自社のセキュリティ対策を他社と比較する：情報セキュリティガバナンスを確立せよ（4）（1/2 ページ）

自社の情報セキュリティ対策が、他社と比較してどのようなレベルにあるのかを確認することは、自社の対策を客観的に評価する手法の1つとして有益である。これをどのように行うことができるかを紹介する

[大木栄二郎，工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問]

　自社のリスク分析・評価手法に基づいて、経営者が許容できる残留リスクレベルの意思決定を行い、情報セキュリティ対策のレベルを主体的に定めることを、前回の「情報セキュリティ対策レベルの決め方」で紹介した。その中で、他社のセキュリティレベルとの相対比較による確認を行う手段として「情報セキュリティ対策ベンチマーク」が有効であることに触れた。

　今回は、このベンチマークの活用法について具体的に解説しよう。

情報セキュリティ対策を他社と比較する目的

　最初に、情報セキュリティ対策を他社と比較することの目的を整理しておこう。

　第1の目的は、他社と比較して自社の位置を確認することであり、自社の取り組みが妥当であるかどうかの目安にすることである。

　現状のセキュリティ対策レベルが他社と比べて進んでいるのか遅れているのか、どの対策分野が遅れているのかを経営者が具体的に知ることが重要である。さらに、リスク分析に基づいたリスク低減策の意思決定をした後に、それらが実施されるとどれくらいの位置にレベルアップするのかを経営者が理解することで、自らの意思決定の効果を実感することができる。すなわち、経営陣が自社の位置を知り、自分の意思決定がどのように自社の位置を変化させるかを知ることが最初の目的である。

　第2の目的は、情報セキュリティ対策の実施状況について、企業の利害関係者への説明責任を果たすための材料にすることである。今後、顧客や取引先、あるいは社員や株主など、企業の利害関係者から、自社のセキュリティ対策の考え方とともに、他社と比較してどの程度の位置にあるかについての説明が求められることになろう。

情報セキュリティ対策ベンチマークとは

　情報セキュリティ対策ベンチマークとは、経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会」で、情報セキュリティガバナンスを確立する3つのツールの1つ、「情報セキュリティガバナンス推進のための自己評価ツール」として提示されたものであり、現在は情報処理推進機構（IPA）が運用している。

情報セキュリティ対策ベンチマークの概要（「企業における情報セキュリティガバナンスのあり方に関する研究会」報告書より）

　このベンチマークでは、全25問の情報セキュリティ対策に関する質問と15問の企業プロファイルに関する質問に答えることにより、自社がどの程度の情報セキュリティ対策が要求されるグループにいるのかが分かり、そのグループにおける自社の対策レベルの位置が他社との相対比較として確認できる。

　情報セキュリティ対策に関する25問は、1. 組織的な取り組み、2. 物理的施策、3. 通信・システムの運用管理、4. システムの開発保守やアクセス制御、5. 事故対応状況の5グループで構成されており、少ない質問で情報セキュリティ対策を網羅的にカバーしているのが特徴である。回答は、対策の取り組み状況の成熟度について、経営者の関与を中心に5段階に分けた回答文から、当てはまるものを選択する形式になっている。

　企業プロファイルに関する15問は、企業規模などを数字で回答する質問と、業種、事業の公益性や情報システム依存度、取り扱う重要情報の程度、これまでの事故経験などを、用意された選択肢から選んで回答する質問で構成されている。

　これらの質問の回答が、研究会の段階で885社分、その後のWeb運用で451社分データベース化されているところが、このベンチマークの味噌である。すなわち、自社の回答結果から推測されるセキュリティ対策レベルが、他社と比較してどのような関係になっているかを知ることができる。

　企業プロファイルの質問群への回答から、自社はどの程度の情報セキュリティ対策が要求される層に含まれるのかが分かり、情報セキュリティ対策の質問群への回答からは、自社のセキュリティ対策レベルが数値化されて、企業が属している層の平均値や目標とすべきレベルとの対比で示されることになる。また、同業他社との比較も示される。

　これらがグラフ化して表示され、さらにレベルを高めるために取り組むべき項目も示されるなど、経営者にとって分かりやすい工夫がなされている。詳しくは、IPAの「情報セキュリティ対策ベンチマーク」 ページを参照されたい。