経営コンサルタントの国家資格”中小企業診断士”の情報が満載です。 中小企業診断士の広場

中小企業診断士の広場

使えるコンサルティングツール

情報リスク判断の基本データ

文:鈴木 佳文(中小企業診断士)

情報セキュリティ対策ベンチマーク(IPA)

IPA(独立行政法人情報処理推進機構) http://www.ipa.go.jp/security/benchmark/index.html

お勧めポイント―情報リスク判断の基本データ

図1 セキュリティレベル層の散布図
図1

IPA(独立行政法人情報処理推進機構)が提供する「情報セキュリティ対策ベンチマーク」は、組織の情報セキュリティ対策状況を評価する自己診断ツールです。情報セキュリティ対策が後手に回りがちな中小企業においても、取引上の都合などで対策を取らざるを得ないケースがこれから更に増えてくると想定されますが、コストを掛けないで予備調査ができ、対応策の指針が表示されるので大変便利です。

IPAのホームページにアクセスし、第1部 情報セキュリティ対策への取り組みに関する25問と、第2部 企業プロフィールに関する15問に回答すると、診断結果が示されます。第2部の回答で、3つのセキュリティレベル層(1.高水準のセキュリティレベルが要求される層、2.相応の水準のセキュリティレベルが望まれる層、3.情報セキュリティ対策が喫緊の課題でない層)でどのグループに属するかが決まります。その中でどの位置にあるかは、図1のような散布図で示されます。

 

図2 診断結果のレーダーチャート
図1

更に、この3つのグループそれぞれに望まれる水準が設定されており、第1部 の回答から対策状況のトータルスコアが計算され、望まれる水準やグループ内の平均値との差、同業他社の平均値との差が、レーダーチャートで図2のように表示されます。

留意したいのは、質問内容や提示される指針を理解するためには最低限の知識は必要な点です。「情報システムに関する相当の知識を有すること」「全社的な取り組み状況や方針を理解していること」が前提条件になると考えられますので、中小企業診断士などの専門家が支援先の状況を踏まえた上で活用するとより精度の高いセキュリティ診断が期待できます。

情報リスクの回避という側面からも、業界の特性や営業状況を踏まえた上で、可能な限りの対策をとっておくことが大切です。情報リスク判断の基本データとして大いに活用したいものです。