今日の企業は、複雑化するIT環境の運用管理に加え、高度化した外部からの攻撃、脅威などにさらされている。既に報道されている日本の企業や政府を対象にした標的型メール攻撃や、攻撃者がマルウェアを用いて内部ネットワークに攻撃基盤を確立しながら持続的な攻撃を行う「Advanced Persistent Threat(APT)」、SQLインジェクション攻撃などの手法で改ざんしたWebサイトを悪用した「ドライブ・バイ・ダウンロード攻撃」など、セキュリティの脅威は後を絶たない。
そのような状況でいざセキュリティ対策を講じるとなると、考慮しなければならない点が広範囲で、どこから手を付けていいのか難しく感じてしまうかもしれない。従って、適切なセキュリティ対策を選択するためには、まずは自社のセキュリティ環境のどの領域に脆弱性があるのかをしっかりと把握しておく必要がある。
「セキュリティ診断」の体系付けられた質問に答えるだけで、自社のセキュリティレベル、脆弱性ポイントがすぐ分かる。「ひと」「データ」「アプリケーション」「インフラストラクチャ」「GRC(ガバナンスリスクコンプライアンス)」に関する計25問の質問に答えることで、自社のセキュリティ対策のレベル・弱点を把握できる。
※セキュリティ診断を行うには、アイティメディアIDにログインしておく必要があります。
「ひと」に関する質問
Q1複数のシステムやアプリのユーザーIDは一元管理されている
Q2ユーザーIDのライフサイクルに合わせた管理基盤やインターフェイスが整備されている
Q3定期的に、推測されにくいパスワード変更を強制的に実施している
Q4「root」や「Admin」の特権IDを複数名で使い回しせず、使用状況が管理されている
Q5シングル・サインオン、ワンタイム・パスワード、二要素認証など認証基盤を整備、強化している
「データ」に関する質問
Q6機密データを分類、アクセス制御や使用状況を把握、保護対策を実施している
Q7データのマスキングや暗号化による情報漏えい防止を対策してる
Q8データベースへのアクセス制御やリアルタイムによるモニタリングを行っている
Q9データ保全の監査を目的としたコンプライアンス実証できる仕組みがある
Q10仮想環境(クラウド)における環境特有のデータ保護対策を実施している
「アプリケーション」に関する質問
Q11セキュリティー対策を施されたWebアプリやモバイル・アプリの開発を行った
Q12開発したアプリケーションのソースコード・レベルで脆弱性が存在するかチェックを行った
Q13Webアプリケーションの定期的な脆弱性診断を実施している
Q14各種サーバーやアプリケーションのセキュリティー・ポリシーは統一されている
Q15開発ライフサイクルとワークフローが確立しており、新たな脆弱性を作らないメンテナンスを実施している
「インフラストラクチャ」に関する質問
Q16FirewallやIPSはインターネット境界やセグメント単位に導入済である
Q17全社PC、サーバーのパッチ適用状況を把握、もれなく最新パッチを適用している
Q18ネットワーク内に起きている異常な挙動を検知、分析、対応を実施している
Q19社内PCやモバイルPC、スマホ、タブレットを含むエンド・ポイントの管理を行っている
Q20仮想化環境における脅威やリスクを把握、セキュリティー対策を実施
「GRC(ガバナンスリスクコンプライアンス)」に関する質問
Q21標的型攻撃やサイバー攻撃の仕組み、手法を理解し、最新の攻撃パターンを把握する機会を定期的に設けている
Q22セキュリティー・ポリシーの策定や運営、監査する体制を整備している
Q23IT機器やアプリ、OS、セキュリティー機器が生成するログやイベント情報を取得し、分析、問題が無いことを証明できる
Q24セキュリティー・事故発生時に対応する専任者、体制を整備している
Q25セキュリティー視点による分析、対策、評価の仕組みを確立し、企業イメージへの影響を想定把握している
会員登録(無料)が必要です
続きを読むには、[続きを読む]ボタンを押して会員登録あるいはログインしてください。
Copyright © ITmedia, Inc. All Rights Reserved.
