「社内のセキュリティを担当になったけど、どうすればいいかわからない」
「どこをどう強化すればいいんだろう」
「でも充分なセキュリティ対策ができているか不安」
このように漠然としたセキュリティへの不安を抱えているものの、何から着手すればいいかわからないというご担当者様も多いかもしれません。
そのような時は、まず現状のセキュリティレベルを確認することが必要です。
今回は、社内のセキュリティレベルを把握する方法について解説します。
セキュリティ担当者の方はぜひ、参考にしてみてください。
また、こちらでは弊社の経験豊富な情報セキュリティコンサルタントが作成した「セキュリティチェックリスト」をご用意しております。
ぜひ無料でダウンロードして、貴社の現状把握にお役立てください。
まずは現状分析から! 現役コンサル作成の30項目!
社内の情報セキュリティレベルを把握する方法は?
外部に対して、「自社の情報セキュリティ体制が要求水準を満たすものである」とアピールするためには、自社のセキュリティレベルを客観的に把握することが必要です。
外部から客観的にレベル診断をしてもらうためには、専門家による「外部監査」を受けることが確実ですが、外部監査には費用がかかること、また業務に大きな影響を及ぼすため、それに合わせた内部の対応が求められます。
監査を実施したいという思いがあっても、業務に影響があるとすれば中々実行に踏み切れませんよね。
そこでまずは、IPAの「情報セキュリティ自社診断」で社内のセキュリティレベルを測定することをおすすめします。
ブラウザで簡単な設問に答えるだけで、診断できます。
無料かつ簡単に結果を出すことができるので、まずはここから始めてみましょう。
IPAの「情報セキュリティ自社診断」で手軽に社内のセキュリティレベルを測定
上記の「情報セキュリティ自社診断」は、情報セキュリティ対策のレベルを数値化し、問題点を見つけるためのツールです。
5分で社内のセキュリティレベルを手軽に測定でき、解説編では、各チェック項目で設定されている設問についての解説も見ることができます。
この解説編を参照することで、診断編にある設問の内容を自社で対応していない場合に生じる情報セキュリティへのリスクと、今後どのような対策を設けるべきかを把握可能です。
ただセキュリティレベルを測るだけでなく、対策するべきポイントやその手法まで説明してくれるので、よりセキュリティレベルを高めるためにPDCAを回すためにも、非常に有効なツールと言えるでしょう。
IPAの「情報セキュリティベンチマーク」で社内のセキュリティレベルを測定
IPAの「《基本編》情報セキュリティ対策ベンチマーク」を利用して診断すると、組織の情報セキュリティレベルを測定することができます。
客観的なセキュリティレベルを測定するだけでなく、どれくらいのセキュリティレベルが必要であるのか、また同じくらいの規模・同様の業種の企業との相対的な地位の比較など、多くの情報を提供するツールです。
情報セキュリティベンチマークについて、より詳細に解説します。
情報セキュリティベンチマークとは
IPAの「情報セキュリティベンチマーク」は、自己診断ツールであり、Webアプリケーションを利用して、解答すると組織の情報セキュリティマネジメントシステムの実施状況を自己診断することができるツールです。
このツールは、経済産業省より公表された「情報セキュリティガバナンス推進」のための施策ツールをベースにIPA が自動診断システムとして開発したもので、
- 評価項目が27項目
- 非常にわかりやすい言葉
と、簡易的な作りとなっているため、回答者の技術的な専門性のレベルにかかわらず診断を容易に進められるのが特徴のツールです。
ベンチマーク結果はわかりやすくグラフで表示される
回答結果は、ベンチマーク分析が可能なので、組織の弱点・他企業との比較などがわかりやすくグラフで表されます。
以下の図では、事業継続への取り組みや、ネットワークの保護、情報機器の安全な設置については、セキュリティレベルを高める必要があることが視覚的にあらわされています。
また、以下の図では、同規模の組織における平均値・望ましいレベルとのギャップがグラフで表されています。
特に平均を下回っている事業継続への取り組みや、ネットワークの保護、情報機器の安全な設置については、早急に対応する必要があると考えられます。
セキュリティレベルをIPAの提示している基準に沿って測定した結果、強化の必要がある場合には、例えば会社の経営陣の参加する会議体(経営会議や、情報セキュリティ委員会活動など)で提言を行うことも必要です。
客観的な基準があるため、提言することや合議体の議題として問題提起することは基準がない場合より容易になるでしょう。 より実行にもつながりやすくなります。
LRMのセキュリティチェックシートで社内のセキュリティレベルを把握
また、LRMでもオリジナルのセキュリティチェックシートを公開しています。
このセキュリティチェックシートでも、手軽に客観的な社内のセキュリティレベル把握ができます。
- 現役セキュリティコンサルが作成
- 14分野30項目のチェックリスト
- 項目ごとの5段階評価と詳細な分析が可能
となっており、利用者からは数多くの評価をいただいています。
こちらより無料でダウンロードできるので、ぜひ活用してみてください。
社内の情報セキュリティレベルを高めるISMS取得活動
「社内のセキュリティレベルを高めていきたい」
「社外に示せる資格がほしい」
「取引先の強い要請がある」
といった場合には、ISMS認証取得も視野に入れましょう。
ISMSとは、組織の情報資産に必要なセキュリティレベルを決め、「どのように情報資産を守るか」という方針を持って自社のセキュリティを運用することで、「情報セキュリティマネジメントシステムが機能している」と認められる場合、ISMS認証を取得できます。
ISMS認証を取得することで、情報セキュリティの基本要素の「機密性」「完全性」「可用性」をバランス良く維持・改善し、リスクを適切に管理しているという証明を取引先にしやすくなります。
その他にも、公共入札の参加や落札がしやすくなる効果が見込めたり、取引先の信頼の向上、販売会社(ベンダー)としての審査が簡略化されるなど、数多くのメリットがあります。
「ISMSの取得方法についてより具体的に知りたい!」という方は、以下のリンクをご覧ください。
まとめ
近年、テレワークの普及により、情報セキュリティに対する関心は高まる一方であり、セキュリティについて見直すタイミングに入っているといえるでしょう。
セキュリティ対策IPAの診断ツールを使い、ベンチマーク診断を行う・あるいはISMS認証の活動を行い、セキュリティレベルを上げるなどの打ち手を講じることがおすすめです。
また、ISMSは文書化されていることから経営陣にも取引先にも共通の認識を持ってもらいやすくなり、情報セキュリティの個別の取り組みについて説明しやすくなり、組織の内外から理解が得られやすくなります。
セキュリティレベルの向上に伴い、ISMS認証も視野に入れてみましょう。
また、まずは弊社でご用意している「セキュリティチェックリスト」も貴社のセキュリティレベルの把握にお役立ていただけますので、まずはお気軽に無料でダウンロードしてください。
