MS&ADインターリスク総研の調査によると、サイバーセキュリティー対策に取り組む体制を構築していない企業は回答した626社の52.9%を占めた。構築している企業は38.7%にとどまった。
回答企業が挙げたセキュリティー体制で最も多いのは、情報セキュリティーを統括するCISO(最高情報セキュリティー責任者)で、全体の26.4%を占めた。
サイバー攻撃による情報漏洩やシステム障害などが発生した際に対応する組織であるCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)を設置している企業が16.1%、情報セキュリティー機器などのログを監視・分析して、サイバー攻撃を検出・通知する組織であるSOC(セキュリティー・オペレーション・センター)がある企業は13.9%だった。
従業員数が1000人以上の企業に限ってみると、最も多く設置しているのはCSIRTとSOCで、それぞれ42.5%を占めた。SOCを設置している割合は2018年度の27.7%から大幅に増加したという。MS&ADインターリスク総研によると、企業の従業員数の規模と組織体制には相関があると考えられるという。
一方、企業の社内で「IDやパスワードのほか、情報の参照・更新に関するルールが文書化されて点検や見直しも実施している」と回答した企業は、回答した629社のうち42.6%だった。
「その他」の回答には「ルールはないが点検はしている」「親会社に依存・準拠している」といった回答があったという。