★☆★JNSAメールマガジン 第201号 2020.12.11☆★☆
2020/12/11 (Fri) 16:30
★☆★JNSAメールマガジン 第201号 2020.12.11☆★☆
こんにちは
JNSAメールマガジン 第201号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは日本IT団体連盟サイバーセキュリティ委員会の
外村 慶様にご寄稿いただきました。
【連載リレーコラム】
サイバーセキュリティ情報開示に関する調査結果
一般社団法人日本IT団体連盟
サイバーセキュリティ委員会
企業評価分科会主査
外村 慶(PwCコンサルティング)
IT産業に関わる日本最大級のIT団体の連合体「日本IT団体連盟(以下、IT
連)」は、2020年11月25日、日経225企業のサイバーセキュリティの取組姿勢
に関する調査報告書を公開しました*。今回は、この調査の目的と結果をお伝
えします。
* https://www.itrenmei.jp/topics/2020/3678/
■情報開示調査の目的
昨今、サプライチェーン全体において企業の社会的責任であるセキュリティレ
ベルの向上が政府や民間企業、株主等から求められています。しかしながら、
セキュリティレベルを可視化できる情報は限られており、他社と比較/評価す
ることは困難です。そこで、IT連では各企業のセキュリティ対策状況を咀嚼し
た内容を伝達し、比較しやすい情報に加工分析し、その結果として社会全体の
情報開示を推進する試みに着手しています。
第一回目となる2020年の調査では、日経225企業を対象にし、有価証券報告書
や認証取得情報等の公開情報を収集し、IT連独自の調査項目をベースにセキュ
リティ取組み度合いを加点しました。
このような調査を行うことで、サイバーセキュリティ対策の情報開示を積極的
に行なっている企業をピックアップすることができました。また、業界別にも
積極的に情報発信している業界と消極的な業界が明確に分かれることがわかり
ました。IT連では、このような調査を広く公開することで、各企業がより積極
的に情報開示することを狙っています。
■調査結果
【企業別(五十音順)】
セキュリティ対策について説明責任を積極的に果たしている企業の上位11社は
以下の通りでした。この11社の情報開示の例は、報告書本文に掲載済みです。
https://www.itrenmei.jp/files/files202011251145.pdf
・(株)エヌ・ティ・ティ・データ
・オムロン(株)
・コムシスホールディングス(株)
・(株)コンコルディア・フィナンシャルグループ
・(株)スカパーJSATホールディングス
・J.フロント リテイリング(株)
・ソフトバンク(株)
・ソフトバンクグループ(株)
・(株)ディー・エヌ・エー
・日本電信電話(株)
・富士通(株)
【業界別】
また、業界別に分析すると、以下の傾向があることがわかりました。
・情報・通信業は情報開示に概ね積極的であった
・建設業は9社とも平均的に情報開示を行っていた
・保険業、銀行業は情報開示度合いにばらつきが大きい
・電気機器、サービス業、卸売業においても、情報開示度合いにばらつきが
大きい
・電気・ガス業、陸運業、化学等の重要インフラ事業者では積極的な情報開
示を行う企業は少ない
■本調査でクリアした課題
IT連サイバーセキュリティ委員会は2019年11月に設立し、企業評価分科会の活
動を約1年間続けてきました。調査を進めるにあたり、特に大きな課題は3つあ
りました。
1つ目は、企業の何を評価するのかという点です。当初は、経営者や担当者等
の個人を評価する、施策やアイデアを募集し評価する等の意見がありました。
議論を重ねたのち、サプライチェーン全体の底上げを図るためには企業の取組
みや姿勢を評価する必要があるという結論に達しました。そこで2020年の調査
では、調査対象を日経225企業とし、調査した情報は有価証券報告書や認証取
得情報等のインターネットで調査可能な情報としましたが、今後は対象企業を
拡大し、非公開情報もIT連が入手し評価することを目指しています。
2つ目の課題は、評価されることで当該企業がサイバー攻撃のターゲットとな
る可能性が強まるのではないかという懸念です。この懸念に対しては、IT連は
企業の技術対策を評価するのではなく、株主や顧客等に公開している企業の取
組みや姿勢を評価すると位置づけることで解決しました。なお、今回取り上げ
た上位11社には、この主旨を伝えることで懸念点を払しょくしています。
最後は、財務力のある大企業ばかり評価されるのではないかという点です。
業種毎に評価を分けることや調査項目毎に重み付けを変える等の検討を行い
ました。様々なシミュレーションの結果、今回は日経225の年間売上高の中央
値である1兆円を基準として、1兆円以上から5社、1兆円未満から6社を選定す
ることで、大企業中心にならないようバランスを取りました。
なお、次回以降は対象企業を拡大し、非公開情報もIT連が入手し評価すること
を予定しています。更には「サイバー・イニシアチブ東京」(日本経済新聞
社・日経BP主催)でサイバーセキュリティへの取り組みに優れた企業を表彰す
る新たな制度「サイバー・インデックス(仮称)」にも調査データの提供等で
協力する予定です。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第201号の感想をお寄せください。
https://ux.nu/wM1jv
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★SECCON2020Workshop「SECCON 2020 電脳会議」12月19日開催!
お申し込みはお早めに。
日時:12月19日(土)10:00-18:30
会場:オンライン(Teams)
https://www.seccon.jp/2020/seccon_2020_1219.html
★日本ISMSユーザグループ主催
「情報セキュリティマネジメント・セミナー2020」の参加登録受付中です。
ご参加お申込みお待ちしております!
日時:2020年12月18日(金)13:00-17:10
会場:オンライン配信
https://www.jnsa.org/seminar/2020/1218/
★【会員限定】会員交流部会主催「ゼロトラスト質問会|ゼロトラストに
ついてみんなで聞いてみよう」の録画を配信します。
配信日:2021年1月21日(木)14:00から15:00
ご参加ご希望の方は事務局まで。
★西日本支部「中小企業において目指すSecurity By Design」を
公開いたしました!是非、ご覧ください!!
https://www.jnsa.org/result/west/2020/
【事務局からのお知らせ】
★「JNSAソリューションガイド」では、「情報セキュリティサービスに関する
審査登録機関基準」適合サービス登録企業の紹介ページを準備しています。
掲載を希望される会員企業のご担当者方は事務局までお問合せ下さい。
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第201号
発信日:2020年12月11日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第201号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは日本IT団体連盟サイバーセキュリティ委員会の
外村 慶様にご寄稿いただきました。
【連載リレーコラム】
サイバーセキュリティ情報開示に関する調査結果
一般社団法人日本IT団体連盟
サイバーセキュリティ委員会
企業評価分科会主査
外村 慶(PwCコンサルティング)
IT産業に関わる日本最大級のIT団体の連合体「日本IT団体連盟(以下、IT
連)」は、2020年11月25日、日経225企業のサイバーセキュリティの取組姿勢
に関する調査報告書を公開しました*。今回は、この調査の目的と結果をお伝
えします。
* https://www.itrenmei.jp/topics/2020/3678/
■情報開示調査の目的
昨今、サプライチェーン全体において企業の社会的責任であるセキュリティレ
ベルの向上が政府や民間企業、株主等から求められています。しかしながら、
セキュリティレベルを可視化できる情報は限られており、他社と比較/評価す
ることは困難です。そこで、IT連では各企業のセキュリティ対策状況を咀嚼し
た内容を伝達し、比較しやすい情報に加工分析し、その結果として社会全体の
情報開示を推進する試みに着手しています。
第一回目となる2020年の調査では、日経225企業を対象にし、有価証券報告書
や認証取得情報等の公開情報を収集し、IT連独自の調査項目をベースにセキュ
リティ取組み度合いを加点しました。
このような調査を行うことで、サイバーセキュリティ対策の情報開示を積極的
に行なっている企業をピックアップすることができました。また、業界別にも
積極的に情報発信している業界と消極的な業界が明確に分かれることがわかり
ました。IT連では、このような調査を広く公開することで、各企業がより積極
的に情報開示することを狙っています。
■調査結果
【企業別(五十音順)】
セキュリティ対策について説明責任を積極的に果たしている企業の上位11社は
以下の通りでした。この11社の情報開示の例は、報告書本文に掲載済みです。
https://www.itrenmei.jp/files/files202011251145.pdf
・(株)エヌ・ティ・ティ・データ
・オムロン(株)
・コムシスホールディングス(株)
・(株)コンコルディア・フィナンシャルグループ
・(株)スカパーJSATホールディングス
・J.フロント リテイリング(株)
・ソフトバンク(株)
・ソフトバンクグループ(株)
・(株)ディー・エヌ・エー
・日本電信電話(株)
・富士通(株)
【業界別】
また、業界別に分析すると、以下の傾向があることがわかりました。
・情報・通信業は情報開示に概ね積極的であった
・建設業は9社とも平均的に情報開示を行っていた
・保険業、銀行業は情報開示度合いにばらつきが大きい
・電気機器、サービス業、卸売業においても、情報開示度合いにばらつきが
大きい
・電気・ガス業、陸運業、化学等の重要インフラ事業者では積極的な情報開
示を行う企業は少ない
■本調査でクリアした課題
IT連サイバーセキュリティ委員会は2019年11月に設立し、企業評価分科会の活
動を約1年間続けてきました。調査を進めるにあたり、特に大きな課題は3つあ
りました。
1つ目は、企業の何を評価するのかという点です。当初は、経営者や担当者等
の個人を評価する、施策やアイデアを募集し評価する等の意見がありました。
議論を重ねたのち、サプライチェーン全体の底上げを図るためには企業の取組
みや姿勢を評価する必要があるという結論に達しました。そこで2020年の調査
では、調査対象を日経225企業とし、調査した情報は有価証券報告書や認証取
得情報等のインターネットで調査可能な情報としましたが、今後は対象企業を
拡大し、非公開情報もIT連が入手し評価することを目指しています。
2つ目の課題は、評価されることで当該企業がサイバー攻撃のターゲットとな
る可能性が強まるのではないかという懸念です。この懸念に対しては、IT連は
企業の技術対策を評価するのではなく、株主や顧客等に公開している企業の取
組みや姿勢を評価すると位置づけることで解決しました。なお、今回取り上げ
た上位11社には、この主旨を伝えることで懸念点を払しょくしています。
最後は、財務力のある大企業ばかり評価されるのではないかという点です。
業種毎に評価を分けることや調査項目毎に重み付けを変える等の検討を行い
ました。様々なシミュレーションの結果、今回は日経225の年間売上高の中央
値である1兆円を基準として、1兆円以上から5社、1兆円未満から6社を選定す
ることで、大企業中心にならないようバランスを取りました。
なお、次回以降は対象企業を拡大し、非公開情報もIT連が入手し評価すること
を予定しています。更には「サイバー・イニシアチブ東京」(日本経済新聞
社・日経BP主催)でサイバーセキュリティへの取り組みに優れた企業を表彰す
る新たな制度「サイバー・インデックス(仮称)」にも調査データの提供等で
協力する予定です。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第201号の感想をお寄せください。
https://ux.nu/wM1jv
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★SECCON2020Workshop「SECCON 2020 電脳会議」12月19日開催!
お申し込みはお早めに。
日時:12月19日(土)10:00-18:30
会場:オンライン(Teams)
https://www.seccon.jp/2020/seccon_2020_1219.html
★日本ISMSユーザグループ主催
「情報セキュリティマネジメント・セミナー2020」の参加登録受付中です。
ご参加お申込みお待ちしております!
日時:2020年12月18日(金)13:00-17:10
会場:オンライン配信
https://www.jnsa.org/seminar/2020/1218/
★【会員限定】会員交流部会主催「ゼロトラスト質問会|ゼロトラストに
ついてみんなで聞いてみよう」の録画を配信します。
配信日:2021年1月21日(木)14:00から15:00
ご参加ご希望の方は事務局まで。
★西日本支部「中小企業において目指すSecurity By Design」を
公開いたしました!是非、ご覧ください!!
https://www.jnsa.org/result/west/2020/
【事務局からのお知らせ】
★「JNSAソリューションガイド」では、「情報セキュリティサービスに関する
審査登録機関基準」適合サービス登録企業の紹介ページを準備しています。
掲載を希望される会員企業のご担当者方は事務局までお問合せ下さい。
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第201号
発信日:2020年12月11日
発 行:JNSA事務局 office@jnsa.org
*************************************