情報セキュリティ対策ベンチマークとは

/アセスメント

情報セキュリティ対策ベンチマーク

情報セキュリティ対策ベンチマークとは、自組織の情報セキュリティへの取組状況を自己診断できるツールで、情報処理推進機構(IPA)から公開されています。ツールでは、27項目の質問に対して5段階評価で回答することで、同業他社の診断データとレーダーチャートによる比較や、散布図による自社の位置の確認が行えます。

IPA 独立行政法人 情報処理推進機構
複雑・膨大化する情報社会システムの安全性・信頼性の確保による“頼れるIT社会”の実現に向け、IT施策の一端を担う政策実施機関として、情報セキュリティ、ソフトウェア高信頼化、IT人材育成等の施策を展開します。

5段階評価

5段階評価は以下の目安で判断されます。

  1. セキュリティ対策の方針やルールを定めていない
  2. 方針やルールの整備と周知が一部で実現できている
  3. 経営層の承認のもとに方針やルールを定め、全社的に周知・実施している
  4. 責任者による状況の定期的に確認を行っている
  5. 周囲の環境変化をダイナ ミックに反映し、常に改善を図っている

27項目の質問は、以下の5つの大項目に分類されます。

  1. 組織的な取組
  2. 物理的な対策
  3. 運用管理
  4. アクセス制御
  5. インシデント対応

組織的な取組

【1】ポリシや規定類の制定と実施について

セキュリティに関するポリシや規定類はサンプルのコピーではなく、自組織の事情に合ったものに作り替えることが重要です。

  • 自組織に合うように作り込まれているか?
  • 組織の長や役員が承認しているか?
  • 関係者に周知し、順守状況を定期的に点検しているか?
  • 状況の変化に対応して定期的に見直しているか?
【2】リスクアセスメントについて

事前にリスクアセスメントを行うことで、セキュリティ対策の課題が明確になり、セキュリティ対策に掛かるコストを最小限にすることができます。

  • 守るべき資産とそれに対するリスクが明確になっているか?
  • それらのリスクが組織の許容範囲か評価されているか?
  • 許容範囲を超えるリスクに対し対策の優先順位が決まっているか?
  • 定期的に実施されているか?
【3】推進体制について

情報セキュリティの推進体制は、経営層がリーダシップを発揮し、各担当者の責任と権限が明文化されていることが重要です。

  • 各担当者の権限と責任が明文化されているか?
  • 職務や権限を一人に集中させていないか?
  • 順守すべき法令を把握しているか?
  • 法令により保存が求められる文書が残されているか?
【4】重要資産のレベル分けについて

組織内の重要情報を把握し、重要度のレベルに応じた取り扱いを行うことが重要です。

  • 重要度のレベルに応じた表示や取扱いが定められているか?
  • 重要情報は情報システムだけでなく、電子媒体や紙媒体も含まれているか?
  • 情報の管理責任者が定められているか?
  • 情報の利用者の範囲が定められているか?
【5】重要資産のライフサイクル管理について

重要資産の取扱いは、業務プロセス毎に行うべき作業と実施責任者を定義し、だれが実施しても間違いが無いよう手順を定めておく必要があります。

  • 業務プロセス(作成、利用、保管、提供、破棄など)が定義されているか?
  • 作業責任者や取扱者の範囲が定められてるか?
  • 処理の記録や確認がされているか?
  • 重要な情報が誤って変更、削除、誤用されないよう、作業ミスを防ぐ対策がされているか?
【6】委託業者の管理について

外部の組織に業務を委託する場合は、自組織のセキュリティ対策の適用外でもあるため、自組織向けとは異なるセキュリティ対策が必要になります。

  • 契約書に情報漏えい防止などのセキュリティ上の事項を記載しているか?
  • 契約書に委託先が提供するサービスレベルが記載されているか?
  • 契約条件に沿って業務が遂行されていることを定期的に確認しているか?
【7】従業員の管理について

全ての従業員の採用や退職の際に、情報セキュリティ上の義務などの遵守事項を制約させることで、一人ひとりにセキュリティ対策を自覚させ、実効性のあるものにすることができます。

  • 従業者が守るべき就業規則などルールなどを明確にし周知しているか?
  • 従業者の採用や退職の際に守秘義務に関する書面を取り交わしているか?
  • 退職や異動に際して、貸与した資産の返却やアクセス権限の削除ができているか?
【8】教育について

セキュリティ対策の有効性を向上させるため、全従業員に対する教育を定期的に実施する必要があります。

  • 自組織や関連規程類について計画的な教育や指導を実施しているか?
  • 経営層や派遣を含む全ての従業者に対し実施しているか?
  • 教育が有効に機能していることを確認する手立てを用意しているか?

物理的な対策

【9】建物や区画の対策について

重要な情報や設備が置かれている建物や区画については、必要に応じたセキュリティ対策を実施する必要があります。

  • ゲートや間仕切りを設けるなどして境界を明確にいているか?
  • 入退室管理などを行い、入室可能な人を制限しているか?
  • 入退館(室)の履歴を記録し、適切に管理されているか?
【10】外来者の管理について

重要な情報や設備が置かれている場所については、外部からの立ち入りに対する対策を取る必要があります。

  • 外部業者の出入りによってどのようなリスクがあるか検討されているか?
  • 顧客やベンダ、清掃業者などの外来者についてルールが定められているか?
  • ルールに従った運用ができているか?
【11】重要システムの安全性について

重要な情報機器や配線については、偶然の事故による損壊を防ぐため、安全上の配慮が必要です。

  • 盗み見や盗聴、踏みつけや引っ張りによる断線などの人的災害を考慮しているか?
  • 浸水、火災、地震などの自然災害を考慮しているか?
  • 使用中に画面を盗み見されないように配置を工夫しているか?
【12】記憶媒体・モバイル端末の管理について

書類や電子的な記憶媒体などによって情報が漏えいする事故が多発しており、それらを適切に管理することが必要です。

  • 保管キャビネットの施錠やプリント出力の放置禁止などが行われているか?
  • 事務所や会議室の整理整頓が行われているか?
  • 重要な書類、情報機器、記憶媒体などは、物理的な破壊などして破棄しているか?

運用管理

【13】開発環境について

システム開発には、多数の作業者が関与するなど、大きなリスクが潜在しています。

  • 開発環境、テスト環境、運用環境が分離されているか?
  • 個人情報などの重要なデータを含む本番データの使用制限がされているか?
  • 本番運用の開始の前に、十分な受け入れテストが行われているか?
【14】情報システムの運用について

運用管理に必要なセキュリティ対策として、運用手順書の作成、ルールに従った運用や監視などが含まれます。

  • 運用手順書を作成し、ルールに従った運用が実施できているか?
  • 安定稼動させるため、性能や容量の監視が行われているか?
  • ログの取得や分析、改ざんされないための対策が実施されているか?
【15】データバックアップについて

システム障害や操作上のミスから重要なデータを守るため、バックアップはを計画的に行う必要があります。

  • 重要データのバックアップの手順書を作成し計画的に実施されているか?
  • バックアップ先の媒体は安全に管理され、情報漏えいなどの対策はされているか?
  • バックアップからの復旧テストが実施されているか?
【16】マルウェア対策について

マルウェアは常に新種・亜種が報告されており、それに対応したパターンファイルの適用、あるいは、新種・亜種の登場でもある程度対応できる振る舞い検知型のマルウェア対策を導入する必要があります。

  • ウイルス対策ソフトを導入し、パターンファイルが最新化されているか?
  • 万が一問題が生じた場合にとるべき処置が周知周知されているか?
  • 全て自組織のリソースで賄うことができない場合は、アウトソーシングによる監視サービス(SOC)を検討しているか?
【17】ぜい弱性対策について

サイバー攻撃はOSやアプリケーションの脆弱性を突いて行われることが多く、脆弱性対策は重要なセキュリティ対策となります。

  • 最新のパッチ(修正プログラム)が適用されているか?
  • バージョン管理や構成管理、変更管理が行われているか?
  • 全ソフトウェアのバージョンを自動的にチェックする仕組みがあるか?
【18】暗号化対策について

通信ネットワークを流れるデータや、公開サーバ上のデータに対して、暗号化などの保護対策をとる必要があります。

  • 通信ネットワークのVPN(IPsec)が使用されているか?
  • Webにアクセスする際は、SSLなどで通信データを暗号化しているか?
  • 電子メールの暗号化が行われているか?
【19】盗難・紛失対策について

パブリックオフィスや自宅など、外部のセキュリティの脅威は内部より高いことを考慮し、記憶媒体を外部に持ち出すときは盗難・紛失などを想定したセキュリティ対策をとる必要があります。

  • モバイル機器や記憶媒体を持出しに関する規定が定められているか?
  • 外部でモバイル機器や記憶媒体を使用する場合の紛失や盗難対策を講じているか?
  • 強固な認証や暗号化などの対策を実施しているか?

アクセス制御

【20】ID管理について

攻撃者からの情報システムへの不正アクセスを防ぐため、利用者IDの適切な管理は重要です。

  • 利用者IDに関する規程が整備されているか?
  • 定期的に不要なIDの削除、共用IDや特権IDの利用制限が行われているか?
  • 見破られやすい単純なパスワードの設定禁止などの仕組みがあるか?
【21】システムのアクセス制御について

関係者以外の者に、例えば人事データなどの重要な情報の閲覧や持ち出しをさせないため、利用者ごとに制限を掛ける必要があります。

  • アクセスできる情報システムを利用者ごとに限定されているか?
  • 利用できる機能や利用時間などが制限されているか?
  • 利用者のアクセス権が定期的にレビューされているか?
【22】ネットワークのアクセス制御について

ネットワークへの接続に伴って、接続したネットワーク経由でシステムに侵入されるリスクが増大しています。

  • ネットワークの論理的な分離や接続を制限しているか?
  • 外部からの接続する際に認証が行われているか?
  • 外部の無線LANを利用して接続する場合は、セキュリティ対策を行われているか?
【23】システム開発の対策について

情報システムは、完成した後で改変を加えることは困難でコストも嵩みます。初期の企画や設計の段階からセキュリティ対策を考慮することが重要です。

  • 必要なセキュリティ要件が仕様書に盛り込まれているか?
  • 入力データに対するチェック機能を実装しているか?
  • ぜい弱性を残さないための適切なシステム試験が行われているか?
【24】調達の管理について

ソフトウェアの購入に際には、セキュリティ上の問題を混入させないための管理が重要です。

  • 選定や購入で、ソフトウェアの開発元などが確認されているか?
  • 開発や保守で、ソフトウェアの変更に関する手順が整備されているか?
  • セキュリティ対策の実施状況やレビューの記録などを残しているか?

インシデント対応

【25】システム障害の対策について

情報システムに求められる可用性の要件を満たすために、適切な障害対策機能を組み込む必要があります。

  • システムの二重化が行われているか?
  • 障害対応手順が明確になっているか?
  • 外部委託先とのサービスレベルが合意されているか?
【26】インシデント対応について

情報セキュリティに関する事故が発生した際に必要な行動を、適切かつ迅速に実施できるように備えておく必要があります。

  • セキュリティに関わる事故が発生した際の対応について実施要領を定めているか?
  • 実施要領は関係者に周知されているか?
  • 緊急の連絡網の整備や必要な要員の手配を行っているか?
【27】業務継続について

万が一、情報システムが停止した場合に備えて、最低限の業務が実施できるように用意しておくことが重要です。

  • 情報システムが停止した場合の業務に及ぼす影響について検討しているか?
  • 大規模な自然災害に備えたバックアップセンターを準備しているか?
  • 万が一の場合は、手作業により業務の遂行ができるよう準備しているか?

 

IT
アセスメント、セキュリティ、ネットワーク、システム
散策路TOP
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

 

タイトルとURLをコピーしました