私がこれまで手がけてきた案件の中でネットワークのセキュリティ診断を例にとってみますと、診断を行ったうち8割の企業が何らかの問題を抱えていました。これをシステムセキュリティ全体で見たら莫大な数になり、ほとんどの企業が何かしらのセキュリティ上の問題を抱えているという状態です。

そこで、セキュリティ診断を行う重要性についてご説明した第一回に続いて、今回はセキュリティ診断を実施する上での注意点やポイント、そしてセキュリティ診断に対するセコムトラストシステムズの考え方や取り組みなどを解説していきたいと思います。

セキュリティ診断は一度やったら終わりというわけではなく、継続的に行う必要があることは第一回でもお話しました。では、どんなタイミングで、どれくらいの頻度で診断を行うことが必要なのか、ひとつの目安をご紹介したいと思います。

たとえば、新規システムを導入する場合では、システムの設計段階でセキュリティ診断を実施し、さらに実際の稼働前でも実施することが必要です。もし、設計段階で実施せずに構築中に問題点が発覚すると、手戻しに多くの時間とコストがかかってしまいます。また、設計時に実施して安全だったとしても、構築中に何らかの問題点が生まれる可能性も十分にあります。なので、新規システム導入にあたっては、最低でもこの2つの段階で診断を行うとよいでしょう。

また、もちろんシステムの稼働後の診断も欠かせません。ネットワークやシステムを取り巻く環境は日々変化しているため、基幹系で重要性の高いシステムであれば3ヵ月に一度くらいは診断を行った方がよいでしょう。ほかにも、ネットワークまわりは半年に一度、クライアントPCの状態や利用環境に関しては、やはり3ヵ月に一度は診断を実施した方が無難です。

実際に、自社でこうした頻度でセキュリティ診断を行うのは容易ではありません。診断のトレンドや手法なども変化しますので、専門家に依頼するのが間違いないでしょう。そこで、もしセコムトラストシステムズでセキュリティ診断を受けるとどのような結果、成果物が得られるのかご説明しましょう。

セコムトラストシステムズのセキュリティ診断で得られるものは、以下の2つになります。 システムリスクのレポーティング（現状認識） 対策〜運用のための具体的なアクションプランの提示（改善案）

まずレポートについてもう少し具体的にご説明しましょう。通常、セキュリティ診断後に提供されるポートというと、実際のシステム管理者向けに専門的な見地で書かれていることがほとんどです。

しかし、セコムトラストシステムズのセキュリティレポートは、システムリスク＝経営リスクという認識があるため、経営層の人間が見て理解できるように設計されています。つまり、現場のシステム管理者にはセキュリティリスクが、経営層の人間には経営リスクが、それぞれどこに潜んでいるのかを知ることができる内容となっているのです。

次へ>>