情報セキュリティ関連の団体・企業が公開している「チェックシート」をご紹介

【この記事はIT系ライター M氏 が書きました】

パソコン・スマートフォンの普及によりインターネットの利用が当たり前になった現在、様々なネットサービスが生まれ人々の生活になくてはならないものになっています。
さらにはIoT(Internet of Things:モノのインターネット)と呼ばれる分野では家電や車といったものまでがインターネットに繋がるようになり、日々新しい商品が生まれています。
ありとあらゆる情報機器がネットワーク化される一方、企業活動においては個人情報や機密情報の漏洩に対するセキュリティ対策の重要性がより高まっています。
ひとたび情報漏洩が起きれば顧客や取引先にまで影響が及び企業としての信用を失う事に繋がります。
自社のIT環境にどのようなリスクが潜んでいるか、チェックシートを活用して見直してください。

リスクのトレンドも変わる?「情報セキュリティ10大脅威 2018」

下記は、情報処理推進機構(IPA)が2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案をもとにIT情報セキュリティ分野の研究者、企業の実務担当者などが10大脅威として選出したものです。企業向けとしては前年まではランク外だったビジネスメール詐欺がランクインするなど、新たな脅威が発生しているのがわかります。

また、セキュリティ人材の不足がランクインしているように、いざセキュリティ対策の強化を始めようとしても、どのような対策が必要なのか、自社の現状はどうなのか、というのがよくわからない場合も多いようです。そういった時に有効なのが各情報セキュリティ関連の団体・企業が公開している「セキュリティチェックシート」です。セキュリティチェックシートは無料で公開されダウンロードが可能です。

セキュリティチェックシートを用いることで現状の課題を理解し、必要な対策を講じる助けになります。公開されているセキュリティチェックシートの例を挙げていきますので、是非とも参考にして頂けたらと思います。

新5分でできる!情報セキュリティ自社診断シート
情報処理推進機構(IPA)

https://www.ipa.go.jp/security/keihatsu/sme/guideline/5minutes.html

「5分でできる自社診断シート」の内容


情報処理推進機構(IPA)が企業向けに公開しているセキュリティに関する診断シートです。
情報セキュリティ対策のレベルを数値化し、問題点を見つけることのできるツールです。
「脆弱性対策について」「ウィルス対策について」「パスワード管理について」といったパソコンに関するものから「守秘義務の周知について」「従業員教育について」「私物機器の利用について」といった情報機器を扱う従業員に対しての項目まで25項目の診断項目があります。各項目4点で採点し合計100点満点になります。

自社診断シートと共にダウンロード可能な自社診断パンフレットには、各チェック項目に関しての解説と対策が記載されています。セキュリティ対策の基本的な考え方が網羅されているので、セキュリティ対策導入時に特に有効です。

情報セキュリティ対策ベンチマーク
(情報処理推進機構(IPA))

https://www.ipa.go.jp/security/benchmark/

情報処理推進機構(IPA)のサイト上で行える情報セキュリティ対策のベンチマークです。
第1部 27問、第2部 19問の計46問に答えることで点数の他に散布図、レーダーチャートといった診断結果が自動で表示されます。バージョンアップが重ねられ現在はバージョン4.6です。

このベンチマークを行った企業の診断データが蓄積されており、自社と他社の対策状況の比較を行うことも可能です。利用件数は4万件近くにのぼり、診断の基礎データをして提供されたデータ件数は12000件を超えます。バージョン4.9では2010年4月1日~2017年9月30日に提供された診断データをもとに5,593件のデータを基礎データとして用いています。

また基礎データに関しては、建設、製造、卸売、金融、不動産、というように業種別に望まれるセキュリティレベルの水準なども統計情報として公開されています。

情報セキュリティ対策セルフチェック
(日本ネットワークセキュリティ協会(JNSA))

http://www.jnsa.org/ikusei/self_check/03_01.html

日本ネットワークセキュリティ協会が提供しているチェックリストです。

「メールにおける情報セキュリティ対策」
「オフィスにおける除法セキュリティ対策」
「パソコンにおける情報セキュリティ対策」
「組織における情報セキュリティ対策」といった4章からなり合計で40項目で構成されています。

Excelファイルをダウンロードする形になっており、各項目の回答はプルダウンメニューで選択する方式です。「〇:あてはまる」、「×:あてはまらない」、「?:わからない」となり、合計点からABCの3段階で判定します。各項目に応じたセキュリティ対策については「情報セキュリティの基礎」として同サイト内で開設されています。シンプルな内容ですがExcel形式なので企業内の各部署間での共有等に向いています。

IoTセキュリティチェックシート
(日本スマートフォンセキュリティ協会(JSSEC))

https://www.jssec.org/report/20180308-1.html

IoT推進コンソーシアムが提供する「Iotセキュリティガイドライン」をベースに、一般企業がIoT機器を利用・導入する際に企業内のIoT機器導入推進者やIoT構築ベンダーへの確認すべき項目の指標を想定して作成された2018年3月に公開されたばかりの新しいチェックシートです。

IoT機器は従来のパソコン・スマートフォンに比べると種類が多く、利用される場所も多岐に渡ります。パソコン・スマートフォンに比べると機器の置き換えが難しい場合もあり、設計・導入前の段階からセキュリティ対策が求められます。

従来は広く公開されていなかった一般企業がIoT機器を導入時に参考となる指標となるもので利用側のセキュリティ面での検討項目をチェックシートとして整理したものです。本チェックシート公開にあたった経緯やチェック項目についての解説なども併せて公開されています。

チェックシートと併せておさえておきたい!

「中小企業における組織的な情報セキュリティ対策ガイドライン」 情報処理推進機構(IPA)
https://www.ipa.go.jp/security/manager/know/sme-guide/sme-security_guidline.html

情報処理推進機構(IPA)が主に中小企業向けに公開しているセキュリティ対策に関するガイドラインです。セキュリティチェックシートを用いた現状把握と併せて組織的なセキュリティ対策を検討する際に最低限抑えておきたい基本的な考え方と言えます。

企業の規模・業種に関わらず、共通して実施すべき対策を5項目に分類して解説しています。
・情報セキュリティに対する組織的な取り組み
・物理的セキュリティ
・情報システム及び通信ネットワークの運用管理
・情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策
・情報セキュリティ上の事故対応

また、企業毎に考慮すべき対策として10件のセキュリティ事故例に沿って原因と対策のポイントを解説しています。
・従業員の情報持ち出し
・退職者の情報持ち出し、競合他社への就職
・従業員による私物PCの業務利用とWinnyの利用による業務情報の漏洩事故
・ホームページへの不正アクセス
・アウトソーシングサービスの利用
・委託した先からの情報漏えい
・在庫管理システム障害の発生
・無線LANのパスワードのいい加減な管理
・IT管理者の不在
・電子メール経由でのウイルス感染

共通して実施すべき対策を行うだけでも効果は見込めますが、セキュリティ自己の事例を元にした対策を併せることでさらに効果的です。またこのガイドラインにはメール等の電子的な情報だけではなく、印刷された紙媒体・製造物そのものも含まれます。情報セキュリティというと電子的な物を連想しますが、アナログ媒体における情報漏洩のリスクの現状に関しても併せて対策を行いましょう。

まとめ

インターネットを利用した様々な便利なサービスが生まれ、利便性が高まった反面、各企業が保有する顧客情報や技術的な機密情報の漏洩、またホームページの改ざんなど情報セキュリティに対する対策の重要性さを増しています。反面、SNSや各種クラウドサービスの普及などにより情報漏洩のリスクは高まっています。

ひとたび情報漏洩が発生すれば企業活動に致命傷を与えかねません。セキュリティ対策は多岐に渡ります。どう手をつければいいかわからないとそのままにするのではなく、まずは各団体が提供しているセキュリティチェックシートを使用して自社の現状把握をし、セキュリティ担当者だけではなく、全社員が共通の認識を持てるよう、自社の企業活動に応じた対策をとることをこころがけましょう。