企業や組織におけるセキュリティ対策は、いまや経営における課題の一つといっても過言ではありません。
しかし、その重要性に気付いていない場合や、情報セキュリティ担当者は重要性を認知していても経営層にまでそれが伝わっていない場合などがあり得ます。
情報セキュリティ対策の重要性と対策状況を誰にでも分かる形で見せることができる方法の一つとして、セキュリティ可視化があります。
目に見える形にすることで、チェックの機会ともなるため、定期的な利用が望まれます。
本記事ではセキュリティの可視化とそのためのツールについて解説します。
セキュリティの可視化とは
情報セキュリティ対策の必要性と重要性については、世間でも認知が進み、各種の対策が情報セキュリティ部門などを中心に実施されていることでしょう。
気が付けば実施しなくてはならない対策が増えているという状況かも知れません。
通常の業務を行いながら、情報セキュリティ対策も実施していると、起きてしまうのが実施の抜け漏れです。
定期的に行わなければならない対策を洗い出し、実施状況を確認することが対策となります。
そのための施策となるのがセキュリティの可視化です。
セキュリティの可視化とは、企業が実施しているセキュリティ対策状況を目に見える形にし、その是非をチェックすることを意味しています。
近年、企業でのITシステムの利用は当たり前となっています。
セキュリティインシデントの発生は直ちに業務の停止や損害等を受ける可能性がある問題のため、セキュリティの可視化も定期的に実施して、リスク対策とする必要があるのです。
IPAから「サイバーセキュリティ経営可視化ツール」がリリースされている
独立行政法人情報処理推進機構(IPA)は情報セキュリティ対策支援サイトにおいてセキュリティ対策レベルの診断を提供しています。
その中の一つとして、「サイバーセキュリティ経営可視化ツール」も提供中です。
サイバーセキュリティ経営可視化ツールは経済産業省とIPAによる「サイバーセキュリティ経営ガイドラインVer2.0」に沿ったセキュリティ対策が実施されていることを確認するツールです。
Webサービスとして提供されており、サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化することができます。
サイバーセキュリティ経営可視化ツールなどを用いて、自社のサイバーセキュリティ対策状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資計画の策定等が可能となります。
サイバーセキュリティ経営可視化ツールの使い方
サイバーセキュリティ経営可視化ツールの使い方をご紹介します。Webサービスとなっていますので、こちらのリンクからアクセスが可能です。
質問に回答することでセキュリティ状況を可視化
使い方は難しくなく、Webサイトに記載された質問に回答していく形で診断が行われます。回答が難しい場合には「回答のヒント」もご利用ください。
最後の質問まで回答を行うと、診断結果が表示されます。
利用ケース
本ツールの利用には「企業が単独で診断を行う」場合と「グループ企業同士で診断結果を比較する」場合が想定されています。
「企業が単独で診断を行う」場合はWebサイトの質問に答えて診断を受ける使い方となります。
「グループ企業同士で診断結果を比較する」場合は診断結果をCSVファイルとしてダウンロードし、比較シートでCSVファイルを読み込んで比較します。
注意事項
本ツールは、「サイバーセキュリティ経営ガイドライン」の実施状況を診断するツールで、大企業および中堅以上の企業(従業員300名以上)を対象としたものです。
また、基本的には「企業」全体を対象とした診断を行いますが、企業のガバナンス状況によっては「本社」「支社」「工場」「事業部門」「海外拠点」などのスコープを設定して利用することもできます。
企業規模が合わない場合などは、下記のIPAの提供する診断ツールのご利用も検討ください。
セキュリオではセキュリティ可視化機能を提供
弊社(LRM株式会社)では、情報セキュリティ教育クラウド「セキュリオ」を提供しています。
「セキュリオ」は情報セキュリティ活動を支援するクラウドサービスです。eラーニング、標的型攻撃メール訓練、インシデント管理、情報資産管理台帳、サプライチェーンセキュリティなどの機能を備えています。
その中でも本記事の主旨であるセキュリティの可視化にも力を入れています。
2021年5月より情報セキュリティダッシュボード機能を追加しました。セキュリティダッシュボードの活用には、以下の3点のメリットがあります。
- セキュリティリスクを見える化できる
- セキュリティ対策に優先度を付けられる
- 現状のセキュリティレベルを認識できる
セキュリティリスクやセキュリティ対策の重要性に対して感度の低い経営層にも、可視化により強くアピールする機能となっています。
まさに一目でセキュリティリスクと対策の状況を確認できる機能です。
利用手順も下記の2ステップと簡単です。
- 「セキュリオ」セキュリティチェック機能の質問に答える
- セキュリティダッシュボード機能ページでグラフ、数値を確認する
他にもセキュリティ可視化のための機能として「セキュリティチェック」「セキュリティアウェアネス」などを用意しています。
セキュリティチェックは質問に回答することで、自社のセキュリティ診断と対策を示す機能です。
セキュリティアウェアネスは従業員のセキュリティレベルを可視化し、継続的なトレーニングによるスキル向上を支援する機能となっています。
「セキュリオ」は、様々な情報セキュリティ活動のための機能をリーズナブルな価格で利用可能です。
また、クラウドサービスですので、面倒な導入のための環境設定なども必要ありません。
スマートフォン、タブレット端末からの利用もサポートしています。
「セキュリオ」についての詳細は、こちらからどうぞ。
情報セキュリティのコンサルティングをお探しなら
セキュリティの可視化も含めて、総合的な情報セキュリティ対策が必要な場合には、弊社(LRM株式会社)のセキュリティコンサルティングサービスのご利用も効率的な手段となります。
情報セキュリティマネジメントシステムの国際企画であるISMS/ISO27001の認証取得に向けたコンサルティングサービスも提供中です。
まとめ
情報セキュリティ対策の必要性、重要性は誰もが認めるところですが、その実施状況の確認、定期的な見直しの手間などに課題が残っていました。
この課題に対する効率的な施策として、セキュリティ可視化ツールの導入があります。
セキュリティ対策の実施状況を誰にでも分かるようにすることで、セキュリティ対策の重要性を経営層に伝える役目も果たしてくれます。
LRMでは情報セキュリティ教育クラウド「セキュリオ」を提供しており、その一機能である情報セキュリティダッシュボードはセキュリティ可視化のためのツールです。
ぜひ本記事と併せてチェックしてみてください。
