日本の企業と個人の「セキュリティ力」を診断する (1)情報セキュリティ力診断プロジェクトとは | ScanNetSecurity
2024.04.16(火)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

日本の企業と個人の「セキュリティ力」を診断する (1)情報セキュリティ力診断プロジェクトとは

 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は、コンピュータセキュリティのリテラシーを無料で診断するWebサイト「セキュリティ"力"ランキング」を運営している。25問の質問に回答すると、セキュリティリテラシーの診断が行われるもので、個人情報保

特集 特集
 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は、コンピュータセキュリティのリテラシーを無料で診断するWebサイト「セキュリティ"力"ランキング」を運営している。25問の質問に回答すると、セキュリティリテラシーの診断が行われるもので、個人情報保護法施行直後におびただしく作られた同趣旨のサイトの中では群を抜いて完成度が高い。同サイトの企画・製作・運用に携わるJNSAセキュリティリテラシーベンチマーク作成ワーキンググループリーダーの大溝裕則氏が、同サイトを通して見えてきた、日本の個人・企業のセキュリティリテラシーの現状について述べた。

(1)情報セキュリティ力診断プロジェクトとは

 セキュリティポリシーの策定状況は大手企業や団体では、策定済み62.0%、策定中16.0%、策定予定17.8%と合計95.8%が策定の動きがあります。

警察庁生活安全局情報技術犯罪対策課
「不正アクセス対策等の実態調査(平成19年1月)」
http://www.npa.go.jp/cyber/research/h18/countermeasures.pdf

 しかし、JNSAセキュリティ被害調査ワーキンググループの調査によると、2007年の個人情報漏えいインシデント件数は、864件。延べ漏えい人数は、3,053万人以上となっております。セキュリティポリシーを策定しているので、漏えい事故が顕在化するということもあると考えられますが、セキュリティポリシーの策定が万能というわけではないとも言えます。

セキュリティ被害調査ワーキンググループ
「2007年度 情報セキュリティインシデントに関する調査報告書」
http://www.jnsa.org/result/2007/pol/incident/2007incidentsurvey_v1.2.pdf

 セキュリティリテラシーとは、セキュリティ対策を実行する時に知っておくべき知識やスキルのことを指します。もう少し掘り下げると、セキュリティリテラシーを身に付けることにより、キュリティポリシーに記載されていない事象に遭遇した際に、自分で安全な行動などを判断しやすくなるとも言えます。たとえば、情報セキュリティの規定(実施手順)に「業務で使用するパソコンにはウイルス対策ソフトを常駐させて、リアルタイム検索をすること」という規定があったとします。このような場合、ユーザはリアルタイム検索をしている時の状態はどのようになっているか、ウイルスを検知した場合にはどのような通知があるかなどを知っておいた方が良いと言えます。

 また、「USBメモリなどの記録媒体を社外に持ち出す場合には、管理者の承認を得ること」というような規定がある場合には、USBメモリなどの記録媒体にはどのようなものがあるかという知識も必要になります。このような、細部にまで規定(実施手順)に書いていくことがあるべき姿だと思っているセキュリティ管理者の方もいるかもしれませんが、せっかく親切に作った規定も量が多くなり過ぎるとユーザに読んでもらえなくなる可能性が高くなります。

 もう一点、セキュリティリテラシーが必要な場面は、情報セキュリティの事故事例を見ていると社外で起きていることが多いのがわかります。社外で単独で業務を行っている場合には、セキュリティポリシーに書かれていない事象が起こることが想定できます。電話などで上司や管理責任者に報告・相談できれば良いのですが、つかまらない場合には本人が判断して行動することになります。このような場面では、セキュリティポリシーを覚えているだけではなく、なぜその規定が必要なのかという知識があると、初めて起きた事象に対しても応用が利くようになります。

 セキュリティリテラシーを高めれば、それだけで組織の情報セキュリティは万全かというとそうではありません。セキュリティリテラシーを高めていくと、事故が起こりそうな場面になった時に、より適切な行動をとることができるようになりますが、自組織のセキュリティを固めていく上では、体系立てた情報セキュリティポリシーを策定することが重要です。また、その情報セキュリティポリシーを教育などで、社員や職員に浸透させていくことも重要です。セキュリティリテラシーを高めていくことは、社員や職員にセキュリティに対して考えることや脅威に対する気付きを身に付けるのに有効な手段だと理解してください。

 上記のようなセキュリティリテラシーを診断できるサイトとしてJNSAで作成したサイトが、「情報セキュリティ“力”ランキングサイト」です。このサイトは、当初は経済産業省の委託事業として作成したものであり、情報セキュリティに関する知識を自己診断できる、個人ユーザを対象としたセルフチェックサイトとして2007年1月にオープンしました。問題カテゴリは「電子メール」「インターネットアクセス」「ウイルス」「パスワード」「PCの利用」「オフィスにおける 情報セキュリティ」「ルールや規則の遵守」「社外における 情報セキュリティ」の8つの分野に分かれていて、その中から25問が出題されます。結果画面では、各カテゴリ毎の正答率とレーダーチャートが表示されますので、自分がどの分野が苦手なのかが一目でわかるようになっています。

 その後、企業等の管理者の方々からの「社内の情報セキュリティ教育のツールとして利用したい」という要望が多く聞かれたことから、組織の管理者が自組織の社員・職員を登録し、各個人および組織のセキュリティレベルの評価ができるような機能を付けたサイトを2008年2月に新たにオープンしました。今回は、この管理者向けの「情報セキュリティ理解度チェックサイト」についてご説明します。

 このサイトでは、管理者の方が自組織の受講者をユーザとして登録し、受講を促すことにより、各ユーザの受講日時、受講の有無、受講回数と点数を画面上で知ることができます。また、自組織の分野別正解率とレーダーチャートが表示されるので、自分の組織がどの分野を苦手としているのかがわかりますので、それに沿った対応策や教育案を検討する手助けになります。レーダーチャート画面では、自組織の平均点と順位が表示され、順位は全体順位と業種内順位の2種類が表示されますので、同業種の中での自分の組織のランキングも知ることができます。

 2008年2月のオープン以来、約6ヶ月で350名を超える組織に御登録いただき、約17,500名の受講ユーザが登録され、そのうちの約11,800名の方が実際に受講されています。実際にサイトを利用されている管理者の業種は情報サービス業が43%と半数に近いですが、次いで「その他サービス業」「製造業」「卸売・小売業」と、情報産業以外の方にも御活用いただいています。また、登録ユーザの業種は営業が26%とトップで、次いでコンピュータ関連職となっていますが、その他、社内の総務・人事・法務の職種の方々や、大学の先生が学生さんに受講させるなど広く活用いただいています。

 テスト問題は、JNSA内部でWGを組織して検討・作成を行いました。全て4択問題ですが、専門知識が必要な問題や会社のポリシーに左右される問題ではなく、一般の社員・職員の方々が実際に職場で知っておくべき内容を重視して作成しました。「正しい・正しくない」は職場環境に左右される場合があるので、「適切か、適切でないか」といような曖昧な表現にするなど出題方法も工夫しました。出題される問題は25問ですが、実際に登録されている問題は現時点で約170問ほどあり、その中からランダムや固定で出題されます。出題方法は管理者が自由に選ぶことができます。

 問題作成はJNSAのワーキンググループや会員企業有志で作成しましたが、選考会の中で半数以上の問題がふるい落とされ、最終選考まで半数も残りませんでした。問題作成は今後の課題の一つでもあります。また、問題については、アンケートの意見などを考慮して、見直しが必要な場合には文言を修正したり問題を変えたりという作業を随時行っています。満点は100点ですが、できれば受講者の方々には100点を取ることを目標として繰り返し受講していただくことをお奨めします。

 業種の如何にかかわらず社員全体の情報セキュリティ知識やモラルの向上は不可欠であり、自分の組織では、情報セキュリティの教育に力を入れているのに、思ったように事故が減らないと悩んでいる管理者の方は「情報セキュリティ理解度チェック」サイトを一度試されることをお勧めします。

 なおJNSAは、このサイトの活用法を管理者向けに詳しく紹介するセミナー「セキュリティ事故の傾向と対策としての社内教育」を8月22日(金)の午後にメルパルク東京にて開催します。情報漏えい事故の実例を元にした対策のあり方や、個別相談なども実施する予定です。

【執筆:JNSAセキュリティリテラシーベンチマーク作成WGリーダー
株式会社JMCリスクソリューションズ 大溝裕則】

【関連リンク】
NPO日本ネットワークセキュリティ協会(JNSA)
http://www.jnsa.org/
セキュリティ"力"ランキング
http://www.jnsa.org/Seculiteracy/index.html
特定非営利活動法人日本ネットワークセキュリティ協会主催セミナー
「セキュリティ事故の傾向と対策としての社内教育」
http://www.jnsa.org/seminar/2008/0822/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

OpenSSLにサービス運用妨害(DoS)の脆弱性 画像

OpenSSLにサービス運用妨害(DoS)の脆弱性
マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件 画像

マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件
a-blog cms に複数の脆弱性 画像

a-blog cms に複数の脆弱性
複数の HTTP/2 実装に CONTINUATION フレームの取り扱い不備 画像

複数の HTTP/2 実装に CONTINUATION フレームの取り扱い不備
WordPress 用プラグイン Ninja Forms に複数の脆弱性 画像

WordPress 用プラグイン Ninja Forms に複数の脆弱性
AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度] 画像

AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

インシデント・事故 記事一覧へ

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に 画像

チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に
委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く 画像

委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く
「落ちていたので」と手紙が届く ~ 中学校の教育相談アンケート票を紛失 画像

「落ちていたので」と手紙が届く ~ 中学校の教育相談アンケート票を紛失
日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性 画像

日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

調査・レポート・白書・ガイドライン 記事一覧へ

プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査
日本のセキュリティ人材の 74 %、2023年に昇給なし 画像

日本のセキュリティ人材の 74 %、2023年に昇給なし
炎上件数最多は知識や配慮不足「2023年炎上レポート」公開 画像

炎上件数最多は知識や配慮不足「2023年炎上レポート」公開

研修・セミナー・カンファレンス 記事一覧へ

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
「イエラエが、今、SOCサービスを始める意義」とは? 「IERAE DAYS」トークセッションレポート公開 画像

「イエラエが、今、SOCサービスを始める意義」とは? 「IERAE DAYS」トークセッションレポート公開
警察庁、総務省それぞれの最新の取り組みは? 官民連携、国際連携を通してより安全なサイバー空間の実現を ~ JPAAWG 6th General Meeting レポート 画像

警察庁、総務省それぞれの最新の取り組みは? 官民連携、国際連携を通してより安全なサイバー空間の実現を ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供
デロイトと JFEスチール、サイバーセキュリティの合弁会社設立 画像

デロイトと JFEスチール、サイバーセキュリティの合弁会社設立
BBSec、地方公共団体のセキュリティ課題に対応するアセスメントサービス 画像

BBSec、地方公共団体のセキュリティ課題に対応するアセスメントサービス
「GMOサイバー攻撃 ネットde診断」FortiGate に対応 画像

「GMOサイバー攻撃 ネットde診断」FortiGate に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×