3-3-3. 情報セキュリティ自社診断
「5分でできる!情報セキュリティ自社診断」を利用することで、自社の情報セキュリティ対策が、どれくらい実施できているかを把握できます。自社診断は、次ページに示す25項目の設問に答えるだけで情報セキュリティ対策の実施状況が把握できます。
分類
Part1 基本的対策
No.1~5は企業の規模や形態を問わず、必須の5項目です。いずれも一度行えば良いものではなく、継続的な実施が欠かせないため、運用ルールとして社内に定着させる必要があります。
Part2 従業員としての対策
No.6~18は従業員として注目すべき項目です。重要情報を日々扱っていると慣れによる人為的ミスが発生しやすくなります。また、脅威が日々変化しているので、油断しないように注意する必要があります。
Part3 組織としての対策
No.19~25は組織としての方針を定めた上で、実施すべき対策です。情報セキュリティのルールは明文化して社内で共有することにより、従業員の意識を高めるようにします。
診断方法
経営者または情報システム担当や部門長など実施状況を把握している人が記入します。事業所が複数、部署が多いなど一人で記入することが難しい場合は、事業所、部署ごとに記入し、責任者・担当者が集計します。
設問ごとに、以下の点数をつけ、全項目の合計点で組織全体のセキュリティ対策実施状況を確認します。回答が「わからない」となっている項目を確認します。
項目
点数
実施している
4点
一部実施している
2点
実施していない
0点
わからない
-1点
合計得点
現在の状況
次の対策
100点満点
入門レベルのセキュリティ対策は達成
さらに強化
70~99点
部分的な対策が不十分
100点満点への挑戦
50~69点
対策が不十分
低い項目から改善
49点以下
事故がいつ起きても不思議ではない
早急に改善
(出典) IPA「5分でできる!情報セキュリティ自社診断」を基に作成
「5分でできる!情報セキュリティ自社診断」
No
診断内容
基本的対策
1
パソコンやスマホなど情報機器の OS やソフトウェアは常に最新の状態にしていますか?
2
パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか?
3
パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか?
4
重要情報に対する適切なアクセス制限を行っていますか?
5
新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
従業員としての対策
6
電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか?
7
電子メールや FAX の宛先の送信ミスを防ぐ取組を実施していますか?
8
重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか?
10
インターネットを介したウイルス感染や SNSへの書き込みなどによるトラブルへの対策をしていますか?
11
パソコンやサーバのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか?
12
紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか?
13
重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか?
14
離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか?
15
関係者以外の事務所への立ち入りを制限していますか?
16
退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?
17
事務所が無人になる時の施錠忘れ対策を実施していますか?
18
重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか?
組織としての対策
19
従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか?
20
従業員にセキュリティに関する教育や注意喚起を行っていますか?
21
個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
22
重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか?
23
クラウドサービスやWebサイトの運用などで利用する外部サービスは、安全・信頼性を把握して選定していますか?
24
セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
25
情報セキュリティ対策(上記 1 ~ 24 など)をルール化し、従業員に明示していますか?
(出典) IPA「 5分でできる!情報セキュリティ自社診断」を基に作成
詳細理解のため参考となる文献(参考文献)