調査結果


9.セキュリティ対策状況


(1)情報セキュリティの必要性

 全体では、「非常に感じている」が64.9%となっている。「ある程度感じている」を含めると95.3%を占める。「非常に感じている」の割合が高い業種は、「金融」が94.1%、「情報通信」が92.3%、「エネルギー」が91.7%といずれも9割を超えている。
 平成13年度調査では、全体で「非常に感じている」、「感じている」を合わせて96.0%と本調査と同様な結果となっているが、「非常に感じている」が60.2%から64.9%と5ポイント近く増加し、必要性の度合いが重視されていることが伺える。

 「不正アクセスの被害状況」別でみると、「被害にあった」で「非常に感じている」が78.6%、「被害にあわなかった」では59.9%と明確な違いが出ている。


(2)運用・管理部署の有無

 全体では、「ある」が61.0%となっている。
 業種別では、「金融」が94.1%、「情報通信」が84.6%と「ある」の割合が非常に高い。従業員数が「100人未満」では「ない」が76.8%を占めている。

 「情報セキュリティの必要性」別で見ると、「非常に感じている」で「部署がある」が71.7%と割合が高く、「あまり感じていない」では「部署がある」の回答はなかった。


(3)管理者、担当者の設置状況

 全体では、「情報システム運用管理者がセキュリティも兼務している」が65.9%と最も高い。
 「専従の担当者を設置している」の割合が高い業種は、「金融」で13.7%、「エネルギー」で8.3%となっている。従業員数が「3000人以上」では「専従の担当者を設置している」が18.7%を占めている。

 「情報セキュリティの必要性」別で見ると、「非常に感じている」と回答しているところでも「専従の担当者を設置している」が6.5%となっていて、現状ではまだ専任担当者を置く状況とはなっていない。


(4)セキュリティポリシーの策定状況

 全体では、「策定はしていないが、今後策定する予定」が35.3%と最も高い。
 「策定している」割合の高い業種は、「金融」80.4%、「エネルギー」41.7%となっている。従業員数が「3000人以上」では60.0%が「策定している」となっている。

 「情報セキュリティの必要性」別で見ると、「非常に感じている」と回答しているところでは「セキュリティポリシーの策定」が進んでいる。回答数は少ないが「あまり感じていない」では「策定の予定なし、必要ない」が3/4を占め、セキュリティに関する意識が薄いことが伺える。


(5)セキュリティポリシーでの規定事項

 全体では、「情報セキュリティの基本方針」が90.5%と最も高い。次いで、「情報システムの運用管理規程」が71.1%、「情報セキュリティ管理組織」が62.6%の順となっている。


(6)セキュリティガイドラインの制定

 全体では、「定めていない」が36.3%と最も高い。「定めている」、「現在作成中である」を合わせると34.7%となり、「作成を検討している」まで含めると6割以上がセキュリティガイドラインの制定を進めている。
 業種別では、「定めている」が「金融」で70.6%と最も割合が高くなっている。


(7)非常事態発生時の対応計画

 全体では、「定めていない」が43.3%で半数近くが定めていない。逆に「定めている」は18.5%となっている。
 業種別では、「金融」で「定めている」が56.9%と非常に高い。


(8)対応計画の内容

 全体では、「社内の報告経路・指揮系統」が72.9%と最も高く、次いで「回復復旧手順」が59.7%、「原因の究明」が47.5%の順となっている。
 業種別では、「金融」で「システムの縮退、代替運用手順」が51.4%と他の業種と比べて割合が高い。


(9)第三者機関による評価・認証の取得状況

 全体では、「取得の予定はない」が83.2%と、評価・認証の取得には大半は動いていない。
 業種別では、「情報通信」で「ISMS」が38.5%、「プライバシーマーク」が23.1%と他の業種に比べて割合が高い。「サービス」でも「プライバシーマーク」が18.9%、「ISMS」が13.3%となっている。


(10)セキュリティ監査に対する取り組み

 全体では、「実施はしていないが必要性を感じる」が61.3%と最も高い。「実施をしている」と「実施を予定している」を合わせると19.4%となるが、「実施の必要性を感じない」も18.0%となっている。


(11)セキュリティ監査の実施頻度

 全体では、「1年ごとに」が41.2%と最も高くなっている。次いで、「特に決まっていない」が27.2%となっている。


(←前へ) (目次へ) (次へ→)