近年「コンプライアンス（法令順守）」の重要性が叫ばれ、それに伴う企業の責務として「コーポレートガバナンス（企業統治）」や「内部統制」の確立が急務となっています。同時に、こうした仕組みをITの観点から考える「情報セキュリティガバナンス」の取り組みも、企業の重要な課題となりつつあります。あらゆるコンピュータがネットワークで結ばれている現在、たったひとつの企業がセキュリティ対策を怠っただけでも、社会的に大きな損害を与えてしまうことがあるからです。

しかし、IT事故のリスクは「目に見えない」ため、投資に向けた経営判断が難しいのが実情です。また、情報セキュリティ対策は利益に直接結びつかないことが多く、企業の認識不足も手伝って、対策が不十分なケースが多数見受けられます。

特に中小企業などでは、情報セキュリティ対策の重要性は理解していても、適切な手段が分からなかったり、きっかけがなかったりして、放置されているケースも少なくありません。そこでIPAでは、こうした企業が取り組みを始めるきっかけとして「情報セキュリティ対策ベンチマーク」を提供しています。

本ツールは、インターネットを通じて設問に答えるだけで、他社と比較した自社のセキュリティレベルを診断できます。簡単な操作で自社の現状を把握し、取り組みの道筋を見つけることからスタートできます。

    http://www.ipa.go.jp/security/benchmark/

本ツールの設問は、ISMS^※ 認証基準であるJIS Q 27001: 2006をもとに作成された「セキュリティ対策の取り組み状況に関する評価項目」27問と、自社の状況を回答する「企業プロフィールに関する評価項目」19問の計46問で構成しています。これらの設問に回答することで、セキュリティに関する自社の取り組みがどの程度のレベルにあるかが分かります。業種間のレベルの違いも確認できるため、経営環境に合わせた適正レベルを知ることができます。

※ISMS：情報セキュリティマネジメントシステム

診断結果は、見やすいレーダーチャートや散布図で表示されます。レーダーチャートでは、中心に近いほどセキュリティレベルが低く、円状に大きく広がっているほどバランスの取れた良好なセキュリティレベルであることを示します。取り組みを継続しながら繰り返し診断を行うことで、実施した対策の効果を確認することもできます。このほか、診断結果に基づいて今後の対策を立てる上で有効な、各種情報へのリンクも設定されています。