2006年6月に成立した日本版SOX法(厳密には金融商品取引法)により,多くの企業が内部統制の強化を迫られている。その一部として,「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」で,情報セキュリティの強化を求めている。では,企業ユーザーは内部統制強化のために,どの観点でのセキュリティをどのレベルまで強化したらよいのか。一口にセキュリティと言っても,範囲は広く,導入の手間やコストを考えれば,施策を適切に取捨選択したいところだ。 セキュリティ・レベルが「一定の水準」に達しているかどうかを判断するには,例えば情報処理推進機構(IPA)が公開している「情報セキュリティ対策ベンチマーク(セルフチェック)」ツールを使う方法がある。このツールを使って, 情報セキュリティに対する組織的な取組状況(7項) 物理的(環境的)セキュリティ上の施策(5項) 通信ネットワーク及び情報システムの運