「情報セキュリティ整備状況診断」の回答状況確認画面イメージ

 皆様のサイバーセキュリティ対応状況の確認の第一歩として、セルフアセスメント機能をご提供しています。

これは、「セキュリティ脅威と対策の必要性について」で説明する通り、どんな小さな企業でも最小限クリアしておくべきレベルを自己診断するものです。

情報セキュリティ・認証においてクリアすべき最少条件

 以下は、日米の基準の相関関係です。

この左端の部分、CMMCレベル1(以下、CMMC L1)およびIPA 25項目の対応状況をセルフアセスメントしていただきます。

 弊社では、IPA 25項目の要件に、CMMC L1をミックスした独自の設問をご提供いたします。

まずは、航空宇宙・防衛産業への入り口として、ここはクリアすべき最少条件となります。

IPA 25項目

 IPA(情報処理推進機構)は中小企業向けに、まず最初に必ず実行すべき基本的で重要な対策5か条を示しています。さらに、自社の情報セキュリティ対策がどの程度出来ているか診断する、全部で25項目となる自社診断項目がありあす。

中小企業の情報セキュリティ対策ガイドライン(IPAホームページ)参照
>付録3: 5分でできる!情報セキュリティ自社診断(全8ページ、3.9MB)

CMMC Level 1

 米国国防総省のCMMCとは、契約に関わるサプライヤー全てに対して、CMMC L1の認証を得ることを義務付ける方針です。

CMMC L1は、政府の仕事に関わる全ての事業者が、最初に遵守すべき最低条件です。これは、今後米国の仕事をするかどうかに関わらず、サイバーセキュリティ対策の基本であると考えます。

CMMCの説明サイト(DoD OUSD(A&S))【英語】
CMMC解説(当サイト)【日本語】
>CMMC L1の和英対訳表ダウンロード

 そして、診断結果を参考に、本サイトで背景の全体像を把握した後、自社が実現すべきセキュリティ対策の目標、具体的対策を明確にしていただければと思います。

 実施にあたってのご質問は、「お問合せ」より遠慮なくお寄せください。

エヴァ・セルフアセスメント
【情報セキュリティ整備状況診断】の概要

 セルフアセスメント機能は、このような画面により、ご自分で33項目+アルファの設問に4択で答えることで、自社の対応状況や、統計的な他社状況との比較を行うことが出来ます。

設問ガイダンスには、具体的な対応策や説明を加えてあり、自社の対応状況を確認するにはちょうど良い診断になると考えます。

約15分程度で、無料で行えますので、皆様ぜひご利用ください。

 アンケートに回答すると、自己診断・自動アドバイスレポートの自動出力などが行えます。

自己診断・アドバイスレポート(自動出力)

下図は、自動出力レポートの例です。今後内容は改善してゆきます。

情報セキュリティ整備状況診断(セルフチェック)の利用方法

(1) 操作について

  1. 設問は6種類のファミリーに分類された、全40項目あります
  2. 各設問には、4つの選択肢から1つを選んでください
  3. 選択した理由などをコメントに書いていただければ、後日コンサルタントからアドバイスをお送りいたします
  4. ファミリーの表示を切り替える際や評価の前には、お手数ですが必ず「回答を保存」してから操作してください (せっかく入力した内容が消えてしまいます)
  5. 全ての設問に答えたら、トップページの「簡易評価」ボタンで結果レポートをダウンロードしてください
  6. 選択を変更して簡易評価ダウンロードは何度でも出来ますが、保存されているのは最終状態のみです

(2) ユーザー登録方法

 最初に情報セキュリティ整備状況診断(セルフチェック)を行うための、ユーザー登録を行います。有効なメールアドレスであることを確認した上で、セルフチェック簡易評価のために必要ないくつかの項目を設定する2段階で行います。
※この登録およびセルフチェック(簡易評価含む)には費用はかかりません。
※「ユーザー登録」ボタンを押下することで 利用規約およびプライバシーポリシーに同意したものとみなしますので、ご確認の上でお進み下さい。
尚、こちらのサイトは、株式会社エヴァアビエーションが運営しております

<以降の登録、セルフチェック実施までの流れ>
(1)~(4) 以下のユーザー登録処理を行います
(5) 会社情報を入力します
(6) サインイン
(7) 情報セキュリティ整備状況診断(セルフチェック)実施

<1>(「ユーザー登録」をクリックすると次の画面に進みます)

「ユーザー登録開始」をクリックすると、以下の画面になります。はじめての方は、表示される画面右下の「今すぐサインアップ」をクリックしてください。

※すでにユーザー登録をされている方は、Eメールアドレス、パスワードを入力後、「サインイン」をクリックしてください。ユーザー認証後に情報セキュリティ整備状況診断(セルフチェック)の初期画面が表示されます。

<2>
ここで、登録するメールアドレスを入力して「確認コードを送信」を押すと、そのメールアドレス宛に確認コードが送られます。

<3>
送られたメール記載のコード(6桁の数字)を入力し、「コードの確認」をクリックしてください。(メールに再度、新しいコードを送り直す場合は「新しいコードを送信」をクリックしてください。)

<4>
確認コードが正しく入力された場合は、以下のようにパスワード(2回入力)、姓、名、表示名で入力し、「作成」をクリックしてください。

なお、パスワードの長さは8文字から64文字である必要があります。
ご利用のパスワードには、次のうち3つ以上を含める必要があります:

  • 小文字
  • 大文字
  • 数字
  • 記号

<5>
続いて会社情報の入力をします。画面の指示に沿って、会社名、資本金(規模)、売上(規模)、従業員数、業種を選択・入力してください。セルフチェック結果および評価は、同様にセルフチェックを行う他社には知らせることはありません。(ただし、相対評価のために社名を伏せて評価点のみ公開されます。)

<6>
入力した値に問題がなければ、上記の画面となり、登録完了です。

以降、セルフチェックをしようする際は、以下のボタンをクリックし、「新規登録」してください。

<注意事項> (本サイトの利用規約と同じ)

  • 不明な点は右下の「お客様サポート」チャットボットでご確認ください

(それでも解決しない場合は、「コンサルタントへのお問合せ/質問」(右側の黄色いボタン)でご質問をお送りください)

  • 本セルフチェックシステムで登録された情報は、弊社の個人情報保護方針に従い、個人情報に準ずるデータとして扱います。
  • セルフチェック結果および評価は、同様にセルフチェックを行う他社には知らせることはありません。(ただし、相対評価のために社名を伏せて評価点のみ公開されます。)
  • 「サイバーセキュリティお助け隊」事業遂行と弊社が今後御社に対して行うサービスの連絡を利用目的として、登録された情報およびセルフチェック結果を利用いたします。(コンサルタントコメントなど)
  • 「サイバーセキュリティお助け隊」事業に基づいて行うセルフチェック結果については、コンサルタントコメントを行う弊社のみが管理し、事業関係者(株式会社PFU、富士通株式会社、IPA独立行政法人 情報処理推進機構)間では実施有無・日付等の情報のみ共有します。
  • 本登録では、1社に対して1名の担当者の登録とします(どうしても、1社に複数名の登録を希望される場合は、システム管理者までメール(お問合せ/質問)でご相談ください)

33項目+アルファの設問について

 情報セキュリティ整備状況診断に関するセルフアセスメントは、CMMCレベル1およびIPA 25項目への対応状況を評価するための33の設問と、+アルファとしてCMMCレベル3の内多要素認証「暗号化」に関連する2つのプラクティスに対応した2つの設問で構成されています。

 全35の設問は、以下のファミリーに分類されています。

  1. ウィルス対策
  2. ユーザー権限管理
  3. インターネット利用時の対策
  4. 不正侵入防止対策
  5. データ保護・廃棄管理
  6. 入退室・施錠管理
  7. セキュリティ対策ルール運用
  • IPA 25項目の設問:

 IPAの「5分でできる!情報セキュリティ自社診断」の25個の診断項目に答えることで、御社における情報セキュリティの課題を簡単にチェックできるようになっています。

  • Part1:基本的対策(5設問:設問番号IPA-1~IPA-5)
  • Part2:従業員としての対策(14設問:設問番号IPA-6~IPA-19)
  • Part3:組織としての対策(6設問:設問番号IPA-20~IPA-25)

 各設問の内容が分からない場合は、動画による学習教材であるIPAの「5分でできる!ポイント学習」の「自社診断シート25問に対応した学習コース」を活用ください。こちらは無料ですが、学習の履歴を把握するためにユーザー登録が必要となります。

 「5分でできる!情報セキュリティポイント学習」は、主に中小企業で働く方を対象とした、 無料の学習ツールです。インターネット接続環境があれば、いつでもどこでも学習可能!インストールは不要です。情報セキュリティについて1テーマ5分で勉強でき、学習の中止や再開が可能で、一度に多くの時間を費やす必要はありません。

 身近にある職場の1コマを取り入れた親しみやすい学習テーマで、セキュリティに関する様々な事例を疑似体験しながら適切な対処法を学ぶことができます。日頃のセキュリティ意識の確認にご活用ください。

5分でできる!情報セキュリティポイント学習(IPA)

 なお、「自社診断シート25問に対応した学習コース(ダウンロード版PDF)」については、設問に対応した“設問ガイダンス”からも参照できます。

  • CMMCレベル1の設問:

 CMMCレベル1のプラクティスに対応した8つの設問と上記IPA設問に含まれる7つの設問に答えることで、あなたの会社のCMMCレベル1のセキュリティ対策の問題を簡単にチェックできるようになっています。

 CMMCレベル1のプラクティスと設問の関係を、以下に示します。

CMMCレベル1プラクティス設問番号設問
(AC.1.001)システムへのアクセスは、権限のあるユーザー、あるいは権限のあるユーザーの代理として動作するプロセスまたは(その他のシステムを含む)装置に限定する。
(AC.1.002)システムへのアクセスは、権限のあるユーザーが実行を許可されている各種のトランザクションおよび機能に限定する。		IPA-4重要情報※2 に対する適切なアクセス制限を行っていますか?
(※2 :重要情報とは営業秘密など事業に必要で組織にとって価値のある情報や顧客や、従業員の個人情報など管理責任を伴う情報のことです。 )
(AC.1.003)外部システムへの接続および使用を検証し、管理/制限する。IPA-23クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定していますか?
(AC.1.004)公衆アクセス可能なシステム上に掲載または処理された情報を管理する。CMMC-1-1ニュースリリース等外部公表する情報を管理、制限し、契約情報を含む可能性のある情報を、公開Webサイト等に掲載許可しないようにしていますか?
(IA.1.076) システムのユーザー、あるいはユーザーの代理として動作するプロセスまたは装置を特定する。CMMC-1-2システムを利用できるユーザー、装置等を特定し、IDを発行し、付与していますか?
(IA.1.077)
組織のシステムへのアクセスを許可する前提条件として、それらのユーザー、プロセスまたは装置のアイデンティティーを認証(または検証)する。		CMMC-1-3ユーザー、装置等がシステムを利用できるようにする前に、ユーザー、装置等のIDをパスワード等により認証していますか?
MP.1.118)FCI(米国政府契約情報)を含むシステムの記憶媒体を廃棄または再利用する前に、サニタイズ(情報除去)または破壊する。IPA-18重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか?
PE.1.131)組織のシステム、装置、およびそれぞれの運用環境への物理的アクセスを、権限のある人に限定する。CMMC-1-4社内施設(事務所、工場等)や社内システム・装置のアクセス(入室、利用)を許可した人に限定していますか?
(PE.1.132)訪問者をエスコートし、その活動を監視するIPA-15関係者以外の事務所への立ち入りを制限していますか?
(PE.1.133)物理的アクセスの監査ログを保持する。CMMC-1-5社内施設(事務所、工場等)や機器に、いつ誰がアクセス(入室、利用)しているか記録を残していますか?
(PE.1.134)物理的アクセス装置を管理・監督する。IPA-16退社時にノートパソコンや備品を施錠保管するなど盗難防止対策をしていますか?
(SC.1.175)組織の通信(すなわち、組織のシステムによって送受信される情報)を、システムの外部境界および主要な内部境界において監視・管理・保護する。CMMC-1-6社内システムをインターネット接続する場合、ファイアウォール、Webプロキシ等を利用して、送受信される情報を監視・管理・保護していますか?
(SC.1.176)内部ネットワークから物理的・論理的に分離された、公開アクセス可能なシステムコンポーネント用のサブネットワークを実装する。CMMC-1-7外部に公開するWebサーバ、メールサーバ等がある場合、内部ネットワークから分離されたDMZセグメントに配置していますか?
SI.1.210)情報およびシステムの欠陥をタイムリーに特定し、報告し、修正する。IPA-1パソコンやスマホなど情報機器の OS やソフトウェアは常に最新の状態にしていますか?
(SI.1.211)組織のシステム内における適切な場所で、悪意のあるコードからの保護機能を提供する。
(SI.1.212)悪意のコード保護メカニズムについて、その新リリースを入手できるようになった時に、それを更新する。		IPA-2パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイル※1 は最新の状態にしていますか?
(※1:コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれます。)
(SI.1.213)組織のシステムの定期的スキャンを実行すると共に、外部ソースからのファイルのリアルタイムスキャンを、ファイルがダウンロードされ、開かれ、実行される都度実行する。CMMC-1-8パソコンやスマホなどについてウイルス対策ソフトで、定期的にスキャンすると共に、外部からのファイルをリアルタイムスキャンしていますか?

+アルファの設問:

 +アルファの設問としてCMMCレベル3の中の多要素認証と暗号化に関連する2つのプラクティスについて、セキュリティ対策の課題をチェックできるようになっています。

  • 多要素認証(CMMCレベル3プラクティス;IA.3.083、設問番号:CMMC-3-1)
  • 暗号化(CMMCレベル3プラクティス;MP.3.124、設問番号:CMMC-3-2)

※設問ガイダンスについて

  • 各設問には、設問で要求されている内容の解説と対策例を表示しています。
  • CMMCプラクティスに対応した設問には、該当のプラクティスを表示しています。
  • 参考情報として、各設問に関連する、防衛省情報セキュリティ基準の該当条項を表示しています。

お問い合わせ・コンサルタントのご相談

情報セキュリティ・認証に関するご質問、コンサルタントのご相談は、下記フォームよりご連絡ください。

    必須氏名

    必須メールアドレス

    任意会社名

    必須お問い合わせカテゴリ

    必須お問い合わせ本文