自社の情報セキュリティ対策が、他社と比較してどのようなレベルにあるのかを確認することは、自社の対策を客観的に評価する手法の1つとして有益である。これをどのように行うことができるかを紹介する 自社のリスク分析・評価手法に基づいて、経営者が許容できる残留リスクレベルの意思決定を行い、情報セキュリティ対策のレベルを主体的に定めることを、前回の「情報セキュリティ対策レベルの決め方」で紹介した。その中で、他社のセキュリティレベルとの相対比較による確認を行う手段として「情報セキュリティ対策ベンチマーク」が有効であることに触れた。 今回は、このベンチマークの活用法について具体的に解説しよう。 情報セキュリティ対策を他社と比較する目的 最初に、情報セキュリティ対策を他社と比較することの目的を整理しておこう。 第1の目的は、他社と比較して自社の位置を確認することであり、自社の取り組みが妥当であるかどうかの目