情報処理推進機構(IPA、西垣浩司理事長)は4月21日、ウェブサイトで公開している「情報セキュリティ対策ベンチマーク」の機能を改善し、新バージョン3.1でのサービスを開始したと発表した。同時に、英語版バージョン3.1も公開した。

 「情報セキュリティ対策ベンチマーク」は、組織の情報セキュリティ対策の取り組み状況25項目と、企業プロフィール15項目を回答することで、他社と比較し、自社の取り組み状況がどのレベルかを確認できる自己診断システム。診断時の回答項目は、ISMS認証基準付属書Aの管理策をベースに作成しており、ISMS適合性評価制度を用いるよりも、簡便に自己評価を行うことができる。

 今回のバージョン3.1では、トータルスコアの度数分布状況や偏差値など、診断結果の表示項目を追加。レーダーチャートに最新の診断結果と過去の診断結果(2回分)を同時表示するほか、散布図にも最新の診断結果における自社の位置と過去の自社の位置(2回分)を同時表示する。スコア一覧や推奨される取り組みの表示も行える。

 また、情報セキュリティを巡る環境変化や対策レベルの変化を勘案し、最新2年分のデータを採用することにした。原則として過去2年間のデータを診断の基礎データとし、定期的にデータの見直しを行うほか、比較対象が頻繁に変化することのないよう、09年4月までの1年間は診断の基礎データを固定にする。また、診断の基礎データの数(標本数)を診断結果に表示するほか、診断の基礎データの統計情報や比較対象となるデータの平均値なども公表する。

 診断結果はPDFファイルとして保存や印刷ができるため、資料としてさまざまな用途での利用が可能。ISMS認証取得や、情報セキュリティ監査の準備段階で使用することもできる。また、政府機関統一基準適用個別マニュアル「外部委託における情報セキュリティ対策に関する評価手法の利用の手引」では、政府機関が外部委託先の情報セキュリティ水準を評価する方法として、同システムを活用できることが示されている。