コラム
ISO/IEC15408認証取得製品の導入調査のご紹介
2011年7月8日に内閣官房情報セキュリティセンター(NISC)から「2010年度の情報セキュリティ政策の評価等」(以下「NISC報告書」)が発表されました。NISC報告書は「国民を守る情報セキュリティ戦略」及びその年度計画である「情報セキュリティ2010」に基づいて各省庁で推進された情報セキュリティ政策の評価について取りまとめたもので、情報セキュリティ政策が環境の変化に適合しているかどうか、種々の脅威に適切に対処することが可能となっているかどうかなどについて検証する形で実施されています。NISC報告書に、ITセキュリティセンターが評価機関であるITセキュリティの評価及び認証制度で認証されたISO/IEC15408 認証取得製品の導入に係る調査結果が2件掲載されていますのでご紹介します。
第1は「情報セキュリティの対策状況(ISO/IEC15408認証取得製品の導入)」として経済産業省の情報処理実態調査結果報告書(以下METI報告書)から対策実施状況とセキュリティ向上への寄与が引用されています。METI報告書は統計法に基づいて1969年以来毎年実施されているもので、経済産業省企業活動基本調査をサンプル抽出の母集団としていますが、サンプル数が不十分な業種については、株式会社帝国データバンクから得たデータにより補完しています。調査項目は、IT投資効果を左右する要因の状況、情報基盤強化税制の利用状況、情報セキュリティの状況等です。
ISO/IEC15408 認証取得製品の導入に関する回答企業数は4000社以上です。NISC報告書では平成20年度と21年度の調査結果が引用されていますがMETI報告書の平成22年度分も含めて表1と表2に整理しました。このうち平成22年度の結果を図1に示します。表1に示すようにISO/IEC15408 認証取得製品を導入している企業は調査対象約4000社のうち400社程度で毎年若干の変動がありますがおよそ10%程度です。資本金100億円超企業ではその割合はおよそ25%程度とかなり増加しています。また図1に見るように全体の半数以上の企業が導入を検討中或いは必要性を感じているとの回答をしています。
表1 ISO/IEC15408認証取得製品の導入企業
(NISC報告書とMETI報告書をもとにITSCにて作成)
| 年度(平成) | 回答企業 | 既に実施している | 実施を検討している | 必要性を感じるが、未実施 | 必要性を感じず、未実施 | 計 | |
|---|---|---|---|---|---|---|---|
| 20 | 全企業 | 362 | 8.9% | 198 | 1573 | 1943 | 4076 |
| 資本金100億円超企業 | 122 | 23.6% | 31 | 183 | 182 | 518 | |
| 21 | 全企業 | 354 | 8.1% | 187 | 1617 | 2201 | 4359 |
| 資本金100億円超企業 | 104 | 23.3% | 27 | 152 | 164 | 447 | |
| 22 | 全企業 | 434 | 10.2% | 146 | 1515 | 2172 | 4267 |
| 資本金100億円超企業 | 115 | 25.2% | 19 | 158 | 165 | 457 | |
図1 ISO/IEC15408認証取得製品の導入
(左図:全企業、右図:資本金100億円超企業、平成22年度NISC報告書とMETI報告書をもとにITSCにて作成)
次に表1でISO/IEC15408 認証取得製品の導入を“既に実施している”と回答した400社余りの企業に対してセキュリティ向上への寄与について尋ねています。表2に示すように250社以上、60~70%程度がセキュリティ向上に寄与したと回答しています。資本金100億円超企業では70~80%程度がセキュリティ向上に寄与したと回答しています。
表2 セキュリティ向上への寄与
(原則として表1で“既に実施している”と回答した企業の回答、NISC報告書とMETI報告書をもとにITSCにて作成)
| 年度(平成) | 回答企業 | 寄与した | 寄与しなかった | わからない | 計 | |
|---|---|---|---|---|---|---|
| 20 | 全企業 | 254 | 57.9% | 16 | 169 | 439 |
| 資本金100億円超企業 | 91 | 71.1% | 0 | 37 | 128 | |
| 21 | 全企業 | 248 | 62.6% | 10 | 138 | 396 |
| 資本金100億円超企業 | 74 | 70.5% | 2 | 29 | 105 | |
| 22 | 全企業 | 302 | 69.3% | 10 | 124 | 436 |
| 資本金100億円超企業 | 91 | 80.5% | 2 | 20 | 113 | |
NISC報告書の2件の調査結果のうちの第2は、情報処理推進機構の「情報セキュリティ製品の調達に関する意識調査」(以下IPA報告書)から「ISO/IEC15408に関する意識・実態」としてISO/IEC15408の認知度とISO/IEC15408認証製品の利用実績が引用されています。IPA報告書は「ITセキュリティ評価及び認証制度のより効果的な普及活動等を実施するため、本制度や本制度を政策的に後押ししている税制措置に対するユーザ企業等の認識や活用実態を明らかにすることを目的」(IPA報告書)としてウェブによるアンケート調査を行い、500件余りの有効回答を得たものです。表3と表4に調査結果を示しますがISO/IEC1540認証製品の認知度は名前だけ知っているものを含めても30%程度であり、利用実績は5%ですのでMETI報告書と比べて低いように見受けられます。IPA報告書はMETI報告書と比較して回答数がかなり異なることや調査方法も異なるためにこのような結果になったものと思われます。
表3 ISO/IEC15408(CC:コモンクライテリア)の認知度 (2010 年度、回答数 545)
| 回答内容 | 割合 |
|---|---|
| 内容を含めよく知っている | 2.6% |
| イメージは大体知っている | 11.0% |
| 名前だけ知っている | 16.0% |
| 知らない | 70.5% |
表4 ISO/IEC15408(CC:コモンクライテリア)認証製品の利用実績
(2010年度、答数 161、表3で“内容を含めよく知っている”、“イメージはだいたい知っている”及び“名前だけ知っている”と解答した人への質問と回答)
| 回答内容 | 割合 |
|---|---|
| 利用(調達)したことがある | 5.0% |
| 実績はないが、関心がある | 58.4% |
| 実績がなく、関心もない | 26.1% |
| わからない | 10.6% |
≪参照≫
NISC
- 内閣官房情報セキュリティセンター(NISC)
- 国民を守る情報セキュリティ戦略(pdfファイル)
- 情報セキュリティ2010(pdfファイル)
- 情報セキュリティ2011(pdfファイル)
NISC報告書
- 情報セキュリティ政策の評価等の実施方針(pdfファイル)
- 2010年度の情報セキュリティ政策の評価等(pdfファイル)
METI報告書
- 平成22年情報処理実態調査の結果について(平成23年10月25日) (pdfファイル)
- 平成22年情報処理実態調査結果報告書の概要(平成23年10月25日) (pdfファイル)
- 平成22年情報処理実態調査結果報告書(平成23年10月25日) (pdfファイル)
- 情報処理実態調査
- 情報処理実態調査 平成22年調査関係資料
- 情報処理実態調査 平成21年調査関係資料
- 情報処理実態調査 平成20年調査関係資料
- 経済産業省企業活動基本調査
IPA報告書