HOMEIPAについて新着情報プレス発表 「情報セキュリティ対策ベンチマーク バージョン3.3」と「診断の基礎データの統計情報」を公開

本文を印刷する

IPAについて

プレス発表 「情報セキュリティ対策ベンチマーク バージョン3.3」と「診断の基礎データの統計情報」を公開

2010年6月29日

独立行政法人 情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2005年8月からIPAのWebサイトで公開している「情報セキュリティ対策ベンチマーク」の診断の基礎データを最新のデータに入れ替え、バージョン3.3として新たにサービスを開始しました。
URL:http://www.ipa.go.jp/security/benchmark/

 情報セキュリティ対策ベンチマークは、組織の情報セキュリティ対策の取組状況(25項目)と企業プロフィール(15項目)を回答することにより、他社と比較して、セキュリティ対策の取組状況がどのレベルに位置しているかを確認できる自己診断システムです。診断時の回答項目は、ISMS1認証基準(JIS Q 27001:20062)附属書Aの管理策3をベースに作成しており、ISMS適合性評価制度を用いるよりも簡便に自己評価することが可能です。
本システムのバージョン3.3では、情報セキュリティを巡る環境変化や対策レベルの変化を勘案し、診断の基礎データを最新2年分のデータに入れ替えました。また、英語バージョン3.3も同時に公開しました。


【診断の基礎データと統計情報】

 情報セキュリティ対策ベンチマークでは、Web上の質問に答えると、散布図、レーダーチャート、スコア(点数)などの診断結果が自動的に表示されます。本システムで実際に診断を行った企業の診断データに基づき、自社の対策状況を他社の対策状況と比較することができます。
2010年5月31 日現在、利用件数は延べ約2万件、診断の基礎データとして提供されたデータの延べ件数(再診断を含む)は約1万件です。バージョン3.3では、2008/1/1~2009/12/31の2年間に提供された診断データの重複等を整理し、1540件を診断の基礎データとして用います。
なお、この1540件の診断データを統計処理した情報を参考資料1と参考資料2に、2006年から2009年までの4年間の企業規模別の情報セキュリティ対策状況の経年比較を参考資料3にまとめました。

  1. 参考資料1「診断の基礎データの統計情報」参考資料1「診断の基礎データの統計情報」(PDFファイル) (PDFファイル 502KB)には以下のデータを掲載しています。
    • リスク指標4により分類された3つのグループの情報セキュリティ対策状況の比較
    • 企業規模別5情報セキュリティ対策状況の比較
    • 業種別情報セキュリティ対策状況の比較
  2. 参考資料2「平均値と望まれる水準の値」参考資料2「平均値と望まれる水準の値」(PDFファイル) (PDFファイル 498KB)には以下のデータを掲載しています。
    • リスク指標により分類された3つのグループのスコア平均と望まれる水準6
    • 企業規模別スコア平均と望まれる水準
    • 業種別スコア平均と望まれる水準
  3. 参考資料3「対策状況の企業規模による経年比較」3.	参考資料3「対策状況の企業規模による経年比較」(PDFファイル) (PDFファイル 487KB)には以下のデータを掲載しています。
    • 2006年(1053件)、2007年(1165件)、2008年(930件)、2009年(880件)の4年間の診断データに基づく、企業規模別の情報セキュリティ対策状況の経年比較

【統計情報に見る情報セキュリティ対策状況の傾向】(統計情報からの抜粋)

 情報セキュリティ対策ベンチマークでは、情報セキュリティ対策に関する評価項目25問へ5段階で回答するとスコア(点数)が計算されます。各評価項目スコアは5点満点、トータルスコアは125点満点です。トータルスコア75点は、各評価項目スコアに均すと3点になり、3点は、「実施しているが、実施状況の確認はしていない」という対策状況を表します。このスコアから、対策状況の傾向を分析しました。

  1. 大企業と中小企業の情報セキュリティ対策状況の比較
    ~大企業のほうが中小企業より対策が進んでおり、企業間の対策のばらつきも少ない~


      大企業と中小企業ではトータルスコア平均に約8点の差が、各評価項目スコア平均に0.32点の開きがあり、大企業のほうが中小企業より、対策が進んでいます。この差は、前年度と比べてほぼ同じです。2009年では、トータルスコアが75点を超える企業は、大企業では全体の71.20%(前年度66.3%)、中小企業では全体の55.73%(前年度53.1%)です。前年度と比較し、大企業、中小企業ともスコア平均が向上しています。
      25の対策項目のスコアの分散を下図に示します。分散は、スコアのばらつき度合を示し、分散の値が小さいほどばらつきは少なくなります。分散の値は、どの対策項目でも、中小企業のほうが大企業より大きく、中小企業では、企業間で対策の進み具合にばらつきが大きいことがわかります。


    企業規模別トータルスコア平均等一覧 (1540件:2008/1/1-2009/12/31)

     
    トータルスコア
    評価項目
    スコア平均
    リスク指標
    平均
    件数
    平均
    標準偏差
    大企業(300名超)
    84.03 (80.68)
    18.42
    3.36
    1.731 (1.156)
    632 (814)
    中小企業(300名以下)
    76.07 (72.58)
    21.39
    3.04
    0.398 (0.246)
    908 (1160)

    注:括弧内の数値は、前年度(バージョン3.2)の値※7


    情報セキュリティ対策25項目の分散比較(1540件:2008/1/1-2009/12/31)


  2. 2. 中小企業の情報セキュリティ対策状況の4年間の経年比較
    ~中小企業の対策状況は、4年間を通じて向上。資産分類や事業継続に課題が~

      2006年、2007年、2008年、2009年の4年間の中小企業における情報セキュリティ対策25項目のスコアは、毎年向上しています。2006年と2007年を比べるとスコアの差はわずかですが、2008年と2009年は、前年に比較し、目に見える形で向上しています。2006年と2009年を比べて、向上の度合いが大きい(スコアの差が大きい)項目は、順に、「従業者との契約」、「第三者アクセス」、「建物等のセキュリティ」であり、あまり変化がない項目は、「不正プログラム対策」、「脆弱性対策」、「資産分類」です。なお、「不正プログラム対策」や「脆弱性対策」は、情報セキュリティ対策として取り組みがすでに進んでいることにより差がない項目であり、資産分類(情報資産の分類やラベルづけ)は、取り組みにくい項目であるために、対策が進んでいないと考えられます。また、各年度を通じてスコアが最も低いのは、事業継続であり、資産分類や事業継続に課題があることがわかります。

    中小企業における情報セキュリティ対策25項目のスコア平均の経年比較


【診断結果の活用】

 本システムでの診断結果は、自組織の情報セキュリティ対策の実施状況の確認、自組織の対策状況の外部への説明、外部委託先や子会社の対策状況の確認など、様々な局面で利用することができます。また、政府機関統一基準適用個別マニュアル「外部委託における情報セキュリティ対策に関する評価手法の利用の手引」8で、政府機関が外部委託先の情報セキュリティ対策状況を評価する方法として本システムを活用できることが示されています。
  この他、ISMS認証取得の準備段階や、情報セキュリティ監査の準備段階での使用も可能です。

参考【情報セキュリティ対策ベンチマークとは】

 組織の情報セキュリティ対策状況を自己診断する情報セキュリティ対策ベンチマークは、2005年3月に経済産業省が公開した「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」9 の中で提言された施策ツールです。IPAがWebベースの自動診断システムとして開発し、2005年8月から提供しています。2008年4月公開のバージョン3.1からは、情報セキュリティを巡る環境変化を勘案し、診断の基礎データとして最新2年分のデータを採用することとし、基礎データの入れ替えを毎年行っています。

 


1  ISMS: Information Security Management Systems(情報セキュリティマネジメントシステム)
2 JIS Q 27001:2006 :ISMS適合性評価制度における認証基準。
3 附属書Aの管理策:情報セキュリティマネジメントシステム構築に必要な情報セキュリティ対策が133項目記載されています。
4 リスク指標:従業員数、売上高、重要情報の保有数、IT依存度などから計算される企業のリスクを表す指標です。
5 企業規模別:従業員数300名以下を中小企業、300名超を大企業として分類しています。
6 望まれる水準:リスク指標、企業規模、業種などにより分類された各グループの上位1/3の平均点です。
7 前年度(バージョン3.2)の値:前年度の統計情報は、以下のURLより参照できます。
http://www.ipa.go.jp/security/benchmark/benchmark_tokuchover32.html
#toukei
8 府省庁が情報処理業務を外部委託により行う場合に、委託先の情報セキュリティの確保を目的として各種評価手法を府省庁において利用するための手引書として、内閣官房セキュリティセンターが作成したものです。
http://www.nisc.go.jp/active/general/kijun_man.html
9 企業の情報セキュリティガバナンス確保のために求められる対策を検討・提示することを目的として公開されたものです。同報告書では、情報セキュリティガバナンスを「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と位置付け、その確立を促す施策ツールとして「情報セキュリティ対策ベンチマーク」等の3 つのツールが提言されました。
http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

 

本件内容に関するお問い合わせ先:

IPA セキュリティセンター 菅野/古川

Tel: 03-5978-7508 Fax:03-5978-7518 E-mail:電話番号:03-5978-7508までお問い合わせください。

報道関係からのお問い合わせ先:

IPA 戦略企画部広報グループ 横山/大海

Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7503までお問い合わせください。