« 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集 | Main | 米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大 »

2022.01.28

英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ長期調査:第1回

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)がサイバーセキュリティ長期(3年予定)調査の第1回の結果を公表していますね。。。

 

● U.K. Government - Department for Digital, Culture, Media & Sport

・2022.01.27 (Research and analysis) Cyber security longitudinal survey - wave one

・[HTML] Cyber security longitudinal survey: wave 1

・[PDF] Cyber security longitudinal survey: wave one

20220128-110938

 

・[PDF] Medium businesses infographic - cyber security longitudinal survey

20220128-111241


目次...

Executive summary エグゼクティブサマリー
Chapter 1: Introduction 第1章:はじめに
1.1 Background to the research 1.1 調査の背景
1.2 Difference from the Cyber Security Breaches Survey 1.2 「サイバーセキュリティ侵害に関する調査」との違い
1.3 Methodology 1.3 調査方法
1.4 Interpretation of findings 1.4 調査結果の解釈
1.5 Acknowledgements 1.5 謝辞
Chapter 2: Cyber profile of organisations 第2章:組織のサイバープロファイル
2.1 Cloud computing 2.1 クラウドコンピューティング
2.2 Use of personal devices 2.2 パーソナルデバイスの利用
2.3 Use of artificial intelligence (AI) and machine learning 2.3 人工知能(AI)と機械学習の利用
2.4 Use of external IT providers 2.4 外部ITプロバイダーの利用
Chapter 3: Board involvement 第3章:取締役会の関与
3.1 Roles and responsibilities 3.1 役割と責任
3.2 Awareness and training 3.2 意識向上とトレーニング
3.3 Attitudes to cyber risk 3.3 サイバーリスクに対する考え方
Chapter 4: Sources of information 第4章:情報源
4.1 Use of NCSC guidance 4.1 NCSCガイダンスの利用
4.2 Other information sources/influencers 4.2 その他の情報源/影響者
Chapter 5: Cyber security Policies 第5章:サイバーセキュリティに関する方針
5.1 Governance and planning 5.1 ガバナンスと計画
5.2 Cyber insurance policies 5.2 サイバー保険の方針
5.3 Staff training 5.3 要員のトレーニング
Chapter 6: Cyber security processes 第6章:サイバーセキュリティのプロセス
6.1 Standards and certifications 6.1 標準および認証
6.2 Processes currently in place 6.2 現在実施しているプロセス
6.3 Monitoring and evaluation 6.3 モニタリングと評価
6.4 Improvements made over the last twelve months 6.4 過去12ヶ月間に実施した改善事項
6.5 Supplier risks 6.5 サプライヤーのリスク
Chapter 7: Cyber incident management 第7章:サイバーインシデントマネジメント
7.1 Processes 7.1 プロセス
Chapter 8: Prevalence and impact of cyber incidents 第8章:サイバーインシデントの発生状況と影響
8.1 Experience of incidents 8.1 インシデントの経験
8.2 How are businesses affected? 8.2 企業はどのような影響を受けるのか
8.3 Ransomware attack response policy 8.3 ランサムウェア攻撃への対応方針
8.4 Time taken to resolve business operations after cyber incident 8.4 サイバーインシデント後の業務復旧に要する時間
8.5 Financial cost of incidents 8.5 インシデントの財務コスト
Conclusions 結論
Annex A: Summary of key findings 附属書A:主な調査結果のまとめ
Annex B: Further information 附属書B:その他の情報
Annex C: Guide to statistical reliability 附属書C:統計的信頼性に関するガイド

 

エグゼクティブサマリー。。。

Executive summary エグゼクティブサマリー
The Cyber Security Longitudinal Survey (CSLS) aims to better understand cyber security policies and processes within medium and large businesses and high-income charities, and to explore the links over time between these policies and processes and the likelihood and impact of a cyber incident. This is the first research year of a three-year study, and therefore the main objective of this report is to establish a baseline of findings as a precursor to further reports in subsequent research waves. This report also summarises additional insight from 30 follow-up qualitative interviews with survey respondents, that covered topics such as cyber security resilience, ransomware, record keeping, internal and external reporting, responsibility for cyber security and monitoring of supply chains. These are intertwined with reporting on quantitative findings. サイバーセキュリティ長期調査(Cyber Security Longitudinal Survey: CSLS)は、中堅・大企業や財政規模の大きい非営利団体におけるサイバーセキュリティの方針やプロセスをより深く理解し、これらの方針やプロセスとサイバーインシデントの可能性や影響との間の経時的な関連性を探ることを目的としています。本報告書は、3年間の調査の第1年目にあたるため、その後の調査の前段階として、調査結果のベースラインを確立することを主な目的としています。また、本報告書では、サイバーセキュリティの回復力、ランサムウェア、記録の保存、内部および外部への報告、サイバーセキュリティの責任、サプライチェーンの監視などをテーマとした、調査回答者への30件のフォローアップ定性インタビューから得られた追加の知見もまとめています。これらは、定量的な調査結果の報告と関連しています。
Overall, this baseline study found that the cyber resilience profile of organisations varies between businesses and charities as well as by business size and sector. Businesses are more likely than charities to have formal, written cyber security policies and processes in place. Large businesses (250+ staff), and particularly very large businesses (500+ staff), demonstrate greater cyber maturity compared to medium businesses and charities. Additionally, businesses in the finance and insurance and information and communication sectors tend to be in the lead in terms of cyber maturity. However, overall, organisations’ approach to cyber is likely to be more reactive than proactive, with many struggling to get senior level buy-in to improve their cyber defences. Below is a more detailed summary of key findings from each chapter of this report. 全体として、このベースライン調査では、組織のサイバーレジリエンスのプロファイルは、企業と非営利団体の間で異なるだけでなく、企業規模やセクターによっても異なることがわかりました。企業は非営利団体よりも、正式な書面によるサイバーセキュリティポリシーとプロセスを持っている可能性が高い。大企業(従業員数250人以上)、特に超大企業(従業員数500人以上)は、中規模企業や非営利団体に比べて、より高いサイバー成熟度を示しています。また、金融・保険業や情報通信業の企業は、サイバーセキュリティの成熟度でリードしている傾向にあります。しかし、全体的に見て、組織のサイバーに対するアプローチは、プロアクティブというよりもリアクティブである可能性が高く、多くの企業がサイバー防御を改善するためにシニアレベルの賛同を得るのに苦労しています。以下では、本レポートの各章で得られた主な調査結果をより詳しくまとめています。
The survey results are subject to margins of error, which vary with the size of the sample and the percentage figure concerned. For all percentage results, subgroup differences by size, sector and survey answers have been highlighted only where statistically significant [footnote 1] (at the 95% level of confidence). 調査結果には誤差が含まれており、その誤差はサンプルの大きさや対象となる数値によって異なります。すべてのパーセンテージの結果について、規模、部門、調査回答によるサブグループの違いは、統計的に有意な場合(脚注1)にのみハイライトされています(95%の信頼性レベル)。
Board involvement 取締役会の関与
This chapter investigates the level of awareness and engagement with cyber security among board members. In most organisations, members of the board are unlikely to be involved in decisions or discussions around cyber security. Half of businesses (50%) and four in ten charities (40%) say they have one or more board members whose roles include oversight of cyber security risks. Additionally, only around one-third of businesses (37%) and charities (32%) have board-level discussions or updates on cyber security at least quarterly. On a related note, a relatively low proportion of businesses (35%) and charities (28%) say their board members have received any cyber security training. 本章では、取締役会メンバーのサイバーセキュリティに対する認識と関与のレベルを調査しました。ほとんどの組織では、取締役会のメンバーがサイバーセキュリティに関する意思決定や議論に関与することはほとんどありません。企業の半数(50%)と非営利団体の10社に4人(40%)は、サイバーセキュリティリスクを監督する役割を担う役員が1人以上いると回答しています。また、少なくとも四半期に一度、サイバーセキュリティに関する取締役会レベルの議論やアップデートを行っているのは、企業(37%)と非営利団体(32%)の3分の1程度にとどまっています。関連して、役員がサイバーセキュリティのトレーニングを受けたことがあると答えたのは、企業(35%)と非営利団体(28%)の比較的低い割合でした。
However, among organisations where some form of board-level discussions about cyber security do happen, more than half of businesses (55%) and charities (60%) agree that their board integrates cyber risk considerations into wider business areas. This, together with findings from the qualitative interviews, suggests that the main problem is not in management taking ineffective action, but a lack of engagement from senior management in the first place. しかし、サイバーセキュリティについて何らかの形で取締役会で議論している組織では、企業(55%)と非営利団体(60%)の半数以上が、取締役会がサイバーリスクへの配慮をより広い事業分野に統合していることに同意しています。このことは、定性インタビューの結果と合わせて、主な問題は経営陣が効果のない行動をとることではなく、そもそも経営陣が関与していないことにあることを示唆しています。
Sources of information 情報源
This chapter identifies key information sources used to inform organisations’ approach to cyber security in the last year. この章では、過去1年間に組織がサイバーセキュリティに取り組む際に使用した主な情報源を明らかにします。
Around one-third (32%) of charities and one-quarter (23%) of businesses say they have used information or guidance from the National Cyber Security Centre (NCSC) to inform their approach to cyber security in the last year. Very large businesses with 500+ employees (37%), and businesses in the finance and insurance (51%) and information or communication (41%) sectors are the most likely to use NCSC guidance. In the qualitative research, participants mentioned that they had found the NCSC a useful source of information. 非営利団体の約3分の1(32%)、企業の約4分の1(23%)が、過去1年間にサイバーセキュリティへの取り組みについて、国家サイバーセキュリティセンター(NCSC)からの情報やガイダンスを利用したと回答しています。従業員数500人以上の超大企業(37%)、金融・保険業(51%)、情報・通信業(41%)では、NCSCのガイダンスを利用する可能性が最も高くなっています。質的調査では、参加者は、NCSCが有用な情報源であると述べています。
Regarding other sources of information or influences on cyber security policies and processes, feedback from external IT or cyber security consultants has influenced 47% of businesses and 55% of charities in the last twelve months. サイバーセキュリティポリシーやプロセスに影響を与えるその他の情報源については、過去12ヶ月間に外部のITコンサルタントやサイバーセキュリティコンサルタントからのフィードバックが影響を与えたと回答した企業は47%、非営利団体は55%でした。
Cyber security policies サイバーセキュリティポリシー
This chapter sets the baseline of cyber security policies within our longitudinal sample. Monitoring any changes to these policies over time will help us better understand how organisations are evolving their cyber defences. It will also help explore the impact this may have on organisations’ resilience to incidents. この章では、長期的なサンプルにおけるサイバーセキュリティポリシーのベースラインを設定する。これらのポリシーの変化を長期的にモニタリングすることで、組織がどのようにサイバー防御を進化させているかをより深く理解することができます。また、これがインシデントに対する組織の回復力に与える影響を探るのにも役立ちます。
When asked about various documentation in place to help manage cyber security risks, businesses and charities are both most likely to say that they have a Business Continuity Plan covering cyber security (69% and 73% respectively), while they are least likely to have documentation outlining how much cyber risk their organisation is willing to accept (26% and 31% respectively). Fewer than one in five organisations (17% of both businesses and charities) report having all five of the types of documentation[footnote 2] asked about in place – although the proportion of large businesses who have all five is higher (21%). During the qualitative interviews, respondents frequently suggested that they follow informal, ‘common sense’ processes when it comes to dealing with incidents rather than using formal, written policies or processes. サイバーセキュリティリスクを管理するために実施しているさまざまな文書について質問したところ、企業と非営利団体はともに、サイバーセキュリティをカバーする事業継続計画があると答えた割合が最も高く(それぞれ69%と73%)、一方で、組織がどの程度のサイバーリスクを受け入れられるかを説明した文書を持っている割合は最も低くなっています(それぞれ26%と31%)。質問した5種類の文書[脚注2]をすべて備えていると回答した組織は、5社に1社以下であった(企業と非営利団体の両方で17%)が、5種類すべてを備えている大企業の割合は21%と高い。定性インタビューでは、回答者は、インシデントに対処する際、正式な文書化されたポリシーやプロセスではなく、非公式の「常識的な」プロセスに従っているという意見が多く聞かれました。
Having some form of cyber insurance cover is relatively common among both businesses and charities. Overall, charities are more likely than businesses to say they have some form of cyber insurance (66% vs. 53% respectively), and there is little difference by size of business (57% of large and 52% of medium businesses). Having cyber security cover as part of a broader insurance policy is more common than having a specific cyber insurance policy across both businesses and charities. ある種のサイバー保険に加入していることは、企業と非営利団体の両方で比較的よく見られます。全体的に、何らかのサイバー保険に加入していると答えたのは、企業よりも非営利団体の方が多く(それぞれ66%対53%)、企業の規模による違いはほとんどありません(大企業の57%、中企業の52%)。企業、非営利団体ともに、特定のサイバー保険に加入しているよりも、より広範な保険契約の一部としてサイバーセキュリティ保険に加入している方が一般的です。
Around half of charities and businesses say they have carried out cyber security training or awareness raising sessions in the last twelve months for any staff (or volunteers) who are not directly involved in cyber security (55% and 48% respectively). This suggests that carrying out cyber security training is unlikely to be a universal practice, although staff training is more common among large businesses (250+ staff) (60%). During the qualitative interviews it was typical for organisations to say they had never assessed the cyber skills of their workforce and had limited understanding of what this would cover or its value for the organisation. 非営利団体と企業の約半数は、過去12ヶ月間に、サイバーセキュリティに直接関与していないスタッフ(またはボランティア)に対して、サイバーセキュリティのトレーニングや意識向上のためのセッションを実施したと回答しています(それぞれ55%、48%)。これは、大企業(250人以上)ではスタッフトレーニングが一般的である(60%)ものの、サイバーセキュリティトレーニングを実施することが一般的ではないことを示唆しています。質的インタビューでは、従業員のサイバースキルを評価したことがなく、トレーニングの内容や組織にとっての価値をあまり理解していないと答えた企業が多かった。
Cyber security processes サイバーセキュリティプロセス
This chapter provides insight on the uptake of cyber security certifications by organisations. It also sets the baseline for the cyber security processes that organisations have in place, the technical controls required to attain Cyber Essentials certification, and actions taken over the last twelve months to improve or expand various aspects of organisations’ cyber security. 本章では、組織によるサイバーセキュリティ認証の取得状況についての洞察を示す。また、組織が実施しているサイバーセキュリティプロセス、Cyber Essentials認証を取得するために必要な技術的コントロール、および組織のサイバーセキュリティの様々な側面を改善または拡大するために過去12カ月間に実施したアクションについてのベースラインを設定します。
Most organisations do not have cyber security certifications. For example, just one in five (19% among both businesses and charities) say they are certified under the Cyber Essentials standard, which is the most frequently obtained certification. ほとんどの組織は、サイバーセキュリティ認証を取得していません。例えば、最も頻繁に取得されているCyber Essentials規格の認証を受けていると答えたのは、わずか5人に1人(企業と非営利団体の両方で19%)でした。
Large businesses (250+ staff) are more likely to adhere to some form of cyber security certification (e.g., 19% of large businesses comply with ISO 27001 compared to 14% of medium businesses), and there are also clear sectoral differences in terms of the types of certifications businesses pursue. For example, businesses in the information or communications sector are more likely to have all three of the certifications asked about. Almost half (47%) of these have ISO 27001, 42% are Cyber Essentials certified, and 27% have Cyber Essentials Plus. Reasons for obtaining certifications varied during the qualitative interviews, with drivers including contractual requirements, change in senior personnel and having a new IT supplier. 大企業(従業員数250名以上)では、何らかのサイバーセキュリティ認証を取得している可能性が高く(例:大企業の19%がISO 27001に準拠しているのに対し、中企業では14%)、企業が取得している認証の種類についても、セクターごとに明確な違いが見られます。例えば、情報・通信部門の企業は、質問した3つの認証のすべてを取得している可能性が高い。これらの企業のほぼ半数(47%)がISO 27001を、42%がCyber Essentialsを、27%がCyber Essentials Plusを取得しています。認証を取得する理由は、定性インタビューの中でも様々で、契約上の要求、上級者の交代、新しいITサプライヤーの導入などが挙げられました。
Organisations are taking action to improve their cyber defences and risk management, but this is still limited depending on the nature of the organisation and resources available. Businesses and charities are equally likely to have technical controls in all five of the areas required to attain Cyber Essentials certification[footnote 3] (57% for both), though this increases to 64% of large businesses. Despite having these processes in place, few organisations report including anything about cyber security in their most recent annual report, with 14% of businesses and 18% of charities saying this, and around three times as many businesses and charities (45% and 57% respectively) saying they did not. 組織は、サイバー防御とリスク管理を改善するために行動を起こしていますが、組織の性質や利用可能なリソースに応じて、まだ限定的です。Cyber Essentials認証[脚注3]の取得に必要な5つの分野すべてにおいて技術的な管理を行っているのは、企業と非営利団体が同じくらいの割合ですが(両者とも57%)、大企業では64%に増加しています。これらのプロセスを実施しているにもかかわらず、直近の年次報告書にサイバーセキュリティに関する記述があると回答した組織は少なく、企業の14%、非営利団体の18%がそう回答し、企業と非営利団体の約3倍(それぞれ45%と57%)が「していない」と回答しています。
Around four in five businesses (79%) and charities (84%) say they have taken at least one form of action to expand some aspect of their cyber security over the last twelve months. Regarding specific measures, more than half of organisations say they have expanded or improved their network security (62% of businesses and 66% of charities), processes for user authentication and access control (59% of businesses and 62% of charities), and their malware defences (55% each). Large businesses are more likely to report having made improvements in these areas over the last year than medium businesses. Hence, while organisations are taking action to be better prepared for and protected against incidents, most have gaps in their cyber hygiene and risk management processes. 企業(79%)と非営利団体(84%)の約5人に4人は、過去12ヶ月間にサイバーセキュリティの何らかの側面を拡大するために、少なくとも1つの行動をとったと答えています。具体的な対策としては、半数以上の企業が、ネットワークセキュリティ(企業の62%、非営利団体の66%)、ユーザ認証とアクセス制御のプロセス(企業の59%、非営利団体の62%)、マルウェア対策(それぞれ55%)を拡大または改善したと回答しています。大企業は、中企業に比べて、過去1年間にこれらの分野で改善を行ったと回答する割合が高い。したがって、企業はインシデントへの備えと保護を強化するために行動を起こしていますが、ほとんどの企業はサイバー衛生とリスク管理のプロセスにギャップがあります。
Regarding cyber security processes in the supply chain, three in five organisations (60% of businesses and 64% of charities) say they did not carry out work in the last twelve months to formally assess or manage the potential cyber security risks presented by their suppliers. サプライチェーンにおけるサイバーセキュリティプロセスについては、5社中3社(企業の60%、非営利団体の64%)が、過去12ヶ月間にサプライヤーが提示する潜在的なサイバーセキュリティリスクを正式に評価・管理する作業を実施しなかったと回答しています。
There is a positive relationship between greater board involvement (i.e., more frequent board-level discussions or updates about cyber security) and having in place all five of the technical controls required to attain Cyber Essentials certification. There is also a positive relationship between board involvement and having processes in place to assess or manage cyber security risks presented by suppliers. For example, 68% of businesses with at least monthly board-level discussions and updates about cyber security have technical controls in place in all five of the areas required to attain Cyber Essentials, compared to 36% of businesses that never have board-level discussions and updates. This is similar for charities. In line with other findings, this suggests that buy-in from senior management is likely to have a positive impact on the kind of cyber defences in place. Additionally, businesses that experienced a cyber incident in the last twelve months are also more likely to have technical controls in place in all five of the areas required to attain Cyber Essentials (62% vs. 50% of businesses not reporting an incident). 取締役会の関与の強化(サイバーセキュリティに関する取締役会レベルでの議論や更新の頻度の増加)と、Cyber Essentials認証取得に必要な5つの技術的統制のすべてを実施していることとの間には、正の関係があります。また、取締役会の関与と、サプライヤーのサイバーセキュリティリスクを評価・管理するためのプロセスを導入していることとの間にも正の関係があります。例えば、サイバーセキュリティに関して少なくとも月1回の取締役会での議論やアップデートを行っている企業の68%は、Cyber Essentialsの取得に必要な5つの分野すべてにおいて技術的コントロールを導入しているのに対し、取締役会での議論やアップデートを全く行わない企業の36%は、技術的コントロールを導入していませんでした。これは非営利団体でも同様です。この結果は、他の調査結果と同様に、上級管理職の賛同が、実施されているサイバー防御策にプラスの影響を与える可能性が高いことを示唆しています。また、過去1年間にサイバーインシデントを経験した企業は、Cyber Essentialsの取得に必要な5つの分野すべてにおいて、技術的な管理を行っている可能性が高くなっています(インシデントを報告していない企業の50%に対し、62%)。
Cyber incident management サイバーインシデント管理
This chapter captures the proportion of organisations that have written processes for cyber security incident management and what these may cover. この章では、サイバーセキュリティインシデント管理のためのプロセスを文書化している組織の割合と、そのプロセスがカバーする内容について説明します。
Businesses and charities are equally likely to have written processes for how to manage a cyber security incident (51% for each), although the likelihood of having these processes in place is higher among large businesses (250+ staff) (60%). 企業と非営利団体の間では、サイバーセキュリティインシデントの管理方法に関する文書化されたプロセスを持っている割合は同じくらいですが(それぞれ51%)、これらのプロセスを持っている可能性は、大企業(250人以上のスタッフ)で高くなっています(60%)。
Additionally, having experience of a cyber security incident over the last twelve months is linked with a higher likelihood of having written processes in place. Just over half (54% of businesses and 55% of charities) of those experiencing an incident in the last twelve months say they have written processes for how to manage a cyber security incident, compared to 44% of both businesses and charities that have not experienced an incident in the last year. This link was implied during the qualitative interviews as well, with respondents often suggesting that experiencing an incident is among the main triggers for introducing formalised cyber security measures. Among organisations with written processes in place, these are most likely to cover guidance for reporting incidents externally, for instance to regulators or insurers (77% of businesses and 86% of charities). さらに、過去12ヶ月間にサイバーセキュリティインシデントの経験があることは、書面によるプロセスを導入する可能性が高いことと関連しています。過去1年間にインシデントを経験した企業の半数強(企業の54%、非営利団体の55%)が、サイバーセキュリティインシデントの管理方法を文書化していると回答しているのに対し、過去1年間にインシデントを経験していない企業と非営利団体はともに44%でした。この関連性は、定性インタビューでも示唆されており、回答者は、インシデントを経験したことが、正式なサイバーセキュリティ対策を導入する主なきっかけの一つであることをしばしば示唆している。文書化されたプロセスを導入している組織では、規制当局や保険会社など、外部にインシデントを報告するためのガイダンスをカバーしている可能性が高い(企業の77%、非営利団体の86%)。
During the qualitative interviews, participants tended to refer to having informal processes in place, with an incident response plan among those, and the level of detail within these procedures and documents was varied. 定性的インタビューでは、参加者は非公式のプロセスを導入していることに言及する傾向があり、その中にはインシデント対応計画も含まれていました。また、これらの手順や文書の詳細レベルは様々でした。
Prevalence and impact of cyber incidents サイバーインシデントの発生状況と影響
This chapter looks at the different kinds of cyber incidents experienced by organisations and their impact and outcome. 本章では、組織が経験したさまざまな種類のサイバーインシデントと、その影響や結果について見ていきます。
Around half (50% of businesses and 47% of charities) say they experienced at least one cyber security incident – excluding phishing – in the last twelve months. This rises to 72% among businesses and 74% of charities when phishing is included. 約半数(企業の50%、非営利団体の47%)が、過去12カ月間に少なくとも1件のサイバーセキュリティインシデント(フィッシングを除く)を経験したと回答している。フィッシングを含むと、企業の72%、非営利団体の74%に上ります。
Among organisations that reported cyber security incidents over the last twelve months, around four in five businesses and charities say that more than one incident happened during this time period (83% and 81% respectively), and this proportion is similar even when phishing incidents are excluded (79% of businesses and 83% of charities). 過去12ヶ月間にサイバーセキュリティインシデントを報告した組織のうち、企業と非営利団体の約5人に4人は、この期間に複数のインシデントが発生したと回答しています(それぞれ83%と81%)。この割合は、フィッシングインシデントを除いた場合でも同様です(企業の79%、非営利団体の83%)。
Around three in ten businesses (29%) and two in ten charities (19%) that experienced non-phishing incidents in the last year say they experienced an incident at least once a week. 過去1年間にフィッシング以外のインシデントを経験した企業の約10分の3(29%)、非営利団体の約10分の2(19%)は、少なくとも週に1回はインシデントを経験していると答えています。
Although most incidents have a short-term impact on operations, of those surveyed, around one in ten organisations (8% of businesses and 10% of charities) that experienced an incident in the last twelve months report that it took a day or longer to restore business operations back to normal. Conversely, nine in ten organisations (90% of businesses and 89% of charities) that experienced any incidents report that it took them less than a day to restore business operations back to normal. ほとんどの場合、業務への影響は短期的なものですが、過去1年間にインシデントを経験した組織のうち、約10社に1社(企業の8%、非営利団体の10%)が、業務を正常な状態に戻すのに1日以上かかったと報告しています。逆に、いずれかのインシデントを経験した10社のうち9社(企業の90%、非営利団体の89%)は、業務を正常に戻すのに1日もかからなかったと報告しています。
Summary of findings 調査結果のまとめ
The summary table of key measures in Annex A shows some of the key baseline metrics, split by business size (50-249, 250-499 and 500+ employees). Further details on statistical reliability and margins of error can be found in Annex C.   附属書Aの主要指標の要約表は、ベースラインの主要指標の一部を企業規模別(従業員数50~249名、250~499名、500名以上)に分けて示しています。統計的信頼性と誤差の詳細については、附属書Cを参照してください。 

|

« 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集 | Main | 米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集 | Main | 米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大 »