「うちのセキュリティの弱点は？」がタダで分かる2つの方法：脅威に負けない我が社のセキュリティ強化大作戦（1/2 ページ）

セキュリティ対策の強化では“弱点”を知らなければなりませんが、「調査にあまりお金はかけたくない……」というケースは少なくありません。そこでお勧めしたいのが、無償の診断ツールです。

[國谷武史，ITmedia]

　企業や組織にとってセキュリティ対策は、実に難しい取り組みです。セキュリティ上の脅威や問題は常に変化するため、対策はどうしても場当たり的になってしまいがち。その結果、対策のどこかに抜けや漏れが生じやすくなります。それを調べようにも、「利益にならないからコストはかけられない」という考え方も根強くあります。

　セキュリティレベルを高めていく上で投資は避けられませんが、なるべく無駄のないように工夫したいところ。対策強化のスタートは自社の弱点を知ることです。今回は、情報処理推進機構（IPA）が提供している無償の診断ツールを取り上げます。

5分でできる中小企業にお勧めの診断

　セキュリティ対策状況を診断する無償のツールやサービスは、さまざまなベンダーからも提供されていますので、それらを活用するのも手でしょう。実はその多くがIPAのツールをベースにしています。

中小企業向けの入門編診断が「5分でできる」シリーズです。診断シートはIPAサイトからダウンロード可能、情報セキュリティのイベントなどでも配布されています

　IPAは、特に中小企業向けの入門編ツールとして「5分でできる情報セキュリティ自社診断シート」を提供しています。このシートで25の設問について実施状況を4つの選択肢から回答していきます。4つの選択肢には得点が付与されています。「実施している」には4点、「一部実施している」には2点、「実施していない」「わからない」は0点です。

設問と回答

　25問の合計点から、基本的なセキュリティ対策での自社の状況を把握できるようになっています。100点なら入門レベルの対策は完璧。改善や効果測定といったステップアップを目指すことができます。

　100点ではない場合、得点の低い項目が対策の“弱点”にあたります。得点の低い項目が多いほど、“弱点”も多いといえるでしょう。シートでは49点以下について、「いつ事故が起きても不思議ではありません」との厳しい評価を示しています。

　診断シートには、判明した弱点を解決していくための基本的なアドバイスが記載されています。例えば、情報の取り扱いにおける保管については、「机の上に放置したままでは誰かに持ち去られる危険があり、関係者以外に見られたり触られたりしないよう管理と保護をしましょう」という内容です。「当たり前でしょ」と思われるかもしれないアドバイスですが、実際にはオフィスの中でも外でも頻繁に起きている事象ばかりです。

得点から弱点の項目を把握して対策のヒントを確認。冊子やWebサイトにはより詳しい解説があります

　25の設問に関するアドバイスは基本的なものばかりですが、その基本をしっかりできるようにしていくことが、まずお金をかけずにセキュリティをレベルアップさせていく方法でしょう。IPAでは「企業（組織）における最低限の情報セキュリティ対策のしおり」も公開し、診断シートよりも詳しい解説を提供しています（内容の一部は古いものですが、基本的な理解には役立つでしょう）。

　中小企業の多くは、セキュリティ担当者が他の業務を兼務しているため、対策状況を把握するための時間がなかなか確保できません。そのため、IPAでは「5分でできる」をコンセプトにこの診断シートを作成したといいます。

　「セキュリティ対策は必要だけど、社長の決済が……」といったような場合でも、診断シートの得点と「うちはここが危ないみたいです」と伝えることができれば、対策の強化に向けてスタートできるかもしれません。

特集まとめ読み特別冊子 プレゼント応募フォーム

特集「脅威に負けない我が社のセキュリティ強化大作戦」の特集記事をまとめた電子冊子（PDF）を、特集終了後にプレゼントいたします。

＜＜＜ 応募はこちらから