サイバー攻撃時代のセキュリティ自己診断ツール第2回「セキュリティ対策ベスト3業界はどこか」

のべ利用者数が1,000件を突破した、トレンドマイクロの企業向けセキュリティ対策自己診断ツール「セキュリティアセスメントツール」の特徴をレポートする。

第2回目の本稿では、公表されている調査結果をもとに、対策が進んでいる上位の業界と、反対にまだ進んでいない業界を紹介し、診断ツールの結果の読み方を案内する。

●同業他社や同規模他社との比較が可能、業界ベスト3は

たとえば、従業員1万名以上の企業と10名未満の企業や、機微な個人情報を扱う金融・保険業界と土木・建設業界は、おのずと求められる対策や組織運営は異なる。セキュリティアセスメントツールの結果表示の際に、診断時に指定した「業種」と「企業規模」によって、業界平均、同規模企業平均との比較を行うことができるのは、このツールの簡易さと並ぶもうひとつの特徴である。

セキュリティ対策について、社内討議や検討を行う際に、同業他社との比較を求められたことがある管理者は少なくないだろう。企業に必要な対策は、その要件ごとに異なるが、同様の業種や規模の企業の傾向は、検討や、自社のレベルを把握する上で有効な助けになる。

同社の公表数値をもとに、対策が進む上位業界及び、対策が進みつつある業界をここに掲載したい。

サイバー攻撃対策ベスト3業界
1位　IT
2位　金融・保険
3位　自治体・官公庁・公共団体
3位　通信・プロバイダ（両3位は同率）

サイバー攻撃対策がまだこれからの業界
1位　医療・福祉・介護
2位　土木・建設
3位　NPO

診断結果は、「防御力」「対処力」「組織力」「専門力」「把握力」の分野から5点満点のレーダーチャート形式で表示され、組織の「弱点」がつまびらかにされる。レポートでは、組織の課題に対する対策が具体的に提案される。

●サイバー攻撃時代を反映した設問設定

企業が提供する診断ツールの多くは、自社サービスへの誘導が行われることが多いが、「セキュリティアセスメントツール」は、現在の新しい脅威や新しいIT技術に直面した企業や組織が現状把握を行い、組織のあり方や、セキュリティポリシーをどう定めるかを総合的に提案するためのツールとして設計されており、トレンドマイクロ社の提供するウイルス対策やアプライアンス購入へ誘導する設問は見受けられない。

同社のサービスポートフォリオから外れる、認証やインシデントレスポンス体制の有無など、企業に求められる対策が網羅的に包括されているばかりか、むしろ既存のゲートウェイ型ウイルス対策（同社の基幹サービスのひとつ）が破られてしまったことを前提とした記述も多く、情報セキュリティ対策の現状を反映しているといえるだろう。

今後の課題としては充分な母数の確保、有効回答数や各項目の回答数の公表による透明化が求められる。

なお、セキュリティアセスメントツールは、セキュリティ対策の基礎となる「データセキュリティ」、スマートフォンや企業のBYODのセキュリティ対策を考える「モバイルセキュリティ」、仮想化やクラウドコンピューティングの安全利用のための「クラウドセキュリティ」そして、標的型攻撃対策などの高度な攻撃への対応状況を診断する「サイバー攻撃対策」の4種を利用可能。