SIerがコンサルにも利用可能、セキュリティ成熟度をベンチマークできる無料ツール。最新版をIPAが公開

独立行政法人情報処理推進機構（IPA）は、Web上の質問に答えるだけで自社のセキュリティ成熟度を計ることができる自己診断ツールの最新版「情報セキュリティ対策ベンチマークver3.3」を公開したと発表しました。

「情報セキュリティ対策ベンチマーク」は2005年8月から公開されているツール。セキュリティ対策についての40問の質問に答えると、組織の情報セキュリティ対策の整備・運用状況の自己評価ができるようになっています。評価はJISQ27001を参照して作成された25の項目に分かれて、グラフなど分かりやすい形式で表示。経営者、セキュリティ管理者が、自社のセキュリティ対策のレベルを項目ごとに確認できます。

このベンチマークを用いてSIerなどが手軽なコンサルティングサービスを提供することも想定し、質問の一覧や対策のポイント一覧などの資料がダウンロードできるように用意されてもいます。メールなどで顧客に質問し、回答してもらい、それを入力することで以下のようなレポートを提出しつつ説明を行うといったことが可能です。

40問の質問に答えるだけ

質問は、例えば以下のようなものが40問用意されています。

組織的な取組状況についての質問。

• 情報セキュリティポリシーや情報セキュリティ管理に関する規程を定め、それを実践していますか。
• 経営層を含めた情報セキュリティの推進体制やコンプライアンス（法令順守）の推進体制を整備していますか。

物理的（環境的）セキュリティ上の施策についての質問。

• 特にセキュリティを強化したい建物や区画に対して、必要に応じたセキュリティ対策を実施していますか。
• 顧客、ベンダーや、運送業者、清掃業者など、建物に出入りする様々な人々についてセキュリティ上のルールを定め、それを実践していますか。

情報システム及び通信ネットワーク運用管理状況に関する質問。

• 情報システムの運用に際して、運用環境や運用データに対する適切な保護対策が実施されるよう、十分に配慮していますか。
• 不正プログラム（ウイルス、ワーム、トロイの木馬、ボット、スパイウェアなど）への対策を実施していますか。

アクセス制御の状況及び情報システムの開発、保守に関する質問。

• 情報（データ）や情報システムへのアクセスを制限するために、利用者IDの管理、利用者の識別と認証を適切に実施していますか。
• 情報（データ）や情報システム、業務アプリケーションなどに対するアクセス権の付与と、アクセス制御を適切に実施していますか。

こうした質問に、「経営層にそのような意識がないか、意識はあっても方針やルールを定めていない。」「経営層にそのような意識はあり、方針やルールの整備、周知を図りつつあるが、一部しか実現できていない。」など5つの選択肢で答えていきます。

そのまま提出できる充実したレポート

答えた後、結果はグラフなどの形式ですぐに表示されます。きちんとしたレポート形式になっており、印刷してそのまま経営陣や関係者へのレポートにできそうです。

25の項目に分類されたレーダーチャートでは、赤い線が自社の結果を、水色の点線が「望まれる結果」、緑の点線が「同業種の平均」を表しています。

自社が過去にこのテストを行った他社の中でどの辺に位置するのか、散布図で示されます。標本数は1540とのこと。

組織的なセキュリティ対策とは具体的にどうすればいいのか、多くの企業がまだ模索中のところがあると思います。無料であってもこのツールは非常に充実していますので、ぜひ活用してみてください。