日本の企業と個人の「セキュリティ力」を診断する (1)情報セキュリティ力診断プロジェクトとは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

日本の企業と個人の「セキュリティ力」を診断する (1)情報セキュリティ力診断プロジェクトとは

特集 特集

 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は、コンピュータセキュリティのリテラシーを無料で診断するWebサイト「セキュリティ"力"ランキング」を運営している。25問の質問に回答すると、セキュリティリテラシーの診断が行われるもので、個人情報保護法施行直後におびただしく作られた同趣旨のサイトの中では群を抜いて完成度が高い。同サイトの企画・製作・運用に携わるJNSAセキュリティリテラシーベンチマーク作成ワーキンググループリーダーの大溝裕則氏が、同サイトを通して見えてきた、日本の個人・企業のセキュリティリテラシーの現状について述べた。

(1)情報セキュリティ力診断プロジェクトとは

 セキュリティポリシーの策定状況は大手企業や団体では、策定済み62.0%、策定中16.0%、策定予定17.8%と合計95.8%が策定の動きがあります。

警察庁生活安全局情報技術犯罪対策課
「不正アクセス対策等の実態調査(平成19年1月)」
http://www.npa.go.jp/cyber/research/h18/countermeasures.pdf

 しかし、JNSAセキュリティ被害調査ワーキンググループの調査によると、2007年の個人情報漏えいインシデント件数は、864件。延べ漏えい人数は、3,053万人以上となっております。セキュリティポリシーを策定しているので、漏えい事故が顕在化するということもあると考えられますが、セキュリティポリシーの策定が万能というわけではないとも言えます。

セキュリティ被害調査ワーキンググループ
「2007年度 情報セキュリティインシデントに関する調査報告書」
http://www.jnsa.org/result/2007/pol/incident/2007incidentsurvey_v1.2.pdf

 セキュリティリテラシーとは、セキュリティ対策を実行する時に知っておくべき知識やスキルのことを指します。もう少し掘り下げると、セキュリティリテラシーを身に付けることにより、キュリティポリシーに記載されていない事象に遭遇した際に、自分で安全な行動などを判断しやすくなるとも言えます。たとえば、情報セキュリティの規定(実施手順)に「業務で使用するパソコンにはウイルス対策ソフトを常駐させて、リアルタイム検索をすること」という規定があったとします。このような場合、ユーザはリアルタイム検索をしている時の状態はどのようになっているか、ウイルスを検知した場合にはどのような通知があるかなどを知っておいた方が良いと言えます。

 また、「USBメモリなどの記録媒体を社外に持ち出す場合には、管理者の承認を得ること」というような規定がある場合には、USBメモリなどの記録媒体にはどのようなものがあるかという知識も必要になります。このような、細部にまで規定(実施手順)に書いていくことがあるべき姿だと思っているセキュリティ管理者の方もいるかもしれませんが、せっかく親切に作った規定も量が多くなり過ぎるとユーザに読んでもらえなくなる可能性が高くなります。

 もう一点、セキュリティリテラシーが必要な場面は、情報セキュリティの事故事例を見ていると社外で起きていることが多いのがわかります。社外で単独で業務を行っている場合には、セキュリティポリシーに書かれていない事象が起こることが想定できます。電話などで上司や管理責任者に報告・相談できれば良いのですが、つかまらない場合には本人が判断して行動することになります。このような場面では、セキュリティポリシーを覚えているだけではなく、なぜその規定が必要なのかという知識があると、初めて起きた事象に対しても応用が利くようになります。

 セキュリティリテラシーを高めれば、それだけで組織の情報セキュリティは万全かというとそうではありません。セキュリティリテラシーを高めていくと、事故が起こりそうな場面になった時に、より適切な行動をとることができるようになりますが、自組織のセキュリティを固めていく上では、体系立てた情報セキュリティポリシーを策定することが重要です。また、その情報セキュリティポリシーを教育などで、社員や職員に浸透させていくことも重要です。セキュリティリテラシーを高めていくことは、社員や職員にセキュリティに対して考えることや脅威に対する気付きを身に付けるのに有効な手段だと理解してください。

 上記のようなセキュリティリテラシーを診断できるサイトとしてJNSAで作成したサイトが、「情報セキュリティ“力”ランキングサイト」です。このサイトは、当初は経済産業省の委託事業として作成したものであり、情報セキュリティに関する知識を自己診断できる、個人ユーザを対象としたセルフチェックサイトとして2007年1月にオープンしました。問題カテゴリは「電子メール」「インターネットアクセス」「ウイルス」「パスワード」「PCの利用」「オフィスにおける 情報セキュリティ」「ルールや規則の遵守」「社外における 情報セキュリティ」の8つの分野に分かれていて、その中から25問が出題されます。結果画面では、各カテゴリ毎の正答率とレーダーチャートが表示されますので、自分がどの分野が苦手なのかが一目でわかるようになっています。

 その後、企業等の管理者の方々からの「社内の情報セキュリティ教育のツールとして利用したい」という要望が多く聞かれたことから、組織の管理者が自組織の社員・職員を登録し、各個人および組織のセキュリティレベルの評価ができるような機能を付けたサイトを2008年2月に新たにオープンしました。今回は、この管理者向けの「情報セキュリティ理解度チェックサイト」についてご説明します。

 このサイトでは、管理者の方が自組織の受講者をユーザとして登録し、受講を促すことにより、各ユーザの受講日時、受講の有無、受講回数と点数を画面上で知ることができます。また、自組織の分野別正解率とレーダーチャートが表示されるので、自分の組織がどの分野を苦手としているのかがわかりますので、それに沿った対応策や教育案を検討する手助けになります。レーダーチャート画面では、自組織の平均点と順位が表示され、順位は全体順位と業種内順位の2種類が表示されますので、同業種の中での自分の組織のランキングも知ることができます。

 2008年2月のオープン以来、約6ヶ月で350名を超える組織に御登録いただき、約17,500名の受講ユーザが登録され、そのうちの約11,800名の方が実際に受講されています。実際にサイトを利用されている管理者の業種は情報サービス業が43%と半数に近いですが、次いで「その他サービス業」「製造業」「卸売・小売業」と、情報産業以外の方にも御活用いただいています。また、登録ユーザの業種は営業が26%とトップで、次いでコンピュータ関連職となっていますが、その他、社内の総務・人事・法務の職種の方々や、大学の先生が学生さんに受講させるなど広く活用いただいています。

 テスト問題は、JNSA内部でWGを組織して検討・作成を行いました。全て4択問題ですが、専門知識が必要な問題や会社のポリシーに左右される問題ではなく、一般の社員・職員の方々が実際に職場で知っておくべき内容を重視して作成しました。「正しい・正しくない」は職場環境に左右される場合があるので、「適切か、適切でないか」といような曖昧な表現にするなど出題方法も工夫しました。出題される問題は25問ですが、実際に登録されている問題は現時点で約170問ほどあり、その中からランダムや固定で出題されます。出題方法は管理者が自由に選ぶことができます。

 問題作成はJNSAのワーキンググループや会員企業有志で作成しましたが、選考会の中で半数以上の問題がふるい落とされ、最終選考まで半数も残りませんでした。問題作成は今後の課題の一つでもあります。また、問題については、アンケートの意見などを考慮して、見直しが必要な場合には文言を修正したり問題を変えたりという作業を随時行っています。満点は100点ですが、できれば受講者の方々には100点を取ることを目標として繰り返し受講していただくことをお奨めします。

 業種の如何にかかわらず社員全体の情報セキュリティ知識やモラルの向上は不可欠であり、自分の組織では、情報セキュリティの教育に力を入れているのに、思ったように事故が減らないと悩んでいる管理者の方は「情報セキュリティ理解度チェック」サイトを一度試されることをお勧めします。

 なおJNSAは、このサイトの活用法を管理者向けに詳しく紹介するセミナー「セキュリティ事故の傾向と対策としての社内教育」を8月22日(金)の午後にメルパルク東京にて開催します。情報漏えい事故の実例を元にした対策のあり方や、個別相談なども実施する予定です。

【執筆:JNSAセキュリティリテラシーベンチマーク作成WGリーダー
株式会社JMCリスクソリューションズ 大溝裕則】

【関連リンク】
NPO日本ネットワークセキュリティ協会(JNSA)
http://www.jnsa.org/
セキュリティ"力"ランキング
http://www.jnsa.org/Seculiteracy/index.html
特定非営利活動法人日本ネットワークセキュリティ協会主催セミナー
「セキュリティ事故の傾向と対策としての社内教育」
http://www.jnsa.org/seminar/2008/0822/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×