PR

 約80項目の質問に答えると、国内600社以上の統計データと比較した評価結果を表示する。企業の弱点を洗い出し、スコアや偏差値で脆弱性リスクごとの対策状況を可視化できるものだ。

Secure SketCHで弱点を調べる
Secure SketCHで弱点を調べる
(出所:NRIセキュアテクノロジーズ)
[画像のクリックで拡大表示]

 売上規模や業界の上位企業などの分類も可能。ユーザー登録が必要になるが無料で利用できる。このようなサービスを使って、自社システムの対応が不十分なリスクを洗い出せる。NRIセキュアテクノロジーズの石川セキュリティコンサルタントは、「手軽に利用できるので自社のセキュリティ対策に利用してほしい」と話す。

 無料で利用できるリスク分析ツールはほかにもある。例えば、IPA(情報処理推進機構)が提供する「情報セキュリティ対策ベンチマーク」(https://www.ipa.go.jp/security/benchmark/)だ。このサービスは、組織の情報セキュリティ対策を自己診断できる。Web上で46項目の質問に答えると、散布図、レーダーチャート、スコア(点数)などで27のセキュリティ項目の診断結果が表示され、同業他社との比較結果も分析できる。

リスクをマッピングする

 続いて、洗い出されたリスクを基に対策の優先度付けをする。方法は様々だ。NRIセキュアテクノロジーズのストラテジーコンサルティング部 十川基上級セキュリティコンサルタントは「リスクを発生率と影響度の2つの軸でマッピングする手法が有効」と話す。このマトリックスに対して即着手すべきリスク、1年以内に着手するリスク、3年以内に着手するリスク、というように優先順位を付ける。

発生率と影響度でリスクの優先順位を決める
発生率と影響度でリスクの優先順位を決める
(NRIセキュアテクノロジーズの資料を基に作成)
[画像のクリックで拡大表示]

 この優先順位付けは、「セキュリティ製品を選ぶ際に役立つ」(十川上級セキュリティコンサルタント)という。セキュリティ製品の中には、高額だが影響度や発生率の低いリスクにしか対策できないものがあるからだ。セキュリティコストの最適化のためにも正しいリスクの順位付けが求められている。