情報セキュリティ対策ベンチマーク ver.4 › files › 000048358.pdf1 情報セキュリティ対策ベンチマーク ver.4.4 2015 年10 月27 日情報セキュリティ対策ベンチマークでは、Webページ上の質問に答えることで、組織の情報セ

1

情報セキュリティ対策ベンチマーク ver.4.4

2015 年 10 月 27 日

情報セキュリティ対策ベンチマークでは、Webページ上の質問に答えることで、組織の情報セ

キュリティへの取組状況を自己診断することができます。診断においては、スコア＊１（点数）によ

る評価と他社との比較ができます。他社との比較では、レーダーチ

ャートによる比較や散布図による自社の位置の確認ができます。こ

れらの比較の基礎となるのは、本システムで実際に診断を行った

企業の診断データです。

診断結果では、次の項目が表示されます。

【診断結果の表示】

1. トータルスコアの分布と自社の位置を散布図で表示

• 散布図は、全体と企業規模別の2種類を表示

• 散布図中の自社の位置は最新の位置と過去2回分までの比較が可能

2. レーダーチャートによるスコアの比較は4種類を表示

• 情報セキュリティリスク指標に応じたグループ別のスコアの比較

• 企業規模別によるスコアの比較

• 業種別によるスコアの比較能

• 自組織の最新のスコアと過去2回分までのスコアの比較

3. トータルスコアの度数分布状況と偏差値を表示

4. 診断結果を資料として活用可能（PDF＊２で保存・印刷）

5. スコア一覧の表示（PDF）

6. 推奨される取り組みの表示

*1) スコア

情報セキュリティ対策の実施状況に関する評価項目27問へ5段階で回答すると、スコア（点数）

が計算されます。各評価項目は最高5点(最低1点)、トータルスコアは最高135点(最低27点)で

す。

*2) PDF

PDF(Portable Document Format)とは、Adobe Systems社によって開発された、電子文書のた

めのグローバルスタンダードなドキュメントフォーマットです。このフォーマットのファイルを参照す

るには、専用のアプリケーションやブラウザのアドオン等が必要ですが、Adobe Systems社からも

無償ツールのAdobe Readerが提供されており、参照だけでなく保存や印刷を行うこともできます。

2

1. 情報セキュリティ対策ベンチマーク利用状況

2008年4月にリリースした、情報セキュリティ対策ベンチマークバージョン3.1 より、診断の基礎

データについては、情報セキュリティを巡る環境変化やレベルの変化を勘案し、最新2年分の登

録利用されたデータ（ログインＩＤを発行したデータ：統計情報としての利用許諾をいただいたデー

タ）を適用することとし、基礎データの入れ替えを毎年行うようになりました。

表1-1および図１-1に、情報セキュリティ対策ベンチマークの利用件数（診断数）を示します。

2015年9月30日現在、利用件数は延べ3万2千件を超え、診断の基礎データとして提供された

データ(現時点で統計に利用できるデータ)の件数は、10,578件＊３となっています。

表１-1 情報セキュリティ対策ベンチマークの利用件数

年度一時利用＊4 登録利用＊5 再診断＊6 再入力＊7 利用合計

平成 17 年度 1149 550 1699

平成 18 年度 3234 2547 5781

平成 19 年度 2045 1570 534 326 4475

平成 20 年度 1717 931 779 270 3697

平成 21 年度 1164 780 514 376 2834

平成 22 年度 1238 849 675 197 2959

平成 23 年度 725 535 514 213 1987

平成 24 年度 849 594 392 306 2141

平成 25 年度 789 575 510 157 2031 平成 26 年度 1778 837 427 147 3189

平成 27 年度

(9 月 30 日まで) 734 438 241 46 1489

累計 15422 16860 32282

*3) 現時点で統計に利用できるデータの件数は9,637件

2005年度からの登録利用＊５で登録された診断データは表1-1に示すように15,422件ありますが、これらのデ

ータには再診断・再入力による同一利用者の重複診断データが存在します。診断の基礎データとして使用する

データは同一利用者の分を除外しているため10,578件となります。

*4) 一時利用

情報セキュリティ対策ベンチマークシステムにおいてログインＩＤの登録なしに、一時的にセキュリティ診断を

利用したものです。この利用（おためし利用と位置付けている）により作成されたデータは統計情報には利用し

ていません。

*5) 登録利用

情報セキュリティ対策ベンチマークシステムにおいてログインＩＤの登録を行い、登録データの再利用ができ

るセキュリティ診断を利用したものです。この利用により作成(登録)されたデータは、ＩＰＡが作成する統計情報

およびセキュリティ診断の基礎データとして利用されます。

*6) 再診断

情報セキュリティ対策ベンチマークシステムにおいてログインＩＤの登録を行った登録データで再度セキュリテ

ィ診断を利用したものです。

*7) 再入力

情報セキュリティ対策ベンチマークシステムにおいてログインＩＤの登録を行った登録データを変更(再入力)

することで再度セキュリティ診断を利用したものです。

3

図1-1 情報セキュリティ対策ベンチマークの利用件数（診断数）の推移

2013年6月20日リリースの情報セキュリティ対策ベンチマークバージョン4.2 (以下Ver.4.2)では、

2011/4/1～2013/5/31に提供された診断データ 1,403件を基礎データとして用いていましたが、

2014年9月にリリースする情報セキュリティ対策ベンチマークバージョン4.3 (以下Ver.4.3)では、

2010/4/1～2014/9/30に提供された診断データ 3,056件を基礎データとして用いました。さらに、

2014年9月にリリースする情報セキュリティ対策ベンチマークバージョン4.4 (以下Ver.4.4)では、

2010/4/1～2015/9/30に提供された診断データ 3,999件を基礎データとして用います。

この基礎データを用いる理由を、図1-2を用いて説明します。

4

図1-2 Ver.4.2以前の基礎データとVer.4.3およびVer.4.4基礎データの27項目のスコア平均値比較

図1-2にVer.3.3、Ver3.4、Ver.4.1、Ver.4.2、Ver.4.3およびVer.4.4の基礎データにおける27項目

(ver.3.4以前は25項目)のスコア平均値を示します。

図1-2をみると、Ver.3.3の基礎データを除き、ほぼ一定の水準を示すものに判断でできます。

この状況はVer.4.2の統計情報を作成する際にも見受けられた傾向ですが、Ver.4.2の運用後も

大きな変化はなく、スコアの向上が停滞しているように思われます。

図1-2にはVer.4.3基礎データおよびVer.4.4基礎データも示していますが、ほぼ同じ水準となっ

ています。これは、Ver.4.3での利用者の水準がほとんど変化していないことを示しています。

このような状況では、利用者の診断結果を示す場合でも基礎となるデータの母数が大きいこと

が有効と判断されます。つまり、診断のための基礎データに関しては母数が多いほうが、精度が

向上すると考えられます。このため、Ver.4.4へのバージョンアップでも、Ver.4.3へのバージョンア

ップと同様に、2010年4月1日以降の登録データ（利用者に統計情報として利用許諾を得たデー

タ）を基礎データにすることに決定しました。

ただし、2010/4/1～2011/5/30までの診断データ(および、それ以降の再診断データ)について

はVer.3.4で追加された2項目(リスクアセスメントおよびバックアップの項目)のスコア値がありませ

んが、2011/5/31以降の診断データを解析し、追加2項目以外のスコア値の平均値と追加2項目

の平均値から推定(単純換算)されるスコア値をもって基礎データとしました。これらの値は今後精

度向上されていくものと考えています。

5

図2-1 トータルスコアとリスク指標による基礎データの散布図

（ GIII=965件、GII=1,195件、GI=1,839件）

以下に、ver.4.4 の診断の基礎データとなる 3,999件のデータの情報セキュリティ指針＊9によ

るグループ＊9別、企業規模別、業種別の各平均値と望まれる水準＊9の値を示します。

*9) 情報セキュリティ指針(グループ)および望まれる水準

情報セキュリティ指針(グループ)および望まれる水準については、付録「参考情報：情報セキュリティ指標

と望まれる水準について」を参照されたい。

2. グループ別平均値と望まれる水準

情報セキュリティ対策ベンチマークでは、診断企業は情報セキュリティリスク指標の値の高い

順に、

• グループⅠ（GI：高水準のセキュリティレベルが要求される層）

• グループⅡ（GII：相応の水準のセキュリティレベルが望まれる層）

• グループⅢ（GIII：情報セキュリティ対策が喫緊の課題でない層）

の3つのグループのいずれかに分類されます。ベンチマークによる診断利用者は、そのグループ

別の診断項目スコア平均値や望まれる水準と、自社の対策状況の比較ができます。

図2-1～図2-5に各グループがどのような状況（データの集まり）なのか、グループごとのトータ

ルスコアとリスク指標による基礎データの散布図およびトータルスコアの度数分布図を示します。

6

図2-2 グループI（GI）のトータルスコア度数分布（1,839件）

図2-3 グループII（GII）のトータルスコア度数分布 (1,195件)

7

図2-4 グループIII（GIII）のトータルスコア度数分布 (965件)

図2-5 基礎データ全体のトータルスコア度数分布 (3,999件)

8

表2-1 グループ別 27項目のスコア平均値と望まれる水準（n=3,999）

Ver.4.4の診断の基礎データ 3,999件のグループ別平均値と望まれる水準の値を表2-1に、視

覚的に理解しやすくするために平均値の折れ線グラフを図2-6に示します。

大

項

目

設問連

番

平均値望まれる水準

GI GII GIII GI GII GIII

問

1

(1) 管理規程 1 3.461 3.300 3.208 4.303 4.169 4.150 (2) リスクアセスメント 2 3.208 3.044 3.032 4.158 4.038 4.083 (3) 推進体制 3 3.479 3.305 3.212 4.294 4.167 4.140 (4) 資産分類 4 3.130 3.009 2.962 4.137 4.030 4.080 (5) 情報の工程毎安全対策 5 3.254 3.038 3.078 4.211 4.035 4.103 (6) 業務委託契約 6 3.552 3.336 3.287 4.278 4.124 4.160 (7) 従業者との契約 7 3.639 3.481 3.463 4.347 4.162 4.250 (8) 従業者への教育 8 3.327 3.208 3.132 4.292 4.121 4.147

問

2

(1) 建物等のセキュリティ 9 3.548 3.382 3.298 4.343 4.202 4.137 (2) 第三者アクセス 10 3.341 3.181 3.161 4.225 4.066 4.103 (3) 機器の設置 11 3.388 3.269 3.201 4.192 4.104 4.090 (4) 書類・媒体の管理 12 3.455 3.289 3.284 4.261 4.189 4.157

問

3

(1) 実稼働環境 13 3.438 3.354 3.233 4.239 4.124 4.130 (2) システム運用 14 3.436 3.304 3.236 4.285 4.184 4.103 (3) バックアップ 15 3.436 3.337 3.288 4.227 4.136 4.137 (4) 不正プログラム対策 16 3.873 3.813 3.727 4.421 4.341 4.280 (5) 脆弱性対策 17 3.529 3.441 3.369 4.290 4.222 4.197 (6) 通信ネットワーク保護策 18 3.557 3.437 3.324 4.292 4.227 4.163 (7) 媒体の紛失・盗難対策 19 3.397 3.292 3.248 4.257 4.197 4.173

問

4

(1) データへのアクセス 20 3.618 3.547 3.453 4.301 4.265 4.170 (2) 業務アプリへのアクセス 21 3.595 3.521 3.424 4.245 4.184 4.163 (3) ネットワークのアクセス制御 22 3.675 3.560 3.428 4.327 4.250 4.170 (4) 開発時のセキュリティ 23 3.262 3.163 3.032 4.123 4.038 4.040 (5) ソフトウェアの管理 24 3.181 3.076 3.042 4.116 4.066 4.033

問

5

(1) 障害対策 25 3.420 3.240 3.174 4.204 4.073 4.050 (2) 事故対応手続き 26 3.291 3.123 3.050 4.224 4.093 4.063 (3) 事業継続 27 3.005 2.832 2.880 4.002 3.833 3.937

注1：GＩ=グループＩ、GＩＩ=グループＩＩ、GＩＩＩ=グループＩＩＩ

注2：各グループの件数 GＩ=1,839件、GＩＩ=1,195件、GＩＩＩ=965件

9

図2-6 グループ別 27項目のスコア平均値

図2-6を見る限りグループ毎のスコアの平均値のバラツキ(傾向)にはあまり違いがないようで

す。また、グループ間でのスコアの平均値は、情報セキュリティ指標に即した値を示しているよう

です。ただし、診断項目によっては情報セキュリティ指標に依存しません。

そういった意味では、情報セキュリティ指標によるグループ分けは診断の基準にはならないと

いうことになりますが、最近のセキュリティ事情（誰でもがサーバー攻撃にターゲットになりうるよ

うな事情）がそうさせているのかもしれません。

10

表3-1 グループ別 27項目のスコア平均値と望まれる水準

従業員数300名以下の企業（中小企業）（n=2,415）

3. 企業規模別平均値と望まれる水準

診断結果には、企業規模別のスコアの比較がレーダーチャートにより表示されます。診断企業

は、従業員数300名を超える企業（大企業）と、300名以下の企業（中小企業）に分類され、さらに、

企業規模別に情報セキュリティリスク指標に応じたグループ分けがなされます。

バージョン4.4 の診断の基礎データ3,994件の診断データを企業規模別グループ別に分けた各

平均値と望まれる水準の値を表3と表4に、視覚的に理解しやすくするために平均値の折れ線グ

ラフを図3-1と図3-3に示します。

大

項

目

設問連

番



問

1


問

2


問

3


問

4


問

5


注1：GI=グループI、GII=グループII、GIII=グループIII

注2：各グループのデータ件数 GI=1,055件、GII=681件、GIII=679件

11

図3-1 従業員数300名以下の企業（中小企業）の27項目のスコア平均値

図3-1を見ると、従業員数が300名以下の企業(中小企業)においては情報セキュリティ指標に

よるグループ分けはほぼ意味を持たないようです。要求されるレベルそのものが意識されていな

い、つまり、『情報セキュリティ対策について十分に検討あるいは考慮されていない』ということが

考えられます。

12

図3-2 中小企業のトータルスコアとリスク指標による基礎データの散布図

GＩＩＩ=679件、GＩＩ=681件、GＩ=1,055件

13

表3-2 グループ別 27項目のスコア平均値と望まれる水準

従業員数300名を超える企業（大企業）（n=1,584）

大

項

目

設問連

番



問

1


問

2


問

3


問

4


問

5


注1：GI=グループI、GII=グループII、GIII=グループIII

注2：各グループのデータ件数 GI=784件、GII=514件、GIII=286件

14

図3-3 従業員数300名を超える企業（大企業）の27項目のスコア平均値

図3-1と図3-3を比較すると、図3-1の中小企業と違い図3-3の大企業では、情報セキュリティリ

スク指標によるグループ分けがそのままグラフに表れているようです。これは、大企業において

は情報セキュリティ対策の実施が十分に浸透していることを意味していると思われます。要求さ

れる水準が高い企業ほどセキュリティ対策の水準も高いと考えることができます。

そういう意味では、図3-1で示されるように、中小企業全体として情報セキュリティ対策の実施

が遅れていると考えることができそうです。

15

図3-4 大企業のトータルスコアとリスク指標による基礎データの散布図

GＩＩＩ=286件、GＩＩ=514件、GＩ=784件

16

図4 業種別基礎データ数の比率

4. 業種別平均値と望まれる水準

情報セキュリティ対策ベンチマークの業種分類は、総務省の「日本標準産業分類」をベースと

しています。業種の選択肢は24種類ですが、業種によっては、診断データ件数が少ないものがあ

るため、診断結果の業種別スコア比較では、次の11業種グループで比較をしています（括弧の中

の数字はそれぞれの業種での基礎データの数を示しています）。

これら11業種グループの各平均値と望まれる水準を表とレーダーチャートで示し、さらにトータ

ルスコアの度数分布図で示します。

(1) その他（農林漁業鉱業含む）（692件）

(2) 建設業（167件）

(3) 製造業（748件）

(4) 電力・ガス・熱供給業・水道業・運輸業（127件）

(5) 情報サービス業（1,407件）

(6) 通信業、放送業、ISP・ASP、出版業・新聞業（113件）

(7) 卸売・小売業（339件）

(8) 金融・保険業（116件）

(9) 不動産業、飲食・宿泊業（80件）

(10) 医療・福祉、教育・学習支援業（118件）

(11) 政府機関・地方自治体・公益法人（92件）

※ 以下の表に参考情報として掲載しているトータルスコアの標準偏差は、基礎データにお

けるトータルスコアのバラツキを示す値です

17

表4-1 業種別 27項目のスコア平均値と望まれる水準 (1)

その他（農林漁業鉱業含む）（n=692）

(1) その他（農林漁業鉱業含む）

大項目設問連番その他（農林漁業鉱業含む）


問 1

(1) 管理規程 1 3.172 (3.154) 4.124 (2) リスクアセスメント 2 2.938 (2.922) 3.986 (3) 推進体制 3 3.217 (3.239) 4.051 (4) 資産分類 4 2.824 (2.792) 3.922 (5) 情報の工程毎安全対策 5 2.965 (2.937) 3.986 (6) 業務委託契約 6 3.318 (3.345) 4.083 (7) 従業者との契約 7 3.357 (3.304) 4.101 (8) 従業者への教育 8 2.999 (2.996) 3.995

問 2

(1) 建物等のセキュリティ 9 3.293 (3.250) 4.161 (2) 第三者アクセス 10 2.997 (2.892) 3.995 (3) 機器の設置 11 3.113 (3.082) 4.051 (4) 書類・媒体の管理 12 3.178 (3.156) 4.041

問 3

(1) 実稼働環境 13 3.176 (3.161) 4.060 (2) システム運用 14 3.207 (3.204) 4.157 (3) バックアップ 15 3.217 (3.199) 4.074 (4) 不正プログラム対策 16 3.736 (3.722) 4.318 (5) 脆弱性対策 17 3.319 (3.293) 4.171 (6) 通信ネットワーク保護策 18 3.305 (3.295) 4.226 (7) 媒体の紛失・盗難対策 19 3.143 (3.121) 4.120

問 4

(1) データへのアクセス 20 3.402 (3.371) 4.175 (2) 業務アプリへのアクセス 21 3.361 (3.338) 4.129 (3) ネットワークのアクセス制御 22 3.436 (3.403) 4.221 (4) 開発時のセキュリティ 23 3.006 (2.976) 3.982 (5) ソフトウェアの管理 24 3.017 (2.967) 4.005

問 5

(1) 障害対策 25 3.249 (3.199) 4.051 (2) 事故対応手続き 26 3.045 (2.994) 4.051 (3) 事業継続 27 2.816 (2.733) 3.857

備考トータルスコア（整数に切り上げ） 86/135 (85/135)

110/135

トータルスコアの標準偏差 22.995 (22.707)

※ 参考値として、平均値の( )内の値はver.4.3の基礎データのものです

18

図4-1-1 業種別 27項目のスコア平均値と望まれる水準 (1)


図4-1-2 業種別トータルスコア度数分布 (1)


19

図4-1-3 業種別企業規模比率 (1)


図4-1-4 業種別セキュリティリスク指標グループ比率 (1)


※ 参考までに、業種グループ『その他(農林漁鉱業含む) 』については、表現上「農林漁鉱

業含む」としていますが、この業種グループに含まれる主な業種は、登録された診断デー

タから判断して、おおよそ以下の通りです。

協同組合、共済組合、連合会といった複合サービス業

警備関連のサービス業

ビルメンテナンスや機器等の修理サービス業

20


建設業（n=167）

(2) 建設業

大項目設問連番建設業


問 1


問 2


問 3


問 4


問 5


備考

トータルスコア（整数に切り上げ） 85/135 (88/135) 112/135



21


建築業（n=167）



22





23


製造業（n=748）

(3) 製造業

大項目設問連番

製造業


問 1


問 2


問 3


問 4


問 5


備考

トータルスコア（整数に切り上げ） 83/135 (84/135) 107/135



24





25





26


電力・ガス・熱供給業・水道業・運輸業（n=127）

(4) 電力・ガス・熱供給業・水道業・運輸業


電力・ガス・熱供給業・

水道業・運輸業


問 1


問 2


問 3


問 4


問 5


備考

トータルスコア（整数に切り上げ） 83/135 (85/135) 106/135



27





28





29


情報サービス業（n=1,407）

(5) 情報サービス業

大項目設問連番情報サービス業


問 1


問 2


問 3


問 4


問 5



119/135 トータルスコアの標準偏差 18.171 (18.768)


30





31





32


通信業、放送業、ISP・ASP、出版業・新聞業（n=113）

(6) 通信業、放送業、ISP・ASP、出版業・新聞業


通信業、放送業、ISP・ASP、

出版業・新聞業


問 1


問 2


問 3


問 4


問 5



114/135 トータルスコアの標準偏差 23.395 (23.069)


33





34





35


卸売・小売業（n=339）

(7) 卸売・小売業

大項目設問連番卸売・小売業


問 1


問 2


問 3


問 4


問 5



107/135 トータルスコアの標準偏差 23.296 (22.351)


36





37





38


金融・保険業（n=116）

(8) 金融・保険業

大項目設問連番金融・保険業


問 1


問 2


問 3


問 4


問 5



116/135 トータルスコアの標準偏差 18.086 (19.052)


39





40





※ 考察までに、Ver.4.3基礎データではセキュリティリスク指標の高いグループ（GI）が多い割

にはトータルスコアの平均点が低いことがうかがえしたが、Ver.4.4基礎データでは平均点

が大幅に向上しました。

41


不動産業、飲食・宿泊業（n=80 ）

(9) 不動産業、飲食・宿泊業





問 1


問 2


問 3


問 4


問 5



97/135 トータルスコアの標準偏差 22.275 (21.294)


42


不動産業、飲食・宿泊業（n=80）



43





44


医療・福祉、教育・学習支援業（n=118）

(10) 医療・福祉、教育・学習支援業

大項目設問連番医療・福祉、教育・学習支援業


問 1


問 2


問 3


問 4


問 5



102/135 トータルスコアの標準偏差 23.578 (23.433)


45





46





47


政府機関・地方自治体・公益法人（n=92）

(11) 政府機関・地方自治体・公益法人





問 1


問 2


問 3


問 4


問 5



104/135 トータルスコアの標準偏差 23.660 (24.702)


48





49





※ 考察までに、セキュリティリスク指標の高いグループ（GI）が多い割にはトータルスコアの

平均点が低いことがうかがえます。個人情報を多く扱う業種でもあり情報セキュリティ対

策の充実が望まれます。

50


全体(全業種) （n=3,999）

(12) 全体(全業種)

大項目設問連番全体(全業種)


問 1


問 2


問 3


問 4


問 5



113/135 トータルスコアの標準偏差 23.049 (22.751)


51


全体(全業種) （n=3,999）


全体(全業種) （n=3,999）

52


全体(全業種) （n=3,999）


全体(全業種) （n=3,999）

53

図4-13-1 業種別平均トータルスコア

図4-13-2 業種別望まれる水準のトータルスコア

(13) 参考までに

業種別の平均トータルスコア(図4-13-1)と望まれる水準のトータルスコア(図4-13-2)の比較を

以下に示します。

54

5. ベンチマークシステムの今後について

情報セキュリティ対策ベンチマークも実運用に入ってから、9年を越え診断システムとしては安

定したものなってきています。また、情報セキュリティ対策ベンチマークシステムを基本とし、各企

業・業界団体でのセキュリティ対策基準作りも行われるようになってきました。

今回のバージョンアップでは、診断の基準となる基礎データの更新のみとなりましたが、データ

の母数が増加したため、より現状にあった診断ができるものとなったと考えています。

ベンチマークシステムの利用状況を定常的に観測していますが、最近の状況をグラフで示すと

以下のようになっています。多くの利用者が利用されていることに運用側として心強いものを感じ

ます。

グラフを見る限り、診断トップページを参照された4割くらいの方が実際に診断をされているよう

です。

情報セキュリティ対策ベンチマークは、ISMS適合性評価制度、情報セキュリティ監査と同様に、

組織が構築した情報セキュリティマネジメントを評価するものです。これらの評価の基準とする規

格は情報セキュリティマネジメントの国際規格であるJIS Q 27001 (ISO/IEC27001)やJIS Q 27002

(ISO/IEC27002)です。また、情報セキュリティ対策ベンチマークは、ISMS適合性評価制度、情報

セキュリティ監査に比べて評価項目が少なく、あくまで自らの情報セキュリティマネジメントを自己

診断するためのものです。

ところで、ISO/IEC27001は2013年10月に改訂(ISO/IEC27001:2013)され、移行期間は2年間と

されています。また、2014年3月にはISO/IEC27001:2013の改訂にあわせて、JIS Q 27001もJIS Q

27001:2014に改訂されました。

本来であれば、評価の基準が改訂されたことに伴い情報セキュリティ対策ベンチマークも改訂

55

されるべきものではありますが、この改訂が評価項目の枠組みの変更や、情報セキュリティマネ

ジメントを取り囲む環境の変化に対応したものが中心となるため、情報セキュリティ対策ベンチマ

ークの設問項目への大きな影響はないと考えています。また、継続的な情報セキュリティマネジ

メントの維持の観点からも、情報セキュリティ対策ベンチマークの評価項目の変更は得策ではな

いと考えました。

従いまして、前回のVer.4.3バージョンアップにおいては、設定項目ごとに定められた管理策(対

策のポインント)にJIS Q 27001:2014にて新規追加された管理策項目を追記するにとどめ、設問項

目について変更は行わないことにしました。

大変申し訳ありませんが、改訂されたISO/IEC27001:2013 (JISQ 127001:2014)につきましては、

以下の資料等を参考にされますことをお勧めします。

□ 27001/02 Transition Maps

http://www.jtc1sc27.din.de/sixcms_upload/media/3031/

ISO-IECJTC1-SC27_N13143_SD3_FINAL_TEXT_REV_2_Oct2013.pdf

□ ISMSに関するJIS規格 JIS Q 27000:2014, JIS Q 27001:2014, JIS Q 27002:2014 発行のお

知らせ

http://www.isms.jipdec.or.jp/JISQ27001_2014.html

最後に、情報セキュリティ対策ベンチマークの国内へのさらなる普及と、セキュリティ対策水準

の向上を目指すことへの、関係各位のご協力を期待しております。

本件に関するお問い合わせは、以下にお願いします。

IPA 技術本部セキュリティセンター普及グループ石井／内山

Tel: 03-5978-7508 Fax: 03-5978-7518

E-mail: [email protected]

http://www.jtc1sc27.din.de/sixcms_upload/media/3031/%0bISO-IECJTC1-SC27_N13143_SD3_FINAL_TEXT_REV_2_Oct2013.pdf

http://www.jtc1sc27.din.de/sixcms_upload/media/3031/%0bISO-IECJTC1-SC27_N13143_SD3_FINAL_TEXT_REV_2_Oct2013.pdf

http://www.isms.jipdec.or.jp/JISQ27001_2014.html

56

関連資料

1) 情報セキュリティ対策ベンチマーク

http://www.ipa.go.jp/security/benchmark/

2) 情報セキュリティガバナンスのページ（経済産業省）

http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

3) 総務省統計局平成18年事業所／企業統計調査

http://www.stat.go.jp/data/jigyou/2006/

4) 日本標準産業分類（平成19年11月改訂）

http://www.stat.go.jp/index/seido/sangyo/19index.htm

更新履歴

2015年10月27日作成

バージョンアップした基礎データの統計情報として作成しました。

http://www.ipa.go.jp/security/benchmark/

http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

http://www.stat.go.jp/data/jigyou/2006/

http://www.stat.go.jp/index/seido/sangyo/19index.htm

付録-1

付録「参考情報：情報セキュリティ指標と望まれる水準について」

(1) 情報セキュリティリスク指標

情報セキュリティリスク指標は、従業員数、売上高、重要情報の保有数、IT依存度などから計

算される企業のかかえるリスクを表す指標です。情報セキュリティリスク指標の算出方法は、「企

業における情報セキュリティガバナンスのあり方に関する研究会報告書」参考資料情報セキュ

リティ対策ベンチマーク p. A1-30 「企業分類に係わる指標の算出方法」を参照して下さい

（http://www.meti.go.jp/report/downloadfiles/g50331d01j.pdf）。

情報セキュリティリスク指標＝事業構造上の脆弱性指標＋社会的影響力指標

事業構造上の脆弱性指標＝-0.0018×(正社員割合-77.673)/23.249

+ 0.0710×(総拠点数-36.133)/288.791

+ 0.5389×(IT 依存度-2.797)/1.054

+ 0.5326×(インターネット依存度-1.611)/0.858

+ 0.3588×(ビジネスパートナーへの依存度-2.028)/0.892

- 0.0302×(年間離職率-6.037)/8.305

正社員割合は%の値

総拠店数は国内拠店数+海外拠店数

IT依存度は%ベースの1(25%以下)～4(75%以上)の点数

ビジネスパートナーへの依存度は%ベースの1(25%以下)～4(75%以上)の点数

年間離職率は%

※(上記の値-平均値)/標準偏差に係数をかけて合算する

社会的影響力指標＝0.1331×(売上高-61526.4)/127537.8

+ 0.2764×(公益性-2.354)/0.913

+ 0.3082×(顧客への影響-2.203)/0.865

+ 0.3044×(ブランドへの影響-2.598)/0.803

+ 0.3214×(機密情報の保有度-2.256)/0.899

+ 0.2212×(保有個人情報数-249308.1)/822664.5

売上高は百万円単位の金額

公益性は、1点(ほとんどない)、2点(少ない)、3点(他の業種に比べると高い)、

4点(事業の性質上極めて高い)の点数

顧客への影響は、1点(ほとんどない)、2点(少ない)、3点(大きな影響がある)、

4点(極めて大きな影響がある)の点数

ブランドへの影は、1点(ほとんどない)、2点(部分的に影響がある)、

3点(大きな影響がある)、4点(企業の存続に関わる影響がある)の点数

機密情報の保有度は、1点(ほとんどない)、2点(少ない)、3点(全体の半分程度)、

4点(ほとんどがその種の情報である)の点数

保有個人情報数は人数分の数

※(上記の値-平均値)/標準偏差に係数をかけて合算する

http://www.meti.go.jp/report/downloadfiles/g50331d01j.pdf

付録-2

情報セキュリティ対策ベンチマークでは、診断企業は情報セキュリティリスク指標の値の高い

順に、

グループⅠ（GI：高水準のセキュリティレベルが要求される層）

グループⅡ（GII：相応の水準のセキュリティレベルが望まれる層）

グループⅢ（GIII：情報セキュリティ対策が喫緊の課題でない層）

の3つのグループのいずれかに分類され、そのグループ内の平均値や望まれる水準と自社の対

策状況の比較ができます。

各グループは情報セキュリティ指標の値で分けられます。

グループⅠ：情報セキュリティリスク指標>=0.6

グループⅡ：情報セキュリティリスク指標<0.6 and 情報セキュリティリスク指標>-0.79

グループⅢ：情報セキュリティリスク指標<=-0.79

注意事項)

Ver.3.4以前の情報セキュリティ対策ベンチマークシステムでは、企業情報の設問に対する回

答値が数値入力であったため、単位系の誤り(誤入力)が見受けられました。そこで、ver.4.1以降

では、以下に示す企業情報の設問の回答値を数値範囲からの選択し方式に変更しました。その

ため、前述の情報セキュリティリスク指標の計算に利用する値も以下のように変更されます。

その結果、Ver.3.4以前に登録した診断データの情報セキュリティリスク指標についても、ver.4.1

以降の仕様で再計算し、基礎データとしましたので、ご注意ください。

正社員割合選択肢１＝10％以下計算上の値 5

２＝30％以下 20

３＝50％以下 40

４＝70％以下 60

５＝70％を超える 80

売上金選択肢１＝1000 万円以下 1000 万

２＝1 億円以下 1 億

３＝10 億円以下 10 億

４＝100 億円以下 100 億

５＝100 億円を超える 1000 億

国内拠点数選択肢１＝1 箇所 1

２＝10 箇所以下 5

３＝30 箇所以下 20

４＝100 箇所以下 70

５＝100 箇所を超える 100

海外拠点数選択肢１＝0 箇所 0

２＝10 箇所以下 5

３＝30 箇所以下 20

４＝100 箇所以下 70

５＝100 箇所を超える 100

離職率選択肢１＝10％以下 5

２＝30％以下 20

付録-3

３＝50％以下 40

４＝70％以下 60

５＝70％を超える 80

個人情報取扱数１＝1000 件以下 1000

２＝5000 件以下 5000

３＝10000 件以下 10000

４＝100000 件以下 100000

５＝100000 件を超える 1000000

(2) 望まれる水準

望まれる水準とは、診断の基礎データのトータルスコア値を基準に算出される目標値です。

トータルスコアが基礎データの上位1/3にあるデータの各スコア値の平均値を望まれる水準値

としています(図付-1を参照)。

(3) 診断利用者への推奨

一般的には、ここで示す“望まれる水準”を各診断企業が目指すことを推奨していますが、トー

タルスコア値が情報セキュリティリスク指標グループ別あるいは企業規模別、業種別の平均値を

下回る場合は、まずは平均値が取れるようにセキュリティ対策を検討することをお勧めします。

図付-1 望まれる水準の設定 (ver.4.1以降)

望まれる水準（目標値）の算出

トータルスコア順に並べた診

断データの上位1/3に位置する

トータルスコアを求め、そのトー

タルスコアを超えるトータルスコ

アを持つ診断データの平均値を

「望まれる水準(目標値)」とす

る。

Documents

情報セキュリティ対策ベンチマーク ver.4 › files › 000048358.pdf1 情報セキュリティ対策ベンチマーク ver.4.4 2015 年10 月27 日 情報セキュリティ対策ベンチマークでは、Webページ上の質問に答えることで、組織の情報セ

情報セキュリティ対策ベンチマーク ver.4 › files › 000048358.pdf1 情報セキュリティ対策ベンチマーク ver.4.4 2015 年10 月27 日情報セキュリティ対策ベンチマークでは、Webページ上の質問に答えることで、組織の情報セ