セキュリティ診断は一度やったら終わりというわけではなく、継続的に行う必要があることは第一回でもお話しました。では、どんなタイミングで、どれくらいの頻度で診断を行うことが必要なのか、ひとつの目安をご紹介したいと思います。
たとえば、新規システムを導入する場合では、システムの設計段階でセキュリティ診断を実施し、さらに実際の稼働前でも実施することが必要です。もし、設計段階で実施せずに構築中に問題点が発覚すると、手戻しに多くの時間とコストがかかってしまいます。また、設計時に実施して安全だったとしても、構築中に何らかの問題点が生まれる可能性も十分にあります。なので、新規システム導入にあたっては、最低でもこの2つの段階で診断を行うとよいでしょう。
また、もちろんシステムの稼働後の診断も欠かせません。ネットワークやシステムを取り巻く環境は日々変化しているため、基幹系で重要性の高いシステムであれば3ヵ月に一度くらいは診断を行った方がよいでしょう。ほかにも、ネットワークまわりは半年に一度、クライアントPCの状態や利用環境に関しては、やはり3ヵ月に一度は診断を実施した方が無難です。
|