Download 調査報告書 - IPA 独立行政法人 情報処理推進機構
Transcript
2010年度 情報セキュリティ製品の調達等に関する 意識調査 報告書 2011年2月 独立行政法人 情報処理推進機構 「2010年度 情報セキュリティ製品の調達等に関する意識調査報告書」 目次 1. 調査概要 3 2. 回答者属性 5 3. 結果概要 8 4. 調査結果詳細 11 4-1. 情報セキュリティ対策の状況 12 4-2. ISO/IEC15408に関する意識・実態 25 4-3. CC認証取得に関する意識・実態 36 4-4. CCに関わる税制についての意識 43 4-5. 情報セキュリティ対策の情報収集の状況 48 2 1. 調査概要 3 調査概要 【調査目的】 今後ITセキュリティ評価及び認証制度のより効果的な普及活動等を実施するため、本制度や本制度を政策的に 後押ししている税制措置に対するユーザ企業等の認識や活用実態を明らかにすることを目的とする。 【調査方法】 ウェブによるアンケート調査 【対象者】 製造業、情報通信業、小売業、運輸業等の企業、官公庁・自治体、研究・教育機関 ※なお、本報告書中では表現の煩雑さを避けるため中央省庁・自治体、研究・教育機関等の公的機関も含めて「企業」と表記している。 【調査期間】 2010年9月17日(金)~2010年9月27日(月) 【有効回収数】 545件 4 2. 回答者属性 5 回答者属性 ■ 回答企業属性 ◆資本金 ◆業種 ( n=545) 官公庁・自治体、研 究・教育機関54件 (同9.9%) 製造業及び情報通 信業以外の業種 (小売業、運輸業、 金融業等)94件 (同17.2%) 情報通信業で非IT 関連サービスの提 供39件 (同7.2%) 製造業でIT関連製 品(ハードウェア等) の製造69件 (構成比12.7%) 製造業で非IT関連 製品の製造164件 (同30.1%) 情報通信業でIT関 連サービス(システ ム開発等)の提供 125件 (同22.9%) ( n=545) 該当しない66件 (同12.1%) 5,000万円以下185 件 (構成比33.9%) 10億円超143件 (同26.2%) 3億円超~10億円 以下51件 (同9.4%) 1億円超~3億円以 下50件 (同9.2%) 5,000万円超~1億 円以下50件 (同9.2%) 6 ■ 回答者属性 ◆IT導入に関する立場 ◆役職 ( n=545) その他2件 (同0.4%) ( n=545) 情報収集する立場 65件 (構成比11.9%) 企画、提案する立 場89件 (同16.3%) 一般ユーザとして利 用する立場170件 (同31.2%) その他7件 (同1.3%) 経営・役員108件 (構成比19.8%) 一般社員121件 (同22.2%) 部長クラス67件 (同12.3%) ユーザに提案し、販 売する立場42件 (同7.7%) 導入製品を決定す る立場92件 (同16.9%) 自件に導入する製 品を検討、提案する 立場85件 (同15.6%) 係長・主任クラス 132件 (同24.2%) 課長クラス110件 (同20.2%) 7 3. 結果概要 8 結果概要 ■ セキュリティ対策の状況 ◆ウイルス対策については企業規模等の属性による意識の差は比較的小さく、多くの企業で必要性が意識されているが、 情報漏えい対策、不正アクセス対策、サービス妨害攻撃対策については、概ね規模の大きな企業の方が意識が高い等、 企業属性による意識の差がみられる。(p.15~p.16) ◆IT製品調達時の考慮事項としては「価格」の次に「セキュリティ機能」が重視されている。しかし、セキュリティ対策上の課題 としては「リスクに対する具体的な対応策はわかっているが、予算の制約により実行できない」企業が約3割に上っており、 今後のセキュリティ対策の考え方でも「常に最新の情報セキュリティ対策を講じたい」企業は全体の約1/4に留まり、「予算を 考慮し、導入時期を考えながら情報セキュリティ対策を講じたい」が49.4%と約半数を占めており、優先順位は高いものの予 算制約による限界があることが見てとれる。(p.17~p.20) ■ ISO/IEC15408に関する意識・実態 ◆ISO/IEC15408(CC:コモンクライテリア)の認知度は「名前だけ知っている」を含めても3割に満たない。CCを認知している企 業について認知経路をみると、「Webを通じた一般的な情報収集の中で」が過半数を占めており、このような情報収集活動 で参照されるWebサイトにおいて、ISO/IEC15408(CC:コモンクライテリア)の露出機会を増加させることが認知度向上には 重要であると考えられる。(p.25~p.26) ◆CCを認知している企業について認証製品の利用実績をみると、「利用したことがある」は5.0%と尐数になっている。一方、 「実績はないが、関心はある」は過半数を超えており、比較的多くの企業が関心を持っている。特に資本金規模5,000万円 超の企業では7割を超えており、当面はこれらの企業をターゲットとした利用促進を図ることが重要であると考えられる。 (p.27~p.28) ◆CC認証製品の利用実績または関心のある企業に導入決定に最も影響のある部門を尋ねたところ、「システム部門」が半 数近くを占めており、上記の利用促進のターゲットとしてはシステム部門がまず第1と考えらえる。(p.32) ◆今後CCの認証がなされセキュリティ確保が望ましい製品分野を尋ねたところ、上位をみると「事務処理関連」および「ネット ワーク関連」が24.4%、ついで「認証関連」が23.9%、「クライアント関連」が22.0%、「内部統制関連」が21.5%、「情報漏えい関 連」が21.3%、「サーバー関連」が20.6%となっている。(p.33) 9 ■ CC認証取得に関する意識・実態 ◆製造業(IT関連製品)および情報通信業(IT関連サービス)企業にCC認証取得状況について尋ねたところ、「取得したこと がある」は1.0%と尐ないが、「実績はないが取得に関心がある」は29.4%と約3割が取得に関心を持っている。(p.36) ◆CC認証取得の実績または関心のある企業に対して認証取得の理由を尋ねたところ、「自社の信頼やイメージ向上」が最も 多く45.8%、ついで「自主的な自社製品の格付け向上」が44.1%、「ユーザ(民間企業)からの要請」28.8%の順となっており、社 外からの要請よりも自主的な理由の方が多くなっている。(p.41) ◆CC認証取得の実績または関心のある企業に対してCC認証への改善の優先課題を尋ねたところ、「評価・認証時間の短 縮」が45.8%で最も多く、ついで「評価・認証費用の低減」が37.3%、「事務手続きの簡略化」が32.2%と続いている。手続きに関 わるものが上位に来ている。(p.42) ■ CCに関わる税制についての意識 ◆情報基盤強化税制または中小企業等基盤強化税制の認知度については、「活用したことがある」は1.7%、「活用したことは ないが、内容は知っている」が10.3%で合わせて12.0%は内容までの認知がある。また、「名前だけ知っている」は20.0%であっ た。(p.43) ◆中小企業等基盤強化税制の対象製品の今後の利用意向については、79.6%が「利用したいと思う」と回答した。税制の認 知度が低いことと合わせて考えると、認知度向上が税制措置利用につながる可能性がある。(p.46) ◆調達における政策的支援(税制等)が必要と思うセキュリティ分野を尋ねたところ、「情報漏えい関連」が16.1%と最も多く、 ついで「認証関連」および「クラウド関連」が11.7%、「内部統制関連」が11.6%と続いている。(p.47) ■ 情報セキュリティ対策の情報収集の状況 ◆情報セキュリティに関する情報の入手頻度については、不定期に気がついた時に入手している企業が半数近くになる。ま た、「入手していない」企業も32.3%と約1/3が該当しており、これらの企業の情報収集促進が課題と考えられる。(p.48) ◆情報セキュリティに関する情報を収集している企業に対してその主な収集元を尋ねたところ、「IPAのウェブサイト」が61.8% と最も多く、現在情報収集を行っている企業に関してはIPAは最大の情報源となっている。(p.49) 10 4. 調査結果詳細 11 4-1. 情報セキュリティ対策の状況 4-1-1. 情報セキュリティ対策の必要性 ◆情報セキュリティ対策の必要性に関しては、ウイルス対策が「非常に感じる」が60.7%、「やや感じる」が30.6%となっており、 合わせて90%以上の企業で必要性が感じられている。 ◆ついで、情報漏えい対策が「非常に感じる」が54.3%と半数を超えており、「やや感じる」を合わせると85.5%の企業で必要 性が感じられている。また、不正アクセス対策は「非常に感じる」が46.8%、「やや感じる」を合わせると82.2%の企業で必要 性が感じられている。 ◆これに対して、サービス妨害攻撃対策は「非常に感じる」が31.6%と他の対策に比べると必要性を感じる企業が尐なく なっている。 図4-1-1 情報セキュリティ対策の必要性 ( n=545) 3.5 情報漏えい対策 54.3 31.2 11.0 3.7 不正アクセス対策 46.8 35.4 14.1 2.6 ウイルス対策 60.7 30.6 31.6 サービス妨害攻撃対策 0% 10% 20% 非常に感じる 37.1 30% 40% やや感じる 50% 6.1 5.3 26.1 60% 70% あまり感じない 80% 90% 100% 全く感じない 12 4-1-1. 情報セキュリティ対策の必要性 ◆業種別にみると、情報漏えい対策では、情報通信業(非IT関連サービス)が「非常に感じる」が79.5%と最も多く、ついで製造業 (IT関連)が69.6%、情報通信業(IT関連サービス)が61.6%となっており、製造業(非IT関連製品)、製造業及び情報通信業以外 の業種、官公庁・自治体、研究・教育機関は50%未満で尐なくなっている。 ◆不正アクセス対策は、相対的な傾向は情報漏えい対策に似ているが、製造業(IT関連製品)を除いて「非常に感じる」が不正 アクセス対策より尐なくなっている。 図4-1-3 業種別情報セキュリティ対策の必要性(不正アクセス対策) 図4-1-2 業種別情報セキュリティ対策の必要性(情報漏えい対策) 3.5 合計 (N=545) 54.3 31.2 11.0 3.7 合計 (N=545) 46.8 35.4 14.1 1.4 製造業でIT関連製品(ハードウェア等)の製造 (N=69) 69.6 21.7 7.2 1.4 製造業でIT関連製品(ハードウェア等)の製造 (N=69) 69.6 23.2 5.8 4.3 製造業で非IT関連製品の製造 (N=164) 45.1 36.6 14.0 製造業で非IT関連製品の製造 (N=164) 36.6 39.6 18.3 5.5 4.0 3.2 61.6 情報通信業でIT関連サービス(システム開発等)の提供 (N=125) 31.2 3.2 52.8 情報通信業でIT関連サービス(システム開発等)の提供 (N=125) 39.2 4.8 2.6 情報通信業で非IT関連サービスの提供 (N=39) 79.5 15.4 5.1 0.0 情報通信業で非IT関連サービスの提供 (N=39) 69.2 28.2 0.0 4.3 製造業及び情報通信業以外の業種(小売業、運輸業、金融業等) (N=94) 43.6 26.6 24.5 5.3 製造業及び情報通信業以外の業種(小売業、運輸業、金融業等) (N=94) 38.3 29.8 27.7 3.7 3.7 官公庁・自治体、研究・教育機関 (N=54) 46.3 0% 10% 20% 非常に感じる 46.3 30% 40% やや感じる 50% 60% 70% あまり感じない 3.7 官公庁・自治体、研究・教育機関 (N=54) 80% 90% 全く感じない 100% 33.3 0% 10% 20% 非常に感じる 44.4 30% 40% やや感じる 50% 60% 18.5 70% あまり感じない 80% 90% 100% 全く感じない 13 4-1-1. 情報セキュリティ対策の必要性 ◆ウイルス対策では、情報通信業(非IT関連サービス)が「非常に感じる」が82.1%と最も多く、ついで製造業(IT関連)が66.7%、 情報通信業(IT関連サービス)が66.4%となっている。一方、製造業及び情報通信業以外の業種では「非常に感じる」は48.9%と 半数を下回っており、「あまり感じない」13.8%、「全く感じない」3.2%と尐数ではあるが対策の必要性を感じない企業も存在する。 ◆サービス妨害攻撃対策では、情報通信業(非IT関連サービス)が「非常に感じる」が51.3%と最も多く、ついで情報通信業(IT関 連サービス)が44.8%、製造業(IT関連)が43.5%となっている。製造業(非IT関連製品)は「非常に感じる」が23.8%、製造業及び 情報通信業以外の業種では18.1%、官公庁・自治体、研究・教育機関では18.5%と尐なくなっている。 図4-1-5 業種別情報セキュリティ対策の必要性(サービス妨害攻撃対策) 図4-1-4 業種別情報セキュリティ対策の必要性(ウイルス対策) 2.6 合計 (N=545) 60.7 30.6 6.1 合計 (N=545) 31.6 37.1 26.1 5.3 2.9 1.4 66.7 製造業でIT関連製品(ハードウェア等)の製造 (N=69) 29.0 1.4 43.5 製造業でIT関連製品(ハードウェア等)の製造 (N=69) 42.0 13.0 3.7 56.1 製造業で非IT関連製品の製造 (N=164) 33.5 6.7 製造業で非IT関連製品の製造 (N=164) 23.8 32.3 35.4 8.5 3.2 2.4 66.4 情報通信業でIT関連サービス(システム開発等)の提供 (N=125) 28.0 4.0 情報通信業でIT関連サービス(システム開発等)の提供 (N=125) 44.8 39.2 12.0 0.0 0.0 情報通信業で非IT関連サービスの提供 (N=39) 82.1 12.8 5.1 3.2 製造業及び情報通信業以外の業種(小売業、運輸業、金融業等) (N=94) 48.9 34.0 13.8 情報通信業で非IT関連サービスの提供 (N=39) 51.3 製造業及び情報通信業以外の業種(小売業、運輸業、金融業等) (N=94) 18.1 官公庁・自治体、研究・教育機関 (N=54) 18.5 35.9 37.2 12.8 37.2 7.4 3.7 1.9 1.9 59.3 官公庁・自治体、研究・教育機関 (N=54) 0% 10% 20% 非常に感じる 30% 37.0 40% やや感じる 50% 60% 70% あまり感じない 80% 90% 全く感じない 100% 0% 10% 40.7 20% 非常に感じる 30% 40% やや感じる 37.0 50% 60% 70% あまり感じない 80% 90% 100% 全く感じない 14 4-1-1. 情報セキュリティ対策の必要性 ◆資本金規模別にみると、情報漏えいについては、1億円より規模の大きい企業は全体として70%以上が「非常に感じる」と回 答しているのに対して、 5,000万円以下の企業は41.1%、5,000万円超~1億円の企業が50.0%と規模の小さい企業の方が必要 性を強く感じている割合が小さい。 ◆不正アクセスについては、どの資本金規模の企業でも「非常に感じる」と回答している企業が情報漏えいに比べると尐なく、 規模によらず必要性を強く感じている割合が小さい。 図4-1-6 資本金規模別情報セキュリティ対策の必要性(情報漏えい対策) 54.3 合計 (N=545) 31.2 41.1 5,000万円以下 (N=185) 36.2 50.0 5,000万円超~1億円以下 (N=50) 11.0 18.9 32.0 10.0 図4-1-7 資本金規模別情報セキュリティ対策の必要性(不正アクセス対策) 3.5 合計 (N=545) 3.8 5,000万円以下 (N=185) 8.0 46.8 35.4 36.2 37.3 42.0 5,000万円超~1億円以下 (N=50) 14.1 3.7 22.2 38.0 4.3 12.0 8.0 0.0 1億円超~3億円以下 (N=50) 66.0 24.0 10.0 0.0 1億円超~3億円以下 (N=50) 40.0 50.0 10.0 2.0 3億円超~10億円以下 (N=51) 68.6 25.5 3.9 2.0 3億円超~10億円以下 (N=51) 58.8 33.3 5.9 1.4 10億円超 (N=143) 72.0 該当しない (N=66) 22.4 36.4 0% 10% 20% 45.5 30% 非常に感じる 40% 50% やや感じる 60% 10.6 70% あまり感じない 80% 全く感じない 90% 1.4 4.2 10億円超 (N=143) 7.6 該当しない (N=66) 100% 66.4 25.9 33.3 0% 10% 20% 39.4 30% 非常に感じる 40% 50% やや感じる 6.3 19.7 60% 70% あまり感じない 80% 7.6 90% 100% 全く感じない 15 4-1-1. 情報セキュリティ対策の必要性 ◆ウイルス対策については、1億円超の企業がそれ以下の企業に比べて「非常に感じる」と回答している割合が大きくなってい るが、その差は10%程度で、情報漏えいや不正アクセス、サービス妨害攻撃対策に比べると小さくなっている。 ◆サービス妨害攻撃対策については、「非常に感じる」と回答している割合は 5,000万円以下の企業は25.4%、5,000万円超~1 億円の企業は24.0%と尐なくなっており、特に5,000万円以下の企業では「あまり感じない」34.1%、「全く感じない」8.1%の合わせ て42.2%は対策の必要性を感じていない。 図4-1-8 資本金規模別情報セキュリティ対策の必要性(ウイルス対策) 図4-1-9 資本金規模別情報セキュリティ対策の必要性 (サービス妨害攻撃対策) 2.6 合計 (N=545) 60.7 30.6 6.1 31.6 合計 (N=545) 37.1 26.1 5.3 2.2 5,000万円以下 (N=185) 56.8 31.9 5,000万円超~1億円以下 (N=50) 56.0 32.0 9.2 6.0 6.0 5,000万円以下 (N=185) 25.4 5,000万円超~1億円以下 (N=50) 24.0 32.4 34.1 48.0 8.1 18.0 10.0 0.0 1億円超~3億円以下 (N=50) 68.0 3億円超~10億円以下 (N=51) 66.7 26.0 6.0 0.0 40.0 1億円超~3億円以下 (N=50) 38.0 22.0 0.0 2.0 31.4 2.0 47.1 3億円超~10億円以下 (N=51) 41.2 9.8 1.4 68.5 10億円超 (N=143) 25.2 48.5 該当しない (N=66) 0% 10% 20% 40.9 30% 40% 50% 60% 70% 4.9 4.5 80% 90% 1.4 40.6 10億円超 (N=143) 6.1 100% 16.7 該当しない (N=66) 0% 37.9 10% 20% 非常に感じる 非常に感じる やや感じる あまり感じない 37.1 30% 21.0 36.4 40% やや感じる 50% 60% あまり感じない 70% 9.1 80% 90% 100% 全く感じない 全く感じない 16 4-1-2. 情報セキュリティ対策上の課題 ◆情報セキュリティ対策上の課題については、「特に課題はない」が31.0%、ついで「リスクに対する具体的な対応策はわかって いるが、予算の制約により実行できない」が29.0%となっており、予算制約が課題の企業も多い。 図4-1-10 情報セキュリティ対策上の課題 ( n=545) 1.8 14.3 0% 10% 15.6 20% 29.0 30% 40% 8.3 50% 60% 31.0 70% 80% 90% 100% どのようなリスクが存在しているのかがわからない リスクはわかるものの、具体的な対応方法がわからない リスクに対する具体的な対応方法はわかるものの、予算の制約で実行できない リスクに対する具体的な対応方法はわかるものの、予算以外の問題で実行できない 特に課題はない その他 17 4-1-3. 今後の情報セキュリティ対策の考え方 ◆「予算を考慮し、導入時期を考えながら情報セキュリティ対策を講じたい」が49.4%と約半数を占めており、「常に最新の情報 セキュリティ対策を講じたい」は24.6%と約1/4にとどまっている。 図4-1-11 今後の情報セキュリティ対策の考え方 ( n=545) 0.9 24.6 0% 10% 49.4 20% 30% 40% 50% 17.2 60% 70% 80% 7.9 90% 100% 常に最新の情報セキュリティ対策を講じたい 予算を考慮し、導入時期を考えながら情報セキュリティ対策を講じたい 現状の情報セキュリティ対策で満足しているので新たな対策は必要ない 対策はしたいが具体的な情報セキュリティ対策のしかたがわからない その他 18 4-1-3. 今後の情報セキュリティ対策の考え方 ◆業種別にみると、製造業(IT関連製品)は「常に最新の情報セキュリティ対策を講じたい」が34.8%と他の業種に比べて多くなって いる。製造業(非IT関連製品)はほぼ業種全体での分布に近くなっている。情報通信業(IT関連サービス)は「予算を考慮し、導入 時期を考えながら情報セキュリティ対策を講じたい」が60.0%と他の業種に比べて多くなっている。情報通信業(非IT関連サービ ス)は業種全体の分布に近いが「常に最新の情報セキュリティ対策を講じたい」が30.8%と他の業種に比べてやや多くなっている。 製造業および情報通信業以外の業種は「現状の情報セキュリティ対策に満足しているので新たな対策は必要ない」が33.0%と他 の業種に比べて多くなっており、「対策はしたいが具体的な情報セキュリティ対策のしかたがわからない」も16.0%と他の業種に比 べて多くなっている。官公庁・自治体、研究・教育機関は業種全体の分布に近くなっている。 ◆資本金規模別にみると、3億円超~10億円以下および10億円超で「常に最新の情報セキュリティ対策を講じたい」が他の資本金 規模よりもやや多くなっている。また、5,000万円以下では「現状の情報セキュリティ対策に満足しているので新たな対策は必要な い」が23.8%と他の資本金規模に比べて多くなっており、5,000万円超~1億円以下では「対策はしたいが具体的な情報セキュリ ティ対策のしかたがわからない」が他の資本金規模に比べて多くなっている。 図4-1-12 業種別今後の情報セキュリティ対策の考え方 図4-1-13 資本金規模別今後の情報セキュリティ対策の考え方 0.9 合計 (N=545) 24.6 49.4 17.2 0.9 7.9 24.6 合計 (N=545) 49.4 17.2 7.9 0.0 製造業でIT関連製品(ハードウェア等)の製造 (N=69) 34.8 49.3 11.6 製造業で非IT関連製品の製造 (N=164) 20.1 49.4 17.7 20.5 5,000万円以下 (N=185) 4.3 0.6 5,000万円超~1億円以下 (N=50) 12.2 47.6 18.0 23.8 50.0 10.0 0.0 8.1 0.0 22.0 2.0 1.6 情報通信業でIT関連サービス(システム開発等)の提供 (N=125) 28.0 60.0 10.4 0.0 24.0 1億円超~3億円以下 (N=50) 30.8 51.3 7.7 10.3 29.4 17.0 34.0 33.0 16.0 25.9 50.0 10% 20% 30% 40% 50% 13.7 7.8 3.5 2.1 30.1 53.1 11.2 1.5 25.8 該当しない (N=66) 39.4 22.7 10.6 18.5 0% 0% 0.0 0.0 3.7 1.9 官公庁・自治体、研究・教育機関 (N=54) 47.1 0.0 10億円超 (N=143) 製造業及び情報通信業以外の業種(小売業、運輸業、金融業等) (N=94) 14.0 2.0 3億円超~10億円以下 (N=51) 情報通信業で非IT関連サービスの提供 (N=39) 60.0 60% 70% 80% 90% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 100% 常に最新の情報セキュリティ対策を講じたい 予算を考慮し、導入時期を考えながら情報セキュリティ対策を講じたい 現状の情報セキュリティ対策で満足しているので新たな対策は必要ない 対策はしたいが具体的な情報セキュリティ対策のしかたがわからない その他 常に最新の情報セキュリティ対策を講じたい 予算を考慮し、導入時期を考えながら情報セキュリティ対策を講じたい 現状の情報セキュリティ対策で満足しているので新たな対策は必要ない 対策はしたいが具体的な情報セキュリティ対策のしかたがわからない その他 19 4-1-4. IT製品調達時の考慮事項 ◆価格は69.5%と約7割の企業が重視している。セキュリティ機能については61.7%と価格についで重視する企業が多くなってい る。セキュリティ以外の機能、ベンダーの知名度、有識者の意見、一般的な評判については「他の事項と相対的に考慮する」 企業が最も多く、最優先事項になっている企業は多くない。 図4-1-14 IT製品調達時の考慮事項 ( n=545) 2.0 価格 69.5 セキュリティ以外の機能 28.4 30.5 56.3 13.2 2.9 セキュリティ機能 61.7 ベンダー(メーカー)の知名度や市場シェア 22.4 有識者の意見 24.4 一般的な評判 58.9 10% 18.7 51.4 20.6 0% 重視する 35.4 24.2 59.1 20% 30% 40% 他の事項と相対的に考慮する 50% 20.4 60% 70% 80% 90% 100% あまり考慮しない 20 4-1-5. IT製品調達時の情報セキュリティに対する考え方 ◆「コスト対効果の高いものを導入する」が33.2%と最も多く、「原則的に、リスク分析を行いリスク値の高い脅威・脆弱性に対し て対策を講じる」が26.4%、「製品ごとにセキュリティ機能を比較して選択する」が20.7%となっており、企業毎に考え方は分かれ ている。 図4-1-15 IT製品調達時の情報セキュリティに対する考え方 ( n=545) 26.4 0% 10% 33.2 20% 30% 40% 20.7 50% 60% 70% 8.8 80% 10.8 90% 100% 原則的に、リスク分析を行い、リスク値の高い脅威・脆弱性に対して対策を講じる コスト対効果の高いものを導入する 製品ごとにセキュリティ機能を比較して選択する 可用性を第一に考えている 特に注意を払っていない 21 4-1-6. 現在関心のあるセキュリティ分野 ◆現在関心のあるセキュリティ分野については、「事務処理関連」が41.7%と最も多くなっている。ついで「ネットワーク関連」が 32.5%、「クライアント関連」が31.7%、「サーバー関連」が31.2%となっているが、「情報漏えい関連」、「モバイル分野関連」、「無 線LAN関連」、「認証関連」、「クラウド関連」、「内部統制関連」も27%~31%の範囲となっており、比較的多くの企業で関心のあ る分野となっている。 図4-1-16 現在関心のあるセキュリティ分野 ( n=545) 41.7 事務処理関連(オフィスソフト、ドキュメントリーダ、グループウェア等) 32.5 31.7 31.2 30.6 29.0 28.3 28.1 27.9 27.3 ネットワーク関連(ファイアウォール、IDS/IPS、検疫ネットワーク等) クライアント関連(ウイルス対策ソフト等) サーバ関連(アプリケーションサーバ等) 情報漏えい関連(暗号化ツール、情報漏えい対策ソフト等) モバイル分野関連(携帯電話、スマートフォン、PDA、基地局等) 無線LAN関連(無線LANルータ、アクセスポイント等) 認証関連(認証システム、ID管理、生体認証等) クラウド関連(SaaS、PaaS、IaaS、オンラインストレージ等) 内部統制関連(財務会計ソフト、文書管理等) 19.1 18.2 18.0 OS/ミドルウェア関連(OS、DBMS、統合運用管理、高可用クラスタ、データ連携等) デジタル複合機・プリンタ関連 ICカード関連(スマートカード、ICカード処理システム、決済端末等) 12.7 11.9 9.9 9.4 8.1 教育・医療関連(eラーニング、自動血圧計、電子カルテ等) 情報家電関連(デジタルテレビ、HDDレコーダ、STB、ゲーム機、監視カメラ等) Eコマース関連(ECサイト構築システム等) 組み込み機器関連(FA、ロボット、通信機器、POSレジ、自動販売機、ATM/CD等) 輸送機器関連(自動車、鉄道、船舶、航空機、宇宙船、エレベーター等) 0.0 その他 19.1 特になし 0 5 10 15 20 (%) 25 30 35 40 45 50 22 4-1-7. 今後強化すべきセキュリティ分野 ◆今後強化すべきセキュリティ分野については、「事務処理関連」が26.6%、「クラウド関連」が26.1%、「情報漏えい関連」が25.9%、 「ネットワーク関連」が25.7%となっている。「現在関心のあるセキュリティ分野」に比べると、「事務処理関連」の回答割合は小さ く、「クラウド関連」、「情報漏えい関連」はほとんど同じ割合となっている。 図4-1-17 今後強化すべきセキュリティ分野 ( n=545) 26.6 26.1 25.9 25.7 24.0 23.7 22.8 22.2 20.4 20.2 17.4 15.8 13.8 12.8 10.1 9.9 9.7 9.7 事務処理関連(オフィスソフト、ドキュメントリーダ、グループウェア等) クラウド関連(SaaS、PaaS、IaaS、オンラインストレージ等) 情報漏えい関連(暗号化ツール、情報漏えい対策ソフト等) ネットワーク関連(ファイアウォール、IDS/IPS、検疫ネットワーク等) モバイル分野関連(携帯電話、スマートフォン、PDA、基地局等) 内部統制関連(財務会計ソフト、文書管理等) 認証関連(認証システム、ID管理、生体認証等) クライアント関連(ウイルス対策ソフト等) 無線LAN関連(無線LANルータ、アクセスポイント等) サーバ関連(アプリケーションサーバ等) ICカード関連(スマートカード、ICカード処理システム、決済端末等) OS/ミドルウェア関連(OS、DBMS、統合運用管理、高可用クラスタ、データ連携等) 教育・医療関連(eラーニング、自動血圧計、電子カルテ等) デジタル複合機・プリンタ関連 輸送機器関連(自動車、鉄道、船舶、航空機、宇宙船、エレベーター等) 情報家電関連(デジタルテレビ、HDDレコーダ、STB、ゲーム機、監視カメラ等) Eコマース関連(ECサイト構築システム等) 組み込み機器関連(FA、ロボット、通信機器、POSレジ、自動販売機、ATM/CD等) 0.0 その他 23.5 特になし 0 5 10 15 20 25 (%) 30 35 40 45 50 23 4-1-8. 社外のセキュリティサービスの利用意向 ◆社外のセキュリティサービスの利用については、「既に社外サービスを利用している」が25.5%と約1/4の企業が回答している が、「現在検討中」14.7%、「今後検討を考えたい」23.3%を加えると、60%以上の企業が利用の可能性があると考えられる。 図4-1-18 社外のセキュリティサービスの利用意向 ( n=545) 0.2 25.5 0% 10% 14.7 20% 30% 23.3 40% 50% 36.3 60% 70% 既に社外サービスを利用している 現在、検討中 今後検討を考えたい 考えていない 80% 90% 100% その他 24 4-2. ISO/IEC15408に関する意識・実態 4-2-1. ISO/IEC15408(CC:コモンクライテリア)の認知度 ◆「内容を含めよく知っている」は2.6%、「イメージはだいたい知っている」は11.0%、「名前だけ知っている」が16.0%となって おり、「名前だけ知っている」を含めた認知度は3割に満たない。 図4-2-1 ISO/IEC15408(CC:コモンクライテリア)の認知度 ( n=545) 2.6 11.0 0% 10% 16.0 20% 内容を含めよく知っている 70.5 30% 40% 50% 60% イメージはだいたい知っている 70% 80% 名前だけ知っている 90% 100% 知らない 25 4-2-2. ISO/IEC15408(CC:コモンクライテリア)の認知経路 ◆CCを認知している企業について認知経路をみると、「Webを通じた一般的な情報収集の中で」が56.5%と過半数を占めて おり、ついで「新聞・雑誌」が18.0%、「IT製品のベンダーを通じて」が13.7%となっている。 図4-2-2 ISO/IEC15408(CC:コモンクライテリア)の認知経路 ( n=161) 0.6 56.5 0% 10% 20% 30% 18.0 40% 50% 60% 13.7 70% 80% 5.0 90% Webを通じた一般的な情報収集の中で 新聞・雑誌 IT製品のベンダーを通じて IT製品調達の際にその仕様として 口コミ その他 6.2 100% 26 4-2-3. ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績 ◆CCを認知している企業について認証製品の利用実績をみると、「利用したことがある」は5.0%と尐数になっている。一方、 「実績はないが、関心はある」は58.4%となっており、比較的多くの企業が関心を持っている。 図4-2-3 ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績 ( n=161) 5.0 0% 58.4 10% 20% 利用(調達)したことがある 30% 26.1 40% 50% 実績はないが、関心がある 60% 70% 80% 実績がなく、関心もない 10.6 90% 100% わからない 27 4-2-3. ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績 ◆業種別にみると、製造業(IT関連製品)および製造業(非IT関連製品)については「実績はないが、関心はある」が65%程度と 多いのに対して、情報通信業(IT関連サービス)は「実績はなく、関心もない」が42.0%と比較的多くなっている。 ◆資本金規模別にみると、5,000万円以下では「実績はないが、関心はある」は51.0%となっているのに対して、5,000万円超~1 億円以下、1億円超~3億円以下、3億円超~10億円以下ではそれぞれ70%前後になっており、資本金が小さい企業の方がや や関心が低いことがうかがわれる。 図4-2-5 資本金規模別ISO/IEC15408(CC:コモンクライテリア)認証製品の 図4-2-4 業種別ISO/IEC15408(CC:コモンクライテリア)認証製品の 利用実績 利用実績 合計 (N=161) 5.0 58.4 26.1 10.6 5.0 合計 (N=161) 58.4 26.1 10.6 2.0 製造業でIT関連製品(ハードウェア等)の製造 (N=26) 11.5 65.4 7.7 15.4 51.0 5,000万円以下 (N=49) 38.8 8.2 0.0 製造業で非IT関連製品の製造 (N=44) 4.5 65.9 情報通信業でIT関連サービス(システム開発等)の提供 (N=50) 4.0 22.7 44.0 42.0 6.8 5,000万円超~1億円以下 (N=14) 10.0 1億円超~3億円以下 (N=23) 10.0 3億円超~10億円以下 (N=14) 9.5 10億円超 (N=52) 71.4 4.3 28.6 69.6 0.0 21.7 4.3 0.0 情報通信業で非IT関連サービスの提供 (N=10) 80.0 10.0 14.3 71.4 7.1 7.1 0.0 製造業及び情報通信業以外の業種(小売業、運輸業、金融業等) (N=21) 57.1 官公庁・自治体、研究・教育機関 (N=10) 10.0 0% 利用(調達)したことがある 33.3 60.0 10% 20% 30% 40% 実績はないが、関心がある 10.0 50% 60% 70% 実績がなく、関心もない 該当しない (N=9) 20.0 80% 90% 5.8 100% わからない 57.7 11.1 0% 21.2 33.3 10% 20% 30% 利用(調達)したことがある 22.2 40% 50% 15.4 33.3 60% 実績はないが、関心がある 70% 80% 実績がなく、関心もない 90% 100% わからない 28 4-2-4. ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績または関心のある製品分野 ◆ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績または関心のある企業にどの製品分野で関心があるの か尋ねたところ、「データベース」が最も多く60.8%、ついで「ミドルウェア」48.0%、「ファイアウォール」47.1%、「OS」45.1%、 「デジタル複合機」42.2%となった。 図4-2-6 ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績または関心のある製品分野 ( n=102) データベース 60.8 ミドルウェア 48.0 ファイアウォール 47.1 OS 45.1 デジタル複合機 42.2 スマートカード 21.6 (%) 0 10 20 30 40 50 60 70 80 90 100 29 4-2-5. ISO/IEC15408(CC:コモンクライテリア)認証製品の導入理由 ◆ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績または関心のある企業に導入理由を尋ねたところ、「当該 製品セキュリティに関する安心感を得るため」が52.0%と最も多く、ついで「内部統制の推進の一環として」が39.2%、「グ ローバルな観点から必要と考えられるため」が31.4%の順になっている。 図4-2-7 ISO/IEC15408(CC:コモンクライテリア)認証製品の導入理由 ( n=102) 当該製品セキュリティに関する安心感を得るため 52.0 39.2 内部統制の推進の一環として グローバルな観点から必要と考えられるため 31.4 全社方針(あるいは部門方針)があるため 24.5 社内にセキュリティの専門家が十分いなくともセキュ リティを担保できるため 20.6 製品選択の際の要素として重視している(または社 内合意が得やすい)ため 15.7 (%) 0 10 20 30 40 50 60 70 80 90 100 30 4-2-6. ISO/IEC15408(CC:コモンクライテリア)認証製品の導入に関心のない理由 ◆ISO/IEC15408(CC:コモンクライテリア)認証製品の導入に関心のない企業にその理由を尋ねたところ、 「ISO/IEC15408認証の内容がよくわからないため」が40.5%と最も多く、ついで「導入に関する全社方針(あるいは部門方 針)がないため」が38.1%の順となっている。 図4-2-8 ISO/IEC15408(CC:コモンクライテリア)認証製品の導入に関心のない理由 ( n=42) 40.5 ISO/IEC15408認証の内容がよくわからないため 導入に関する全社方針(あるいは部門方針)がない ため 38.1 導入するIT製品カテゴリにISO/IEC15408認証をさ れたものがみられないため 19.0 認証製品は他の製品よりコスト高になると思うため 19.0 IT製品のセキュリティに関してあまり意識していない ため 9.5 4.8 その他 (%) 0 10 20 30 40 50 60 70 80 90 100 31 4-2-7. ISO/IEC15408(CC:コモンクライテリア)認証製品の導入決定に最も影響のある部門 ◆ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績または関心のある企業に導入決定に最も影響のある部 門を尋ねたところ、「システム部門」が48.0%と半数近くを占め、ついで「内部統制やセキュリティの担当部門」が23.5%、総 務部門が10.8%の順となっている。 図4-2-9 ISO/IEC15408(CC:コモンクライテリア)認証製品の導入決定に最も影響のある部門 ( n=102) 48.0 0% 10% システム部門 20% 調達部門 8.8 30% 40% 50% 23.5 60% 内部統制やセキュリティの担当部門 70% 総務部門 10.8 80% 8.8 90% 100% 社長または担当役員 32 4-2-8. 今後ISO/IEC15408(CC:コモンクライテリア)の認証がなされ、セキュリティ確保が望ましい製品分野 ◆全回答企業に今後 ISO/IEC15408(CC:コモンクライテリア)の認証がなされ、セキュリティ確保が望ましい製品分野を 尋ねたところ「事務処理関連」および「ネットワーク関連」が24.4%と最も多くなっている。ついで「認証関連」が23.9%、「クラ イアント関連」が22.0%、「内部統制関連」が21.5%、「情報漏えい関連」が21.3%、「サーバー関連」が20.6%となっている。「今 後強化すべきセキュリティ分野」への回答に比べると、「認証関連」「クライアント関連」が比較的上位にきている。 図4-2-10 今後ISO/IEC15408(CC:コモンクライテリア)の認証がなされ、セキュリティ確保が望ましい製品分野 ( n=545) 24.4 24.4 23.9 22.0 21.5 21.3 20.6 事務処理関連(オフィスソフト、ドキュメントリーダ、グループウェア等) ネットワーク関連(ファイアウォール、IDS/IPS、検疫ネットワーク等) 認証関連(認証システム、ID管理、生体認証等) クライアント関連(ウイルス対策ソフト等) 内部統制関連(財務会計ソフト、文書管理等) 情報漏えい関連(暗号化ツール、情報漏えい対策ソフト等) サーバ関連(アプリケーションサーバ等) 17.1 16.9 14.7 13.9 11.7 11.6 無線LAN関連(無線LANルータ、アクセスポイント等) クラウド関連(SaaS、PaaS、IaaS、オンラインストレージ等) モバイル分野関連(携帯電話、スマートフォン、PDA、基地局等) ICカード関連(スマートカード、ICカード処理システム、決済端末等) Eコマース関連(ECサイト構築システム等) OS/ミドルウェア関連(OS、DBMS、統合運用管理、高可用クラスタ、データ連携等) 6.2 5.7 5.5 5.1 3.3 教育・医療関連(eラーニング、自動血圧計、電子カルテ等) デジタル複合機・プリンタ関連 組み込み機器関連(FA、ロボット、通信機器、POSレジ、自動販売機、ATM/CD等) 情報家電関連(デジタルテレビ、HDDレコーダ、STB、ゲーム機、監視カメラ等) 輸送機器関連(自動車、鉄道、船舶、航空機、宇宙船、エレベーター等) 0.4 その他 38.2 特になし 0 5 10 15 20 25 30 35 40 (%) 45 50 33 4-2-9. CC認証マークの認知度 ◆CC認証マークの認知度は13.2%となっており、CCの制度の認知度に比べると低い水準である。 図4-2-11 CC認証マークの認知度 ( n=545) 13.2 0% 10% 86.8 20% 30% 知っている 40% 50% 60% 70% 80% 90% 100% 知らない 34 4-2-10. CC認証マークの貼付位置 ◆CC認証マークを認知している企業にCC認証マークを貼付すべき位置を尋ねたところ、「製品の目立つところ」が68.1%と 最も多く、ついで「製品の目立たないところ」および「取扱説明書」が26.4%であった。 図4-2-12 CC認証マークの貼付位置 ( n=72) 製品の目立つところ 68.1 製品の目立たないところ 26.4 取扱説明書 26.4 19.4 カタログ (%) 0 10 20 30 40 50 60 70 80 90 100 35 4-3. CC認証取得に関する意識・実態 4-3-1. CC認証の取得状況 ◆CC認証取得状況について尋ねたところ、「取得したことがある」は1.0%と尐ないが、「実績はないが取得に関心がある」 29.4%と約3割が取得に関心を持っている。 図4-3-1 CC認証の取得状況 ( n=194) 1.0 29.4 0% 10% ある 69.6 20% 30% 40% 50% 実績はないが取得に関心がある 60% 70% 80% 90% 100% 実績がなく取得の関心もない ※本節の内容はCC認証取得に関する設問であることから、業種が製造業(IT関連製品)または情報通信業(IT関連サービス)の企業を分析対象としている。 36 4-3-1. CC認証の取得状況 ◆業種別にみると、製造業(IT関連製品)は「実績はないが、取得に関心がある」が42.0%と比較的多いのに対して、情報通信業 (IT関連サービス)は22.4%とやや尐なくなっている。 ◆資本金規模別にみると、5,000万円以下では「実績はないが、取得に関心がある」は11.9%と尐なくなっている。それ以上の資 本金区分の企業に関しては、概ね資本金規模が大きくなるほど「実績はないが、取得に関心がある」の割合が多くなっている。 図4-3-3 資本金規模別CC認証の取得状況 図4-3-2 業種別CC認証の取得状況 1.0 合計 (N=194) 29.4 製造業でIT関連製品 (ハードウェア等)の製造 (N=69) 42.0 5,000万円超~1億円以下 (N=14) 58.0 1.6 情報通信業でIT関連サービス (システム開発等)の提供 (N=125) 22.4 10% 76.0 20% 30% 40% 50% 60% 69.6 0.0 11.9 5,000万円以下 (N=59) 69.6 0.0 0% 29.4 合計 (N=194) 1.0 70% 80% 90% 100% 88.1 0.0 28.6 1億円超~3億円以下 4.2 (N=24) 0.0 3億円超~10億円以下 (N=21) 1.4 71.4 29.2 66.7 38.1 61.9 42.3 10億円超 (N=71) 56.3 0.0 20.0 該当しない (N=5) ある 実績はないが取得に関心がある 実績がなく取得の関心もない 0% 10% ある 80.0 20% 30% 40% 50% 実績はないが取得に関心がある 60% 70% 80% 90% 100% 実績がなく取得の関心もない ※本節の内容はCC認証取得に関する設問であることから、業種が製造業(IT関連製品)または情報通信業(IT関連サービス)の企業を分析対象としている。 37 4-3-2. CC認証取得実績または関心のある製品カテゴリとその保証レベル ◆CC認証取得の実績または関心のある企業に対して、製品カテゴリとその保証レベルを尋ねた。 ◆デジタル複合機に関しては、全体の42.4%が「関心はあるがEALレベルはわからない」、ついで「関心はありEALレベル3」 が11.9%、「関心はありEALレベル1」が10.2%と続いている。なお、「取得/関心がない」は15.3%であった。 ◆OSに関しては、全体の39.0%が「関心はあるがEALレベルはわからない」、ついで「関心はありEALレベル2」が15.3%、「関 心はありEALレベル1」が13.6%と続いている。なお、「取得/関心がない」は10.2%であった。 図4-3-4 CC認証取得実績または関心のある製品カテゴリ とその保証レベル(デジタル複合機) 図4-3-5 CC認証取得実績または関心のある製品カテゴリ とその保証レベル(OS) ( n=59) ( n=59) 0.0 EAL1(取得) 0.0 0.0 EAL2(取得) 0.0 0.0 EAL3(取得) 0.0 EAL4(取得) 0.0 EAL4(取得) 0.0 EAL5以上(取得) 0.0 EAL5以上(取得) 0.0 EAL1(取得) EAL2(取得) EAL3(取得) わからない(取得) 1.7 わからない(取得) EAL3(関心) 5.1 EAL4(関心) わからない(関心) 42.4 15 (%) 20 25 30 35 40 45 1.7 わからない(関心) 15.3 10 8.5 EAL5以上(関心) 取得していない/関心がない 5 10.2 EAL4(関心) 6.8 0 15.3 EAL3(関心) 11.9 EAL5以上(関心) 13.6 EAL2(関心) 6.8 EAL2(関心) 1.7 EAL1(関心) 10.2 EAL1(関心) 50 39.0 10.2 取得していない/関心がない 0 5 10 (%) 15 20 25 30 35 40 45 50 ※本節の内容はCC認証取得に関する設問であることから、業種が製造業(IT関連製品)または情報通信業(IT関連サービス)の企業を分析対象としている。 38 4-3-2. CC認証取得実績または関心のある製品カテゴリとその保証レベル ◆ミドルウェアに関しては、全体の35.6%が「関心はあるがEALレベルはわからない」、ついで「関心はありEALレベル2」が 18.6%、「関心はありEALレベル3」が13.6%と続いている。なお、「取得/関心がない」は13.6%であった。 ◆データベースに関しては、全体の39.0%が「関心はあるがEALレベルはわからない」、ついで「関心はありEALレベル3」が 16.9%、「関心はありEALレベル4」が11.9%と続いている。なお、「取得/関心がない」は10.2%であった。 図4-3-6 CC認証取得実績または関心のある製品カテゴリ とその保証レベル(ミドルウェア) 図4-3-7 CC認証取得実績または関心のある製品カテゴリ とその保証レベル(データベース) ( n=59) ( n=59) EAL1(取得) 0.0 EAL1(取得) 0.0 EAL2(取得) 0.0 EAL2(取得) 0.0 EAL3(取得) 0.0 EAL3(取得) 0.0 EAL4(取得) 0.0 EAL4(取得) 0.0 EAL5以上(取得) 0.0 EAL5以上(取得) 0.0 1.7 わからない(取得) 8.5 EAL1(関心) 18.6 3.4 5.1 EAL5以上(関心) 35.6 取得していない/関心がない 10 15 39.0 わからない(関心) 13.6 5 11.9 EAL4(関心) わからない(関心) 0 16.9 EAL3(関心) 5.1 EAL4(関心) 5.1 EAL2(関心) 13.6 EAL3(関心) 10.2 EAL1(関心) EAL2(関心) EAL5以上(関心) 1.7 わからない(取得) 10.2 (%) 取得していない/関心がない 20 25 30 35 40 45 50 0 5 10 (%) 15 20 25 30 35 40 45 50 ※本節の内容はCC認証取得に関する設問であることから、業種が製造業(IT関連製品)または情報通信業(IT関連サービス)の企業を分析対象としている。 39 4-3-2. CC認証取得実績または関心のある製品カテゴリとその保証レベル ◆スマートカードに関しては全体の37.3%が「関心はあるがEALレベルはわからない」、ついで「関心はありEALレベル3」が 15.3%、「関心はありEALレベル1」が11.9%と続いている。なお、「取得/関心がない」は16.9%であった。 ◆ファイアウォールに関しては全体の40.7%が「関心はあるがEALレベルはわからない」、ついで「関心はありEALレベル3」 が16.9%、「関心はありEALレベル5以上」が13.6%と続いている。なお、「取得/関心がない」は8.5%であった。 図4-3-8 CC認証取得実績または関心のある製品カテゴリ とその保証レベル(スマートカード) 図4-3-9 CC認証取得実績または関心のある製品カテゴリ とその保証レベル(ファイアウォール) ( n=59) ( n=59) EAL1(取得) 0.0 EAL1(取得) 0.0 EAL2(取得) 0.0 EAL2(取得) 0.0 EAL3(取得) 0.0 EAL3(取得) 0.0 EAL4(取得) 0.0 EAL5以上(取得) 0.0 1.7 EAL4(取得) 0.0 EAL5以上(取得) 1.7 わからない(取得) わからない(取得) 11.9 EAL1(関心) 6.8 EAL2(関心) 15.3 EAL4(関心) 5.1 13.6 10 15 20 40.7 わからない(関心) 16.9 取得していない/関心がない 5 6.8 EAL5以上(関心) 37.3 わからない(関心) 0 16.9 EAL3(関心) 3.4 EAL5以上(関心) 8.5 3.4 EAL2(関心) EAL3(関心) EAL4(関心) 1.7 EAL1(関心) 8.5 (%) 取得していない/関心がない 25 30 35 40 45 50 0 5 10 (%) 15 20 25 30 35 40 45 50 ※本節の内容はCC認証取得に関する設問であることから、業種が製造業(IT関連製品)または情報通信業(IT関連サービス)の企業を分析対象としている。 40 4-3-3. CC認証取得または取得に関心のある理由 ◆CC認証取得の実績または関心のある企業に対して認証取得の理由を尋ねたところ、「自社の信頼やイメージ向上」が 最も多く45.8%、ついで「自主的な自社製品の格付け向上」が44.1%、「ユーザ(民間企業)からの要請」が28.8%の順となっ ており、社外からの要請よりも自主的な理由の方が多くなっている。 図4-3-10 CC認証取得または取得に関心のある理由 ( n=59) 45.8 自社の信頼やイメージ向上 自主的な自社製品の格付け向上 44.1 28.8 ユーザ(民間企業)からの要請 ユーザ(官公庁)からの要請 22.0 18.6 競合他社が取得しているため競争上必要 ユーザ(外国政府、企業)からの要請 11.9 (%) 0 10 20 30 40 50 60 70 80 90 100 ※本節の内容はCC認証取得に関する設問であることから、業種が製造業(IT関連製品)または情報通信業(IT関連サービス)の企業を分析対象としている。 41 4-3-4. CC認証取得への改善項目 ◆CC認証取得の実績または関心のある企業に対してCC認証への改善の優先課題を尋ねたところ、「評価・認証時間の 短縮」が45.8%で最も多く、ついで「評価・認証費用の低減」が37.3%、「事務手続きの簡略化」が32.2%と続いている。手続 きに関わるものが上位に来ている。 図4-3-11 CC認証取得への改善項目 ( n=59) 45.8 評価・認証時間の短縮 評価・認証費用の低減 37.3 32.2 事務手続きの簡略化 25.4 公的機関、業界団体によるPPの作成と認証取得 20.3 ITユーザへの広報および教育 8.5 ITベンダへの広報および教育 0.0 優先課題は特にない (%) 0 10 20 30 40 50 60 70 80 90 100 ※本節の内容はCC認証取得に関する設問であることから、業種が製造業(IT関連製品)または情報通信業(IT関連サービス)の企業を分析対象としている。 42 4-4. CCに関わる税制についての意識 4-4-1. 情報基盤強化税制または中小企業等基盤強化税制の認知度 ◆情報基盤強化税制または中小企業等基盤強化税制の認知度については、「活用したことがある」は1.7%、「活用したこ とはないが、内容は知っている」が10.3%で合わせて12.0%は内容までの認知がある。また、「名前だけ知っている」は 20.0%であった。 図4-4-1 情報基盤強化税制または中小企業等基盤強化税制の認知度 ( n=545) 1.7 10.3 0% 10% 20.0 20% 活用したことがある 68.1 30% 40% 50% 60% 活用したことはないが、内容は知っている 70% 80% 名前だけ知っている 90% 100% 知らない 43 4-4-2. 情報基盤強化税制または中小企業等基盤強化税制の税制上の特典の認知度 ◆情報基盤強化税制または中小企業等基盤強化税制の税制上特典の認知度については、「活用したことがある」は2.4%、 「活用したことはないが、存在は知っている」が22.0%で合わせて24.4%は認知がある。 図4-4-2 情報基盤強化税制または中小企業等基盤強化税制の税制上の特典の認知度 ( n=545) 2.4 22.0 0% 10% 75.6 20% 活用したことがある 30% 40% 50% 60% 70% 活用したことはないが、存在は知っている 80% 90% 100% 知らない 44 4-4-3. 税法上の特典に対する評価 ◆情報セキュリティが確保された製品購入に対する税制上の特典があることについて尋ねたところ、「情報セキュリティが 確保された製品の購入促進に役立ち、情報セキュリティの向上に有益」との回答が90.5%、「必ずしも情報セキュリティが 確保された製品の購入促進には役立たない」が9.5%となっており、多くの企業が有益と考えている 図4-4-3 税法上の特典に対する評価 ( n=545) 90.5 0% 10% 20% 30% 40% 9.5 50% 60% 70% 80% 90% 100% 情報セキュリティが確保された製品の購入促進に役立ち、情報セキュリティの向上に有益 必ずしも情報セキュリティが確保された製品の購入促進には役立たない 45 4-4-4. 中小企業等基盤強化税制の対象製品の今後の利用意向 ◆中小企業等基盤強化税制の対象製品の今後の利用意向については、79.6%が利用したいと思うと回答した。 図4-4-4 中小企業等基盤強化税制の対象製品の今後の利用意向 ( n=545) 79.6 0% 10% 20% 思う 30% 40% 20.4 50% 60% 70% 80% 90% 100% 思わない 46 4-4-5. 調達における政策的支援(税制等)が必要と思うセキュリティ分野 ◆調達における政策的支援(税制等)が必要と思うセキュリティ分野を尋ねたところ、「情報漏えい関連」が16.1%と最も多く、 ついで「認証関連」および「クラウド関連」が11.7%、「内部統制関連」が11.6%と続いている。「今後強化すべきセキュリティ 分野」に比べると、「情報漏えい関連」が他より多いということが特徴となっている。 図4-4-5 調達における政策的支援(税制等)が必要と思うセキュリティ分野 ( n=545) 16.1 情報漏えい関連(暗号化ツール、情報漏えい対策ソフト等) 11.7 11.7 11.6 10.5 10.3 9.2 7.9 6.6 6.4 6.2 5.0 4.2 3.9 3.1 2.9 2.8 1.7 0.4 認証関連(認証システム、ID管理、生体認証等) クラウド関連(SaaS、PaaS、IaaS、オンラインストレージ等) 内部統制関連(財務会計ソフト、文書管理等) 事務処理関連(オフィスソフト、ドキュメントリーダ、グループウェア等) ネットワーク関連(ファイアウォール、IDS/IPS、検疫ネットワーク等) モバイル分野関連(携帯電話、スマートフォン、PDA、基地局等) サーバ関連(アプリケーションサーバ等) クライアント関連(ウイルス対策ソフト等) 教育・医療関連(eラーニング、自動血圧計、電子カルテ等) ICカード関連(スマートカード、ICカード処理システム、決済端末等) 無線LAN関連(無線LANルータ、アクセスポイント等) OS/ミドルウェア関連(OS、DBMS、統合運用管理、高可用クラスタ、データ連携等) 輸送機器関連(自動車、鉄道、船舶、航空機、宇宙船、エレベーター等) Eコマース関連(ECサイト構築システム等) 情報家電関連(デジタルテレビ、HDDレコーダ、STB、ゲーム機、監視カメラ等) デジタル複合機・プリンタ関連 組み込み機器関連(FA、ロボット、通信機器、POSレジ、自動販売機、ATM/CD等) その他 36.9 特になし 0 5 10 15 20 25 30 35 40 (%) 45 50 47 4-5. 情報セキュリティ対策の情報収集の状況 4-5-1. 情報セキュリティに関する情報の入手頻度 ◆情報セキュリティに関する情報の入手頻度については、「毎日入手している」は3.1%、「定期的に入手している」が19.1%、 「気がついた時に入手している」が45.5%となっており、不定期に気がついた時に入手している企業が半数近くになる。ま た、「入手していない」企業も32.3%と約1/3が該当している。 図4-5-1 情報セキュリティに関する情報の入手頻度 ( n=545) 3.1 19.1 0% 10% 45.5 20% 毎日入手している 30% 40% 定期的に入手している 32.3 50% 60% 70% 気がついたときに入手している 80% 90% 100% 入手していない 48 4-5-2. 情報セキュリティに関する情報の収集元 ◆情報セキュリティに関する情報を収集している企業に対してその主な収集元を尋ねたところ、「IPAのウェブサイト」が 61.8%と最も多く、ついで「民間企業のウェブサイト」18.2%、「新聞・雑誌などの記事」9.8%となっている。 図4-5-2 情報セキュリティに関する情報の収集元 ( n=369) 1.1 61.8 0% 10% 20% 30% 18.2 40% 50% 60% 70% 9.8 80% 9.2 90% IPAのウェブサイト IPA以外の官公庁のウェブサイト 民間企業のウェブサイト 新聞・雑誌などの記事 100% その他 49