情報セキュリティ通信

ツイート

例えばネットワークのセキュリティ診断では、診断を行ったうち8割の企業が何らかの問題を抱えていたという結果が明らかになりました。これをシステムセキュリティ全体で見たら莫大な数になり、ほとんどの企業が何かしらのセキュリティ上の問題を抱えているという状態がわかります。
そこで、セキュリティ診断を行う重要性についての内容を踏まえ、セキュリティ診断を実施する上での注意点やポイント、そしてセキュリティ診断に対する考え方や取り組みなどをお届けします。

■セキュリティ診断はいつ、どれくらいやるべきか

セキュリティ診断は一度やったら終わりというわけではなく、継続的に行う必要があります。
では、どんなタイミングで、どれくらいの頻度で診断を行うことが必要なのでしょうか？

たとえば新規システムを導入するといった場合、システムの設計段階でセキュリティ診断を実施し、さらに実際の稼働前でも実施することを推奨します。
なぜなら、設計段階で診断を行わず構築をはじめた際に問題点が発覚すると、その問題のために予想していない時間・コストがかかってしまいます。また、設計時に実施して安全だったとしても、構築中に何らかの問題点が生まれる可能性も考えられます。
なので、新規システム導入にあたっては、最低でもこの2つの段階で診断を行うとよいでしょう。
また、システムの稼働後にも、基幹系で重要性の高いシステムであれば3ヵ月に一度は診断を行った方がよいでしょう。
ほかにも・ネットワークまわりは半年に一度、クライアントPCの状態や利用環境に関しては、3ヵ月に一度は診断を実施すると安心です。

実際に、自社でこうした頻度でセキュリティ診断を行うのは容易ではありません。診断のトレンドや手法なども変化しますので、専門家に依頼するのが間違いないでしょう。