情報セキュリティ対策ベンチマークとは

セキュリティ

情報セキュリティ対策ベンチマークとは、自組織の情報セキュリティへの取組状況を自己診断できるツールで、情報処理推進機構(IPA)から公開されています。ツールでは、27項目の質問に対して5段階評価で回答することで、同業他社の診断データとレーダーチャートによる比較や、散布図による自社の位置の確認が行えます。

5段階評価

5段階評価は以下の目安で判断されます。

  1. セキュリティ対策の方針やルールを定めていない
  2. 方針やルールの整備と周知が一部で実現できている
  3. 経営層の承認のもとに方針やルールを定め、全社的に周知・実施している
  4. 責任者による状況の定期的に確認を行っている
  5. 周囲の環境変化をダイナ ミックに反映し、常に改善を図っている

以下に27項目の質問を紹介することで、セキュリティ対策の全体像を俯瞰したいと思います。

組織的な取組

【1】ポリシや規定類について

  • 自組織に合うように作り込まれているか?
  • 関係者に周知されているか?
  • 順守状況を定期的に点検しているか?

【2】リスクアセスメントについて

  • 守るべき資産とそれに対するリスクが明確になっているか?
  • 許容範囲を超えるリスクに対し対策の優先順位が決まっているか?
  • 定期的に実施されているか?

【3】推進体制について

  • 各担当者の権限と責任が明文化されているか?
  • 順守すべき法令を把握しているか?
  • 法令により保存が求められる文書が残されているか?

【4】重要資産のレベル分けについて

  • 重要度のレベルに応じた表示や取扱いが定められているか?
  • 情報の管理責任者が定められているか?
  • 情報の利用者の範囲が定められているか?

【5】重要資産のライフサイクル管理について

  • 業務プロセス(作成、利用、保管、提供、破棄など)が定義されているか?
  • 作業責任者や取扱者の範囲が定められてるか?
  • 処理の記録や確認がされているか?

【6】委託業者の管理について

  • 契約書に情報漏えい防止などのセキュリティ上の事項を記載しているか?
  • 契約書に委託先が提供するサービスレベルが記載されているか?
  • 契約条件に沿って業務が遂行されていることを確認しているか?

【7】従業員の管理について

  • 従業者が守るべき就業規則などルールなどを明確にし周知しているか?
  • 従業者の採用や退職の際に守秘義務に関する書面を取り交わしているか?
  • 退職や異動に際して、貸与した資産の返却やアクセス権限の削除ができているか?

【8】教育について

  • 自組織や関連規程類について計画的な教育や指導を実施しているか?
  • 経営層や派遣を含む全ての従業者に対し実施しているか?
  • 特に、パスワードや鍵の管理が徹底されているか?

物理的な対策

【9】建物や区画の対策について

  • ゲートや間仕切りを設けるなどして境界を明確にいているか?
  • 入退室管理などを行い、入室可能な人を制限しているか?

【10】外来者の管理について

  • 顧客やベンダ、清掃業者などの外来者についてルールが定められているか?
  • ルールに従った運用ができているか?

【11】重要システムの安全性について

  • 盗み見や盗聴、踏みつけや引っ張りによる断線などの人的災害を考慮しているか?
  • 浸水、火災、地震などの自然災害を考慮しているか?

【12】記憶媒体・モバイル端末の管理について

  • 保管キャビネットの施錠やプリント出力の放置禁止、記憶媒体の粉砕廃棄などが行われているか?
  • 事務所や会議室の整理整頓が行われているか?

運用管理

【13】開発環境について

  • 開発環境、テスト環境、運用環境が分離されているか?
  • 個人情報などの重要なデータを含む本番データの使用制限がされているか?

【14】情報システムの運用について

  • 手順書を作成し、ルールに従った運用ができているか?
  • 安定稼動させるため、性能や容量の監視が行われているか?
  • ログの取得や分析が実施されているか?

【15】データバックアップについて

  • 重要データのバックアップの手順書を作成し実施されているか?
  • バックアップからの復旧テストが実施されているか?

【16】マルウェア対策について

  • ウイルス対策ソフトを導入し、パターンファイルが最新化されているか?
  • 万が一問題が生じた場合にとるべき処置が周知周知されているか?

【17】ぜい弱性対策について

  • 最新のパッチ(修正プログラム)が適用されているか?
  • バージョン管理や構成管理、変更管理が行われているか?

【18】暗号化対策について

  • 通信ネットワークのVPN(SSL、IPsec)が使用されているか?
  • 電子メールの暗号化が行われているか?

【19】盗難・紛失対策について

  • モバイル機器や記憶媒体を持出しに関する規定が定められているか?
  • 強固な認証や暗号化などの対策を実施しているか?

アクセス制御

【20】ID管理について

  • 利用者IDに関する規程が整備されているか?
  • 定期的に不要なIDの削除、共用IDや特権IDの利用制限が行われているか?
  • 見破られやすい単純なパスワードの設定禁止などの仕組みがあるか?

【21】システムのアクセス制御について

  • アクセスできる情報システムを利用者ごとに限定されているか?
  • 利用できる機能が制限されているか?
  • 利用者のアクセス権がレビューされているか?

【22】ネットワークのアクセス制御について

  • ネットワークの分割は行われているか?
  • 外部からの接続する際に認証が行われているか?

【23】システム開発の対策について

  • 必要なセキュリティ要件が仕様書に盛り込まれているか?
  • ぜい弱性を残さないための適切なシステム試験が行われているか?

【24】調達の管理について

  • 選定や購入で、ソフトウェアの開発元などが確認されているか?
  • 開発や保守で、セキュリティ対策の実施状況やレビューの記録などを確認しているか?

インシデント対応

【25】システム障害の対策について

  • システムの二重化が行われているか?
  • 障害対応手順が明確になっているか?
  • 外部委託先とのサービスレベルが合意されているか?

【26】インシデント対応について

  • 事件や事故が発生した際に必要な行動を文書にまとめ関係者に周知しているか?
  • 緊急の連絡網の整備や必要な要員の手配を行っているか?

【27】業務継続について

  • 大規模な自然災害に備えたバックアップセンターを準備しているか?
  • 万が一の場合は、手作業により業務の遂行ができるよう準備しているか?

 

情報セキュリティ
情報セキュリティ、ISMS、リスク分析、ログ分析、送信ドメイン認証、公開鍵基盤、CSIRT、情報セキュリティ対策ベンチマーク
数理の散策路
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

 

タイトルとURLをコピーしました