IPAトップ > IPAについて最新情報 > 記事
掲載日 2007年12月18日
独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、2005年8月よりIPAのWebサイトにて公開している「情報セキュリティ対策ベンチマーク」を大幅に改訂し、多様なニーズやJIS Q 27001:2006へ対応したバージョン3.0として新たにサービスを開始しました。
■ 情報セキュリティ対策ベンチマーク
URL:http://www.ipa.go.jp/security/benchmark/ |
情報セキュリティ対策ベンチマークは、組織の情報セキュリティ対策の取組状況(25項目)と企業プロフィール(15項目)を回答することにより、他社と比較して、セキュリティ対策の取組状況がどのレベルに位置しているかを確認できる自己診断システムです。25項目は、ISMS注1認証基準(JIS Q 27001:2006注2 )付属書Aの管理策注3をベースに作成されており、ISMS適合性評価制度よりも簡便に自己評価することが可能です。
バージョン3.0では、ISMS認証基準が新基準になったことへの対応、および、ユーザからの要望に基づいた便利な機能追加を行いました。 また、英語バージョン3.0も同時に公開いたしました。
■ISMS認証基準(JIS Q 27001: 2006)に対応
・質問構成、質問内容・推奨される取組を新しいISMS認証基準に対応して変更しました。
既存の診断データを継続して使えるように、新旧バージョンでの質問の整合性に配慮しました。
・平易な言葉を使用するとともに、曖昧な表現をなくし、丁寧な説明をつけました。
■MYページ注4のユーザビリティの向上
・訂正か新規の診断かを選べる機能を追加しました。
・保存されている最新の回答が表示され、変更部分の入力だけで診断ができます。
■診断用のツールを提供
・質問一覧がダウンロードできます。これにより、あらかじめ回答を準備することができます。
・診断中に、評価項目の「推奨される取組」を直接参照できます。
■公的機関の利用に対応
・公的機関の利用に対応し、業種の選択や企業プロフィールの質問を一部変更しました。
■部門単位の利用に対応
・診断の範囲を記載することにより、全社での利用だけでなく、部門単位の利用にも対応しました。
■トータルスコアの分布と自社の位置を散布図で表示
■同業種や企業規模による比較をレーダーチャートで表示
■自組織の過去の診断結果と現在の診断結果の比較をレーダーチャートで表示
■診断結果を資料として活用可能(PDFで保存・印刷)
■スコア一覧の表示(PDF)
■推奨する取組の表示
|
レーダーチャートでは、回答いただいた企業のスコア(赤)と「望まれる水準」(青)(上位1/3の企業の平均値を目標とすべき水準として設定したもの)、および全企業の「平均値」を表示します。
上記の例では、不正ソフトウェア対策や通信ネットワークの保存等の技術的対策は進んでいますが、従業員への教育など人的対策が不足している傾向がわかります。 |
|
|
散布図では、回答いただいた企業のスコアと情報セキュリティリスク指標(インターネットへの依存度や個人情報の保有数から算出)により、回答企業がどのグループに位置付けられるかを表示します。
上記の例では、高水準のセキュリティレベルが要求されるグループに分類され、その中ではセキュリティ対策レベルが中間にあることがわかります。
|
本システムでの診断結果は、自組織の情報セキュリティ対策の実施状況の確認、自組織の対策状況の外部への説明、外部委託先や子会社の対策状況の確認など、様々な局面で利用することができます。また政府機関が外部委託先の情報セキュリティ水準を評価する方法として、政府機関統一基準適用個別マニュアル「外部委託における情報セキュリティ対策に関する評価手法の利用の手引」注5 で、本システムを活用できることが示されています。
この他、ISMS認証取得の準備段階や、情報セキュリティ監査の準備段階での使用も可能です。
組織の情報セキュリティ対策状況を自己診断する情報セキュリティ対策ベンチマークは、2005年に経済産業省が公表した「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」注6の中で提言された施策ツールで、IPAがWebベースの自動診断システムとして開発し、2005年8月より提供しています。
2005年の報告書の発表より2年が経過し、2007年8月24日に経済産業省より「情報セキュリティガバナンス施策ツールの改訂について」が公表されました。この改訂版に示された、JIS Q 27001:2006への対応等多様なニーズへの対応や、ユーザへのヒアリングに基づき、ベンチマークシステム(日本語版、英語版)を大幅に改訂し、新バージョン3.0として公開ました。
■プレスリリースの全文は以下のPDFをご覧ください。
プレスリリース全文 (82KB)
注1: |
ISMS: Information Security Management System(情報セキュリティマネジメントシステム)。 |
注2: |
JIS Q 27001:2006 :ISMS適合性評価制度における認証基準。 |
注3: |
付属書Aの管理策:情報セキュリティマネジメントシステム構築に必要な情報セキュリティ対策133項目を記載。 |
注4: |
Myページ:アカウントを発行したユーザ固有のページ。診断修正、新規診断、パスワード変更が可能。 |
注5: |
府省庁が情報処理業務を外部委託により行う場合に、委託先の情報セキュリティの確保を目的として各種評価手法を府省庁において利用するための手引書として、内閣官房セキュリティセンターが作成。
http://www.nisc.go.jp/active/general/kijun_man.html |
注6: |
企業の情報セキュリティガバナンス確保のために求められる対策を検討・提示することを目的として公表。情報セキュリティガバナンスを「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と位置付け、その確立を促す施策ツールとして「情報セキュリティ対策ベンチマーク」等、3つのツールを提言。
http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html
|
|
最新情報
