自社のセキュリティ状況を可視化しよう

2022年7月13日

自社のセキュリティ状況を可視化しよう

目次

Contents

■自覚症状が無いのが一番怖い

前回は日本企業がサイバー攻撃のターゲットになっているというお話をいたしました。

サイバー攻撃は単独犯ではなく複数犯、または組織として実行されているのが実態です。いくつかの段階を踏んで攻撃されるサイバーキルチェーンには「偵察」「武器化」「配送」「エクスプロイト」「インストール」「遠隔操作」「目的達成」と大きく7段階あります。これらの攻撃は単独犯で実行されることは殆ど無く、それぞれが専門の部隊で構成され活動しています。

さて本題ですが、「自覚症状が無いのが一番怖い」ことについて今回は深堀します。
完全なサイバー犯罪とは、何事も無かったかのように発覚せず、何の痕跡を残すことなく完遂し、結末は自覚症状が無いままサイバーキルチェーン「目的達成」に至ってしまっている状況です。言い換えれば、既に搾取された情報は闇の市場に出回っています。また、時間と共に犯人の痕跡は徐々に薄れ、事故が発覚しても「時すでに遅し」という状況です。また、逆の解釈をすれば、「目的達成」前に防ぐことができればサイバー攻撃を撃退できたと言えるでしょう。そのためにはまず自社のセキュリティ状況を可視化し適切な対策を施すことが最も重要なのです。

■まずはIPAの「セキュリティ対策支援サイト」を利用してみよう

IPA(Information-technology Promotion Agency, Japan)は、情報セキュリティ対策を「はじめる」、さらには「強化していく」ことを支援しており、「セキュリティ対策支援サイト」では、自社のセキュリティ対策のレベル確認を「5分でできる自社診断」にて行うことができます。

◆《入門編》5分でできる!情報セキュリティ自社診断
https://security-shien.ipa.go.jp/diagnosis/selfcheck/index.html

出典:情報セキュリティ対策支援サイト「5分でできる!自社診断」

大きくはPart1「基本対策」、Part2「従業員としての対策」、Part3「組織としての対策」の診断項目に分かれていて、25問の質問に回答するだけの簡単な診断です。複数回診断可能で、過去診断結果、同業種平均、全企業平均と比較することも可能です。診断結果に合わせてお薦めする資料やツールが一覧表示されますので必要に応じて利用することも可能です。実施された結果、残念ながら49点以下であった場合は「いつ情報漏洩などのインシデントが発生してもおかしくない状況」です。直ぐさま弊社にご相談ください。

◆《基本編》情報セキュリティ対策ベンチマーク
https://security-shien.ipa.go.jp/diagnosis/benchmark/index.html?bm_id=1

出典:情報セキュリティ対策支援サイト「情報セキュリティ対策ベンチマーク」

「第1部 情報セキュリティ対策について(計27問)」は経営層、人事、情報システムのセキュリティ対策状況について、「第2部 御社の事業内容等について(計19問)」は企業情報、社会的影響などについて、合計46問の質問にWebページ上で答えることで、組織の情報セキュリティへの取組状況を自己診断することができます。診断においては、スコアによる評価と他社との比較ができます。他社との比較では、レーダーチャートによる比較や散布図による自社の位置(散布図上での他社との状況比較)の確認ができます。これらの比較の基礎となるのは、実際に診断を行った企業の診断データの集まり(基準データ)です。診断結果では次の項目が表示されます。

1. トータルスコアと企業情報の入力をもとにした情報セキュリティリスク指標の分布と自社の位置を散布図で表示
 • 散布図は、全体と企業規模別の2種類を表示
 • 散布図中の自社の位置は最新の位置と過去5回分までの比較が可能

2. 各質問のスコアのレーダーチャートによる比較は4種類を表示
 • 情報セキュリティリスク指標に応じたグループ別のスコアの比較
 • 企業規模別によるスコアの比較
 • 業種別によるスコアの比較
 • 自組織の最新のスコアと過去4回分までのスコアの比較

3. トータルスコアの度数分布状況と偏差値を表示

4. 診断結果を資料として活用可能(PDFで保存・印刷)

5. スコア一覧の表示(PDF)

6. 推奨される取り組みの表示

■自己診断結果を基にセキュリティ対策を

IPAの自己診断ツールを利用することにより、自社の状況を可視化することができますので、自社におけるセキュリティの弱点を認識することが大切です。基本的にはIPAが定義している望まれた水準値に出来る限り近づける対策を施していくことになるわけですが、どこから、どのように具体的に対策していかなければならないかまでは書かれていません。弊社では情報処理安全確保支援士等の資格保有者が対応することにより、自己分析結果を基に具体的な対策を施さなければならないかをお客様視点でご提案することが可能です。「もしかすると自覚症状が無いだけなのかもしれない」と不安を抱かれましたら、弊社までご相談ください。

※IPA(Information-technology Promotion Agency, Japan)
日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人
複雑・膨大化する情報社会システムの安全性・信頼性の確保による“頼れるIT社会”の実現に向け、IT施策の一端を担う政策実施機関として、情報セキュリティ、ソフトウェア高信頼化、IT人材育成等の施策を展開している

記事 : H.S

「再春館システム セキュリティソリューション」はこちら