株式会社エアー 鹿瀬 巌
自社が情報セキュリティ対策について、どの程度取り組みできているかを自己診断できるツールのご紹介です。
「情報セキュリティ対策ベンチマーク」というものが、
IPA(情報処理推進機構)から2005年8月より公開されています。
毎年バージョンアップされ 今年はバージョン 5.0まで進んでいました。
2020年4月30日現在で、累積利用件数は4万5千件を超えています。(6/11発表「Ver.5.0診断データ統計情報」より)
この診断ツールは、組織の情報セキュリティの取組状況と企業プロフィールについて
各企業がWeb上の設問に答えることで、
同業他社と比較して、セキュリティ対策の取り組み状況のレベルを診断できるものです。
27の項目ごとに回答結果が表示され、取り組み状況が評価されます。
スコアは0から5ポイントとなります。
また、選択した業態で望ましい水準も同時に示されます。
以下のURLにアクセスし27+19の設問に回答していくだけのもので、
30分程度で回答を完了できます。
内容は、情報セキュリティについて企業の取り組み具合を確認していく27問、
及び企業の事業内容情報についての 19問 から構成されています。
- 『情報セキュリティポリシーや情報セキュリティ管理に関する規程を定め、それを実践していますか。』
- 『情報セキュリティに関する規定や対策を策定する際に、組織の重要な資産に関する危険性や脆弱性について評価していますか。』
- 『従業員数(派遣、アルバイトを含む)をお答えください』
- 『業種を選択してください』
このベンチマークには、企業を特定できる情報を入力するような内容は含まれていません。
回答し終わると、即時「情報セキュリティ対策診断結果」が表示されます。
PDFで保存できます。
診断結果は以下のような内容です。
ご自身の会社について27 の評価分類で、0~5スコアで評価されます。
- セキュリティ管理規定
- 情報セキュリティに対する組織的な取り組み
- 従業者への教育
・
・
・ 等
ご自身の会社が以下3つのグループのうち、
どのグループになるかも分類されます。
- グループ1(高水準セキュリティレベルが要求される層)
- グループ2(相応の水準セキュリティレベルが望まれる層)
- グループ3(情報セキュリティ対策が喫緊の課題でない層)
それぞれのグループで、望ましい水準のスコアが示されます。
また、これまでの統計結果も公開されています。(以下URL)
「■Ver.5.0診断データ統計情報(PDF 2.5MB)」※リンク先でPDFが開きます。
全体(全業種)の評価結果については以下の概要の内容となっていました。
27の評価分類で、目指すべきスコアは4ポイント以上ですが
実際の評価はすべて3ポイントを超えたあたりにあると報告されており、
全体として決して満足いく成績結果とはなっていないようです。
(「Ver.5.0診断データ統計情報」P52より)
この報告書の中でその他気になる点は、
2014年から2017年まで、ベンチマーク利用数が年間3000件を超えていたのですが
2018年度は2383件、2019年度は2660件と減少しています。
簡単な設問ですので、一度回答すると
企業として対策するべき内容や方向性を掴めるためとも考えられます。
しかし、決して良い状況ではありません。
我々もまた気の緩みがないか、身を引き締め、セキュリテイの対策を引き続き真摯に取り組みたいと考えます。