今、ひそかな話題のキーワード「5分でできる!情報セキュリティ自社診断」とは?!
最近、全国の中小企業で、ひそかな話題になっているキーワードとして「5分でできる!情報セキュリティ自社診断」という言葉があります。
この記事では、この「5分でできる!情報セキュリティ自社診断」というキーワードをどこかで聞いたことがある方も全く聞いたことが無い方にもわかりやすく解説していきます。
目次
5分でできる!情報セキュリティ自社診断って何?
5分でできる!情報セキュリティ自社診断は独立行政法人 情報処理推進機構(以下、IPA)が提唱しています「中小企業の情報セキュリティ対策ガイドライン」に付録として記載されている情報セキュリティの対策の質を数値として表し、問題箇所を特定するためのツールです。
「中小企業の情報セキュリティ対策ガイドライン」は、経営者や従業員が情報セキュリティ対策に取り組む上での指針や対策方法をまとめたものになっており、中小企業や個人事業主を対象にしています。
最新版では新型コロナウイルスに伴うテレワークの普及やデジタル変革時代の社会動向を考慮し、対策が更新されています。中でも、テレワークの安全対策やセキュリティ問題発生時の対応が詳しく述べられ、また新規付録「中小企業のためのセキュリティインシデント対応の手引き」が追加されました。サイバー攻撃が悪化し、その影響が経営に悪影響を及ぼすリスクが高まる中、ガイドラインと「SECURITY ACTION」制度の活用は、中小企業にとってますます必要となりつつあります。これらの対策は、ITを活用する中小企業が情報セキュリティに取り組み、社会全体のサイバーリスクを軽減することを目指しています。
IPAの5分でできる!情報セキュリティ自社診断するとどうなるの?
「5分で可能な自社向け情報セキュリティ診断」は、企業内での情報セキュリティ対策の質を数値として表し、問題箇所を特定するためのツールとして作られています。
診断項目
「脆弱性対策について」 | 「ウィルス対策について」 |
「パスワード管理について」 | 機器の設定について」 |
「情報収集について」 | 「電子メールのルールについて」(3項目) |
「無線LANのルールについて」 | 「Web利用のルールについて」 |
「バックアップのルールについて」 | 「保管のルールについて」 |
「持ち出しのルールについて」 | 「事務所の安全管理について」(4項目) |
「情報の安全な処分について」 | 「守秘義務の周知について」 |
「取引先管理について」 | 「従業員教育について」 |
「私物機器の利用について」 | 「外部サービスの利用について」 |
「事故への備えについて」 | 「ルールの整備について」 |
資料の中の解説編では、「情報セキュリティの自己診断チェックリスト」として各チェック項目とその設問について説明が行われています。この解説編を利用することで、診断編の問題文が自社に適応されていない場合に起きる情報セキュリティリスクや、将来どのような対策が必要なのかが理解できます。
項目は大きく分けて3つから構成されております。
基本的対策
PCやスマホなど物理的なモノの情報セキュリティ対策に関する項目
従業員としての対策
従業員が業務中に意識すべき情報セキュリティ対策に関する項目
組織としての対策
万が一、インシデントが発生した場合に組織として対応することが可能か、または情報セキュリティ対策に関する知識を会社として蓄積できる体制かということに関して記載された項目
情報セキュリティの自己診断チェックリストはどんな企業、どんな状況で有効なのか?
「5分で可能な自社向け情報セキュリティ診断」はIPAが中小企業向けに企業の情報セキュリティ向上を目指して提唱している診断項目を記載したツールで、以下のような中小企業が実施するのを推奨しています。
・ノートパソコンを多用している企業
・従業員がデスクトップPCにスマホを充電するために接続している企業
・情報システム部がない企業
・CTOがいない企業
・社内にITに詳しい人がいない企業
どの企業も小さなミスやトラブルは避けられません。ただし、そのミスやトラブルによりお客様に迷惑をかけたり、企業の信用を落としたりする事態が発生する可能性もあります。情報セキュリティを意識している大きな企業でもニュースで報道されるようなミスやトラブルが発生しています。
あなたの企業ではこのようなミスは起きていないでしょうか?
適用ケースの説明図
このような取り返しがつかない事態になる前に、自社の現在の状況を理解し、予防策を立てて問題を未然に防ぎましょう。まずは「診断編」で自社のセキュリティ状況を見つけましょう。
診断編には25の診断項目があり、それに回答することで自社の情報セキュリティ問題を短時間で把握することが可能です。
診断後にするべきこと
全診断項目に回答し、点数を足してみましょう。自社診断では診断結果のスコアにより次の行動が示されます。問題があった項目については、解説編を見て対策を検討しましょう。解説編には、対策の立案方法や具体的な対策例が紹介されています。
診断編で100点を取得した方には、「中小企業向け情報セキュリティガイドライン」の利用をおすすめします。このガイドラインでは、「経営者向け」および「実践向け」のガイドラインが示されています。
情報セキュリティ診断というとなんだかめんどくさいと思われる経営者の方も多いでしょう。情報セキュリティ対策に投資しても売り上げが目に見えて上がることはなかなかありません。
しかし、前述したようなトラブルが起きると利益が一発で飛んでしまいます。
まとめ
いかがでしたか?点数は何点でしたか?
診断した後にはそれを改善していくことが非常に大事であり長い道のりになります。特に人の意識については終わりがありません。常に社内でアップデートしていくことで自社のセキュリティリスクを高めることが出来ると思います。
点数が何点であっても、もう一つの情報セキュリティのチェック「Webアプリケーションの脆弱性診断」も合わせて実施してください。診断項目の1番目にも出てきた「脆弱性対策について」の中でも最も忘れがちな対策の一つが「Webアプリケーションの脆弱性診断」です。
Webサイトには見えないリスクがいっぱい潜在しています。まずは無料で診断することで自社のサイトに潜むリスクが見えてきます。当社には関係ないと思って後回しにしてるとトラブルに巻き込まれた時にとんでもない目にあいます。
まずは無料診断で自社のサイトにあるリスク件数を把握して予防されることをお勧め致します。