情報処理推進機構：プレス発表：記事

プレス発表　「情報セキュリティ対策ベンチマークバージョン3.1」と「診断の基礎データの統計情報」を公開

2008年4月21日

独立行政法人情報処理推進機構

　独立行政法人　情報処理推進機構（略称：IPA、理事長：西垣浩司）は、2005年8月よりIPAのWebサイトで公開している｢情報セキュリティ対策ベンチマーク｣の機能を改善し、バージョン3.1として新たにサービスを開始しました。
　情報セキュリティ対策ベンチマーク：http://www.ipa.go.jp/security/benchmark/

　情報セキュリティ対策ベンチマークは、組織の情報セキュリティ対策の取組状況（25項目）と企業プロフィール（15項目）を回答することにより、他社と比較して、セキュリティ対策の取組状況がどのレベルに位置しているかを確認できる自己診断システムです。診断時の回答項目は、ISMS^※1認証基準（JIS Q 27001:2006^※2)付属書Aの管理策^※3をベースに作成しており、ISMS適合性評価制度を用いるよりも簡便に自己評価することが可能です。
　本システムのバージョン3.1では、診断結果の表示項目の追加と、情報セキュリティを巡る環境変化や対策レベルの変化を勘案し、最新2年分のデータを採用することとしました。また、英語バージョン3.1も同時に公開しました。

【主な改善のポイント】

診断結果の表示項目の追加
- トータルスコアの度数分布状況と偏差値を表示
- レーダーチャートに最新の診断結果と過去の診断結果（2回分）を同時表示
- 散布図に、最新の診断結果における自社の位置と過去の自社の位置（2回分）を同時表示
情報セキュリティを巡る環境変化を勘案し、最新2年分のデータを適用
- 原則として、過去2 年間のデータを診断の基礎データとし、データを定期的に見直し
- 比較対象が頻繁に変化することのないよう来年4月までの1年間は診断の基礎データを固定に
- 診断の基礎データの数（標本数）を診断結果に表示
- 診断の基礎データの統計情報や比較対象となるデータの平均値等を公表
注：診断の基礎データの統計情報はプレスリリース本文(PDF、下記参照)内の別紙を参照してください。

【診断結果の表示】

トータルスコアの分布と自社の位置を散布図で表示
- 散布図は、全体と企業規模別の2種類を表示
- 散布図中の自社の位置は最新の位置と過去2回分までの比較が可能
レーダーチャートによるスコアの比較は4種類を表示
- リスクに応じたグループ別のスコア比較が可能
- 業種や企業規模による比較が可能
- 自組織の最新のスコアと過去2回分までの比較が可能
トータルスコアの度数分布状況と偏差値を表示
診断結果を資料として活用可能（PDFで保存・印刷）
スコア一覧の表示（PDF）
推奨される取り組みの表示

【診断結果の新表示項目のサンプルイメージ】

トータルスコアの度数分布状況と偏差値を表示
情報セキュリティ対策ベンチマークでは、診断企業は情報セキュリティリスク指標の値に応じて3つのグループに分類されます。トータルスコアの度数分布と偏差値は、分類されたグループの中での比較です。トータルスコアは、情報セキュリティ対策状況の回答から得られる総得点であり、偏差値は、グループの総得点の平均値を50と仮定した時、平均よりどの程度上か、またはどの程度下かを示す値です。
レーダーチャートに最新の診断結果と過去の診断結果（2回分）を同時表示
自社の診断結果（スコア）をレーダーチャートで比較する機能は以前もありましたが、以前のバージョンでは、過去1回まででした。本バージョンからは、過去2回までの比較が可能になりました。

回答企業の現在、前回、前々回のスコアが色別に表示され、過去のスコアと比較しやすくなりました。

散布図に最新の診断結果における自社の位置と過去の自社の位置（2回分）を同時表示
診断結果における自社の位置の比較をする機能は、以前のバージョンではありませんでした。本バージョンからは、散布図における自社の位置を過去2回まで比較することができます。

散布図では、トータルスコアと情報セキュリティリスク指標の値により、回答企業の現在、前回、前々回の位置が色別に示されます。

標本数（診断の基礎データの数）が表示されます。

【診断結果の活用】

　本システムでの診断結果は、自組織の情報セキュリティ対策の実施状況の確認、自組織の対策状況の外部への説明、外部委託先や子会社の対策状況の確認など、様々な局面で利用することができます。また、政府機関統一基準適用個別マニュアル「外部委託における情報セキュリティ対策に関する評価手法の利用の手引」^※4で、政府機関が外部委託先の情報セキュリティ水準を評価する方法として本システムを活用できることが示されています。
　この他、ISMS認証取得の準備段階や、情報セキュリティ監査の準備段階での使用も可能です。

参考【情報セキュリティ対策ベンチマークとは】

　組織の情報セキュリティ対策状況を自己診断する情報セキュリティ対策ベンチマークは、2005年3月に経済産業省が公表した「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」^※5 の中で提言された施策ツールです。IPAがWebベースの自動診断システムとして開発し、2005年8月より提供しています。
　 2007年12月には、JIS Q 27001:2006への対応等多様なニーズへの対応や、ユーザへのヒアリングに基づき、本システム（日本語版、英語版）を大幅に改訂し、バージョン3.0として公開しました。新バージョン3.1では、診断結果の表示項目を追加する他、情報セキュリティを巡る環境変化を勘案し、診断の基礎データとして、最新2年分のデータを採用することとしました。

※1	ISMS： Information Security Management System（情報セキュリティマネジメントシステム）
※2	JIS Q 27001:2006 ：ISMS適合性評価制度における認証基準。
※3	付属書Aの管理策：情報セキュリティマネジメントシステム構築に必要な情報セキュリティ対策が133項目記載されています。
※4	府省庁が情報処理業務を外部委託により行う場合に、委託先の情報セキュリティの確保を目的として各種評価手法を府省庁において利用するための手引書として、内閣官房セキュリティセンターが作成したものです。 http://www.nisc.go.jp/active/general/kijun_man.html
※5	企業の情報セキュリティガバナンス確保のために求められる対策を検討・提示することを目的として公表されたものです。同報告書では、情報セキュリティガバナンスを「社会的責任にも配慮したコーポレート･ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築･運用すること」と位置付け、その確立を促す施策ツールとして「情報セキュリティ対策ベンチマーク」等の3 つのツールが提言されました。 http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html