HOME >> IPAについて 最新情報 >> 記事

プレス発表 「情報セキュリティ対策ベンチマーク バージョン3.2」と「診断の基礎データの統計情報」を公開

2009年5月22日

独立行政法人 情報処理推進機構

 IPA(独立行政法人 情報処理推進機構、理事長:西垣 浩司)は、2005年8月からIPAのWebサイトで公開している「情報セキュリティ対策ベンチマーク」の診断の基礎データを最新のデータに入れ替え、バージョン3.2として新たにサービスを開始しました。
 情報セキュリティ対策ベンチマーク:http://www.ipa.go.jp/security/benchmark/

 情報セキュリティ対策ベンチマークは、組織の情報セキュリティ対策の取組状況(25項目)と企業プロフィール(15項目)を回答することにより、他社と比較して、セキュリティ対策の取組状況がどのレベルに位置しているかを確認できる自己診断システムです。診断時の回答項目は、ISMS※1認証基準(JIS Q 27001:2006※2)付属書Aの管理策※3をベースに作成しており、ISMS適合性評価制度を用いるよりも簡便に自己評価することが可能です。
 本システムのバージョン3.2では、情報セキュリティを巡る環境変化や対策レベルの変化を勘案し、診断の基礎データを最新2年分のデータに入れ替えました。また、英語バージョン3.2も同時に公開しました。


【診断の基礎データと統計情報】

 情報セキュリティ対策ベンチマークでは、Web上の質問に答えると、散布図、レーダーチャート、スコア(点数)などの診断結果が自動的に表示されます。本システムで実際に診断を行った企業の診断データに基づき、自社の対策状況を他社の対策状況と比較することができます。
 2009年4月31 日現在、利用件数は延べ1万7千件、診断の基礎データとして提供されたデータの延べ件数(再診断を含む)は約8千件です。バージョン3.2では、2007/1/1〜2008/12/31の2年間に提供された診断データの重複等を整理し、1974件を診断の基礎データとして用います。
この1974件の診断データを統計処理した情報を別紙1と別紙2に、2006年から2008年までの3年間の企業規模別の情報セキュリティ対策状況の経年比較を別紙3にまとめました。

  1. 別紙1「診断の基礎データの統計情報」別紙1「診断の基礎データの統計情報」(PDFファイル)(PDFファイル 219KB)には以下のデータを掲載しています。
    • リスク指標※4により分類された3つのグループの情報セキュリティ対策状況の比較
    • 企業規模別※5情報セキュリティ対策状況の比較
    • 業種別情報セキュリティ対策状況の比較
  2. 別紙2「平均値と望まれる水準の値」別紙1「診断の基礎データの統計情報」(PDFファイル)(PDFファイル 191KB)には以下のデータを掲載しています。
    • リスク指標により分類された3つのグループのスコア平均と望まれる水準※6
    • 企業規模別スコア平均と望まれる水準
    • 業種別スコア平均と望まれる水準
  3. 別紙3「対策状況の企業規模による経年比較」別紙1「診断の基礎データの統計情報」(PDFファイル)(PDFファイル 168KB)には以下のデータを掲載しています。
    • 2006年(1053件)、2007年(1165件)、2008年(930件)の3年間の診断データに基づく、企業規模別の情報セキュリティ対策状況の経年比較

【統計情報に見る情報セキュリティ対策状況の傾向】(統計情報からの抜粋)

情報セキュリティ対策ベンチマークでは、情報セキュリティ対策に関する評価項目25問へ5段階で回答するとスコア(点数)が計算されます。各評価項目は5点、トータルスコアは125点です。このスコアから、対策状況の傾向を分析しました。

  1. 大企業と中小企業の情報セキュリティ対策状況の比較
    〜大企業のほうが中小企業より対策が進んでおり、企業間の対策のばらつきも少ない〜

    大企業と中小企業ではトータルスコア平均に約8点の差が、各評価項目スコア平均に0.33点の開きがあり、大企業のほうが中小企業より、対策が進んでいます。この差は、前年度と比べて縮小しています。トータルスコア75点は、各評価項目に均すと3点になり、3点は、「実施しているが、実施状況の確認はしていない」という対策状況を表します。2008年では、トータルスコアが75点を超える企業は、大企業では全体の66.3%、中小企業では全体の53.1%であり、大企業のほうが、高スコアに分布する企業が多くなっています。
    25の対策項目のスコアの分散を下図に示します。分散は、スコアのばらつき度合を示し、分散の値が小さいほどばらつきは少なくなります。分散の値は、どの対策項目でも、中小企業のほうが大企業より大きく、中小企業では、企業間で対策の進み具合にばらつきが大きいことがわかります。


    企業規模別トータルスコア平均等一覧 (1974件:2007/1/1-2008/12/31)
     
    トータルスコア
    評価項目
    スコア平均
    リスク指標
    平均
    件数
    平均
    標準偏差
    大企業(300名超)
    80.68 (80.35)
    18.43
    3.23
    1.156 (0.84)
    814
    中小企業(300名以下)
    72.58 (70.34)
    21.29
    2.90
    0.246 (-0.19)
    1160

    注:括弧内の数値は、前年度(バージョン3.1)の値※7

    情報セキュリティ対策25項目の分散比較(1974件:2007/1/1-2008/12/31)

  2. 中小企業の情報セキュリティ対策状況の3年間の経年比較
    〜中小企業の対策状況は、3年間で向上。資産分類や事業継続に課題が〜

    2006年、2007年、2008年の3年間の中小企業における情報セキュリティ対策25項目のスコアは、毎年少しずつ向上しています。2006年と2007年を比べるとスコアの差はわずかですが、2008年は、目に見える形で向上しています。2006年と2008年を比べて、向上の度合いが大きい(スコアの差が大きい)項目は、順に、第三者アクセス、建物等のセキュリティ、従業者との契約であり、あまり変化がない項目は、資産分類、不正プログラム対策、機器の設置、情報の工程毎安全対策です。なお、不正プログラム対策は、情報セキュリティ対策として取り組みがすでに進んでいることにより差がない項目であり、資産分類(情報資産の分類やラベルづけ)は、取り組みにくい項目であるために、対策が進んでいないと考えられます。また、2008年でスコアが最も低いのは、事業継続であり、資産分類や事業継続に課題があることがわかります。

    中小企業における情報セキュリティ対策25項目のスコア平均の経年比較

    (注:各項目のスコアは1点から5点ですが、この図では比較のため、2.2点から4点までを表示しています。)

【診断結果の活用】

 本システムでの診断結果は、自組織の情報セキュリティ対策の実施状況の確認、自組織の対策状況の外部への説明、外部委託先や子会社の対策状況の確認など、様々な局面で利用することができます。また、政府機関統一基準適用個別マニュアル「外部委託における情報セキュリティ対策に関する評価手法の利用の手引」※8で、政府機関が外部委託先の情報セキュリティ水準を評価する方法として本システムを活用できることが示されています。
 この他、ISMS認証取得の準備段階や、情報セキュリティ監査の準備段階での使用も可能です。

参考【情報セキュリティ対策ベンチマークとは】

 組織の情報セキュリティ対策状況を自己診断する情報セキュリティ対策ベンチマークは、2005年3月に経済産業省が公開した「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」※9 の中で提言された施策ツールです。IPAがWebベースの自動診断システムとして開発し、2005年8月から提供しています。2008年4月公開のバージョン3.1からは、情報セキュリティを巡る環境変化を勘案し、診断の基礎データとして、最新2年分のデータを採用することとし、基礎データの入れ替えを毎年行っています。

 

※1  ISMS:Information Security Management System(情報セキュリティマネジメントシステム)
※2 JIS Q 27001:2006 :ISMS適合性評価制度における認証基準。
※3 付属書Aの管理策:情報セキュリティマネジメントシステム構築に必要な情報セキュリティ対策が133項目記載されています。
※4 リスク指標:従業員数、売上高、重要情報の保有数、IT依存度などから計算される企業のリスクを表す指標です。
※5 企業規模別:従業員数300名以下を中小企業、300名超を大企業として分類しています。
※6 望まれる水準:リスク指標、企業規模、業種などにより分類された各グループの上位1/3の平均点が望まれる水準となります。
※7 前年度(バージョン3.1)の値:前年度の統計情報は、以下のURLより参照できます。 http://www.ipa.go.jp/security/benchmark/benchmark_tokuchover31.html
#toukei
※8 府省庁が情報処理業務を外部委託により行う場合に、委託先の情報セキュリティの確保を目的として各種評価手法を府省庁において利用するための手引書として、内閣官房セキュリティセンターが作成したものです。
http://www.nisc.go.jp/active/general/kijun_man.html
※9 企業の情報セキュリティガバナンス確保のために求められる対策を検討・提示することを目的として公表されたものです。同報告書では、情報セキュリティガバナンスを「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と位置付け、その確立を促す施策ツールとして「情報セキュリティ対策ベンチマーク」等の3 つのツールが提言されました。
http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

 

本件内容に関するお問い合わせ先:

独立行政法人情報処理推進機構 セキュリティセンター 菅野/古川

Tel: 03-5978-7508 Fax:03-5978-7518 E-mail:電話番号:03-5978-7508までお問い合わせください。

報道関係からのお問い合わせ先:

独立行政法人情報処理推進機構 戦略企画部広報グループ 横山/大海

Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7503までお問い合わせください。

ページトップへ