「5分でできる情報セキュリティ自社診断シート」は、あくまで入門編です。もっと具体的に状況を把握する方法として、IPAは「情報セキュリティ対策ベンチマーク」をWebサイトで公開しています。
このベンチマークは、対策への取り組みに関する27項目とプロフィールの15項目の設問に回答すると、自社の対策状況について同業や同程度の規模の他社と比較することができます。ここでの他社とは、ベンチマークに回答している他の企業です。
回答項目は、情報セキュリティマネジメントシステム(ISMS)の認証基準(JIS Q 27001:2006)の附属書Aの管理策がベースです。ISMSによる評価はそれなりに時間やコストを必要としますので、IPAのベンチマークは「対策状況を具体的に把握したいが、まずは試したい」という企業や組織に適したツールでしょう。
ベンチマークは2005年8月に公開され、のべ1万578件(2015年9月末現在)の診断結果が提供されたとのこと。2015年10月にアップデートされたバージョン 4.4ではセキュリティを取り巻く環境の変化や対策レベルの変化を考慮して、診断の基礎データが最新の5年6カ月分(3999件)に更新されました。
27の設問は、情報セキュリティに関する規定や管理体制、情報システムやセキュリティ対策の運用、ITリスク、事業へのインパクト、機密情報の保有状況など広範な内容です。設問に対する回答を4つの選択肢の中からチェックしていきますが、経営層の意識や現場での取り組み状況を考えながら選ぶ必要があります。回答時間の目安は30分です。回答をしながら設問に関する推奨対策の解説を確認できるようにもなっています。
プロフィールに関する15項目では業種や従業員規模、年商規模、拠点数といった内容を入力します。これで同業種や同規模の企業群の中で自社の状況がどのようになっているのかを把握できるようになります。またアカウントの登録もできますので、繰り返しベンチマークを利用することにより、過去から現在までの対策状況の変化も把握できます。
診断結果はレーダーチャートや得点などで表示されます。回答全体と同業種、同規模それぞれの観点から自社の具体的な対策状況について、平均値や理想値との違い、自社に求められるセキュリティレベルが分かります。PDFファイルに出力できますので、社内で診断結果を共有するなど活用もしやすいでしょう。
今回取り上げた診断ツールは、お金をかけることなくセキュリティ対策の強みや弱みについて、ある程度客観的に把握することに役立つでしょう。既に試したことがある企業や組織でも繰り返し確認していくことが大切です。
もちろんベンダーなどの有償診断を活用すれば、もっと詳しい状況を把握したり、専門家によるアドバイスを受けたりすることができます(利用に応じて費用はかかりますが)。日頃から付き合いのあるITパートナーがいるなら、そこに診断を相談してみるのも一手です。相談相手がいないという場合なら、まずは無償診断を利用してみてはいかがでしょうか。
特集「脅威に負けない我が社のセキュリティ強化大作戦」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。
Copyright © ITmedia, Inc. All Rights Reserved.