セキュリティチェックシートで自社のセキュリティを無料診断しよう|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. セキュリティチェックシートで自社のセキュリティを無料診断しよう
             

セキュリティチェックシートで自社のセキュリティを無料診断しよう



自社の『セキュリティ対策しないと!!』と思っても、

  • 現状で自社がどのくらいできているの?
  • 何から進めると良いの?

など、わかっていない方も多いようです。

そんな時に活用したいのが、各団体等で無料で公開されている「セキュリティチェックシート」。現在数多くのチェックシートが公開・無料でダウンロードできますが、どれを使うと良いのか悩んでしまう方のために、目的に合わせて利用できるよう、各シートの特徴を解説しましたので、ぜひ参考にしてください。

セキュリティチェックの必要性

企業や組織にとって情報システムやインターネットは必要不可欠なものとなりました。情報システムへの依存が高まっていく一方で、情報セキュリティ対策の必要性が認識されるようになってきています。情報システムの停止や顧客情報の漏洩などが発生してしまうと、企業イメージの低下は避けられません。これらの被害や影響は自社のみならず取引先や顧客などの関係者にまで及んでしまうからです。

しかしながら、情報セキュリティ対策の必要性を感じていながらも、まったく対策の出来ていない企業、あるいは、実際に何から手を付けたらいいのかわからないシステム管理者も多くいるかと思います。企業や組織にとって、情報セキュリティ対策は重要な経営課題の1つです。もし情報セキュリティ上の事故やトラブルが発生してしまうと以下のような影響が生じてしまいます。

機密情報の漏洩

厳重に管理されているはずの機密情報の漏洩により企業や組織の信頼を大きく損ないます。ウィルスなどの感染や社員による不正な情報の持ち出しや記録媒体の紛失。様々な原因により情報漏洩が実際に発生しています。

個人情報の流出

管理している個人情報を流出させてしまうと、損害賠償や訴訟のリスクに発展する場合があります。企業のブランドイメージが低下するだけでなく、顧客離れが進み、企業の経営に大きな影響がでるかもしれません。

ホームページの改ざん

企業で管理しているホームページが改ざんされてしまうと、企業イメージが低下してしまいます。またホームページにウィルスが感染することにより、訪問者のパソコンにウィルスを感染させてしまうことがあります。ホームページは企業の顔です。ホームページが改ざんされるということは、会社としてセキュリティ対策が不足していることが明らかになるだけでなく、取引先から取引停止などにつながる可能性があります。

システムの停止

社内の基幹システムの停止により、最悪の場合、業務自体が止まってしまう事があります。その際に顧客を競合他社のサービスに取られてしまい、重大な機会損失につながる恐れがあります。

ウィルスへの感染

ウィルスの感染は様々なトラブルの原因となります。ウィルスは感染したパソコンから別のパソコンへと感染したり、利用者の気づかないところでネットワークの他のコンピューターを攻撃したりすることがあります。一度ウィルスに感染してしまうと、駆除するのは非常に難しく、結果的に他社に損害を与え、社会的非難にあったり、損害賠償を請求されたりします。

このように情報セキュリティ対策が不足していると様々なトラブルや事故につながる危険性があります。こうした事態を避けるためにも、様々な組織や団体で公開されているセキュリティチェックシートを活用して、情報セキュリティに対する意識と知識を高める必要があります。自社ですぐに導入することができる、セキュリティチェックシートを紹介します。

自社でできるセキュリティチェックシート

下記に、セキュリティチェックが可能なシート7つを紹介させていただきます。

新5分でできる自社診断シート (IPA)

団体IPA(情報処理推進機構)
サイト5分でできる!情報セキュリティ自社診断シート・パンフレット
組織においてあまり費用をかけずに実行できる情報セキュリティ対策を25項目に絞り込んだチェックシートです。情報セキュリティ対策のレベルを数値化して、問題点を見つけることができるツールです。同封されているパンフレットに各チェック項目で設定されている設問についての解説が掲載されています。

25個の診断項目は3つのパートに分かれています。

  • Part1 基本的な対策
  • Part2 従業員としての対策
  • Part3 組織としての対策

それぞれ25の項目に対して「実施している」「一部実施している」「実施していない」「わからない」の4つの選択肢の中から1つを選んで解答します。

組織の中にあって当たり前の情報の中に、本来、秘密として扱わなければならない情報があります。自社にとってどのような情報が存在しているのか、確認することが情報セキュリティの第一歩です。

情報セキュリティ対策ベンチマーク (IPA)

団体IPA(情報処理推進機構)
サイト組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク

情報セキュリティ対策ベンチマークは、Web上でいくつかの質問に答えると、散布図、レーダーチャート、スコア(点数)などの診断結果が自動的に表示されますチェックツールです。実際に診断を行った企業の診断データに基づき、自社の対策状況を他社の対策状況と比較することができます。

2017年10月27日にVer4.6が公開されました。2010/4/1~2017/9/30の7年6カ月間に提供された診断データの重複等を整理して、5,593件の診断データを統計処理しています。

Ver4.6の設問は、

  • 第1部 情報セキュリティ対策ベンチマークについて(5分野、計27問)
  • 第2部 貴社の事業内容等について(計19問)

から成り立っています。

情報セキュリティ対策セルフチェック (JNSA)

団体JNSA(日本ネットワークセキュリティ協会)
サイト情報セキュリティ対策セルフチェック

自社の情報の取り扱い状況を確認しながら、情報セキュリティ上の弱点を知ることができるチェックシートです。このチェックリストを使用することで「情報セキュリティの基礎」の章立てに合わせて、弱点のセルフチェックができます。設問項目は、

  • 第2章 メールにおける情報セキュリティ対策編(6項目)
  • 第3章 オフィスにおける情報セキュリティ対策編(15項目)
  • 第4章 パソコンにおける情報セキュリティ対策編(12項目)
  • 第5章 組織における情報セキュリティ対策編(7項目)

の全40項目。
チェック内容を読んで、「〇あてはまる」「×あてはまらない」「?わからない」の3つの選択肢を埋めていきます。「〇あてはまる」または「?わからない」をチェックした項目が自社の弱点といえます。チェックされた項目について情報セキュリティ対策を施す必要があります。

各項目の情報セキュリティ対策の具体的な説明は「情報セキュリティの基礎」の各章に記載されています。情報セキュリティ対策の際の参考にしましょう。

情報セキュリティ自己診断チェックリスト(NISC)

団体内閣官房情報セキュリティセンター
サイト情報セキュリティ自己診断チェックリスト(現在は公開終了)

情報セキュリティ自己診断チェックリストは、自分の情報セキュリティ対策についての知識の正確性・理解度を確認するものです。インターネットに接続できるパソコンやスマートフォンなどの機器を利用するシーンごとに、理解しておくべき知識・対策・注意事項を全22問の3択クイズ形式でまとめてあります。

この自己診断チェックリストには「簡易版」があります。「情報セキュリティ自己診断チェックリスト ~情報セキュリティ対策 12か条~」です。こちらも合わせて紹介いたします。

サイト情報セキュリティ自己診断チェックリスト ~情報セキュリティ対策 12か条~

中小企業における組織的な情報セキュリティ対策ガイドライン(IPA)

団体IPA(情報処理推進機構)
サイト中小企業向け情報セキュリティ対策 : 中小企業における組織的な情報セキュリティ対策ガイドライン
主に中小企業を対象に組織的に情報セキュリティ対策を立てる上で考慮すべき項目を記載しています。また情報セキュリティ対策を立てる上で考慮すべき項目を記載しています。

このガイドラインは大きく分けて2つの内容から成り立っています。

共通して実施すべき対策
企業の規模・業種に関わらず、共通して実施すべき対策を5項目に分類して解説しています。

  1. 情報セキュリティに対する組織的な取り組み
  2. 物理的セキュリティ
  3. 情報システム及び通信ネットワークの運用管理
  4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策
  5. 情報セキュリティ上の事故対応

5つのチェック項目の詳細について記載されている資料がありますので、そちらも紹介いたします。
サイト中小企業における組織的な情報セキュリティ対策ガイドライン チェック項目

企業毎に考慮すべき対策
10件の情報セキュリティに関わる事故の例と対策項目を解説しています。これらの事故例を自社に置き換えてみて、自社の状況に合わせたリスクを気付いてもらい、その対策を検討してもらうことが狙いです。

  1. 従業員の情報持ち出し
  2. 退職者の情報持ち出し、競合他社への就職
  3. 従業員による私物PCの業務利用とWinnyの利用による業務情報の漏洩事故
  4. ホームページへの不正アクセス
  5. アウトソーシングサービスの利用
  6. 委託した先からの情報漏えい
  7. 在庫管理システム障害の発生
  8. 無線LANのパスワードのいい加減な管理
  9. IT管理者の不在
  10. 電子メール経由でのウィルス感染

まずは、共通して実施すべき対策のみでも相当な効果がありますが、さらに企業毎に考慮すべき対策に記載さている内容も合わせて実施することで、十分な情報セキュリティ対策を施すことができます。

また、このガイドラインで取り上げている「企業が守るべき情報」とは電子的なものだけではありません。紙に印刷された情報や製造物本体も含まれています。

簡単セキュリティ自己診断チェックシート(Kaspersky)

団体カスペルスキー
サイト簡単セキュリティ自己診断チェックシート
総合セキュリティソフト「カスペルスキー セキュリティ」を販売している株式会社カスペルスキーが公開しているセキュリティチェックシートです。

全部で16個の設問に対して、チェックマークをつけて診断する形式のセキュリティチェックツールです。セキュリティ対策に不備があり、チェックを付けてしまった項目がありましたら、無料で配布している「セキュリティとモラルのガイドブック 2017」を読んで、情報セキュリティへの理解と関心を深めましょう。

サイトセキュリティとモラルのガイドブック

情報セキュリティ理解度チェック(JNSA)

団体JNSA(日本ネットワークセキュリティ協会)
サイト情報セキュリティ理解度チェック

「情報セキュリティ理解度チェック」では、組織の管理者が自組織の社員・職員をユーザー登録し受講させることで、一人ひとりの受講結果を知る事ができます。自組織の全体としての情報セキュリティ知識レベルを確認するだけでなく、同業種内のランキングも知る事ができます。これにより、自組織の情報セキュリティ知識レベルの客観的な把握が可能です。

問題の分野は以下の8分野です。

  1. 電子メールの知識と利用方法
  2. インターネットの利用法と注意点
  3. ウィルスの知識と対処方法
  4. パスワードの知識と管理
  5. PCの利用上の注意点
  6. オフィスにおける情報セキュリティ
  7. ルールや規則の遵守
  8. 社外における情報セキュリティ

チェック結果は自組織の分野別正解率と分野別正解率のレーダーチャートで知る事ができます。また、ユーザーの受講結果詳細をcsvファイルでダウンロードすることも可能です。

また、「情報セキュリティ理解度セルフチェック」というものも公開されています。

サイト情報セキュリティ理解度セルフチェック

こちらは情報セキュリティに関する知識を自己診断できるセルフチェックサイトです。利用者が自分の情報セキュリティの理解度を客観的に把握し、適切な情報セキュリティ知識を身につけることができます。チェック結果が100点満点だった人には合格証の発行も行っています。

どれを利用すると良い?目的別に選ぼう!

さまざまなセキュリティチェックツールを紹介してきました。いったいどのツールからチェックすればいいのか悩んでしまいますよね。そこで、初めてセキュリティチェックツールをやる人は、まず「新5分でできる自社診断シート」からやりましょう。

これをやることで、「セキュリティアクション」の「二つ星」を取る事ができます。

セキュリティアクションとは?
中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。安全・安心なIT社会を実現するために創設されました。取組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークを取得できます。
ロゴマークをポスター、パンフレット、名刺、封筒、会社案内、ウェブサイト等に表示することで、自らの取組みをアピールすることができます。
(ちなみにサイバーセキュリティ.comでは普及賛同企業になっています。)
サイトセキュリティアクション

10人以上の社員がいる中小企業は
最低でも中小企業における組織的な情報セキュリティ対策ガイドライン(IPA)」は抑えておきましょうね。

「共通して実施すべき対策」を徹底して行い、さらに、「企業毎にそれぞれの特徴を考慮して実施すべき対策」をしっかりやりましょう。これは企業それぞれが、自社の業務内容などを考え必要になる対策を選択するための手がかりとなります。企業が直面する情報セキュリティリスクへの気づきを与えるために、いくつかの典型的なシナリオの中から自社に適合するものを選択し、それに対応する対策を選ぶことになります。それぞれのシナリオでは、どのような考え方で対策を選択すべきかの基本的な考え方も示してあります。

社内教育としてセキュリティチェックツールを使用したい場合は
情報セキュリティ理解度チェック(JNSA)」を選択しましょう。このツールはあらかじめ自社の管理者がツールに登録し、受講させたい自組織の社員・職員をユーザー登録することで利用できます。管理者は社員・職員一人ひとりの受講の有無、得点などを管理者ページで簡単に見ることができます。成績のよくない社員・職員に対して、繰り返し受講をさせるようなことも可能です。

その後の対策

セキュリティチェックシートを使う事で、自社の情報セキュリティリスクを顕在化させることができます。

チェックシートでチェックしたあとは、判明したセキュリティリスクに対して、しっかりと対策を行うようにしましょう。

それぞれのチェックシートには、情報セキュリティリスクに対する具体的な対策例が記載されているものもあります。それぞれのチェックシートの特徴をよく把握して、セキュリティ対策のPDCAサイクルを回すようにしましょう。

まとめ

セキュリティチェックシートは自社が抱えている情報セキュリティリスクに対する対策を施すために、最初に検討したいツールです。

情報セキュリティ対策を有効に行うためには、現状のセキュリティレベルを正しく認識し、セキュリティ対策の重要度について全社員で共通の認識を持つことが必要不可欠です。

今回紹介したセキュリティチェックシートを有効に活用して、自社の情報セキュリティ対策を効率的に行うようにしてくださいね。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。