報告書ではさらに、被害に遭った企業108社と遭わなかった企業106社のグループに分け、ファイアウォールやIDS（侵入検知システム）、ウイルス対策ソフトの導入状況などを比較したが、両グループに差異は見られず、むしろ被害に遭ったグループのほうが導入が進んでいる結果となった。このことから、「運用や体制など他の項目の実施状況が被害の有無を左右している可能性」が示唆されるとしているものの、連絡体制やセキュリティ教育、セキュリティ規定の整備、従業員1人あたりのセキュリティ予算などを比較した結果からは、明らかな関連性を見出すまでには至らなかった。