント(パソコン)の台数(従業員規模別)
25
3.1.11. 業務におけるスマートフォンやタブレット端末の利用の有無 業務においてスマートフォンやタブレット端末を「利用している」のは 29.5%である。「利用を
検討中」は 13.8%である。2010 年度調査より、「利用している」が 15.2 ポイント高まっており、
スマートフォンやタブレット端末の利用が進展していることがわかる。「利用を検討中」は 7.2 ポ
イント低下したが、「利用していない」も 8.3 ポイント低下しており、今後もスマートフォンやタ
ブレット端末の利用は進展すると考えられる。 従業員規模別にみると、300 人以上企業の 35.8%が「利用している」、17.8%が「利用を検討中」
である。300 人未満企業では、それぞれ 23.1%、9.7%であることから、300 人以上企業の方が、
利用が進んでおり、今後の利用意向も高い。
29.5 13.8 55.8 0.8
0% 20% 40% 60% 80% 100%
利用している 利用を検討中 利用していない 無回答
(N=1,767)
図 3.1-37 スマートフォンやタブレット端末の利用
35.8
23.1
17.8
9.7
45.7
66.3
0.8
0.9
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
利用している 利用を検討中 利用していない 無回答
図 3.1-38 スマートフォンやタブレット端末の利用(従業員規模別)
26
(1)利用している端末 利用している端末は、「タブレット端末(iPad)」が 60.0%、「スマートフォン(Android 系)」
が 46.7%、「スマートフォン(iOS)」が 37.2%である。2010 年度調査より、「タブレット端末」
は 8.5 ポイント増、「スマートフォン(Android 系)」は 1.6 ポイント増、「スマートフォン(iOS系)」は 6.6 ポイント減であり、「タブレット端末(iPad)」と「スマートフォン(Android 系)」
の利用が特に進展している。 従業員規模別にみると、300 人以上企業では、300 人未満企業と比較して「タブレット端末」
の利用率が 8 ポイント高く、スマートフォン(Android 系)の利用率が 12.6 ポイント低い。
37.2
46.7
6.9
5.2
60.0
20.9
1.9
4.4
0.0
0% 20% 40% 60% 80%
スマートフォン(iOS)
スマートフォン(Android系)
スマートフォン(Blackberry系)
その他スマートフォン(Windows、Symbian等)
タブレット端末(iPad)
その他タブレット端末(Galaxy等)
スマートフォン(不明)
タブレット端末(不明)
無回答
(N=522)
図 3.1-39 利用している端末
37.9
41.9
6.5
5.3
63.0
21.1
1.9
5.0
0.0
36.0
54.5
7.5
5.0
55.0
20.5
2.0
3.5
0.0
0% 20% 40% 60% 80%
スマートフォン(iOS)
スマートフォン(Android系)
スマートフォン(Blackberry系)
その他スマートフォン(Windows、Symbian等)
タブレット端末(iPad)
その他タブレット端末(Galaxy等)
スマートフォン(不明)
タブレット端末(不明)
無回答
300人以上企業(N=322) 300人未満企業(N=200)
図 3.1-40 利用している端末(従業員規模別)
27
(2)利用台数と、そのうち会社支給の端末の比率 スマートフォンの利用台数は、「10~19 台」(18.3%)、「1~4 台」(17.4%)、「20~49 台」
(16.0%)と分散している。平均値は 101.7 台、中央値は 15.0 台である。 従業員規模別にみると、300 人未満企業の 29.7%が「1~4 台」、21.6%が「10~19 台」である。
300 人以上企業では、「100~499 台」が 23.6%と最も多い。
17.4
12.1
18.3
16.0
9.0
14.6
2.8
1.7
8.1
0% 10% 20% 30% 40%
1~4台
5~9台
10~19台
20~49台
50~99台
100~499台
500~9,999台
1,000台以上
無回答
(N=356)
図 3.1-41 利用台数(スマートフォン)
8.7
8.2
15.9
15.9
10.1
23.6
4.8
2.9
10.1
29.7
17.6
21.6
16.2
7.4
2.0
0.0
0.0
5.4
0% 10% 20% 30% 40%
1~4台
5~9台
10~19台
20~49台
50~99台
100~499台
500~9,999台
1,000台以上
無回答
300人以上企業(N=208) 300人未満企業(N=148)
図 3.1-42 利用台数(スマートフォン)(従業員規模別)
28
タブレット端末の利用台数は、「1~4 台」(28.1%)が最も多い。平均値は 92.9 台、中央値は
10.0 台である。 従業員規模別にみると、300 人未満企業の 48.2%が「1~4 台」、23.7%が「5~9 台」である。
300 人以上企業では、「20~49 台」が 19.4%と最も多い。
28.1
17.6
12.5
15.9
7.9
9.2
0.3
1.8
6.6
0% 10% 20% 30% 40%
1~4台
5~9台
10~19台
20~49台
50~99台
100~499台
500~9,999台
1,000台以上
無回答
(N=391)
図 3.1-43 利用台数(タブレット端末)
17.1
14.3
12.3
19.4
10.7
14.3
0.4
2.8
8.7
48.2
23.7
12.9
9.4
2.9
0.0
0.0
0.0
2.9
0% 20% 40% 60% 80%
1~4台
5~9台
10~19台
20~49台
50~99台
100~499台
500~9,999台
1,000台以上
無回答
300人以上企業(N=252) 300人未満企業(N=139)
図 3.1-44 利用台数(タブレット端末)(従業員規模別)
29
スマートフォンの会社支給の比率は、66.3%が「100%」(全て会社支給)であり、次いで「20~80%未満」(9.0%)である。平均値は 83.1%、中央値は 100.0%である。
従業員規模別にみると、傾向はほぼ同じである。
5.9
3.4
9.0
2.8
66.3
12.6
0% 20% 40% 60% 80% 100%
0%
20%未満
20~80%未満
80~100%未満
100%
無回答
(N=356)
図 3.1-45 会社支給の比率(スマートフォン)
5.3
5.3
7.7
2.9
66.3
12.5
6.8
0.7
10.8
2.7
66.2
12.8
0% 20% 40% 60% 80% 100%
0%
20%未満
20~80%未満
80~100%未満
100%
無回答
300人以上企業(N=208) 300人未満企業(N=148)
図 3.1-46 会社支給の比率(スマートフォン)(従業員規模別)
30
タブレット端末の会社支給の比率は、78.3%が「100%」(全て会社支給)であり、次いで「0%」
(3.6%)である。平均値は 93.7%、中央値は 100.0%である。 従業員規模別にみると、300 人未満企業の方が会社支給ではない端末を認めている比率(0%~
100%未満の比率を合計した比率)が 4.7 ポイント高い。
3.6
0.5
2.3
2.0
78.3
13.3
0% 20% 40% 60% 80% 100%
0%
20%未満
20~80%未満
80~100%未満
100%
無回答
(N=391)
図 3.1-47 会社支給の比率(タブレット端末)
3.2
0.0
2.0
1.6
78.2
15.1
4.3
1.4
2.9
2.9
78.4
10.1
0% 20% 40% 60% 80% 100%
0%
20%未満
20~80%未満
80~100%未満
100%
無回答
300人以上企業(N=252) 300人未満企業(N=139)
図 3.1-48 会社支給の比率(タブレット端末)(従業員規模別)
31
(3)利用用途 利用用途は、「通話、メール等の連絡」が最も多く 73.9%、次いで「プレゼンテーション、資料
提示」の 46.2%である。業務に関連したデータの入力・閲覧が必要な「営業支援」は 20.3%、「在
庫管理」は 2.1%である。これらの傾向は 2010 年度調査とほぼ同様である。 従業員規模別にみると、「通話、メール等の連絡」以外では 300 人以上企業の方が積極的に使用
している傾向が見られ、300 人未満企業に比べて、「スケジューラ」で 6.9 ポイント、「プレゼン
テーション、資料提示」で 5.9 ポイント、「営業支援」で 2.9 ポイント利用率が高い。
73.9
35.2
46.2
20.3
2.1
16.5
0.8
0% 20% 40% 60% 80% 100%
通話、メール等の連絡
スケジューラ
プレゼンテーション、資料提示
営業支援(顧客データ閲覧、入力)
在庫管理
その他
無回答
(N=522)
図 3.1-49 利用用途
70.2
37.9
48.4
21.4
2.5
17.1
0.9
80.0
31.0
42.5
18.5
1.5
15.5
0.5
0% 20% 40% 60% 80% 100%
通話、メール等の連絡
スケジューラ
プレゼンテーション、資料提示
営業支援(顧客データ閲覧、入力)
在庫管理
その他
無回答
300人以上企業(N=322) 300人未満企業(N=200)
図 3.1-50 利用用途(従業員規模別)
32
(4)スマートフォンやタブレット端末において実施している対策 スマートフォンやタブレット端末において実施している対策は、いずれも 2010 年度調査より
実施率が上がっている。「端末のパスワード設定」が 73.8%(3.2 ポイント増)と最も多く、次い
で「紛失・盗難時のデータ消去」(39.8%、2.8 ポイント増)、「セキュリティソフトの導入」(35.6%、
9.2 ポイント増)、「MDM3による端末管理」(25.5%、9.8 ポイント増)と続く。特に、「セキュリ
ティソフトの導入」「MDMによる端末管理」の導入率の上昇が大きい。 従業員規模別にみると、300 人以上企業の方が全ての対策において実施率が高いが、特に「MDM
による端末管理」は 28.3 ポイント、「紛失・盗難時のデータ消去」は 24.9 ポイントの実施率の差
がある。
73.8
39.8
35.6
25.5
3.4
13.4
2.5
0% 20% 40% 60% 80% 100%
端末のパスワード設定
紛失・盗難時のデータ消去
セキュリティソフトの導入
MDMによる端末管理
その他
特に実施していない
無回答
(N=522)
図 3.1-51 スマートフォンやタブレット端末において実施している対策
80.1
49.4
35.1
36.3
5.0
7.5
2.5
63.5
24.5
36.5
8.0
1.0
23.0
2.5
0% 20% 40% 60% 80% 100%
端末のパスワード設定
紛失・盗難時のデータ消去
セキュリティソフトの導入
MDMによる端末管理
その他
特に実施していない
無回答
300人以上企業(N=322) 300人未満企業(N=200)
図 3.1-52 スマートフォンやタブレット端末において実施している対策(従業員規模別)
3 MDM(Mobile Device Management、モバイル端末管理):モバイル端末と社内システムとの認証、アプリケ
ーションとの同期、外部サービスとの接続等を管理するシステム
33
3.2. 情報セキュリティ対策の現状
3.2.1.情報セキュリティ対策に取り組む基本的な方針の公開 情報セキュリティ対策に取り組む基本的な方針を「公開している」のは 32.1%で、65.9%は「公
開していない」。 従業員規模別にみると、「公開している」のは 300 人以上企業では 40.4%であるが、300 人未満
企業では 23.4%である。
公開してい
る 32.1
公開してい
ない 65.9
無回答 2.1(N=1,767)
図 3.2-1 情報セキュリティ対策に取り組む基本的な方針の公開の有無
40.4
23.4
57.6
74.5
2.0
2.1
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
公開している 公開していない 無回答
図 3.2-2 情報セキュリティ対策に取り組む基本的な方針の公開の有無 (従業員規模別)
34
3.2.2. CISO の有無 CISO(Chief Information Security Officer:最高情報セキュリティ責任者)として「専任者が
いる」(4.0%)、「兼任者がいる」(33.3%)を合わせて 37.3%である。CISO の役割を果たす人間
より「CISO はいない」(62.0%)の方がはるかに多い。2010 年度調査と比較し、「CISO はいな
い」が 11.3 ポイント増えている。 従業員規模別にみると、専任もしくは兼任で CISO がいるのは、300 人以上企業が 43.3%、300
人未満企業が 29.3%であり、300 人以上企業の方が 14 ポイント高い。
専任者が
いる 4.0%
兼任者がい
る
33.3%CISOはいな
い
62.0%
無回答
1.6%
(N=1,767)
図 3.2-3 CISO の有無
3.3
2.9
40.0
26.4
55.3
68.9
1.3
1.8
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
専任者がいる 兼任者がいる CISOはいない 無回答
図 3.2-4 CISO の有無(従業員規模別)
35
3.2.3. 情報セキュリティ対策管理の社内体制 情報セキュリティ対策管理の社内体制として、「専門部署(担当者)がある」のは 15.8%、「兼
務だが担当責任者が任命されている」のは 49.6%である。 従業員規模別にみると、「専門部署(担当者)がある」のは 300 人以上企業で 21.4%であるが、
300人未満企業で 10.0%である。300人未満企業では、「組織的には行っていない」率が 27.7%と、
300 人以上企業と比較して 12.5 ポイント高い。 時系列でみると、「兼務だが担当責任者が任命されている」が、直近 5 年間で最も低く、「組織
的には行っていない(各自の対応)」が最も高い。
専門部署
(担当者)が
ある
15.8%
兼務だが担
当責任者が
任命されて
いる
49.6%
外部委託し
ている
8.4%
組織的には
行っていな
い(各自の
対応)
21.3%
わからない
3.5%
無回答
1.4%
(N=1,767)
図 3.2-5 情報セキュリティ対策管理の社内体制
21.4
10.0
54.2
44.8
5.0
11.9
15.2
27.7
3.0
4.0
1.1
1.6
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
専門部署(担当者)がある
兼務だが担当責任者が任命されている
外部委託している
組織的には行っていない(各自の対応)
わからない
無回答 図 3.2-6 情報セキュリティ対策管理の社内体制(従業員規模別)
36
15.8
15.8
20.0
24.3
23.2
49.6
58.2
56.8
56.5
53.6
8.4
6.3
6.0
5.3
6.6
21.3
17.2
14.0
12.6
14.8
3.5
1.7
0.6
0.3
0.6
1.4
0.9
2.6
1.0
1.2
0% 20% 40% 60% 80% 100%
2011年度
(N=1,767)
2010年度
(N=1,642)
2009年
(N=1,658)
2008年
(N=2,317)
2007年
(N=2,280)
専門部署(担当者)がある
兼務だが担当責任者が任命されている
外部委託している
組織的には行っていない(各自の対応)
わからない
無回答 図 3.2-7 情報セキュリティ対策管理の社内体制(時系列)
(1)専任・兼任別セキュリティ対策部門の人数
情報セキュリティ対策管理の社内体制として「専門部署(担当者)がある」と回答した企業で
は、セキュリティ対策部門(専任)の人数は、「1~2 人」が 43.2%と最も多い。 従業員規模別にみると、「1~2 人」は 300 人以上企業で 36.6%だが、300 人未満企業で 58.6%
と半数を超える。 セキュリティ対策部門(兼任)の人数も、「1~2 人」が 48.3%と最も多い。 従業員規模別にみると、「1~2 人」は 300 人以上企業で 39.6%だが、300 人未満企業で 60.6%
と 6 割を超える。
2.5 43.2 20.0 11.1 3.9 19.3
0% 20% 40% 60% 80% 100%
0人 1~2人 3~4人 5~9人 10人以上 無回答
(N=280)
図 3.2-8 セキュリティ対策部門の人数(専任)
37
3.1
1.1
36.3
58.6
21.2
17.2
15.5
1.1
5.7
0.0
18.1
21.8
0% 20% 40% 60% 80% 100%
300人以上企業
(N=193)
300人未満企業
(N=87)
0人 1~2人 3~4人 5~9人 10人以上 無回答
図 3.2-9 セキュリティ対策部門の人数(専任・従業員規模別)
0.9 48.3 18.0 10.4 8.5 14.0
0% 20% 40% 60% 80% 100%
0人 1~2人 3~4人 5~9人 10人以上 無回答
(N=1,156)
図 3.2-10 セキュリティ対策部門の人数(兼任)
1.2
0.4
39.6
60.6
18.9
16.6
13.2
6.3
10.7
5.3
16.3
10.7
0% 20% 40% 60% 80% 100%
300人以上企業
(N=681)
300人未満企業
(N=475)
0人 1~2人 3~4人 5~9人 10人以上 無回答
図 3.2-11 セキュリティ対策部門の人数(兼任・従業員規模別)
(2)専任・兼任別セキュリティ対策部門の従事者の経験年数 セキュリティ対策部門(専任)の従事者の経験年数は、「5~10 年未満」(28.8%)、「10~15 年
未満」(27.9%)が多く、合わせて 56.7%である。 従業員規模別にみると、300 人以上企業、300 人未満企業とも 10 年以上はほとんど変わりない
が、「5 年未満」は 300 人未満企業で 8 ポイント多い。 セキュリティ対策部門(兼任)の従事者の経験年数は、「5~10 年未満」が 32.5%と最も多く、
「5 年未満」(24.8%)と「10~15 年未満」(24.2%)がほぼ同数で続く。
38
従業員規模別にみると、傾向はほぼ同じである。
22.8 28.8 27.9 7.8 8.2 4.6
0% 20% 40% 60% 80% 100%
5年未満 5~10年未満 10~15年未満
15~20年未満 20年以上 無回答
(N=219)
図 3.2-12 セキュリティ対策部門の従事者の経験年数(専任)
20.4
28.4
30.9
23.9
28.3
26.9
7.9
7.5
7.2
10.4
5.3
3.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=152)
300人未満企業
(N=67)
5年未満 5~10年未満 10~15年未満
15~20年未満 20年以上 無回答
図 3.2-13 セキュリティ対策部門の従事者の経験年数(専任・従業員規模別)
24.8 32.5 24.2 5.8 8.5 4.2
0% 20% 40% 60% 80% 100%
5年未満 5~10年未満 10~15年未満
15~20年未満 20年以上 無回答
(N=984)
図 3.2-14 セキュリティ対策部門の従事者の経験年数(兼任)
39
26.2
23.0
32.2
32.9
24.2
24.2
5.0
6.9
7.7
9.7
4.8
3.3
0% 20% 40% 60% 80% 100%
300人以上企業
(N=562)
300人未満企業
(N=422)
5年未満 5~10年未満 10~15年未満
15~20年未満 20年以上 無回答
図 3.2-15 セキュリティ対策部門の従事者の経験年数(兼任・従業員規模別)
40
3.2.4.情報セキュリティ関連製品やソリューションの導入 (1)導入状況
情報セキュリティ関連製品やソリューションについて、「2010 年度までに導入」及び「2011 年
度までに導入」を合計した導入率が高いのは、「セキュリティソフト(クライアントパソコン向
け)」(89.7%)、「ファイアウォール」(79.8%)、「ID/パスワードによるユーザ認証」(78.3%)、「セ
キュリティソフト(ネットワークサーバ向け)」(74.2%)、「セキュリティソフト(ローカルサー
バ向け)」(72.9%)である。
72.8
71.4
88.2
42.7
78.6
19.9
25.2
43.5
26.7
6.1
63.0
9.3
12.6
9.2
17.1
77.1
34.1
1.5
1.4
1.5
1.5
1.5
1.2
1.4
2.1
2.5
1.2
0.3
2.1
0.8
2.4
0.6
0.8
1.2
2.6
0.4
8.3
9.2
3.0
35.9
9.3
51.2
58.4
42.7
58.6
77.2
24.3
75.4
71.1
76.0
68.0
13.2
51.2
14.3
11.4
10.6
2.7
10.4
5.2
15.6
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
10.4
6.2
7.4
4.6
9.5
5.6
11.9
14.3
11.3
13.5
16.4
10.5
14.4
14.0
14.1
14.1
8.5
12.1
73.4
0% 20% 40% 60% 80% 100%
セキュリティソフト(ネットワークサーバ向け)
セキュリティソフト(ローカルサーバ向け)
セキュリティソフト(クライアントパソコン向け)
プロバイダによるウイルスチェックサービス
ファイアウォール
Webアプリケーションファイアウォール(WAF)
IDS/IPSによる侵入検知
ウェブ閲覧のフィルタリング
データ(顧客情報等)の暗号化
ISO/IEC15408認証取得製品やシステム
VPN
検疫ネットワーク
シンクライアント
生体認証(バイオメトリクス)
ICカード・ワンタイムパスワード・PKIによるユーザ認
証
ID/パスワードによるユーザ認証
資産管理ソフト(ライセンス管理ソフト)
その他
2010年度までに導入 2011年度までに導入 導入していない 該当環境無し 無回答
(N=1,767)
図 3.2-16 情報セキュリティ関連製品やソリューションの導入状況
41
(2)導入の時期 2011 年度新規導入の製品・ソリューションについて、セキュリティ上のトラブルを経験した企
業において「2011 年度トラブルの後」に導入した率が高いのは「セキュリティソフト(クライア
ントパソコン向け)」(19.2%)、「Web アプリケーションファイアウォール(WAF)」(16.0%)で
ある。
16.7
26.9
23.1
22.2
18.2
20.0
24.3
22.2
18.2
0.0
32.4
33.3
19.0
9.1
7.1
14.3
19.6
0.0
8.3
11.5
19.2
11.1
9.1
16.0
13.5
8.9
13.6
0.0
2.7
0.0
0.0
0.0
14.3
0.0
4.3
28.6
75.0
61.5
57.7
66.7
72.7
64.0
62.2
68.9
68.2
100.0
64.9
66.7
81.0
90.9
78.6
85.7
76.1
71.4
0% 20% 40% 60% 80% 100%
セキュリティソフト(ネットワークサーバ向け)(N=24)
セキュリティソフト(ローカルサーバ向け)(N=26)
セキュリティソフト(クライアントパソコン向け)(N=26)
プロバイダによるウイルスチェックサービス(N=27)
ファイアウォール(N=22)
Webアプリケーションファイアウォール(WAF)(N=25)
IDS/IPSによる侵入検知(N=37)
ウェブ閲覧のフィルタリング(N=45)
データ(顧客情報等)の暗号化(N=22)
ISO/IEC15408認証取得製品やシステム(N=6)
VPN(N=37)
検疫ネットワーク(N=15)
シンクライアント(N=42)
生体認証(バイオメトリクス)(N=11)
ICカード・ワンタイムパスワード・PKIによるユーザ認
証(N=14)
ID/パスワードによるユーザ認証(N=21)
資産管理ソフト(ライセンス管理ソフト)(N=46)
その他(N=7)
2011年度トラブルの前 2011年度トラブルの後 無回答
図 3.2-17 情報セキュリティ関連製品やソリューションの導入の時期
42
(3)2011 年度の強化・見直しの実施 2010 年度までに導入した製品・ソリューションについて、2011 年度の強化・見直しの実施率
が高いのは、「セキュリティソフト(クライアントパソコン向け)」(15.8%)、「セキュリティソフ
ト(ネットワークサーバ向け)」(14.3%)、「ウェブ閲覧のフィルタリング」(14.2%)である。
14.3
13.8
15.8
10.6
12.5
10.8
11.7
14.2
8.1
8.4
12.5
9.1
12.2
6.7
8.9
10.1
12.3
26.9
45.3
44.8
43.8
46.4
45.6
45.5
40.6
43.4
46.0
37.4
45.9
39.0
38.3
41.1
41.4
47.0
43.4
30.8
40.4
41.4
40.4
43.0
41.9
43.8
47.8
42.4
46.0
54.2
41.7
51.8
49.5
52.1
49.7
43.0
44.3
42.3
0% 20% 40% 60% 80% 100%
セキュリティソフト(ネットワークサーバ向け)
(N=1286)
セキュリティソフト(ローカルサーバ向け)(N=1262)
セキュリティソフト(クライアントパソコン向け)
(N=1559)
プロバイダによるウイルスチェックサービス(N=755)
ファイアウォール(N=1389)
Webアプリケーションファイアウォール(WAF)(
N=352)
IDS/IPSによる侵入検知(N=446)
ウェブ閲覧のフィルタリング(N=768)
データ(顧客情報等)の暗号化(N=472)
ISO/IEC15408認証取得製品やシステム(N=107)
VPN(N=1114)
検疫ネットワーク(N=164)
シンクライアント(N=222)
生体認証(バイオメトリクス)(N=163)
ICカード・ワンタイムパスワード・PKIによるユーザ認
証(N=302)
ID/パスワードによるユーザ認証(N=1363)
資産管理ソフト(ライセンス管理ソフト)(N=603)
その他(N=26)
実施した 実施しない 無回答
図 3.2-18 2011 年度の強化・見直しの実施
43
3.2.5.情報セキュリティ被害防止のための組織・運用面の対策
(1)実施状況 情報セキュリティ被害防止のための組織・運用面での対策は、「2010 年度までに導入」及び「2011
年度までに導入」を合計した導入率が高いのは、「重要なシステム・データのバックアップ」
(89.8%)、「ユーザの権限によるアクセス権限管理」(82.5%)「ハードディスク等の廃棄時のデ
ータ消去」(82.3%)、である。
63.3
80.3
56.6
48.3
13.0
80.9
29.1
87.3
33.3
9.9
11.7
27.8
50.3
28.6
57.5
48.2
0.8
3.6
2.2
2.6
1.9
0.9
1.4
7.5
2.5
1.5
0.6
0.7
1.6
2.5
1.9
1.4
2.6
0.5
26.9
11.8
32.1
41.8
75.6
11.7
52.1
4.1
55.0
78.2
76.9
60.0
38.2
59.3
28.0
40.8
14.2
5.5
9.7
6.2
5.7
8.6
8.0
10.5
5.9
11.4
6.2
10.2
11.3
10.8
10.6
9.0
10.1
7.6
8.4
74.9
0% 20% 40% 60% 80% 100%
機器や記録媒体の持込み・持出しの制限
ユーザの権限によるアクセス権限管理
(内部及び外部からの)アクセスログの取得・保存
フロアや施設への入退出管理
外部専門家によるセキュリティ監視サービスの導入
ハードディスク等の廃棄時のデータ消去
事業継続計画(BCP)の策定
重要なシステム・データのバックアップ
情報セキュリティ監査
情報セキュリティマネジメントシステム(ISMS)の認
証取得
プライバシーマーク(Pマーク)の取得
リスク分析
セキュリティポリシーの策定
情報の格付け(機密度レベルの設定)
セキュリティパッチの適用
情報セキュリティ教育、研修
その他
2010年度までに導入 2011年度までに導入 導入していない 該当環境無し 無回答
(N=1,767)
図 3.2-19 情報セキュリティ被害防止のための組織・運用面の対策
44
(2)実施の時期 2011 年度新規実施の対策について、セキュリティ上のトラブルを経験した企業において「2011
年度トラブルの後」に実施した率が高いのは「P マークの取得」(16.7%)、「情報の格付け」
(14.7%)、「機器や記録媒体の持込み・持出しの制限」(14.1%)である。
29.7
33.3
26.1
24.2
37.5
32.0
28.8
34.1
29.6
0.0
0.0
21.4
31.8
32.4
16.7
26.1
0.0
14.1
2.6
13.0
3.0
6.3
4.0
11.4
11.4
11.1
9.1
16.7
3.6
11.4
14.7
8.3
6.5
37.5
56.3
64.1
60.9
72.7
56.3
64.0
59.8
54.5
59.3
90.9
83.3
75.0
56.8
52.9
75.0
67.4
62.5
0% 20% 40% 60% 80% 100%
機器や記録媒体の持込み・持出しの制限(N=64)
ユーザの権限によるアクセス権限管理(N=39)
(内部及び外部からの)アクセスログの取得・保存
(N=46)
フロアや施設への入退出管理(N=33)
外部専門家によるセキュリティ監視サービスの導入
(N=16)
ハードディスク等の廃棄時のデータ消去(N=25)
事業継続計画(BCP)の策定(N=132)
重要なシステム・データのバックアップ(N=44)
情報セキュリティ監査(N=27)
情報セキュリティマネジメントシステム(ISMS)の認
証取得(N=11)
プライバシーマーク(Pマーク)の取得(N=12)
リスク分析(N=28)
セキュリティポリシーの策定(N=44)
情報の格付け(機密度レベルの設定)(N=34)
セキュリティパッチの適用(N=24)
情報セキュリティ教育、研修(N=46)
その他(N=8)
2011年度トラブルの前 2011年度トラブルの後 無回答
図 3.2-20 情報セキュリティ被害防止のための組織・運用面の対策
45
(3)2011 年度の強化・見直しの実施 2010 年度までに実施した対策について、2011 年度の強化・見直しの実施率が高いのは、「事業
継続計画(BCP)の策定」(26.3%)、「リスク分析」(23.0%)、「情報セキュリティ教育・研修」
(19.6%)、「情報セキュリティ監査」(17.2%)、「重要なシステム・データのバックアップ」
(15.7%)、「セキュリティパッチの適用」(15.5%)である。 東日本大震災を受けて、事業継続計画(BCP)やリスク分析、バックアップの見直しを行う企
業が多いと考えられる。
14.1
14.3
12.1
11.4
9.6
8.7
26.3
15.7
17.2
23.0
13.8
14.6
15.5
19.6
0.0
44.5
44.1
44.8
44.4
41.7
49.3
28.4
42.2
33.5
29.3
40.8
37.9
40.0
36.7
42.9
41.4
41.6
43.2
44.2
48.7
42.0
45.3
42.2
49.3
47.7
45.3
47.4
44.6
43.7
57.1
0% 20% 40% 60% 80% 100%
機器や記録媒体の持込み・持出しの制限(N=1119)
ユーザの権限によるアクセス権限管理(N=1419)
(内部及び外部からの)アクセスログの取得・保存
(N=1001)
フロアや施設への入退出管理(N=853)
外部専門家によるセキュリティ監視サービスの導入
(N=230)
ハードディスク等の廃棄時のデータ消去(N=1430)
事業継続計画(BCP)の策定(N=514)
重要なシステム・データのバックアップ(N=1542)
情報セキュリティ監査(N=588)
情報セキュリティマネジメントシステム(ISMS)の認
証取得(N=0)
プライバシーマーク(Pマーク)の取得(N=0)
リスク分析(N=491)
セキュリティポリシーの策定(N=889)
情報の格付け(機密度レベルの設定)(N=506)
セキュリティパッチの適用(N=1016)
情報セキュリティ教育、研修(N=851)
その他(N=14)
実施した 実施しない 無回答
図 3.2-21 情報セキュリティ被害防止のための組織・運用面の対策
46
3.2.6.セキュリティ関連製品・ソリューションの導入や、実施している組織面・運用面の対
策費用 2011 年度にセキュリティ関連製品・ソリューションの導入や、実施している組織面・運用面の
対策にかけた費用は「0 万円」が 6.5%、100 万円未満が 23.4%、100 万円以上が 31.4%である。
平均値は 592.0 万円、中央値は 100.0 万円である。そのうち、トラブル後にかけた費用は、「0 万
円」が 22.3%であり、少しでも支払ったのは、3.4%である。平均値は 45.6 万円であり、中央値
は 0.0 万円である。 従業員規模別にみると、300 人以上企業では、「0 万円」は 3.6%、100 万円未満が 12.5%、100
万円以上が 41.6%である。300 人未満企業の「0 万円」は 9.6%、100 万円未満が 34.6%、100 万
円以上 20.9%である。
6.5 15.7 7.6 9.2 22.2 38.7
0% 20% 40% 60% 80% 100%
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
(N=1,767)
図 3.2-22 2011 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用
22.3
1.6 0.7 0.3 0.8
74.3
0% 20% 40% 60% 80% 100%
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
(N=1,767)
図 3.2-23 2011 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用 (内、トラブル後の費用)
47
3.6
9.6
7.4
24.3
5.1
10.3
8.7
9.8
32.9
11.1
42.3
34.9
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
図 3.2-24 2011 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用 (従業員規模別)
18.1
26.6
1.4
1.7
0.4
0.9
0.2
0.5
1.6
0.1
78.2
70.1
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
図 3.2-25 2011 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用 (内、トラブル後の費用)(従業員規模別)
6.7 15.6 7.6 8.5 20.3 41.3
0% 20% 40% 60% 80% 100%
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
(N=1,767)
図 3.2-26 2010 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用
48
3.3
10.1
7.0
24.5
5.4
9.9
8.4
8.7
29.8
10.5
46.0
36.3
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
図 3.2-27 2010 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用
(従業員規模別)
7.9 13.3 6.6 7.2 17.1 47.9
0% 20% 40% 60% 80% 100%
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
(N=1,767)
図 3.2-28 2009 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用
4.8
11.1
6.1
20.8
3.9
9.5
7.3
7.0
25.6
8.4
52.3
43.3
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
0万円 1~49万円 50~99万円
100~199万円 200万円以上 無回答
図 3.2-29 2009 年度セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用
(従業員規模別)
49
2010 年度から 2011 年度において、セキュリティ関連製品・ソリューションの導入や、実施し
ている組織面・運用面の対策にかけた費用は「増減なし」が 34.3%で最も多い。「増加」は 14.0%、
「減少」は 9.8%である。 従業員規模別にみると、300 人未満企業では「増減なし」が 41.8%であり、300 人以上企業よ
り 14.7 ポイント高い。
増加
14.0%
増減なし
34.3%
減少
9.8%
無回答
41.8%
(N=1,767)
図 3.2-30 セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用の増減 4 (2010 年度~2011 年度)
14.6
13.5
27.1
41.8
11.8
7.8
46.6
36.9
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
増加 増減なし 減少 無回答
図 3.2-31 セキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用の増減 (従業員規模別)
4 本調査において回答を得られたセキュリティ関連製品・ソリューション導入、組織面・運用面対策の費用の 2011年度数値と 2010 年度の数値を比較し、同額であれば「増減なし」、2011 年度数値の方が大きければ「増加」、2011年度数値の方が小さければ「減少」、いずれかの年度の回答がなく比較不能の場合「無回答」とした。
50
3.2.7.セキュリティ関連製品・ソリューションの導入で実施している対策の情報セキュリテ
ィ対策上の効果 セキュリティ関連製品・ソリューションの導入や、実施している組織面・運用面の対策につい
て、情報セキュリティ対策上の効果について、「効果がある」のは 66.3%、「効果がない」のは 0.6%、
「わからない」のは 21.4%である。 従業員規模別にみると、300 人以上企業の「効果がある」は 74.7%で、300 人未満企業より 17
ポイント高い。また、300 人未満企業の「わからない」は 28.3%で、300 人以上企業より 13.4%高い。
効果がある
66.3%
効果がない
0.6%
わからない
21.4%
無回答
11.7%
(N=1,767)
図 3.2-32 セキュリティ対策上の効果
74.7
57.7
0.6
0.6
14.9
28.3
9.9
13.5
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
効果がある 効果がない わからない 無回答
図 3.2-33 セキュリティ対策上の効果(従業員規模別)
51
3.2.8.セキュリティパッチの適用
セキュリティパッチの適用について、「ほぼ全サーバに計画的に適用している」のは、外部公開
ネットワークサーバで 28.4%、内部利用ローカルサーバで 32.0%である。「ほとんど適用していな
い」のは、外部公開ネットワークサーバでは 10.4%だが、内部利用ローカルサーバでは 21.6%と、
内部利用ローカルサーバの方が多い。 従業員規模別にみると、外部公開ネットワークサーバで「ほぼ全サーバに計画的に適用してい
る」のは、300 人以上企業で 36.2%、300 人未満企業の 20.3%であり、15.9 ポイントの差がある
が、内部利用ローカルサーバでは、300 人以上企業で 35.8%、300 人未満企業で 28.0%であり、
その差は外部公開ネットワークサーバより小さい。300 人未満企業では、外部公開ネットワーク
サーバ、内部利用ローカルサーバとも「分からない」との回答が 300 人以上企業より多く、それ
ぞれ 6.4 ポイント、6.3 ポイントの差がある。 2010 年度調査との比較をみると、2011 年度調査では「外部事業者に運用を委託」の選択肢を
追加したが、外部公開ネットワークサーバでは「ほぼ全サーバに計画的に適用している」と「外
部事業者に運用を委託」を合計した数値が、2010 年度調査の「ほぼ全サーバに計画的に適用して
いる」の数値とほぼ同じである。「ほとんど適用していない」は外部公開ネットワークサーバで
3.5 ポイント減、内部利用ローカルサーバで 1.1 ポイント減である。
28.4
32.0
8.8
15.7
8.3
12.2
10.4
21.6
14.9
5.8
14.4
3.3
7.0
5.3
7.6
4.2
0% 20% 40% 60% 80% 100%
外部に公開しているネットワークサーバ
内部で利用しているローカルサーバ
ほぼ全サーバに計画的に適用している
一部のサーバには計画的に適用、他は気がついたら適用
気がついたときに適用
ほとんど適用していない
外部事業者に運用を委託
該当サーバを利用していない
分からない
無回答
(N=1,767)
図 3.2-34 サーバへのセキュリティパッチの適用
52
<外部公開ネットワークサーバ>
36.2
20.3
10.6
7.0
7.1
9.6
11.1
9.7
14.0
15.9
11.0
18.0
3.9
10.3
6.1
9.2
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
ほぼ全サーバに計画的に適用している
一部のサーバには計画的に適用、他は気がついたら適用
気がついたときに適用
ほとんど適用していない
外部事業者に運用を委託
該当サーバを利用していない
分からない
無回答
<内部利用ローカルサーバ>
35.8
28.0
17.6
13.7
11.0
13.5
24.8
18.2
4.2
7.4
1.3
5.3
2.2
8.5
3.1
5.3
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
ほぼ全サーバに計画的に適用している
一部のサーバには計画的に適用、他は気がついたら適用
気がついたときに適用
ほとんど適用していない
外部事業者に運用を委託
該当サーバを利用していない
分からない
無回答
図 3.2-35 セキュリティパッチの適用(従業員規模別)
53
3.2.9. セキュリティパッチを適用しない理由 セキュリティパッチを適用しない理由は「パッチの適用が悪影響を及ぼすリスクを避けるため」
が 74.3%で最も多く、次いで「パッチを適用しなくても問題ないと判断したため」(27.3%)、「パ
ッチの評価や適用に多大なコストがかかるため」(15.0%)と続く。2010 年度調査の傾向とほぼ
同じである。 従業員規模別にみると、「パッチの適用が悪影響を及ぼすリスクを避けるため」は 300 人以上企
業の方が 16.1 ポイント高い。一方、「パッチを適用しなくても問題ないと判断したため」は 300人未満企業の方が 7.2 ポイント高い。
74.3
8.8
27.3
15.0
7.0
1.5
0% 20% 40% 60% 80% 100%
パッチの適用が悪影響を及ぼすリスク
を避けるため
パッチ適用以外の手段が有効である
ため
パッチを適用しなくても問題ないと判断
したため
パッチの評価や適用に多大なコストが
かかるため
その他
無回答
(N=400)
図 3.2-36 セキュリティパッチを適用しない理由
80.9
10.2
24.3
20.0
6.4
1.7
64.8
6.7
31.5
7.9
7.9
1.2
0% 20% 40% 60% 80% 100%
パッチの適用が悪影響を及ぼすリスクを避
けるため
パッチ適用以外の手段が有効であるため
パッチを適用しなくても問題ないと判断した
ため
パッチの評価や適用に多大なコストがかか
るため
その他
無回答300人以上企業(N=235)
300人未満企業(N=165)
図 3.2-37 セキュリティパッチを導入適用しない理由(従業員規模別)
54
3.2.10. クライアント(パソコン)へのセキュリティパッチ適用の有無
クライアント(パソコン)に対するパッチ適用の状況は、「常に適用し、適用状況も把握してい
る」が33.9%と最も多い。次いで、「常に適用する方針・設定だが、実際の適用状況は不明」(26.7%)
である。 従業員規模別にみると、セキュリティパッチを「常に適用し、適用状況も把握している」率は
300 人以上企業が 41.9%で、300 人未満企業との差が 16.3 ポイントと大きい。300 人未満企業で
は、「常に適用する方針・設定だが、実際の適用状況は不明」や「各ユーザに適用を任せている」
の比率が 300 人以上企業より高く、組織的に管理していない状況がうかがえる。 時系列でみると、2008 年から上昇していた「常に適用し、適用状況も把握している」が 2011
年度では 2010 年度から 3.4 ポイントと若干ではあるが低下している。
33.9 26.7 18.0 12.2 4.6 4.6
0% 20% 40% 60% 80% 100%
常に適用し、適用状況も把握している
常に適用する方針・設定だが、実際の適用状況は不明
各ユーザに適用を任せている
ほとんど適用していない
分からない
無回答
(N=1,767)
図 3.2-38 セキュリティパッチ適用の有無
41.9
25.6
24.6
28.8
13.9
22.3
13.9
10.5
2.6
6.8
3.2
6.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
常に適用し、適用状況も把握している
常に適用する方針・設定だが、実際の適用状況は不明
各ユーザに適用を任せている
ほとんど適用していない
分からない
無回答
図 3.2-39 セキュリティパッチ適用の有無(従業員規模別)
55
33.9
37.3
34.6
32.8
33.8
26.7
27.7
27.9
27.6
29.3
18.0
17.2
17.6
19.5
20.0
12.2
11.3
11.3
14.7
13.3
4.6
4.8
5.2
3.5
2.1
4.6
1.8
3.4
1.9
1.5
0% 20% 40% 60% 80% 100%
2011年度
(N=1,767)
2010年度
(N=1,642)
2009年
(N=1,658)
2008年
(N=2,317)
2007年
(N=2,280)
常に適用し、適用状況も把握している常に適用する方針・設定だが、実際の適用状況は不明各ユーザに適用を任せているほとんど適用していない分からない無回答
図 3.2-40 セキュリティパッチ適用の有無(時系列)
56
3.2.11. 情報セキュリティ対策教育の実施状況 情報セキュリティ対策教育の実施率(「特に実施していない」及び無回答を除いた率)は「正社
員・正職員」が 63.3%と最も高い。「役員」の実施率は 54.5%、「準社員・準職員・アルバイト 5」
は 54.6%である。2010 年度調査と比較すると、「特に実施していない」が「役員」で 6.5 ポイン
ト、「正社員・正職員」が 7.5 ポイント、「準社員・準職員・アルバイト」が 5.4 ポイントと、い
ずれも下がっている。 最も実施率が高いのは「関連情報の周知」であり、「正社員・正職員」では 39.2%が実施して
いる。
37.7
14.7
6.9
14.3
42.4
3.1
39.2
17.7
12.6
23.8
34.1
2.6
34.5
15.3
7.1
18.8
40.9
4.5
0% 20% 40% 60%
関連情報の周知
eラーニング
講習会やセミナーの聴講
社内の自主的な勉強会
特に実施していない
無回答
役員 正社員・正職員 準社員・準職員・アルバイト
(N=1,767)
図 3.2-41 情報セキュリティ対策教育の実施状況
従業員規模別にみると、「役員」「正社員・正職員」「準社員・準職員・アルバイト」とも、いず
れの項目についても 300 人以上企業の方が実施している率が高い。
5 準社員・準職員・アルバイト:派遣社員(職員)・契約社員(職員)、パート・アルバイト等、正社員(職員)
ではないが、それに準ずる職務従事者を示す。
57
44.4
21.0
7.3
14.1
34.3
2.3
30.8
8.2
6.5
14.5
50.9
3.8
0% 20% 40% 60%
関連情報の周知
eラーニング
講習会やセミナーの聴講
社内の自主的な勉強会
特に実施していない
無回答
300人以上企業(N=900) 300人未満企業(N=867)
図 3.2-42 情報セキュリティ対策教育の実施状況(役員)
45.6
25.9
15.1
25.6
24.6
1.8
32.5
9.1
9.9
22.0
44.1
3.5
0% 20% 40% 60%
関連情報の周知
eラーニング
講習会やセミナーの聴講
社内の自主的な勉強会
特に実施していない
無回答
300人以上企業(N=900) 300人未満企業(N=867)
図 3.2-43 情報セキュリティ対策教育の実施状況(正社員・正職員)
42.4
22.9
9.1
21.6
30.2
2.4
26.3
7.4
5.0
16.0
52.0
6.6
0% 20% 40% 60%
関連情報の周知
eラーニング
講習会やセミナーの聴講
社内の自主的な勉強会
特に実施していない
無回答
300人以上企業(N=900) 300人未満企業(N=867)
図 3.2-44 情報セキュリティ対策教育の実施状況(準社員・準職員・アルバイト)
58
3.2.12. 情報セキュリティ対策の必要性を感じたきっかけ
情報セキュリティ対策の必要性を感じたきっかけは「重要情報(個人情報、営業秘密、技術情
報等)の保持」(63.4%)、「法令(個人情報保護法等)の制定」(54.1%)が多い。「取引先からの
要請」(22.7%)や「対外(取引先、ユーザ等)へのアピール」(18.1%)等、対外的な取引や顧客
等との関係を重視する回答は約 2 割である。
54.1
10.4
63.4
22.7
16.9
34.5
18.1
8.5
9.3
3.6
3.2
4.3
0% 20% 40% 60% 80%
法令(個人情報保護法等)の制定
業界基準の制定
重要情報(個人情報、営業秘密、技術情報等)
の保持
取引先からの要請
自社のセキュリティ事故
他社のセキュリティ事故
対外(取引先、ユーザ等)へのアピール
セキュリティベンダーからの推薦
同業他社の対策状況をみたこと
その他
対策の必要性を感じたことがない
無回答
(N=1,767)
図 3.2-45 情報セキュリティ対策の必要性を感じたきっかけ
59
2010 年度調査との比較をみると、「他社のセキュリティ事故」が 5.8 ポイント上がっている。
2011 年度に、大手企業の大規模情報漏洩や、防衛関連企業や政府機関等へのサイバー攻撃が報道
されたことが影響していると想定される。
54.1
10.4
63.4
22.7
16.9
34.5
18.1
8.5
9.3
3.6
3.2
4.3
57.2
12.4
62.2
26.8
18.9
28.7
19.1
3.7
3.3
1.2
0% 20% 40% 60% 80%
法令(個人情報保護法等)の制定
業界基準の制定
重要情報(個人情報、営業秘密、技術情報
等)の保持
取引先からの要請
自社のセキュリティ事故
他社のセキュリティ事故
対外(取引先、ユーザ等)へのアピール
セキュリティベンダーからの推薦
同業他社の対策状況をみたこと
その他
対策の必要性を感じたことがない
無回答
2011年度(N=1,767)
2010年度(N=1,642)
図 3.2-46 情報セキュリティ対策の必要性を感じたきっかけ (2010 年度調査結果との比較)
60
従業員規模別にみると、全体的に 300 人以上企業の方がきっかけと回答している率が高い。300人未満企業において、300 人以上企業より回答率が高いのは、「セキュリティベンダーからの推
薦」(0.6 ポイント高)、及び「対策の必要性を感じたことがない」(4.6 ポイント高)のみである。 2010 年度調査との比較をみると、300 人以上企業では、「他社のセキュリティ事故」が 9.0 ポ
イントと大幅に増加している。
60.6
12.7
70.9
23.6
20.9
43.2
20.4
8.2
11.7
3.7
0.9
2.3
47.4
8.1
55.6
21.8
12.7
25.4
15.6
8.8
6.9
3.6
5.5
6.3
0% 20% 40% 60% 80%
法令(個人情報保護法等)の制定
業界基準の制定
重要情報(個人情報、営業秘密等)保持
取引先からの要請
自社のセキュリティ事故
他社のセキュリティ事故
対外(取引先、ユーザ等)へのアピール
セキュリティベンダーからの推薦
同業他社の対策状況をみたこと
その他
対策の必要性を感じたことがない
無回答
300人以上企業
(N=900)
300人未満企業
(N=867)
図 3.2-47 情報セキュリティ対策の必要性を感じたきっかけ(従業員規模別)
3.3. コンピュータウイルスによる被害状況
3.3.1. コンピュータウイルス遭遇(感染または発見)経験 ウイルス感染または発見を合計したウイルス遭遇経験をみると、コンピュータウイルスに感染
したのは 16.9%であり、2009 年調査より 6.2 ポイント減少した 2010 年度調査の 13.5%より 3.4ポイント増加している。また、約 3 割はコンピュータウイルスに遭遇していない。ウイルスに遭
遇した企業のうち、実際に感染したのは 26.5%である。 従業員規模別にみると、「ウイルスに感染した」のは 300 人以上企業で 22.3%、300 人未満企業
で 11.3%である。「ウイルスをまったく発見しなかった」のは、300 人以上企業で 20.8%、300 人
未満企業で 38.8%である。ウイルスに遭遇した企業のうち、実際に感染したのは、300 人以上企
業で 29.7%、300 人未満企業で 21.7%と若干の差がある。
61
16.9 47.0 29.6 4.7 1.8
0% 20% 40% 60% 80% 100%
ウイルスに感染した
ウイルスを発見したが、感染には至らなかった
ウイルスをまったく発見しなかった
わからない
無回答
(N=1,767)
図 3.3-1 コンピュータウイルス遭遇経験
22.3
11.3
53.0
40.8
20.8
38.8
2.8
6.7
1.1
2.4
0% 20% 40% 60% 80% 100%
300人以上企業
(N=900)
300人未満企業
(N=867)
ウイルスに感染した
ウイルスを発見したが、感染には至らなかった
ウイルスをまったく発見しなかった
わからない
無回答
図 3.3-2 コンピュータウイルス遭遇経験(従業員規模別)
62
時系列でみると、ウイルスの遭遇率は 2002 年をピークとし 2007 年まで減少を続け、2008 年
に 2.7 ポイント上昇したが、以降 2010 年度まで減少傾向であった。2011 年度調査では、ウイル
ス遭遇率は 68.4%に達し、2003~2005 年頃と同水準にまで上昇した。
68.4
49.1
57.6
60.9
58.2
63.7
69.8
68.9
70.0
80.3
74.8
49.3
44.1
39.8
31.6
50.9
42.4
39.1
41.8
36.3
30.2
31.1
30.0
19.7
25.2
50.7
55.9
60.2
0% 20% 40% 60% 80% 100%
2011年度(N=1,653)
2010年度(N=1,581)
2009年(N=1,636)
2008年(N=2,300)
2007年(N=2,267)
2006年(N=1,764)
2005年(N=1,682)
2004年(N=1,150)
2003年(N=1,108)
2002年(N=1,789)
2001年(N=1,671)
2000年(N=1,671)
1999年(N=1,500)
1998年(N=1,541)
遭遇経験あり 遭遇経験なし
図 3.3-3 コンピュータウイルス遭遇(感染または発見)経験(時系列)
注)時系列比較のため、無回答及び「わからない」(2011 年度調査のみ)を除いて 2004 年以降の値を再集計しており、図 3.3-1、
図 3.3-2 の値と異なる。
63
3.3.2. コンピュータウイルスを発見した方法 コンピュータウイルスを発見した方法は、「ウイルス対策ソフト(クライアント型)」が 87.9%
と最も多く、ついで「ウイルス対策ソフト(ゲートウェイ型)」が 24.9%となっている。2010 年
度調査結果と比較して大きな差はない。 従業員規模別にみると、コンピュータウイルスを発見した方法に従業員規模で大きな差異はな
い。
87.9
24.9
8.2
9.3
3.1
9.5
1.9
1.6
0.5
0% 20% 40% 60% 80% 100%
ウイルス対策ソフト(クライアント型)
ウイルス対策ソフト(ゲートウェイ型)
プロバイダのチェックサービス
ファイアウォール
IDS、IPSによる侵入検知
目視による
外部からの連絡
その他
無回答
(N=1,130)
図 3.3-4 コンピュータウイルスを発見した方法
90.3
26.8
7.5
9.6
4.4
10.0
1.9
1.5
0.1
84.3
21.9
9.3
8.8
1.1
8.6
1.8
1.8
1.1
0% 20% 40% 60% 80% 100%
ウイルス対策ソフト(クライアント型)
ウイルス対策ソフト(ゲートウェイ型)
プロバイダのチェックサービス
ファイアウォール
IDS、IPSによる侵入検知
目視による
外部からの連絡
その他
無回答300人以上企業(N=678)
300人未満企業(N=452)
図 3.3-5 コンピュータウイルスを発見した方法(従業員規模別)
64
3.3.3.感染、あるいは発見されたコンピュータウイルスの侵入経路 コンピュータウイルスの侵入経路は、「インターネット接続(HP 閲覧など)」が 56.4%と最も
多く、ついで「電子メール」が 52.2%、「USB メモリ等の外部記憶媒体」が 45.5%となっている。 2010 年度調査では「USB メモリ等の外部記憶媒体」が 55.4%と最も多かったが、2011 年度調
査では 9.9 ポイント下がり、「インターネット(HP 閲覧など)」「電子メール」がそれぞれ 8.3 ポ
イント、7.5 ポイント上昇している。 従業員規模でみると、「USB メモリ等の外部記憶媒体」が 300 人以上企業で 52.7%であるが、
300 人未満企業で 34.7%と、18.0 ポイントもの差がある。これは 2010 年度の傾向と同様である。
52.2
56.4
16.5
0.4
45.5
2.9
0.4
3.9
0.7
0% 20% 40% 60% 80% 100%
電子メール
インターネット接続 (HP閲覧など)
自らダウンロードしたファイル
P2P等ファイル共有ソフト
USBメモリ等の外部記憶媒体
持ち込みクライアント(パソコン)
その他
わからない
無回答
(N=1,130)
図 3.3-6 コンピュータウイルスの侵入経路
52.4
57.8
18.1
0.4
52.7
3.2
0.7
2.4
0.6
52.0
54.2
14.2
0.2
34.7
2.4
0.0
6.2
0.9
0% 20% 40% 60% 80% 100%
電子メール
インターネット接続
自らダウンロードしたファイル
P2Pなどのファイル共有ソフト
USBメモリ等の外部記憶媒体
持ち込みクライアント(パソコン)
その他
不明
無回答300人以上企業(N=678)
300人未満企業(N=452)
図 3.3-7 コンピュータウイルスの侵入経路(従業員規模別)
65
3.3.4. ウイルスの感染件数
ウイルスの感染件数は「1 件」が 35.5%で最も多く、次いで「5 件以上」が 26.1%と二極化して
いる。2010 年度調査と比較すると、全体的な傾向に大きな差はない。 従業員規模別にみると、300 人未満企業は最も多い「1 件」(41.8%)が、次ぐ「5 件以上」(13.3%)
と 28.5ポイントと大きく差があるのに対して、300人以上企業では、最も多いのが「1件」(32.3%)
「5 件以上」(32.3%)となっている。「4 件」「5 件以上」の回答は 300 人以上企業の方が多い。
1件
35.5%
2件
15.4%3件
11.4%4件
2.3%
5件以上
26.1%
無回答
9.4%
(N=299)
図 3.3-8 ウイルスの感染件数
32.3
41.8
13.4
19.4
9.0
16.3
3.0
1.0
32.3
13.3
10.0
8.2
0% 20% 40% 60% 80% 100%
300人以上企業
(N=201)
300人未満企業
(N=98)
1件 2件 3件 4件 5件以上 無回答
図 3.3-9 ウイルスの感染件数(従業員規模別)
66
3.3.5. ウイルスに感染したパソコン・サーバ・スマートフォンの台数 ウイルスに感染したパソコンは「1~4台」が 50.5%で最も多く、「5~9 台」が 14.0%で続く。
64.5%が 10 台未満の小規模な感染である。 従業員規模別にみると、「1~4台」が 300 人以上企業(43.8%)、300 人未満企業(64.3%)と
も最も多いが、その差は 20.5 ポイントと大きい。300 人以上企業では 58.7%、300 人未満企業で
は 76.5%が 10 台未満の小規模な感染である。
0台
1.3%
1~4台
50.5%
5~9台
14.0%
10台~19台
10.0%
20台~49台
9.0%
50台~99台
2.3%
100台~999
台
4.3%
1,000台以上
0.7%
無回答
7.7%
(N=299)
図 3.3-10 ウイルスに感染したパソコンの台数
0.5
3.1
43.8
64.3
14.9
12.2
10.4
9.2
10.9
5.1
3.0
1.0
5.0
3.1
1.0
0.0
10.4
2.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=201)
300人未満企業
(N=98)
0台 1~4台 5~9台
10台~19台 20台~49台 50台~99台
100台~999台 1,000台以上 無回答
図 3.3-11 ウイルスに感染したパソコンの台数(従業員規模別)
67
ウイルスに感染したサーバは「0 台」が 46.5%で最も多く、「1~4 台」が 5.7%で続く。 従業員規模別にみると、「0 台」は 300 人以上企業で 45.8%、300 人未満企業で 48.0%である。
0台
46.5%
1~4台
5.7%5~9台
1.3%
10台以上
1.7%
無回答
44.8%
(N=299)
図 3.3-12 ウイルスに感染したサーバの台数
45.8
48.0
5.5
6.1
1.0
2.0
2.0
1.0
45.8
42.9
0% 20% 40% 60% 80% 100%
300人以上企業
(N=201)
300人未満企業
(N=98)
0台 1~4台 5~9台 10台以上 無回答
図 3.3-13 ウイルスに感染したサーバの台数(従業員規模別)
68
ウイルスに感染したスマートフォンは「0 台」が 45.8%で最も多く、感染経験があるのは 0.6%(2 件)である。
従業員規模別にみると、感染経験は全て 300 人以上企業(1.0%)である。
0台
45.8%
1~4台
0.0%5~9台
0.3%10台以上
0.3%
無回答
53.5%
(N=299)
図 3.3-14 ウイルスに感染したスマートフォンの台数
45.8
45.9
0.0
0.0
0.5
0.0
0.5
0.0
53.2
54.1
0% 20% 40% 60% 80% 100%
300人以上企業
(N=201)
300人未満企業
(N=98)
0台 1~4台 5~9台 10台以上 無回答
図 3.3-15 ウイルスに感染したスマートフォンの台数(従業員規模別)
69
3.3.6. ウイルスの直接的な被害
ウイルスの直接的な被害は「パソコン単体の停止」(42.5%)と「個人の業務停滞」(41.8%)が
大きい。2010 年度調査と傾向は同じであるが、「パソコン単体の停止」は 5.1 ポイント、「個人の
業務停滞」は 3.5 ポイント上昇している。
5.0
1.3
5.7
10.7
17.1
42.5
10.4
41.8
1.3
0.7
19.7
2.0
0% 20% 40% 60% 80%
情報破壊
情報漏洩
ウイルスメール等の発信
ネットワークの遅延
システム停止・性能低下
パソコン単体の停止
関連部門の業務停滞
個人の業務停滞
取引先への感染拡大
その他
特になし
無回答
(N=299)
図 3.3-16 ウイルスの直接的な被害
70
従業員規模別にみると、300 人以上企業では「個人の業務停滞」が 44.3%と最も多いが、300人未満企業では「パソコン単体の停止」が 44.9%と最も多い。
5.0
1.5
4.5
10.9
14.9
41.3
11.4
44.3
1.0
0.5
20.9
2.0
5.1
1.0
8.2
10.2
21.4
44.9
8.2
36.7
2.0
1.0
17.3
2.0
0% 20% 40% 60% 80%
情報破壊
情報漏洩
ウイルスメール等の発信
ネットワークの遅延
システム停止・性能低下
パソコン単体の停止
関連部門の業務停滞
個人の業務停滞
取引先への感染拡大
その他
特になし
無回答
300人以上企業
(N=201)300人未満企業
(N=98)
図 3.3-17 ウイルスの直接的な被害(従業員規模別)
71
3.4.サイバー攻撃(ウイルス以外)について
3.4.1. サイバー攻撃の遭遇経験
サイバー攻撃に遭遇したのは 9.9%であり、その内訳は「サイバー攻撃があったが、被害には至
らなかった」が 8.3%、「サイバー攻撃で被害にあった」が 1.6%である。遭遇率は、2009 年調査
と比較して 7.0 ポイント減少した 2010 年調査と比較すると、7.1 ポイント増加し、再び 2009 年
調査と同水準となった。 従業員規模別にみると、遭遇率は 300 人以上企業で 13.9%、300 人未満企業で 5.8%と、300 人
以上企業の方が多い。
サイバー攻
撃で被害に
あった, 1.6%
サイバー攻
撃を受けた
が、被害に
は至らな
かった,
8.3%サイバー攻
撃をまった
く受けな
かった,
70.7%
わからない,
14.4%
無回答,
5.0%(N=1,767)
図 3.4-1 サイバー攻撃の遭遇経験
2.7
0.6
11.2
5.2
69.0
72.3
13.6
15.3
3.5
6.6
0% 20% 40% 60% 80% 100%
300人以上企業
(N=201)
300人未満企業
(N=98)
サイバー攻撃で被害にあった
サイバー攻撃を受けたが、被害には至らなかった
サイバー攻撃をまったく受けなかった
わからない
無回答
図 3.4-2 サイバー攻撃の遭遇経験(従業員規模別)
72
3.4.2.サイバー攻撃の手口 サイバー攻撃の手口で最も多いのは、「DoS 攻撃」の 47.4%であり、次いで「標的型攻撃」の
20.0%である。「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」(15.4%)、「SQLインジェクション」(14.3%)が続く。2010 年度調査と比較すると、「DoS 攻撃」は 20.5 ポイン
トの大幅増であり、「標的型攻撃」はほぼ横ばいである。 警察庁の発表によると、日本に対する DDoS 攻撃の観測件数は、2011 年には前年の約 60 倍に
増加しており、企業側が検知した実態と同じ傾向が示されている。
7.4
15.4
14.3
47.4
20.0
9.7
6.9
1.7
0% 20% 40% 60% 80%
ID・パスワードを騙し取られてユーザに
なりすまされたことによる不正アクセス
脆弱性(パッチの未適用)を突かれたこ
とによる不正アクセス
SQLインジェクション
DoS攻撃
標的型攻撃
その他
手口はわからない
無回答
(N=175)
図 3.4-3 サイバー攻撃の手口
73
従業員規模別にみると、300 人以上企業では、「DoS 攻撃」(45.6%)、「標的型攻撃」(23.2%)、
「SQL インジェクション」(16.8%)並びに「脆弱性(パッチの未適用)を突かれたことによる不
正アクセス」(16.8%)の順に多い。300 人未満企業では、「DoS 攻撃」(52.0%)が群を抜いて高
く、「その他」(14.0%)、「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」
(12.0%)並びに「標的型攻撃」(12.0%)等、それ以外の手口は少ない。300 人未満企業の「そ
の他」で具体的な回答が記されているものは少ないが、「ブルートフォース」「ポートスキャンニ
ング」の回答が見られる。
10.4
16.8
16.8
45.6
23.2
8.0
4.8
2.4
0.0
12.0
8.0
52.0
12.0
14.0
12.0
0.0
0% 20% 40% 60% 80%
ID・パスワードを騙し取られユーザ
になりすまされた不正アクセス
脆弱性(パッチの未適用)を突かれ
たことによる不正アクセス
SQLインジェクション
DoS攻撃
標的型攻撃
その他
手口はわからない
無回答
300人以上企業
(N=125)300人未満企業
(N=50)
図 3.4-4 サイバー攻撃の手口(従業員規模別)
74
3.4.3.標的型攻撃の電子メール受信の有無
標的型攻撃の電子メール受信については、「標的型攻撃を発見した(のみ)」が 80.0%、「標的型
攻撃が原因と考えられるウイルス感染、不正アクセス、情報漏洩等が確認された」が 14.3%であ
る。2010 年度調査と比較すると、「標的型攻撃を発見した(のみ)」が同率、「標的型攻撃が原因
と考えられるウイルス感染等が確認された」が 4.3 ポイント増であり、件数も 2010 年度の 1 件か
ら 5 件に増加している。 従業員規模別にみると、「標的型攻撃が原因と考えられるウイルス感染、不正アクセス、情報漏
えい等を確認」があったのは全て 300 人以上企業である。
標的型攻撃
を発見した
(のみ)
80.0%
標的型攻撃
が原因と考
えられるウイ
ルス感染、
不正アクセ
ス、情報漏洩
等が確認さ
れた
14.3%
無回答
5.7%
(N=35)
図 3.4-5 標的型攻撃の電子メール受信
75.9
17.2
6.9
100.0
0.0
0.0
0% 20% 40% 60% 80% 100%
標的型攻撃を発見した(のみ)
標的型攻撃が原因と考えられるウイルス
感染、不正アクセス、情報漏洩等が確認
された
無回答
300人以上企業(N=29) 300人未満企業(N=6)
図 3.4-6 標的型攻撃の電子メール受信(従業員規模別)
75
3.4.4.標的型攻撃の具体的な手段
標的型攻撃の具体的な手段は、「同僚や取引先、サービス事業者からのメールを装い、添付した
ウイルスファイルを開かせる」(45.7%)、及び「公的機関からのメールを装い、添付したウイル
スファイルを開かせる」(42.9%)が多い。2010 年度調査と比較して、特に「公的機関からのメ
ールを装い、添付したウイルスファイルを開かせる」が 20.7 ポイント増えている。 従業員規模別にみると、300 人以上企業では、「公的機関からのメールを装い、添付したウイル
スファイルを開かせる」が 44.8%で最も多いが、300 人未満企業では「同僚や取引先、サービス
事業者からのメールを装い、添付したウイルスファイルを開かせる」が 66.7%で最も多い。
45.7
42.9
20.0
14.3
5.7
0% 20% 40% 60%
同僚や取引先等のメールを装い、添
付したウイルスファイルを開かせる
公的機関からのメールを装い、添付し
たウイルスファイルを開かせる
製品等の顧客を装い、ウイルスファイ
ル付相談メールを窓口等に送りつける
その他
無回答
(N=35)
図 3.4-7 標的型攻撃の具体的な手段
41.4
44.8
20.7
13.8
6.9
66.7
33.3
16.7
16.7
0.0
0% 20% 40% 60% 80% 100%
同僚や取引先等のメールを装い、添付したウイ
ルスファイルを開かせる
公的機関からのメールを装い、添付したウイル
スファイルを開かせる
製品等の顧客を装い、ウイルスファイル付相談
メールを窓口等に送りつける
その他
無回答
300人以上企業(N=29) 300人未満企業(N=6)
図 3.4-8 攻撃の具体的な手段(従業員規模別)
76
3.4.5.標的型攻撃と思われる電子メールの件数
2011 年度 1 年間に受信した標的型攻撃と思われる電子メールの件数は、「10 件未満」が最も多
く 25.7%である。 従業員規模別にみると、300 人以上企業の件数は「10 件未満」~「1,000 件以上」まで様々で
あるが、300 人未満企業の件数は「10 件未満」並びに「1,000 件以上」がいずれも 33.3%である。
10件未満
25.7%
10~100件
未満
20.0%
100~
1,000
件未
満
5.7%
1,000件以
上
14.3%
無回答
34.3%
(N=9)
図 3.4-9 標的型攻撃と思われる電子メールの件数
24.1
33.3
24.1
0.0
6.9
0.0
10.3
33.3
34.5
33.3
0% 20% 40% 60% 80% 100%
300人以上企業
(N=29)
300人未満企業
(N=6)
10件未満 10~100件未満 100~1,000件未満 1,000件以上 無回答
図 3.4-10 標的型攻撃と思われる電子メールの件数(従業員規模別)
77
3.4.6.サイバー攻撃による被害
サイバー攻撃による被害で最も多いのは、「その他」を除き「業務用サーバのサービスの機能が
低下させられた」が最も多く 20.7%、次いで「Web サイトのサービス機能が低下させられた」が
17.2%である。「Web サイトが改ざんされた」並びに「貴社が提供するネットサービスにおいて、
第三者のなりすましによる不正使用があった」は 13.8%である。「その他」の具体的な回答では、
「メールパスワード、メールアドレスの不正取得によるスパムメールの発信元」「自社の個人 PCへのアクセス」「クライアント PC の乗っ取り」等、PC・サーバの不正アクセス・不正利用、「メ
ール障害」「通信不能」「大量のトラフィック発生による回線の圧迫」「ネットワークが利用不能・
接続不安定」等、通信系の障害がみられる。
13.8
10.3
3.4
17.2
0.0
0.0
3.4
20.7
13.8
0.0
34.5
0.0
0% 10% 20% 30% 40%
Webサイトが改ざんされた
Webサイトから情報(顧客情報等)が盗まれた(流出した)
Webサイトのサービスが停止させられた
Webサイトのサービスの機能が低下させられた
業務用サーバの内容が改ざんされた
業務用サーバから情報(顧客情報等)が盗まれた(流出した)
業務用サーバのサービスが停止させられた
業務用サーバのサービスの機能が低下させられた
貴社が提供するネットサービスにおいて、第三者のなりすまし
による不正使用があった
取引先の企業や個人に被害が拡大した
その他
無回答
(N=29)
図 3.4-11 サイバー攻撃による被害
78
12.5
8.3
4.2
20.8
0.0
0.0
4.2
20.8
16.7
0.0
33.3
0.0
20.0
20.0
0.0
0.0
0.0
0.0
0.0
20.0
0.0
0.0
40.0
0.0
0% 20% 40% 60%
Webサイトが改ざんされた
Webサイトから情報(顧客情報等)が盗まれた(流出した)
Webサイトのサービスが停止させられた
Webサイトのサービスの機能が低下させられた
業務用サーバの内容が改ざんされた
業務用サーバから情報(顧客情報等)が盗まれた
業務用サーバのサービスが停止させられた
業務用サーバのサービスの機能が低下させられた
貴社提供のネットサービスに第三者なりすまし不正使用
取引先の企業や個人に被害が拡大した
その他
無回答
300人以上企業(N=24)
300人未満企業(N=5)
図 3.4-12 サイバー攻撃による被害(従業員規模別)
79
3.5.被害により生じた直接的損失 3.5.1.ウイルス感染やサイバー攻撃による電子商取引(EC)が停止した期間
2011 年度の 1 年間でウイルス感染やサイバー攻撃により電子商取引業務が停止した企業(「1時間以内」等、停止した選択肢の回答合計)は全体の 6.5%であり、89.4%は「停止していない」
との回答である。 従業員規模別にみると、停止した企業は 1 社を除き 300 人未満企業である。
89.4
1.1
2.1
1.1
1.1
0.0
1.1
0.0
4.3
0% 20% 40% 60% 80% 100%
停止していない
1時間以内
半日以内
1日以内
2~3日以内
4~5日以内
6~10日以内
11日以上
無回答
(N=94)
図 3.5-1 電子商取引業務が停止した年間延べ日数
92.6
1.5
0.0
0.0
0.0
0.0
0.0
0.0
5.9
80.8
0.0
7.7
3.8
3.8
0.0
3.8
0.0
0.0
0% 20% 40% 60% 80% 100%
停止していない
1時間以内
半日以内
1日以内
2~3日以内
4~5日以内
6~10日以内
11日以上
無回答
300人以上企業(N=68)
300人未満企業(N=26)
図 3.5-2 電子商取引業務が停止した年間延べ日数(従業員規模別)
80
3.5.2.ウイルス感染やサイバー攻撃による EC サーバ以外の業務遂行上重要なサーバ停止の影
響
2011年度 1 年間でウイルス感染やサイバー攻撃によりEC サーバ以外の業務遂行上重要なサー
バが停止した企業は全体の 12.0%であり、81.2%は「停止していない」との回答である。 従業員規模別にみると、傾向の差はない。
81.2
0.6
4.9
2.3
3.9
0.3
0.0
0.0
6.8
0% 20% 40% 60% 80% 100%
停止していない
1時間以内
半日以内
1日以内
2~3日以内
4~5日以内
6~10日以内
11日以上
無回答
(N=.309)
図 3.5-3 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数
82.4
1.0
2.4
0.5
4.3
0.5
0.0
0.0
9.0
78.8
0.0
10.1
6.1
3.0
0.0
0.0
0.0
2.0
0% 20% 40% 60% 80% 100%
停止していない
1時間以内
半日以内
1日以内
2~3日以内
4~5日以内
6~10日以内
11日以上
無回答
300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-4 EC サーバ以外の業務遂行上重要なサーバ停止の年間延べ日数(従業員規模別)
81
3.5.3.ウイルス感染やサイバー攻撃による情報管理部門が行った復旧作業人日
情報管理部門が行ったウイルス感染やサイバー攻撃からの復旧作業人日は、「1人・日以内」が
27.8%で最も多く、「2~3 人・日」が 22.3%で続く。この両項目と「0 人・日」を合わせ、3 人・
日以内での復旧であったのが 67.9%である。 従業員規模別にみると、300 人未満企業では「1 人・日以内」が 40.4%であり、300 人以上企業
と比較して 18.5 ポイント大きい。「11~15 人・日」より作業人日が多い項目については、300 人
以上企業の方が高い。
0人・日
17.8%
1人・日以内
27.8%
2~3人・日
22.3%
4~5人・日
9.7%
6~10人・日
8.1%11~15人・
日
2.6%
16~20人・
日
1.9%
21~25人・
日
0.6%
26~30人・
日
1.9%
31人・日以
上
1.6%
無回答
5.5%(N=309)
図 3.5-5 復旧作業延べ人日
17.1
21.9
22.4
11.9
7.6
2.9
2.9
1.0
2.4
2.4
7.6
19.2
40.4
22.2
5.1
9.1
2.0
0.0
0.0
1.0
0.0
1.0
0% 20% 40% 60%
0人・日
1人・日以内
2~3人・日
4~5人・日
6~10人・日
11~15人・日
16~20人・日
21~25人・日
26~30人・日
31人・日以上
無回答
300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-6 復旧作業延べ人日(従業員規模別)
82
3.5.4.ウイルス感染やサイバー攻撃によるシステム復旧に関して新たに購入した代替機器の
費用
ウイルス感染やサイバー攻撃によるシステム復旧に関して新たに購入した代替機器の費用は、
「0 円」が 84.5%であり、費用が発生しているのは 9.7%である。 従業員規模別にみると、費用が発生しているのは 300 人以上企業で 7.2%、300 人未満企業で
15.2%と、300 人未満企業の方が多い。
0円
84.5%
10万円未満
7.4%
10~30万円
未満
1.6%
30~50万円
未満
0.0%
50~70万円
未満
0.0%
70~100万
円未満
0.3%
100~200万
円未満
0.0%
200~300万
円未満
0.0%
300万円以
上
0.3%
無回答
5.8%
(N=309)
図 3.5-7 システム復旧に関して新たに購入した代替機器の費用
85.2
4.3
1.9
0.0
0.0
0.5
0.0
0.0
0.5
7.6
82.8
14.1
1.0
0.0
0.0
0.0
0.0
0.0
0.0
2.0
0% 20% 40% 60% 80% 100%
0円
10万円未満
10~30万円未満
30~50万円未満
50~70万円未満
70~100万円未満
100~200万円未満
200~300万円未満
300万円以上
無回答
300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-8 システム復旧に関して新たに購入した代替機器の費用 (従業員規模別)
83
3.5.5.ウイルス感染やサイバー攻撃によるシステム復旧に関して外部に発注した業務の費用
ウイルス感染やサイバー攻撃によるシステム復旧に関して新たに外部に発生した業務の費用は、
「0 円」が 84.5%であり、費用が発生しているのは 9.7%である。 従業員規模別にみると、費用が発生しているのは 300 人以上企業で 9.1%、300 人未満企業で
11.1%と、大きな差異はない。
0円
84.5%10万円未満
3.9%
10~30万円
未満
1.9%
30~50万円
未満
1.0%
50~70万円
未満
0.0%
70~100万
円未満
1.0%
100~200万
円未満
0.6%
200~300万
円未満
0.3%
300万円以
上
1.0%
無回答
5.8%
(N=309)
図 3.5-9 システム復旧に関して外部に発注した業務の費用
83.3
2.4
2.4
1.4
0.0
1.0
0.0
0.5
1.4
7.6
86.9
7.1
1.0
0.0
0.0
1.0
2.0
0.0
0.0
2.0
0% 20% 40% 60% 80% 100%
0円
10万円未満
10~30万円未満
30~50万円未満
50~70万円未満
70~100万円未満
100~200万円未満
200~300万円未満
300万円以上
無回答
300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-10 システム復旧に関して外部に発注した業務の費用(従業員規模別)
84
3.5.6.ウイルス感染やサイバー攻撃が原因で発生した追加データ処理作業人日
業務部門が行ったウイルス感染やサイバー攻撃が原因で発生した追加データ処理作業人日は、
「0人・日」が 63.1%で、追加作業が発生したのは 29.5%である。追加作業が発生した企業では
「1 人・日以内」が 17.2%と最も多い。 従業員規模別にみると、300 人以上企業では 28.1%、300 人未満企業では 32.3%の企業におい
て、追加作業が発生している。
0人・日
63.1%
1人・日以内
17.2%
2~3人・日
7.1%
4~5人・日
1.6%
6~10人・日
1.6%
11~15人・
日
1.0%
16人・日以
上
1.0%
無回答
7.4%
(N=309)
図 3.5-11 発生した追加データ処理作業人日
61.9
16.2
5.7
1.9
1.9
1.0
1.4
10.0
65.7
19.2
10.1
1.0
1.0
1.0
0.0
2.0
0% 20% 40% 60% 80% 100%
0人・日
1人・日以内
2~3人・日
4~5人・日
6~10人・日
11~15人・日
16人・日以上
無回答
300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-12 発生した追加データ処理作業人日(従業員規模別)
85
3.5.7.ウイルス感染やサイバー攻撃による復旧以外の対応
(1)作業内容 ウイルス感染やサイバー攻撃による復旧以外の作業内容の実施状況は、「原因追求・影響範囲特
定のための調査」が 67.3%と最も多く、次いで「特に実施していない」の 24.3%である。 従業員規模による傾向の違いはほとんどない。
67.3
2.9
2.3
0.6
4.5
24.3
6.8
0% 20% 40% 60% 80% 100%
原因追求・影響範囲特定のための調査
問合せ窓口の設置
取引先・顧客等への謝罪(金券等を含む)
謝罪広告の出稿
その他
特に実施していない
無回答
(N=309)
図 3.5-13 復旧以外の対応作業内容
68.1
3.3
2.4
1.0
3.8
22.9
8.1
65.7
2.0
2.0
0.0
6.1
27.3
4.0
0% 20% 40% 60% 80% 100%
原因追求・影響範囲特定のための調査
問合せ窓口の設置
取引先・顧客等への謝罪(金券等を含む)
謝罪広告の出稿
その他
特に実施していない
無回答300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-14 復旧以外の対応作業内容(従業員規模別)
86
(2)復旧以外の対応作業人日 作業人日は、ほぼ全ての作業において「1人・日」が最も多いが、「問合せ窓口の設置」につい
ては、「15 人超」との回答が 11.1%あった。
48.6
66.7
28.6
50.0
57.1
26.4
0.0
14.3
0.0
21.4
8.7
0.0
14.3
0.0
14.3
6.7
11.1
28.6
0.0
7.1
2.4
0.0
0.0
0.0
0.0
3.8
11.1
0.0
0.0
0.0
3.4
11.1
14.3
50.0
0.0
0% 20% 40% 60% 80% 100%
原因追求・影響範囲特定のための調査
(N=208)
問合せ窓口の設置(N=9)
取引先・顧客等への謝罪(金券等を含
む)(N=7)
謝罪広告の出稿(N=2)
その他(N=14)
1人日以内 1人日超~3人日以内 3人日超~5人日以内
5人日超~10人日以内 10人日超~15人日以内 15人日超
図 3.5-15 復旧以外の対応作業人日 従業員規模別にみると、原因追求・影響範囲特定のための調査では、300 人以上企業の 39.9%、
300 人未満企業の 67.7%が「1 人・日」との回答である。300 人未満企業では、最大で「5 人日超
~10 人日以内」(6.2%)であるが、300 人以上企業では、「15 人日超」が 5.6%である。
<原因追求・影響範囲特定のための調査>
39.9
67.7
28.7
21.5
10.5
4.6
7.0
6.2
3.5
0.0
5.6
0.0
4.9
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=143)
300人未満企業
(N=65)
1人日以内 1人日超~3人日以内 3人日超~5人日以内
5人日超~10人日以内 10人日超~15人日以内 15人日超
無回答
図 3.5-16 復旧以外の対応作業人日 (原因追求・影響範囲特定のための調査、従業員規模別)
87
問合せ窓口(コールセンター)の設置では、300 人以上企業の 57.1%、300 人未満企業の 100.0%が「1 人日以内」との回答である。300 人以上企業では、最大で「15 人日超」(14.3%)であるが、
300 人未満企業では、対象 2 社とも「1 人日以内」である。 <問合せ窓口(コールセンター)の設置>
57.1
100.0
0.0
0.0
0.0
0.0
14.3
0.0
0.0
0.0
14.3
0.0
14.3
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=7)
300人未満企業
(N=2)
1人日以内 1人日超~3人日以内 3人日超~5人日以内5人日超~10人日以内 10人日超~15人日以内 15人日超無回答
図 3.5-17 復旧以外の対応作業人日 (問合せ窓口(コールセンター)の設置、従業員規模別)
取引先・顧客等への謝罪(金券等を含む)では、300 人以上企業(5 件)、300 人未満企業(2件)とも回答が分散しており、300 人以上企業、300 人未満企業とも最大「10 人日超~15 人日以
内」、である。 <取引先・顧客等への謝罪(金券等を含む)>
20.0
50.0
20.0
0.0
20.0
0.0
20.0
50.0
0.0
0.0
0.0
0.0
20.0
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=5)
300人未満企業
(N=2)
1人日以内 1人日超~3人日以内 3人日超~5人日以内
5人日超~10人日以内 10人日超~15人日以内 15人日超
無回答
図 3.5-18 復旧以外の対応作業人日 (取引先・顧客等への謝罪(金券等を含む)、従業員規模別)
88
謝罪広告の出稿は 300 人以上企業のうち 1 社のみが実施しており、「1 人日以内」である。
<謝罪広告の出稿>
50.0
0.0
0.00.0
0.0
0.0
0.0
50.0
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=2)
300人未満企業
(N=0)
1人日以内 1人日超~3人日以内 3人日超~5人日以内5人日超~10人日以内 10人日超~15人日以内 15人日超無回答
図 3.5-19 復旧以外の対応作業人日 (謝罪広告の出稿、従業員規模別)
その他の作業では、300 人以上企業の 50.0%、300 人未満企業の 66.7%が「1 人日以内」との
回答であり、最大では、300 人以上企業が「5 人日超~10 人日以内」、300 人未満企業では「3 人
日超~5 人日以内」である。 <その他>
50.0
66.7
25.0
16.7
12.5
16.7
12.5
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=8)
300人未満企業
(N=6)
1人日以内 1人日超~3人日以内 3人日超~5人日以内5人日超~10人日以内 10人日超~15人日以内 15人日超無回答
図 3.5-20 復旧以外の対応作業人日 (その他、従業員規模別)
89
3.5.8.ウイルス感染やサイバー攻撃による被害の発生
ウイルス感染やサイバー攻撃による被害の発生状況については、「特に間接的な被害は受けな
かった」が 84.5%と、ほとんどの企業が被害を受けていない。「取引先から補償・補填を求められ
た」「インターネット上で中傷されたり、流言を流された」がそれぞれ 0.3%である。 従業員規模別にみると、被害を受けたのは、300 人未満企業、300 人以上企業とも同規模であ
る。
0.0
0.3
0.0
0.3
1.9
84.5
12.9
0% 20% 40% 60% 80% 100%
顧客が減少した、顧客から指名停止を受けた
取引先から補償・補填を求められた
関係者から訴訟を起こされた
インターネット上で中傷されたり、
流言を流された
その他
特に間接的な被害は受けなかった
無回答
(N=309)
図 3.5-21 ウイルス感染やサイバー攻撃による被害の発生
0.0
0.5
0.0
0.0
2.4
84.3
12.9
0.0
0.0
0.0
1.0
1.0
84.8
13.1
0% 20% 40% 60% 80% 100%
顧客が減少した、顧客から指名停止を受けた
取引先から補償・補填を求められた
関係者から訴訟を起こされた
インターネット上で中傷されたり、流言を流さ
れた
その他
特に間接的な被害は受けなかった
無回答
300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-22 ウイルス感染やサイバー攻撃による被害の発生(従業員規模別)
90
3.5.9.ウイルス感染やサイバー攻撃からの復旧以外の対応による外部発注費用
ウイルス感染やサイバー攻撃からの復旧以外の対応による外部発注費用は、「0 円」が 83.2%で
あり、何らかの外部発注費用が発生したのは 11.0%である。また、最大は「1,000 万円以上」の
1.3%である。 従業員規模別にみると、何らかの外部発注費用が発生した企業の割合は、300 人以上企業で
12.4%、300 人未満企業で 8.1%である。費用が発生した企業では、300 人未満企業では最大「10~100 万円未満」(3.0%)であるが、300 人以上企業では「1,000 万円以上」(1.9%)である。
0円
83.2%
10万円未
満
4.5%
10~100万
円未満
3.6%
100~300
万円未満
0.3%
300~500
万円未満
1.0%
500~1,000
万円未満
0.3%
1,000万円
以上
1.3%
無回答
5.8%
(N=309)
図 3.5-23 復旧以外の対応による外部発注費用
80.0
4.3
3.8
0.5
1.4
0.5
1.9
7.6
89.9
5.1
3.0
0.0
0.0
0.0
0.0
2.0
0% 20% 40% 60% 80% 100%
0円
10万円未満
10~100万円未満
100~300万円未満
300~500万円未満
500~1,000万円未満
1,000万円以上
無回答
300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-24 復旧以外の対応による外部発注費用(従業員規模別)
91
3.5.10.ウイルスやサイバー攻撃の被害内容や対応状況に関する情報の外部公開
ウイルス感染やサイバー攻撃の被害内容や対応状況に関する情報について、外部に「公開した」
のは 3.6%である。従業員規模別でも同じ傾向である。
公開した
3.6%
公開しな
かった
85.4%
無回答
11.0%
(N=309)
図 3.5-25 ウイルスやサイバー攻撃の被害内容や対応状況に関する情報の外部公開
3.8
3.0
84.8
86.9
11.4
10.1
0% 20% 40% 60% 80% 100%
300人以上企業(N=210)
300人未満企業(N=99)
公開した 公開しなかった 無回答
図 3.5-26 ウイルスやサイバー攻撃の被害内容や対応状況に関する情報の外部公開 (従業員規模別)
92
3.5.11.公開した情報の掲載
公開した情報は、「自社のホームページに掲載した」が 54.5%で最も多かった。「新聞や雑誌に
掲載された」(27.3%)、「ウエブニュースに掲載された」(18.2%)、「ネットの掲示板に書き込ま
れた」(9.1%)である。「その他」の回答が 54.5%と多い。 従業員規模別にみると、300 人未満企業の全て(3 件)が「その他」である。
54.5
27.3
18.2
9.1
54.5
0.0
0% 20% 40% 60% 80% 100%
自社のホームページに掲載した
新聞や雑誌に掲載された
ウェブニュースに掲載された
ネットの掲示板に書き込まれた
その他
無回答
(N=11)
図 3.5-27 公開した情報の掲載
75.0
37.5
25.0
12.5
37.5
0.0
0.0
0.0
0.0
0.0
100.0
0.0
0% 20% 40% 60% 80% 100%
自社のホームページに掲載した
新聞や雑誌に掲載された
ウェブニュースに掲載された
ネットの掲示板に書き込まれた
その他
無回答300人以上企業(N=8)
300人未満企業(N=3)
図 3.5-28 公開した情報の掲載(従業員規模別)
93
3.5.12.発生した被害について想定される影響の規模
発生した被害について想定される影響は、「影響はなかった」が 60.2%で最も多い。実際の被害
では「取引先・関係先に影響を及ぼしうる」(6.8%)「自社の経営・事業に影響を及ぼしうる」
(6.5%)が多い。 従業員規模別にみると、概ね傾向は同じであるが、「取引先・関係先に影響を及ぼしうる」のが
300 人以上企業(5.2%)と 300 人未満企業(10.1%)で 4.9 ポイントの差がある。
0.0
6.5
6.8
3.9
2.6
60.2
3.9
20.4
0% 20% 40% 60% 80% 100%
国や社会基盤、経済基盤に影響を及ぼしう
る
自社の経営・事業に影響を及ぼしうる
取引先・関係先に影響を及ぼしうる
顧客等の個人のプライバシーに影響を及ぼ
しうる
その他
影響はなかった
わからない
無回答
(N=309)
図 3.5-29 発生した被害について想定される影響の規模
0.0
7.1
5.2
4.3
3.8
60.5
3.3
20.0
0.0
5.1
10.1
3.0
0.0
59.6
5.1
21.2
0% 20% 40% 60% 80% 100%
国や社会基盤、経済基盤に影響を及ぼし
うる
自社の経営・事業に影響を及ぼしうる
取引先・関係先に影響を及ぼしうる
顧客等の個人のプライバシーに影響を及
ぼしうる
その他
影響はなかった
わからない
無回答300人以上企業(N=210)
300人未満企業(N=99)
図 3.5-30 発生した被害について想定される影響の規模(従業員規模別)
94
3.6.内部者の不正による被害 3.6.1.内部者(委託先を含む)による情報漏洩やシステムの悪用等の情報セキュリティ上の
トラブル 「内部者(委託先を含む)の不正による被害があった」のは 1.3%(23 件)である。 従業員規模別にみると、「内部者(委託先を含む)の不正による被害があった」のは 300 人以上
企業で 1.8%、300 人未満企業で 0.8%である。
内部者(委
託先を含
む)の不正
による被害
があった
1.3%
内部者(委
託先を含
む)の不正
による被害
はなかった
86.4%
わからない
8.7%
無回答
3.6%(N=1,767)
図 3.6-1 内部者による事象
1.8
0.8
87.4
85.4
8.9
8.4
1.9
5.4
0% 20% 40% 60% 80% 100%
300人以上企業(N=900)
300人未満企業(N=867)
内部者(委託先を含む)の不正による被害があった
内部者(委託先を含む)の不正による被害はなかった
わからない
無回答
図 3.6-2 内部者による事象(従業員規模別)
95
3.6.2.内部者(委託先を含む)の不正による被害 内部者(委託先を含む)の不正による被害は「技術・生産・製品・サービス関連の情報漏洩」
が 39.1%で最も多く、「顧客情報(個人情報を含む)の漏洩」が 34.8%で続く。
8.7
39.1
34.8
8.7
13.0
17.4
0.0
0% 20% 40% 60%
経営・事業関連の情報漏洩
技術・生産・製品・サービス関連の情
報漏洩
顧客情報(個人情報を含む)の漏洩
情報システムやデータの破壊
情報システムの不正利用
その他
無回答
(N=23)
図 3.6-3 内部者の不正による被害
0.0
43.8
37.5
6.3
12.5
18.8
0.0
28.6
28.6
28.6
14.3
14.3
14.3
0.0
0% 20% 40% 60% 80% 100%
経営・事業関連の情報漏洩
技術・生産・製品・サービス関連の
情報漏洩
顧客情報(個人情報を含む)の漏洩
情報システムやデータの破壊
情報システムの不正利用
その他
無回答300人以上企業(N=16)
300人未満企業(N=7)
図 3.6-4 内部者の不正による被害(従業員規模別)
96
3.6.3.内部者の不正に起因する被害が起きた原因 内部者(委託先を含む)の不正に起因する被害が起きた原因として、「その他」(43.5%)を除
いた最も多い回答は「情報管理のルールが整備されていなかった」が 30.4%で最も多く、次いで
「人事・処遇に不満があった」(26.1%)、「重要情報へのアクセス権限が設定されていなかった」
が 21.7%であった。「その他」の具体的な回答では、「退職を機とした技術職による USB による
データ持ち出し」「私物にデータを持ち出し」「Winny 利用、自宅へ資料の持ち出し」等、データ
持ち出しの問題、「業務効率のためのルール無視」「ルールは整備していたが、教育不足」「個人の
モラルの問題」「個人の意識(無意識のうちに、外部へ洩らしていた)、ブログへの書き込み」「本人
の不注意(悪意はない)」等、個人の意識・モラルの問題、「協力業者の PC を持ち込み」等外部
事業者の問題がみられる。
26.1
4.3
21.7
13.0
30.4
0.0
8.7
43.5
4.3
0% 20% 40% 60%
人事・処遇に不満があった
業務内容に不満があった
重要情報へのアクセス権限が設定されていなかった
重要情報へのアクセス・操作ログを取得していなかった
情報管理のルールが整備されていなかった
入退室管理ができていなかった(物理的対策)
職員のアカウント管理ができていなかった
その他
無回答
(N=23)
図 3.6-5 内部者の不正に起因する被害が起きた原因
25.0
0.0
18.8
12.5
31.3
0.0
12.5
50.0
6.3
28.6
14.3
28.6
14.3
28.6
0.0
0.0
28.6
0.0
0% 20% 40% 60%
人事・処遇に不満があった
業務内容に不満があった
重要情報へのアクセス権限が設定されていなかった
重要情報へのアクセス・操作ログを取得していなかった
情報管理のルールが整備されていなかった
入退室管理ができていなかった(物理的対策)
職員のアカウント管理ができていなかった
その他
無回答
300人以上企業(N=16)
300人未満企業(N=7)
図 3.6-6 内部者の不正に起因する被害が起きた原因(従業員規模別)
97
3.6.4.内部者(委託先を含む)の不正による被害について想定される影響の規模 内部者(委託先を含む)の不正による被害について想定される影響の規模は、「自社の経営・事
業に影響を及ぼしうる」及び「取引先・関係先に影響を及ぼしうる」が 39.1%で最も多い。「影響
がなかった」のは 34.8%である。
0.0
39.1
39.1
8.7
4.3
34.8
0.0
0.0
0% 20% 40% 60%
国や社会基盤、経済基盤に影響を及ぼし
うる
自社の経営・事業に影響を及ぼしうる
取引先・関係先に影響を及ぼしうる
顧客等の個人のプライバシーに影響を及
ぼしうる
その他
影響はなかった
わからない
無回答
(N=23)
図 3.6-7 内部者の不正による被害について想定される影響の規模
0.0
31.3
50.0
12.5
0.0
37.5
0.0
0.0
0.0
57.1
14.3
0.0
14.3
28.6
0.0
0.0
0% 20% 40% 60% 80%
国や社会基盤、経済基盤に影響を及ぼし
うる
自社の経営・事業に影響を及ぼしうる
取引先・関係先に影響を及ぼしうる
顧客等の個人のプライバシーに影響を及
ぼしうる
その他
影響はなかった
わからない
無回答
300人以上企業(N=16)
300人未満企業(N=7)
図 3.6-8 内部者の不正による被害について想定される影響の規模(従業員規模別)
98
3.6.5.内部者(委託先を含む)の不正による被害への対応として実施した内容 内部者(委託先を含む)不正による被害への対応として実施した内容は、「原因追求・影響範囲
特定のための調査」が 100.0%で、内部者(委託先を含む)の不正のあった全企業が実施している。
「取引先・顧客等への謝罪(金券等を含む)」は 21.7%である。
100.0
0.0
21.7
0.0
4.3
0.0
0.0
0% 20% 40% 60% 80% 100%
原因追求・影響範囲特定のための調査
問合せ窓口(コールセンター)の設置
取引先・顧客等への謝罪(金券等を含
む)
謝罪広告の出稿
その他
特に実施していない
無回答
(N=23)
図 3.6-9 内部者の不正による被害への対応として実施した内容
100.0
0.0
25.0
0.0
6.3
0.0
0.0
100.0
0.0
14.3
0.0
0.0
0.0
0.0
0% 20% 40% 60% 80% 100%
原因追求・影響範囲特定のための調査
問合せ窓口(コールセンター)の設置
取引先・顧客等への謝罪(金券等を含む)
謝罪広告の出稿
その他
特に実施していない
無回答
300人以上企業(N=16)
300人未満企業(N=7)
図 3.6-10 内部者の不正による被害への対応として実施した内容(従業員規模別)
99
発生したおおよその作業規模は分散しており、原因追求・影響範囲特定のための調査では、「1人日以内」が 26.1%と最も多いが、「5 人日超~10 人日以内」及び「15 人日超」も 21.7%である。
26.1
0.0
0.0
0.0
0.0
17.4
0.0
0.0
100.0
4.3
0.0
20.0
0.0
0.0
21.7
0.0
0.0
0.0
0.0
4.3
0.0
0.0
0.0
21.7
0.0
60.0
0.0
4.3
0.0
20.0
0.0
0% 20% 40% 60% 80% 100%
原因追求・影響範囲特定のための調査
(N=23)
問合せ窓口の設置(N=0)
取引先・顧客等への謝罪(金券等含む)
(N=5)
謝罪広告の出稿(N=0)
その他(N=1)
1人日以内 1人日超~3人日以内 3人日超~5人日以内
5人日超~10人日以内 10人日超~15人日以内 15人日超
図 3.6-11 発生したおおよその作業規模
従業員規模別にみると、原因追求・影響範囲特定のための調査では、300 人以上企業の 31.3%が「15 人日超」で最も多い。300 人未満企業の 57.1%が「1 人・日」と最も多い。300 人未満企
業では、最大で「5 人日超~10 人日以内」(14.3%)である。 <原因追求・影響範囲特定のための調査>
12.5
57.1
12.5
28.6
6.3
0.0
25.0
14.3
6.3
0.0
31.3
0.0
6.3
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=16)
300人未満企業
(N=7)
1人日以内 1人日超~3人日以内 3人日超~5人日以内5人日超~10人日以内 10人日超~15人日以内 15人日超無回答
図 3.6-12 発生したおおよその作業規模 (原因追求・影響範囲特定のための調査、従業員規模別)
問合せ窓口(コールセンター)の設置との回答はない。
100
取引先・顧客等への謝罪(金券等を含む)では、300 人以上企業(4 件)では「1 人日超~3 人
日以内」が 75.0%と最も多い。300 人未満企業(1 件)の回答は「3 人日超~10 人日以内」であ
る。 <取引先・顧客等への謝罪(金券等を含む)>
0.0
0.0
0.0
0.0
0.0
100.0
0.0
0.0
0.0
0.0
75.0
0.0
25.0
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=4)
300人未満企業
(N=1)
1人日以内 1人日超~3人日以内 3人日超~5人日以内5人日超~10人日以内 10人日超~15人日以内 15人日超無回答
図 3.6-13 発生したおおよその作業規模 (取引先・顧客等への謝罪(金券等を含む)、従業員規模別)
謝罪広告の出稿との回答はない。 その他の作業では、300 人以上企業(1 件)が、「1 人日超~3 人日以内」である。
<その他>
0.0
100.0
0.00.00.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=1)
300人未満企業
(N=0)
1人日以内 1人日超~3人日以内 3人日超~5人日以内5人日超~10人日以内 10人日超~15人日以内 15人日超無回答
図 3.6-14 発生したおおよその作業規模 (その他、従業員規模別)
101
3.6.6.内部者(委託先を含む)の不正により生じた間接的な被害 内部者(委託先を含む)の不正により生じた間接的な被害では、「特に間接的な被害を受けなか
った」が 69.6%で最も多い。被害の中で最も多いのは「顧客が減少した、顧客から指名停止を受
けた」が 17.4%であり、「知的財産の流出によって競争力が低下した」(8.7%)、「関係者から訴訟
を起こされた」(4.3%)が続く。 従業員規模別にみると、何らかの被害を受けたのは 300 人以上企業が 25.1%、300 人未満企業
が 42.9%である。
17.4
0.0
4.3
0.0
8.7
4.3
69.6
0.0
0% 20% 40% 60% 80%
顧客が減少した、顧客から指名停止を
受けた
取引先から補償・補填を求められた
関係者から訴訟を起こされた
インターネット上で中傷されたり、流言を
流された
知的財産の流出によって競争力が低下
した
その他
特に間接的な被害は受けなかった
無回答
(N=23)
図 3.6-15 内部者の不正により生じた間接的な被害
12.5
0.0
6.3
0.0
6.3
0.0
75.0
0.0
28.6
0.0
0.0
0.0
14.3
14.3
57.1
0.0
0% 20% 40% 60% 80% 100%
顧客が減少した、顧客から指名停止を
受けた
取引先から補償・補填を求められた
関係者から訴訟を起こされた
インターネット上で中傷されたり、流言を
流された
知的財産の流出によって競争力が低下
した
その他
特に間接的な被害は受けなかった
無回答
300人以上企業(N=16)
300人未満企業(N=7)
図 3.6-16 内部者の不正により生じた間接的な被害(従業員規模別)
102
3.6.7.内部者(委託先を含む)の不正による被害内容や対応状況に関する情報の外部公開 内部者(委託先を含む)の不正による被害内容や対応状況に関する情報について、外部に「公
開した」のは 8.7%である。 従業員規模別にみると、公開した全ての企業が 300 人以上企業である。
公開した
8.7%
公開しな
かった
91.3%
無回答
0.0%(N=23)
図 3.6-17 内部者の不正による被害内容や対応状況の外部公開
12.5
0.0
87.5
100.0
0.0
0.0
0% 20% 40% 60% 80% 100%
300人以上企業
(N=16)
300人未満企業
(N=7)
公開した 公開しなかった 無回答
図 3.6-18 内部者の不正による被害内容や対応状況の外部公開(従業員規模別)
103
3.6.8.公開した情報を掲載した媒体 公開した情報を掲載した媒体は、全ての企業(2 件)が「その他」(100%)である。 「その他」の具体的な回答は、「親会社」及び「所轄官庁」であった。
0.0
0.0
0.0
0.0
100.0
0.0
0% 20% 40% 60% 80% 100%
自社のホームページに掲載した
新聞や雑誌に掲載された
ウェブニュースに掲載された
ネットの掲示板に書き込まれた
その他
無回答
(N=2)
図 3.6-19 公開した情報を掲載した媒体
0.0
0.0
0.0
0.0
100.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0% 20% 40% 60% 80% 100%
自社のホームページに掲載した
新聞や雑誌に掲載された
ウェブニュースに掲載された
ネットの掲示板に書き込まれた
その他
無回答300人以上企業(N=2)
300人未満企業(N=0)
図 3.6-20 公開した情報を掲載した媒体(従業員規模別)
104
4.考察 (1)ウイルス遭遇率が増加、侵入経路として USBメモリが減少
ウイルス遭遇率は 68.4%(図 3.3-3 参照)に達し、2010 年度調査から 19.3 ポイント増加した。
遭遇率は 2002 年をピークとして概ね減少傾向にあったが、2011 年度は 2003~2005 年頃と同水
準にまで上昇した。ウイルス感染率は 16.9%(図 3.3-1 参照)であり、2010 年度調査より 3.4ポイント増加しているが、遭遇率ほど大きな増加ではない。
ウイルスの侵入経路は、2010 年度最も多かった「USB メモリ等の外部記憶媒体」が 9.9 ポイ
ント減少し(45.5%)、「インターネット接続(HP 閲覧など)」(56.4%)や「電子メール」(52.2%)等、インターネット経由の侵入が上昇している。 感染件数や感染台数の傾向は 2010 年度と変わらず、被害についても個人やパソコン単体への
影響に留まるケースがほとんどであり、被害規模が大きくなっている訳ではない。 2010 年度は遭遇率が下がったが、企業がウイルス感染に気付いていないケースもあると想定さ
れたため、2011 年度は検知率が上昇した可能性も考えられる。2011 年度はインターネット経由
のウイルスの脅威が増し、ウイルス遭遇率は大きく上昇したが、感染は防止し、被害も小規模に
とどめた企業が多かったことが伺える。
(2)サイバー攻撃の増加
サイバー攻撃の遭遇率は 2010 年度から 7.1 ポイント増加し 9.9%であった(図 3.4-1 参照)。
特にDoS攻撃が 20.5 ポイント増加し、47.4%と最も多かった。被害はWebサイトや業務用サーバ
のサービス停止・機能低下が主である。DoS攻撃は、攻撃者の主張・主義によってあらゆる企業
が狙われる恐れがあり、また、DoS攻撃の規模は平均でも一般的なサーバを機能不全に陥らせる
のに十分な規模を持つようになっているという 6。すなわち、多くの企業にとって直面する恐れが
ある脅威であり対策が求められるようになっている。 一方、2011 年度は、防衛産業や政府機関への標的型攻撃が話題となったが、標的型攻撃はサイ
バー攻撃の手口として DoS 攻撃についで多いものの、2010 年度とほぼ同等となった。標的型攻
撃が原因と考えられるウイルス感染等は 2010年度の 1件から 5件に増加している。2011年度は、
特定組織を標的とした高度で用意周到に準備された攻撃の被害が明るみに出た年であったが、こ
のように狙われる企業・機関は多くはないため、統計として実態が表れにくい。政府機関や重要
インフラ分野、これらの分野に関わる企業には、標的型攻撃に対する備えを引き続き行うことが
必要である。 (3)スマートフォンやタブレット端末のセキュリティ対策が進展
業務においてスマートフォンやタブレット端末を「利用している」のは 29.5%であり、2010 年
度調査より 15.2 ポイント高まった。スマートフォンやタブレット端末、特に「タブレット端末
(iPad)」と「スマートフォン(Android 系)」の利用が進展している。スマートフォンについて
6 Arbor Networks「ワールドワイド・インフラストラクチャ・セキュリティ・レポート」
105
は、66.3%の企業が全て会社支給であり、一部でも BYOD(Bring Your Own Device)を導入し
ているのは 21.1%である。セキュリティ対策は、いずれの項目も 2010 年度調査より実施率が上
がっており、特にセキュリティソフトの導入や MDM による端末管理が、300 人以上企業を中心
に実施が進んでいる。 2010 年度は、今後の普及が見込まれるスマートフォン/タブレット端末について、セキュリテ
ィ対策の必要性を指摘したが、2011 年度は実際の利用進展に伴い、セキュリティ対策も進展して
いることが示された。 2011 年度のウイルス感染企業は 0.1%に過ぎないが、今後はスマートフォンをターゲットとし
たウイルス等の攻撃が増えることが予測される。最新の動向を踏まえつつ、セキュリティ対策を
進めていくことが望ましい。
Related Documents
