最終更新日:2002年 4月19日


情報セキュリティの実態調査

実施者

KPMG ビジネスアシュアランス 株式会社

概要

情報セキュリティの実態調査2001(以下「本調査」という)は、日本国内の民間企業における情報セキュリティの実態を明らかにすることを目的とした調査プロジェクトである。調査票を送付し、集計・分析結果をベンチマーク として還元した。

本プロジェクトでは、情報セキュリティに関連した実態を包括的に把握するために、以下の3 つの調査目的を設定した。

  1. 情報セキュリティマネジメントの実態把握

  2. 情報セキュリティ問題への対策(インシデント対策)の問題点把握

  3. 情報セキュリティマネジメント・情報セキュリティ対策の改善方法の検討

本調査目的は、情報技術または組織の一方に偏ることなく、情報セキュリティで必要とされる技術、運用、組織管理等についての包括的な調査を実施した。

本調査では、2001 年12 月に日本国内の民間企業5,000 社を対象に調査票を送付した。回答企業数は550 社、回収率は11%だった。

本調査から得られたデータは、企業の規模や業種による情報セキュリティの管理体制の差異が把握できるように集計した。また、情報セキュリティに対応するための組織の体制整備と情報セキュリティ関連の技術導入状況の特徴が把握できるように集計した。

調査結果の中で特筆すべき点として、6 点挙げることとする。

(1) 回答者分布

本プロジェクトでは、小規模企業から大企業まで企業規模に偏りなく、調査票を送付した。しかし、回答企業の約84%が売上高5 億以上の企業であった。つまり、小規模企業と比較して、大企業の回収率が高かったといえる。このことから、現時点の日本の小規模企業では情報セキュリティに対する意識や興味が低いのではないかと推察できる。

(2) 企業規模別傾向

本プロジェクトでは、回答結果を点数化するベンチマークを実施した。ベンチマーク集計の結果、従業員数が多い企業ほど情報セキュリティマネジメントのベンチマークの平均点数が高かった。また、従業員数が多い企業ほど情報セキュリティ関連技術の導入種類が多かった。情報セキュリティに対するマネジメント、技術の両面で従業員数の多い企業ほど対策が進んでいることが判明した。また、売上高が高いほど情報セキュリティ管理者を設置している企業の割合が高かった。情報セキュリティ管理における組織マネジメントという観点では、企業規模による差異が顕著であった。

(3) 業種別傾向

ベンチマーク結果の業種別平均点は、情報・通信、金融、医療・製薬、エネルギー業界の順に高得点であった。これらの4 業界でベンチマークの平均点が高かった原因としては、情報セキュリティポリシーの導入、情報セキュリティ管理部門の設置、入退室管理、システム監査・ペネトレーションテストの実施が進んでいること等が挙げられる。

(4) 情報セキュリティマネジメントの実態

情報セキュリティに関連した規定をもつ企業は約60%であった。しかし、規定内容は情報システム機器の管理やコンピュータウイルス対策が中心であり、情報セキュリティ管理における責任体制の明確化を定めている企業は少なかった。情報セキュリティを管理するための「専門部門がある」と回答した企業は全体の6%であった。専門部門があると回答した企業のうち約40%の企業で、情報セキュリティの管理部門は情報システム部門に所属していた。情報セキュリティ管理を担当する部署や委員会に配属する人材に求めるスキルや経験としては、「情報技術関連」が最も多く部門横断的なプロジェクトマネジメント能力を求める回答は少なかった。

情報セキュリティマネジメントを実践するためには、社内の情報資産を保護し有効に活用するために、部門横断的に業務を推進することのできる人材が情報セキュリティ管理者を務めることが望ましい。しかし、現状では情報セキュリティ管理者は情報システム部の情報技術スキルを有する部課長クラスの人材が任命され、担当しているという回答が最も多かった。

(5) 情報セキュリティ問題への対策(インシデント対策) の実態

情報セキュリティ問題への対策を整備するためには、情報セキュリティに関連して発生している問題を記録し、現状を把握することが大切である。しかし、情報セキュリティ問題の発生状況を「記録していない」という企業が30.7%あった。また、情報セキュリティ問題が発生した場合「担当者の裁量」により対応すると回答した企業が最も多く、業務継続計画や情報セキュリティ対策手順等を整備し包括的に対処を進める企業は少なかった。一方、約70%の企業で情報セキュリティ問題が発生した場合に「社内啓発のため」に問題の発生を社内告知しており、情報セキュリティ問題を啓発・教育の機会と捉えている姿勢が推察できた。

(6) 公共団体に対する要望

情報セキュリティ対策に関連して公共団体に希望する対策として、業種や企業規模に関わらず全般的に「安価なセキュリティ教育」や「セキュリティ教育コンテンツ」の提供及び「セキュリティ啓発活動」を望む声が高かった。

調査報告書

調査報告書 (PDF: 285KB, 73pages)

English Version (Summary) (PDF: 30KB, 5pages)

集計結果 (PDF: 7,180KB)


Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.