企業や組織におけるITは、業務効率・品質を高め、生産性を向上させ、コミュニケーションツールとしても必須の役割を果たしています。
ですが、インターネットに常時接続された環境は利便性が高い反面、常に外部からの侵入や攻撃にさらされている状況でもあります。
このため、企業や組織には情報セキュリティ対策が求められます。
事業継続のためにも、対外的信頼のためにも必須であることは広く認識されており、日夜対策に追われている担当者の方もいるでしょう。
そんなセキュリティ対策ですが、必要な対策が網羅されていることの確認や対外的に対策状況を伝える際のツールとなるのが、情報セキュリティチェックシートです。
取引先からチェックシートの提出を求められたケースや 、社内のセキュリティ対策が必要な範囲をカバーできているか確認したいケース(セルフチェック)などで、セキュリティチェックシートは大いに役立ちます。
本記事では、情報セキュリティチェックシートについて、利用目的別に具体的な項目例を解説し、すぐに使えるテンプレートを紹介します。
また、LRMの現役セキュリティコンサル作成のセキュリティチェックシートを無料で公開していますので、ぜひ利用してみてください。
情報セキュリティチェックシートが今すぐ必要な理由
今、情報セキュリティチェックシートが多くの企業や組織で必要となっている理由として、「自社のセキュリティリスクの可視化」があげられます。
今日の企業・組織に求められるセキュリティは多方面にわたります。漏れなく包括的に対策が行われているか確認するためには、セキュリティチェックシートは有効な方法です。
また、情報セキュリティチェックシートが求められる別の理由として、自組織のセキュリティ対策状況を相手に伝える手段となることもあげられます。
取引先などが契約の前提条件としてセキュリティチェックシートの提出を求めるケースも増えています。
LRMの現役セキュリティコンサル作成のセキュリティチェックシートも活用してみてください。
情報セキュリティのトレンドを押さえたセキュリティチェックシート
IT化が進み、インターネットに常時接続された環境が当然となりつつありますが、常にサイバー攻撃をされるリスクを抱えています。
また、ノートパソコンやスマートフォン、タブレット端末や記憶媒体は、テレワークを含めたオフィスの外で働くことを可能にしますが、しかしながらこれも、紛失、盗難、のぞき見など情報漏えいのリスクと背中合わせです。
これらのセキュリティリスクに備えることが組織の運営では必須ですが、日増しに対応しなければならないポイントは増えていきます。
情報セキュリティ担当者はポイントを抑えるだけでも手間がかかり、見落としも発生しやすくなりがちです。
このような状況に対して、網羅的な情報セキュリティ対策のチェックリストを用意するのが一つの対策となります。
トレンドを押さえたセキュリティチェックシートで確認することでセキュリティ対策の最新性を担保しましょう。
情報セキュリティ10大脅威を参考にする
インターネットに接続しているほぼ全ての機器は、常にサイバー攻撃のリスクにさらされています。
独立行政法人情報処理推進機構(IPA)が発行している「情報セキュリティ10大脅威 2025」において、組織の脅威とされている内容TOP10は下記の通りとなりました。
| 順位 | 「組織」向け脅威 | 初選出年 | 昨年順位 |
|---|---|---|---|
| 1位 | ランサムウェアによる被害 | 2016年 | 10年連続10回目 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3位 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4位 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5位 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7位 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9位 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10位 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
組織や企業にとっての脅威としては、ランサム攻撃やサプライチェーン攻撃、システムの脆弱性をついた攻撃などが上位にランクインしました。
ただし、「順位に関わらず自身に関係のある脅威に対して対策を行う」ことが重要です。
サイバー攻撃の技術も日に日に進化しており、脆弱性が見つかったときは、今までよりもスピーディーな対策が求められます。
このようなサイバー攻撃のリスクを低減するためには、それぞれの攻撃に有効な情報セキュリティ対策を講じていく他ありません。
その情報セキュリティ対策を網羅的に実施できるよう、情報セキュリティ対策チェックリストの必要性は高いです。
情報セキュリティに関連のある団体からいくつかの情報セキュリティ対策チェックリストが提供されています。これらの情報セキュリティ対策チェックリストは大いに参考にすべきものです。
ただし企業の持つ資産や従業員のITリテラシーなどの状況は企業や組織によって異なるため、提供されたリストをもとに自社に合った情報セキュリティ対策チェックリストを準備して活用する必要があります。
情報セキュリティ対策チェックリストの作成に役立つ資料
現在ではIPAをはじめとする情報セキュリティと関係のある団体から、情報セキュリティチェックリストが提供されています。
これらのリストをベースにすることで、情報セキュリティチェックリスト作成を効率化することが可能です。
以下では、各団体から提供されている情報セキュリティチェックリストを紹介します。
5分でできる自社診断シート
「5分でできる自社診断シート」はIPAによって提供される情報セキュリティ対策チェックリストです。
情報セキュリティ対策のレベルを数値化して問題点を見つけるためのツールであり、すぐに適用できるところがメリットです。
情報セキュリティ対策ベンチマーク
「情報セキュリティ対策ベンチマーク」はIPAによって提供される情報セキュリティ対策チェックリストです。
5分でできる自社診断シートが入門編にあたるのに対し、情報セキュリティ対策ベンチマークは一歩進んだ基本編にあたるチェックリストです。
中小企業における組織的な情報セキュリティ対策ガイドライン
「中小企業における組織的な情報セキュリティ対策ガイドライン」はIPAが中小企業に向けて提供している情報セキュリティ対策のためのガイドラインです。
全ての企業が実施すべき対策と、企業ごとに考慮が必要な対策を分けて記載しているため、自社向けのチェックリスト作成に活用できます。
また、付録としてガイドラインに沿った情報セキュリティ対策チェックリスト(付録3:5分でできる!情報セキュリティ自社診断)も付属しています。
技術情報管理 自己チェックリスト
技術情報管理認証制度は「企業の情報セキュリティ対策を、国の認定を受けた機関が国が策定した基準に基づいて審査・認証する制度」です。
「技術情報管理 自己チェックリスト」は、技術情報管理認証制度の基準をもとに、事業者が自社の情報セキュリティ対策の状況を自ら確認し、必要な対策を把握するためのツールとして提供されています。
ファイルをダウンロードし、チェック項目を選択するとレーダーチャートでセキュリティ対策状況が採点されます。
情報セキュリティ対策の分野を8つに分け、チェックにより対策が遅れている分野を明確にすることができます。
情報セキュリティ対策チェックリストに盛り込むべき必須項目
以下では、情報セキュリティ対策チェックリスト作成において、記載すべき内容と必要な理由について具体的に紹介します。
各内容については、より詳細な項目を設定してチェックします。
また、情報セキュリティチェックリストの目的別に必要となる項目は変わってきます。
以下の表では、目的別のチェックリストに必要な項目をまとめていますので、参考にしてください。
| チェックリストの利用目的 | 必要となる項目 |
|---|---|
| 自社のセキュリティ対策状況の確認 | 全般 |
| SaaS利用のチェック | セキュリティポリシー・ルール 人的セキュリティ対策 取引先との取り決めなど |
| 外部委託先管理 | 人的セキュリティ対策 取引先との取り決めなど 物理的セキュリティ対策 インシデント発生時の対応 |
セキュリティポリシー・ルール
- 情報セキュリティのための方針群
- 方針の策定がなされているか
理由:セキュリティポリシーおよび各細則が整っていることを確認するため - 情報セキュリティのための組織
- 情報セキュリティのための組織が構成されているか
理由:情報セキュリティに対応する組織が整っていることを確認するため
人的セキュリティ対策
- 人的資源のセキュリティ
- 従業員に対する秘密保持契約と情報セキュリティ教育がおこなわれているか
理由:情報セキュリティは従業員の知識、リテラシー、意識までが重要なため - 資産の管理
- 情報資産を定め、管理がおこなわれているか
理由:情報セキュリティの保護対象が明確化されていることを確認するため - 機器の取り扱いルール
- 情報処理に関連する機器の管理ルールが定められ、ルールに沿って利用されているか
理由:情報セキュリティのために注意または保護対象となる、機器と取り扱いが明確になっていることを確認するため - アクセス制御
- 従業員や顧客に向けた情報について適切なアクセス制御が行われているか
理由:情報資産に適切なアクセス制御が行われていることを確認するため - パスワード管理
- Wi-Fiなどの利用における暗号化方式は定められているか
理由:各種システム等の利用において、パスワードはよく利用される手法のため - 運用のセキュリティ
- システムや機器の運用業務に対してルールが策定され、マニュアル化されているか
理由:システムや機器の運用業務は情報資産に頻繁に触れ、内部不正防止においても重要な分野であるため - 遵守
- 定められたルールを遵守するための取り組みが行われているか
理由:ルールが形骸化せず、適切に適用されているか確認するため
物理的セキュリティ対策
- 環境のセキュリティ
- 業務スペースの人員の出入りの管理および機器の安全性を考慮した配置がなされているか
理由:ソーシャルエンジニアリングや内部不正が容易に行えない環境が用意されていることを確認するため
技術的セキュリティ対策
- 暗号
- Wi-Fiなどの利用における暗号化方式は定められているか
理由:通信の傍受などに対する対策状況を確認するため - 通信のセキュリティ
- 外部との通信方法について定め、管理が行われているか
理由:外部との境界に携わるセキュリティ上重要な分野の通信に対する対策状況を確認するため
取引先との取り決めなど
- システムの取得、開発及び保守
- 外部への委託も含め、情報セキュリティに関する項目が含まれているか
理由:業務上取り扱う情報資産についても適切な管理ができていることを内外に向けて確認するため - 供給者関係
- 委託先と秘密保持契約を結び、セキュリティ状況を管理できているか
理由:情報セキュリティに関する対策、ルールについて、供給者に対しても適切に適用されていることを確認するため
インシデント発生時の対応
- 情報セキュリティインシデント管理
- セキュリティインシデント発生時の対応が定められ、エスカレーションルールは定められているか
理由:インシデント発生時に実際に対応できるところまでルール、手順が定められていることを確認するため - 事業継続マネジメントにおける情報セキュリティの側面
- 災害や停電などの不測の事態での事業継続の備えに情報セキュリティが考慮されているか
理由:緊急時にも情報セキュリティは重要であることを認識し、備えができていることを確認するため
すぐに使える!情報セキュリティチェックシートのテンプレート
本記事で紹介した内容や紹介したチェックリストを活用することで情報セキュリティチェックシートの作成が可能です。
ただし、チェックリストとして完成させる場合には、フォーマットなども必要となってきます。
一から作成した場合には、それなりの作業コストが発生することも想定されます。
できるだけコストを抑えて情報セキュリティチェックシートを作成したい場合には、テンプレートを用意して組織に合った内容にカスタマイズすることで効率的に準備することが可能です。
これらのチェックに向けてLRMではセキュリティコンサルタントの作成したセキュリティチェックシートを無料で提供しています。ダウンロードして、テンプレートとしてもご活用ください。
チェックシートで課題が見つかった場合の次のステップ
チェックリストを利用することで、情報セキュリティに関する課題が浮かびあがってくるでしょう。
チェックシートで発見したリスクについては適切に対策を行いましょう。
セキュリティ担当者が課題・リスクへの対処を一つずつ調べていくことも考えられますが、専門的な知識を持たない場合には対処が完了するまで長期にわたる場合もあります。
その間、課題・リスクを突いた脅威の被害を受ける可能性や取引先にチェック状況を問われることも考えられるため、できれば効率的に対処したいところです。
セキュリティチェックシートで発見した課題・リスクに効率的に対処する方法の一つとして、専門家の手を借りることが考えられます。
セキュリティ分野に知見を持った専門家がセキュリティ対策を一緒に行うことにより、包括的に対処できることもメリットといえます。
LRMでは、セキュリティコンサルタントによるコンサルティングサービスを提供しています。セキュリティ対策にお悩みの担当者の方は、一度相談してみることを検討してみてください。
また、セキュリティ教育やセキュリティ訓練が実施できるクラウドサービス「セキュリオ」も提供しています。
セキュリティチェックシートで従業員の教育やセキュリティに対するリテラシーが課題となった場合には、有効な対処となります。
まとめ
本記事では、セキュリティチェックシートの作り方、記載内容や参考URL、すぐに利用できるテンプレートなどを紹介しました。
情報セキュリティリスクへの対策は必須ですが、なによりもそれを実行する従業員の教育を重点的に行うのが、情報セキュリティ対策において、一番の対策です。
情報セキュリティ対策のチェックシートを作成し、定期的なチェックを実施することにより、対策を網羅し安全を保ちましょう。
各種の情報セキュリティに関する団体やLRMによりチェックシートが提供されているため、自社にあわせたリスト作成に役立ててください。
