HOME情報セキュリティ「情報セキュリティ対策ベンチマーク バージョン3.4」と「診断の基礎データの統計情報」を公開

本文を印刷する

情報セキュリティ

「情報セキュリティ対策ベンチマーク バージョン3.4」と「診断の基礎データの統計情報」を公開

2011年5月31日

独立行政法人 情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、2005年8月からIPAのWebサイトで公開している「情報セキュリティ対策ベンチマーク」の診断の基礎データを最新のデータに入れ替え、バージョン3.4として新たにサービスを開始しました。
URL:http://www.ipa.go.jp/security/benchmark/

 情報セキュリティ対策ベンチマークは、組織の情報セキュリティ対策の取組状況(25項目)と企業プロフィール(15項目)を回答することにより、他社と比較して、セキュリティ対策の取組状況がどのレベルに位置しているかを確認できる自己診断システムです。診断時の回答項目は、ISMS1認証基準(JIS Q 27001:20062)附属書Aの管理策3をベースに作成しており、ISMS適合性評価制度を用いるよりも簡便に自己評価することが可能です。
 本システムのバージョン3.4では、情報セキュリティを巡る環境変化や対策レベルの変化を勘案し、診断の基礎データを最新2年分のデータに入れ替えました。また、英語バージョン3.4も同時に公開しました。
  なお、バージョン3.4では、情報システムを取り巻く環境の変化に伴い、組織の情報セキュリティ対策の取り組み状況に関して新たに2項目の参考質問4(後述)を追加しました。この2つの参考質問に関しては、1年間程度の情報収集ののち次期バージョンアップにおいて、他の25項目と同様に診断の対象とします。比較情報としての情報蓄積にご協力いただけると助かります。


【診断の基礎データと統計情報】

 情報セキュリティ対策ベンチマークでは、Web上の質問に答えると、散布図、レーダーチャート、スコア(点数)などの診断結果が自動的に表示されます。本システムで実際に診断を行った企業の診断データに基づき、自社の対策状況を他社の対策状況と比較することができます。
 2010年12月31 日現在、利用件数は延べ2万688件、診断の基礎データとして提供されたデータの延べ件数(再診断を含む)は1万1291件です。バージョン3.4では、2009/1/1~2010/12/31の2年間に提供された診断データの重複等を整理し、1654件を診断の基礎データとして用います。
 なお、この1654件の診断データを統計処理した情報を参考資料1にまとめました。

  1. 参考資料1「情報セキュリティ対策ベンチマーク ver.3.4」参考資料1「参考資料1「情報セキュリティ対策ベンチマーク ver.3.4」(PDFファイル) (PDFファイル 990KB)には以下のデータを掲載しています。
    • 情報セキュリティ対策ベンチマーク利用状況
    • グループ別平均値と望まれる水準
    • 企業規模別平均値と望まれる水準
    • 業種別平均値と望まれる水準

  2. 参考資料2「情報セキュリティ対策ベンチマーク ver.3.4の質問一覧」参考資料2「情報セキュリティ対策ベンチマーク ver.3.4の質問一覧」(PDFファイル) (PDFファイル 653KB)は紙ベースで診断するためのドキュメントです。

【バージョン 3.4 で新たに追加された 2項目の参考質問について】

参考質問1:大項目1「情報セキュリティに対する組織的な取り組み状況」に追加

○ 情報セキュリティに関する規程や対策を策定する際に、組織の重要な資産に関する危険性や脆弱性について評価していますか
(このような手順をリスクアセスメントといいます。リスクアセスメントの手順を確立し、定期的に実施することが、費用対効果の高い情報セキュリティ対策を実施する上で重要な要素となります。)

  • 説明

     資産に関して存在する危険性や脆弱性が、組織として許容範囲の危険性あるいは脆弱性であるか否かを明確にすることで、守るべき(管理すべき)資産を明確にすることができます。こういった分析・評価・検討を実施することをリスクアセスメントといいます。
     資産を守るためのセキュリティ対策に掛かるコストを最小限にしたり、セキュリティ対策の優先度を決定したりするために必要なものとなります。

  • 対策のポイント

    (1) 組織の資産に関するリスク(危険性や脆弱性)を明確にします(洗い出します)
    (2) 洗い出されたリスクが組織にとって許容範囲にあるかどうかを評価します
    (3) 許容範囲を超えるリスクについて、対策の優先度を決定します
    (4) さらに、優先度の高い順に、リスクを下げるための対策を検討し、実施します

  • 解説

     無作為にすべての資産に対してセキュリティ対策を検討・実施するのは、コスト面や管理面で無理があります。あらかじめ対策すべき(管理すべき)資産を明確にし、それぞれの資産に応じた対策を検討・実施する必要があります。
     これらの分析・検討を実施することがリスクアセスメントです。以下にリスクアセスメントの大まかな手順を示します。

    (1) まず組織が管理する資産の洗い出しが必要です。さらに、洗い出された資産に関して、重要度(その資産に問題が発生した際に、組織にとってどの程度の影響があるか)に応じたレベル分けを行います
    (2) 次に、セキュリティ対策の要点である機密性・完全性・可用性に関して、資産を(リスクがあるか=危険性や脆弱性があるか)評価します
    (3) 評価の結果現れたリスクに関して、組織として許容できるものか判断し、許容の範囲外にあるものを明確にします
    (4) 明確にされた許容範囲外のリスクについて、セキュリティ対策を含めた管理基準(管理策)を作成します

    参考質問2:大項目3「情報システム及び通信ネットワークの運用管理状況」に追加

    ○ 重要なデータや関連するシステムのバックアップに関する手順を文書化し、実施していますか
    (データの損失やシステム障害事故などからの迅速な復旧のために、バックアップの計画を策定し、システム化しておくことは非常に重要です。もしも重要なデータやそれに関連するシステムのバックアップが正しく行われていない場合、システム障害の際にこれらを復旧することができず、ビジネスに深刻な影響を与える恐れがあります。)

  • 説明

     データの損失やシステム障害事故などからの迅速な復旧のために、バックアップの計画を策定し、システム化しておくことは非常に重要です。さらに、バックアップが正しく行われていることを常に監視したり、バックアップが正常か確認するために復旧テストを実施したりする必要もあります。 もしも重要なデータやそれに関連するシステムのバックアップが正しく行われていない場合、システム障害の際にこれらを復旧することができず、ビジネスに深刻な影響を与える恐れがあります。

  • 対策のポイント

    (1) 定期的なバックアップ
    (2) 戻せる(リストア)ことができることを確認
    (3) バックアップ(外部記憶)媒体は安全に管理し、バックアップ媒体からの情報漏えい(紛失・盗難)を防ぐ
    (4) 不要になったら確実に消去

  • 解説

     組織内のIT化が進み、いろいろな情報資産が存在します。これらの資産の中には企業活動にとって重要なものもあるでしょう。これらの資産が何らかの理由で使えなくなったら、ビジネスに深刻な影響を与えることになります。
     情報資産としてのデータやシステムは常に損失する危険性があります。そういった危険性に対する対策がバックアップです。損失することを防ぐ対策も必要ですが、損失による被害を最小限にするための対策も重要です。したがって、損失する可能性のあるものは、事前にバックアップを行うことが重要となるわけです。
     例えば、組織内にあるパソコンや記憶媒体は、絶対に壊れないと考えている方も多いことでしょう。確かになかなか壊れません。でも、コンピュータウイルスに感染したり、机の上から床に落下させたり、ノートパソコンの前で飲んでいた飲み物をパソコンにかけてしまったり、耐用年数を過ぎてしまったハードディスク装置が異音をたてて止まってしまったとか、いろいろな原因で壊れることがあるわけです。
     もっと厄介なのは、利用者が誤って消してしまったとか、別のデータで上書きしてしまったとか、うっかりミスや誤操作によって業務に必要なデータを消失させる可能性です。
    「情報セキュリティ対策とは、情報資産を保護することである」とするならば、『バックアップは最後の砦』と言える重要な対策となります。つまり、何らかの事故が起きたときの復旧の手段が、そのバックアップによって得られるわけですから、事故そのものを防ぐことができなくても、バックアップを利用することで、事業を継続することができるので、情報資産を保護したことにつながるわけです。
     この情報セキュリティ対策にとって重要なバックアップも、その運用方法や管理方法によっては使いものにならない場合があります。使えないバックアップは意味がありません。対策のポイントにしたがって、確実な管理・運用が必要となります。


    1  ISMS: Information Security Management Systems(情報セキュリティマネジメントシステム)
    2 JIS Q 27001:2006 :ISMS適合性評価制度における認証基準。
    3 附属書Aの管理策:情報セキュリティマネジメントシステム構築に必要な情報セキュリティ対策が133項目記載されています。
    4 2項目の参考質問
    参考質問として追加した質問は以下のとおりです。
    (1) 資産を守るためのセキュリティ対策に掛かるコストを最小限にしたり、セキュリティ対策の優先度を決定したりするためのリスクアセスメントの実施状況
    (2) データの損失やシステム障害事故などからの迅速な復旧のための、重要なデータや関連するシステムのバックアップの計画策定およびシステム化の実施状況

    参考質問を含む 27項目の質問に関しての詳細は 情報セキュリティ対策ベンチマークの質問一覧 を参照下さい。
  • 本件内容に関するお問い合わせ先:

    IPA セキュリティセンター 石井/内山

    Tel: 03-5978-7508 Fax:03-5978-7518 E-mail:電話番号:03-5978-7508までお問い合わせください。