アーカイブ

情報セキュリティ対策ベンチマークの概要

独立行政法人 情報処理推進機構
セキュリティセンター

isec-infoアットマークアイピーエー.go.jp

概要

情報セキュリティ対策ベンチマークは、組織の情報セキュリティマネジメントシステムの実施状況を、自らが評価する自己診断ツールです。経済産業省より公表された情報セキュリティガバナンス推進のための施策ツールを、IPA が自動診断システムとして開発し、2005 年 8 月より IPA の Web 上で提供しています。

2007年12月には、JIS Q 27001:2006への対応等多様なニーズへの対応や、ユーザへのヒアリングに基づき、本システム(日本語版、英語版)を大幅に改訂し、ver3.0として公開しました。

今回のver3.1では、診断結果の表示項目を追加するとともに、情報セキュリティを巡る環境変化を勘案し、診断の基礎データとして最新2年分のデータを採用しました。

このシステムでは、 Web ページ上の質問に答えることで、組織の情報セキュリティへの取組状況を ISMS 適合性評価制度よりも簡便に自己評価することが可能です。また、何千件もの実データに基づき、望まれる水準や他社の対策状況と自社の対策状況を比較することができます。

診断企業は情報セキュリティリスク指標に応じて、

  1. 高水準のセキュリティレベルが要求される層
  2. 相応の水準のセキュリティレベルが望まれる層
  3. 情報セキュリティ対策が喫緊の課題でない層

の 3 つのグループのいずれかに分類されます。情報セキュリティリスク指標は、従業員数、売上高、重要情報の保有数、 IT 依存度などから計算される企業のかかえるリスクを表す指標です。

情報セキュリティ対策への取組みに関する 25 問 ( 評価項目 ) への回答から対策状況のスコアが計算されます。自己診断では、1から 5 の 5 段階で回答します。 1 は取り組みができていない状態、 5 は他社の模範となるまで取組みが進んでいるレベルです。各評価項目は 5 点、トータルスコアは 125 点です。この 25 問は、 ISMS 認証基準である JIS Q 27001:2006 付属書 A の管理策( 133 項目)をベースに作成されており、評価項目の量を 25 項目に抑え、わかりやすい言葉を使っています。

【診断結果のサンプル】

分布図

企業プロフィールに関する15項目の回答から、自社が高・中・低のどのグループに属するかがわかります。

また、同じグループ内における自社と他社との比較により、セキュリティ対策の取り組み状況がわかります。

レーダーチャート

セキュリティ対策の取り組み状況に関する25項目の回答から、自社がグループ内や同業他社との比較でどのレベルにあり、望ましい水準とどの程度のギャップがあるかわかります。

表示される診断結果

  1. トータルスコアの分布と自社の位置を散布図で表示
    • 散布図は、全体と企業規模別の2種類を表示
    • 散布図中の自社の位置は最新の位置と過去2回分までの比較が可能
  2. レーダーチャートによるスコアの比較は4種類を表示
    • 情報セキュリティリスク指標に応じたグループ別のスコアの比較
    • 企業規模別によるスコアの比較
    • 業種別によるスコアの比較
    • 自組織の最新のスコアと過去2回分までのスコアの比較
  3. トータルスコアの度数分布状況と偏差値を表示
  4. 診断結果を資料として活用可能(PDFで保存・印刷)
  5. スコア一覧の表示(PDF)
  6. 推奨される取り組みの表示

PDF 出力の診断結果のサンプルはこちら