セキュリティ評価をするにはお金と時間がとてもかかる。評価結果もせいぜい「OKだが、改善が望ましい」くらいなので、たいていの会社では評価のために外部のセキュリティコンサルタントを雇ったりしないのが現状だ。

そこで、Information Security Resourcesの「企業のための5分でできるセキュリティ評価(原題: 5 Minute Security Assessment for Businesses)」という記事に紹介されているセキュリティの自己評価を紹介しよう。

評価の手順は以下のとおり。

• 以下の質問に「はい」か「いいえ」で答える
• 中間だったら「いいえ」にする
• 質問終了後、スコアを合計する

では、質問だ(満点は36点)。

1. ネットワークの進入口のすべてでファイアウォールが稼動しているか? (はい: 5点 / いいえ: 0点)
2. すべてのファイアウォールを制御しているか? (はい: 5点 / いいえ: 0点)
3. 以下のポリシーを実施しているか? 実施しているなら、それぞれに1点
   • パスワードの複雑性(文字種、長さなど)
   • パスワードの有効期間(定期的に変更させているか)
   • パスワードの履歴(以前使用したパスワードを使えなくするため)
   • ログオン時間(勤務時間以外は使用させない、など)
   • 制御されたレジストリの編集(バックアップしておく、など)
4. 全員がユニークなユーザー名を持っているか? (はい:5点、いいえ:0点)
5. すべてのサーバとクライアントでログオン/ログオフ時間の監査が可能か? (はい: 5点 / いいえ: 0点)
6. パッチ、バージョンアップ、新しいソフトウェアの本番適用の前のテスト環境があるか? (はい: 5点 / いいえ: 0点)
7. 上記の質問を業務プロセスとして統制するための文書はあるか? (それぞれについて1点 / 6点満点)

評価結果は以下の通り。

30 - 36点: とてもよいセキュリティ

今後もセキュリティレベルの向上を続けよう。

20 - 30点: まずまずのセキュリティ

基本的なセキュリティ対策はできている。セキュリティ対策を業務として正式に位置づけるようにしよう。

10 - 20点: 必要最低限のセキュリティ

本当に最低限のセキュリティだ。やらなければならないことは多い。

0 - 10点: セキュリティ事故が起こるのを座して待つのみ!

今すぐセキュリティ管理者をクビにして、もっとましな管理者を雇おう。

1、2、4は常識的にやっているとして、3の後半とか、5はしっかりとはやられていないのでは? 6は日本版SOX法(J-SOX)でやかましく言われている変更管理だが、7の文書化まではできいるだろうか? 筆者の所属する組織でざっくりと評価してみた結果から類推するに、普通の日本企業なら20点くらいではないだろうか。

さて、読者の方々の環境はいかがだっただろうか。あまりにひどい点数だったら、お金を惜しまず外部のコンサルタントを雇うことも検討したほうがいいかもしれない。