HOMEIPAについて新着情報プレス発表 「2010年度 情報セキュリティ製品の調達等に関する意識調査」報告書の公開

本文を印刷する

IPAについて

プレス発表 「2010年度 情報セキュリティ製品の調達等に関する意識調査」報告書の公開

2011年2月16日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、国と連携・協力して実施している情報セキュリティ対策の一環として、IT製品におけるセキュリティ機能の、国際標準に基づく評価及び認証をする制度(「ITセキュリティ評価及び認証制度(*1)」)を運営しています。同制度の効果的な普及を図るため、今般、「2010年度 情報セキュリティ製品の調達時に関する意識調査」を実施し、その報告書を2011年2月16日(水)から、IPAのウェブサイトで公開しました。
URL: http://www.ipa.go.jp/security/fy22/reports/it-ishiki/

 近年、情報セキュリティ上のリスクが多様化・高度化・複雑化してきており、デジタル複合機から情報が漏えいするなど、パソコンやサーバー以外のIT製品の事故が発生しています。
 IPAは、国と連携・協力して様々な情報セキュリティ対策のための取り組みをしており、その一環として、ITセキュリティ評価及び認証制度の認証機関として同制度を運営しています。本制度により認証された製品は、そのセキュリティ機能が国際標準に基づいているという保証を得られるメリットがあります。
 本制度の普及を進めることにより、セキュリティ機能が保証されたIT関連製品の利用を促すことができると考えられます。なお、認証製品に関する情報(認証製品リスト(*2))は、申請者からの公開希望に基づき、IPA のウェブサイト上で公開しています。
 本調査では、今後のITセキュリティ評価及び認証制度のより効果的な普及活動等を実施するため、本制度等に対するユーザ企業等の認識や活用実態を調査し、545件の有効回答を得ました。調査の結果、IT製品調達時に考慮する事項の優先順位や、認証製品の主な導入理由、約3割のIT関連製品製造業・情報通信業が認証取得に関心があることなどが明らかになりました。

1. 調査結果概要

(1)IT製品調達時の考慮事項と課題 <3割の企業が予算による制約を受けている>
 ユーザ企業等がIT製品を調達する際に考慮すべき事項について調査したところ、重視するとの回答割合が一番高かった項目は「価格」であり、次いで回答割合が高かったのは「セキュリティ機能」となっています。これは「セキュリティ以外の機能」、「ベンダー(メーカー)の知名度や市場シェア」を大きく上回っており、セキュリティ対策の必要性を認識しているといえます。
 しかしながら、セキュリティ対策上の課題として「リスクに対する具体的な対応策は分かっているが、予算の制約により実行できない」と回答した企業が約3割存在し、セキュリティ対策の優先順位は高いものの、予算の問題で実行できない状況も見えます。

① IT 製品調達時の考慮事項(図1)
  -「価格」:69.5%
  -「セキュリティ以外の機能」:30.5%
  -「セキュリティ機能」:61.7%
  -「メーカー知名度や市場シェア」:22.4%
  -「有識者の意見」:24.4%
  -「一般的な評判」:20.6%
② 情報セキュリティ対策上の課題(図2)
  -「どのようなリスクが存在しているかがわからない」:14.3%
  -「リスクはわかるものの、具体的な対応方法がわからない」:15.6%
  -「リスクに対する具体的な対応方法はわかるものの、予算の制約で実行できない」:29.0%
  -「リスクに対する具体的な対応方法はわかるものの、予算以外の問題で実行できない」:8.3%

図1:IT 製品調達時の考慮事項
図1:IT 製品調達時の考慮事項

図2:情報セキュリティ対策上の課題
図2:情報セキュリティ対策上の課題

(2)ISO/IEC15408(CC:コモンクライテリア)認証製品の導入理由(図3)
 認証製品の利用実績または関心のある企業に導入理由を尋ねたところ、「当該製品セキュリティに関する安心感を得るため」が52.0%と最も多く、ついで「内部統制の推進の一環として」が39.2%、「グローバルな観点から必要と考えられるため」が31.4%の順になっており、企業の内部情報漏えい対策や、認証製品のセキュリティ機能が国際標準として保証されていることなどを理由としていると考えられます。
  -「当該製品セキュリティに関する安心感を得るため」:52.0%
  -「内部統制の推進の一環として」:39.2%
  -「グローバルな観点から必要と考えられるため」:31.4%
  -「全社方針(あるいは部門方針)があるため」:24.5%
  -「社内にセキュリティの専門家が十分いなくともセキュリティを担保できるため」:20.6%
  -「製品選択の際の要素として重視している(または社内合意が得やすい)ため」:15.7%

図3:ISO/IEC15408(CC:コモンクライテリア)認証製品の導入理由
図3:ISO/IEC15408(CC:コモンクライテリア)認証製品の導入理由

2. 調査概要

(1)調査方法:ウェブによるアンケート調査
(2)調査対象:製造業、情報通信業、小売業、運輸業等の企業、官公庁・自治体、研究・教育機関
(3)調査期間:2010年9月17日~9月27日
(4)有効回答数:545件

■調査報告書は、以下のURLをご覧下さい。
http://www.ipa.go.jp/security/fy22/reports/it-ishiki/

プレスリリースのダウンロード

脚注

(*1)IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関であるIPAが認証する制度。ITセキュリティの評価基準を示す名称としては、CC(Common Criteria:コモンクライテリア)あるいはISO/IEC15408のどちらも同じものを意味します。

(*2)http://www.ipa.go.jp/security/jisec/certified_products/cert_list.html

本件に関するお問い合わせ先

IPA セキュリティセンター 企画グループ 平林/入澤

Tel: 03-5978-7550 Fax: 03-5978-7518
E-mail:

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/大海

Tel: 03-5978-7503 Fax: 03-5978-7510
E-mail: