フォーカスノート
情報セキュリティ対策の自己点検をしてみよう。 無料チェックリストを紹介
目次
個人でも組織でも、情報セキュリティ対策が必要な時代になりました。とは言っても、対策も多種多様になってきているため、どんな対策を行えばいいのかわからないという方も多いと思います。そんなときはまず、自己点検(セルフチェック)から始めてみましょう。
自己点検(セルフチェック)とは
サイバー攻撃が高度化する中、情報セキュリティに対する関心は高まっています。個人でも、組織でも、自身(自社)のセキュリティレベルが気になっている方は多いのではないでしょうか。
最近では、多くの機関から自己点検のためのセルフチェックリストが配布されていて、簡単に個人や組織のセキュリティレベルについて診断できるようになっています。サイトによっては、ウェブ上で簡易テストを受けることも可能です。
これから情報セキュリティ対策を始めるという方は、こういったセルフチェックリストを利用してご自身の状況を把握するところから始めてみましょう。
また、情報セキュリティ対策の監査を行う際に、あらかじめ自己点検する企業もありますが、その場合は、情報セキュリティ監査基準(経済産業省)など、より詳しい点検の仕方を定めているものがあるので、そちらを参考にしてみてください。
チェックリストの使い方
自己点検は、種類にもよりますが、5分ほどで終わるものもあります。無料で手軽なので、すでに実施したことがある方も多いかもしれません。しかし、チェックリストでの自己診断には注意が必要です。
情報セキュリティ対策を始める際、自己点検から始めるのはよいのですが、過信しないように気をつけましょう。あくまで、自己点検をお勧めするのは、“大まかに”自身(自社)のセキュリティレベルを把握できるからです。逆に言えば、“大まかに”しかチェックできないということです。
情報セキュリティ対策とは、もともと、決まった形があるわけではなく、各個人、各企業、それぞれ適した形が異なります。対策自体が異なれば、本来、チェックするべき項目も異なりますが、一般的に無料で利用できるようなチェックリストでは、そういった違いに対応できません。
たとえ、無料の自己点検ツールで満点だったとしても「自身のセキュリティ対策は完璧だ」などと満足せず、自身の状況と照らし合わせながら、欠点がないか考えていきましょう。
無料チェックリストの種類
行政、公共団体、民間企業から様々な情報セキュリティ対策に関する無料自己点検ツールが出ています。それぞれ、どのような特徴があるのか、簡単にまとめてみます。
組織の情報セキュリティ対策診断テスト 情報セキュリティ対策ベンチマーク
提供:独立行政法人 情報処理推進機構(IPA)
対象:組織
詳細:組織としての情報セキュリティ対策レベルを診断できます。また、これまでに溜まった6000件近い診断データを基に、自社の対策状況と、類似企業の対策状況を比較できる機能がついています。
5分でできる!情報セキュリティ自社診断シート・パンフレット
提供:独立行政法人 情報処理推進機構(IPA)
対象:個人、組織
詳細:基礎知識、従業員個人としての対策、組織としての対策、についてそれぞれ診断できます。費用をかけずに行う診断としては非常に便利です。
情報セキュリティ対策セルフチェックリスト
提供:特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
対象:個人、組織
詳細:メール、パソコン、オフィス、組織の4章に分かれていて、組織のセキュリティレベル診断にも、組織内の各個人のセキュリティレベル診断にも、活用できます。
情報セキュリティ理解度チェック
提供:特定非営利活動法人 日本ネットワークセキュリティ協会(JINSA)
対象:個人
詳細:メール、インターネット、ウイルス、パスワード、パソコン、オフィス、ルール、社外における情報セキュリティ、の8分野に分かれていて、主に組織内の各個人の情報セキュリティレベルの診断ができます。
第三者の目線からの判断が大切
以上のようなチェックリストを利用して、自身の情報セキュリティレベルを把握することが可能です。ただ、何度も言いますが、自己点検は“大まかに”状況を把握するだけで、チェックリストを完璧に満たしていたとしても、情報セキュリティ対策が万全の状態であるとは限りません。より適切な対策を取るためには、多くの事例や知識を持つ専門家に相談するほうがいいでしょう。
また、情報セキュリティの監査をする場合は、今回ご紹介したチェックリストよりもさらに膨大な量のチェック項目が並ぶリストを用意して、一つひとつ丁寧に確認していく必要があります。自己診断では判断しきれない部分も多くなるでしょう。監査は、もともと外部に依頼して第三者の目線から客観的に判断してもらうものですし、積極的に外部の専門家を活用してください。
【参考サイト】
・組織の情報セキュリティ対策診断テスト 情報セキュリティ対策ベンチマーク|独立行政法人 情報処理推進機構(IPA)
・情報セキュリティ自己診断チェックリスト|内閣官房情報セキュリティセンター(NISC)
・5分でできる!情報セキュリティ自社診断シート・パンフレット|独立行政法人 情報処理推進機構(IPA)
・情報セキュリティ理解度チェック|特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)