東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

短期的なPDCAを行うための
現状確認

組織の成熟度を上げるPDCAの中でも現状確認の重要性を説明しました。企業の全体像を把握し長期の計画を作る中ではCSFを用いた現状確認を行いました。Do(実行)の中で行う短期のPDCAでも現状を把握するところから考えることは重要です。

Point① アンケート調査による現状把握

従業員が普段どのように業務で情報資産を取り扱っているかなど、セキュリティ担当者の目からは見えない点を把握していきます。

アンケートの質問例
  1. セキュリティの基本方針はどこに掲載されていますか?
  2. セキュリティ規程やガイドラインはどこに保存されていますか?
  3. ヒヤリハットや事故およびその疑惑がある場合にどこに連絡しますか?
  4. 会社のネットワークを業務以外に利用していませんか?
  5. 会社が定めるIT環境以外を業務で利用していませんか?

このようなアンケートを最初に取得することにより、従業員の理解が弱い点に対してアプローチしやすくなります。
また、Check(評価)でも同じようにアンケートをとることで、活動後にどのような変化があったかを把握することができます。そして、定期的(例えば月に1度)に実施することで、従業員が気をつけるべき点を繰り返し意識づけすることができます。

Point② テストによる理解度把握

従業員の理解度を測るためには、テストをするということも有効です。テストで点数が悪い点を重点的に補強することができます。JNSA(日本ネットワークセキュリティ協会)では情報セキュリティ理解度チェックを運営しています。これらを活用しセキュリティのテストを行うことも有効です。

テストによる理解度把握

出典:JNSA(日本ネットワークセキュリティ協会)
情報セキュリティ理解度チェック
https://slb.jnsa.org/slbm/

Point③ 脆弱性診断によるシステムの現状把握

脆弱性診断というサービスを活用することで、自社のシステムの弱点を調査してくれます。診断を受けて、自社システムの状態を把握することができ、システムの改修などを計画しやすくなります。

脆弱性診断によるシステムの現状把握