スコアとレーダーチャートで把握する、情報セキュリティ対策自己診断テスト10個のツールで学ぶ、備える!情報セキュリティの脅威と対策

IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載です。今回は管理者向けツールとして、自社の情報セキュリティマネジメントシステムの実施状況を自己診断するベンチマークを紹介します。診断結果からチャートなどが作成され、自社の状況が視覚的に把握できます。

» 2011年12月05日 08時00分 公開
[情報処理推進機構]

 本連載は、情報処理推進機構(IPA)提供のツールを活用して情報セキュリティについて学ぶ方法を紹介しています。今回からは管理者向けのツールを取り上げます。

 中小企業ではセキュリティ対策の専門部署、専属の管理者がいないというケースがあるでしょう。中小企業の読者の方々の中には、「自分たちには管理者向けツールは無関係だ」と思われる方がいるかもしれませんが、例えば今回ご紹介する「情報セキュリティ対策ベンチマーク」は、大企業や官公庁だけを対象とするものではありません。むしろ専門職が少ない(あるいはいない)数人から数十人という規模の事業所においても、自社が情報セキュリティに対して、正しい対策やガイドラインを策定できているのかを自己診断していただくのに向いています。事業規模に関わらず、自社の対策状況の確認、情報セキュリティに対する意識向上のためにも、ぜひ活用していただければと思います。

42問の質問でセキュリティ対策の状況を把握

 情報セキュリティ対策ベンチマークは、経済産業省が公表した情報セキュリティガバナンス推進のための施策ツールをベースに、IPAが自動診断システムとして作成、2005年8月に一般公開しました。その後、「情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項」(ISMS認証基準であるJIS Q 27001:2006)への対応などの改変を経てバージョンアップを繰り返し、現在のバージョンはver 3.4になっています。

 情報セキュリティ対策ベンチマークは、Webブラウザから利用できるWebコンテンツです。ダウンロードやインストールといった手間は必要ありません。「組織の情報セキュリティ対策自己診断テスト」のページから「診断サイトはこちら」というリンクをたどって、すぐに診断を始めることができます。診断ページではログインを促されますが、初回は「初めての方はこちら」というリンクからスタートします。ログイン登録を行わなくても診断内容に違いはありませんし、ちょっと試してみたいといった用途でも構いません。診断に回数制限はなく、何度でも診断することができます。

 診断はフォームからの入力になります。情報セキュリティについての質問で構成される第1部に27問(うち2問は参考質問)、事業内容についての質問で構成される第2部15問の計42問の質問に答えます(図1)。

図1:情報セキュリティ対策ベンチマークの質問画面。第1部27問、第2部15問の計42問に答えます

 情報セキュリティについての質問で構成される第1部では、すべての質問がリストボックスからの選択です。第2部では事業規模や業種をラジオボタンで選択し、従業員数などを入力するようになっていますが、数字の入力だけですみます。したがって全体の設問数は42問と多いですが、30分程度で全項目の入力が完了します(図2)。

図2:図1の一部を拡大して回答している例。回答はリストボックスからの選択が中心です

 入力時に設問内容や具体的にどういった対策が望ましいのかが分からない場合には、設問事項横の「推奨される取り組みはこちら」というボタンを押してください。ポップアップ画面に詳細情報が表示されます(図3)。

図3:「推奨される取り組みはこちら」ボタンの表示例

 図2では隠れていますが、スクロールしていくと下の方に詳細な解説も掲載されています。

 設問内容には、例えば、リスクアセスメントなどについての項目が含まれますが、「リスクアセスメントの手順を確立し定期的に実施していますか?」という質問では、専門ではない回答者が意味を把握できない可能性があります。そこで情報セキュリティ対策ベンチマークでは「情報セキュリティに関する規定や対策を策定する際に、組織の重要な資産に関する危険性や脆弱性について評価していますか。」のように、できるだけ平易な言葉を使って質問を行います。

 企業や団体の情報セキュリティについての対応度判定としてはISMS適合性評価制度もありますが、情報セキュリティ対策ベンチマークでは、より簡単、気軽に自己評価できるという点を重視しています。

 質問項目すべてに回答したら、さっそく診断をしてみましょう。

診断結果はポイントと分布図

 診断結果を見てみることにします。実際に診断をしてもいいですし、サンプルのPDFを使って診断内容を確認することもできます。なお表示内容は変わりませんが、サンプルPDFはver3.1(最新バージョンはver3.4)での診断結果例です。

 情報セキュリティ対策ベンチマークの診断結果では、情報セキュリティリスク指標に応じて、診断した企業を次の3つグループに分類します。

  • 高水準のセキュリティレベルが要求される層(グループI)
  • 相応の水準のセキュリティレベルが望まれる層(グループII)
  • 情報セキュリティ対策が喫緊の課題でない層(グループIII)

 この分類は設問の第2部、企業規模や業種、従業員数、IT依存度などの回答内容によって自動で判断されます。

 情報セキュリティ対策への取組みに関する25問には、それぞれ「1」から「5」のポイントが設定されており、「1」はまったく取り組みができていない状態、最高の「5」は他社の模範に相当するという状態を示します。25項目で最大合計が125ポイントになります。このポイントを元に4種類のレーダーチャートで自社の位置を確認できます(図4)。

図4:レーダーチャートの例。同一グループ内での自社の水準を確認できます

 判定結果として表示されるレーダーチャートは次の4種になります。

  • 同一グループにおける自社の現状
  • 従業員数が同一規模の企業における現状
  • 同業種における自社の現状
  • 前回の診断との比較

 4つめの前回の診断との比較チャートは、初めての診断時の設問でログインIDとパスワードを取得し、そのIDとパスワードを使ってログインして再度設問に答えた場合にのみ表示されます。

 レーダーチャートの下には、同一グループ内でのポイントから見た偏差値を示す分布図と、診断した全企業におけるポイントでの散布図、同一事業規模の企業における散布図が表示されます(図5図6)。

図5:ポイントから見た偏差値を示す分布図
図6:全企業におけるポイントでの散布図

 こうしたチャート類によって、視覚的に自社がどの程度の位置にあるのかを把握できます。経営者にとっては自社の位置を確認するための資料になりますし、セキュリティ対策の責任者は、こうしたチャート類を説得力の伴ったセキュリティ対策予算の上申用資料とすることもできるでしょう。実務担当者も自社のセキュリティ対策に漏れや抜けがないかを確認するために活用できます。

 なおチャートの母数は、情報セキュリティ対策ベンチマークを使用した全企業ではなく、2009年1月1日から2010年12月31日までの2年間に提供された診断データをベースに、データ内での重複などを整理した1654件を採用しています(ver3.4)。サービス提供開始の2005年からの診断データ全件をベースにしていないのは、当時と現在とではセキュリティに対する企業の意識や取り組み、対策すべきポイントが変わっているためです。診断母数については今後も随時見直します。

 セキュリティ対策について、最初からセキュリティコンサルタントなどに丸投げするのではなく、こうしたツールを活用して、まず自分たちの手で自社がどういう状態にあるのか、何をすべきなのかを確認しておくことはとても大切です。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ