はじめに
6DSの全体像を理解しても、最初に迷うのは「どこから手を付けるか」です。本稿では、6DSアセスメントを通じて現状を整理し、弱点の可視化と優先順位付けまでを一気に進める設計手順を示します。
1. アセスメントの目的と前提
6DSアセスメントの目的は三つです。
- 現状を事実ベースで把握する
- 弱点を構造的に可視化する
- 次にやるべきことを決める
ここで重要なのは、完璧な点数化や細かい評価を目指さないことです。目的は評価ではなく、意思決定の材料を作ることにあります。
2. 4ステップの進め方
進め方は次の四段階です。
- ダイヤルごとの現状整理
- 成熟度の判定
- ギャップの可視化
- 優先順位付け
各ステップの狙いは次の通りです。
| ステップ | 狙い | 成果物 |
|---|---|---|
| 現状整理 | 事実の棚卸し | ダイヤル別の現状メモ |
| 成熟度判定 | 相対的な位置づけ | ティア評価 |
| ギャップ可視化 | 弱点の特定 | 弱点の分布図 |
| 優先順位付け | 次の一手の決定 | 取り組み順 |
3. 成熟度とギャップの捉え方
成熟度は次のように段階で捉えます。点数化ではなく相対評価で十分です。
| ティア | 状態 | 典型的な特徴 |
|---|---|---|
| Tier0 | 未整備 | 人依存の運用で結果がばらつく |
| Tier1 | 部分導入 | 部門ごとにやり方が異なる |
| Tier2 | 全体導入 | 全社で同じルールがあるが、定着がまだ |
| Tier3 | 運用定着 | 仕組みが自動で回り、常に改善されている |
用語注釈
- 属人運用(Tier0):特定の人に頼る運用で、その人がいないと回らない状態
- 再現性:同じやり方を繰り返しても、毎回同じ結果が得られる性質
ギャップが見えると優先順位が決まります。判断軸は次の三つです。
| 観点 | 見るポイント |
|---|---|
| リスク | 問題が起きた時の被害は大きいか |
| 実装難易度 | 実現するための技術と人手はどれだけ必要か |
| 波及効果 | 他のダイヤルにもプラスになるか |
4. 簡易チェックと正しい使い方
ダイヤルごとの簡易チェック例です。
| ダイヤル | チェックポイント |
|---|---|
| 本人認証 | MFAの耐性とID統合があるか |
| 利用端末 | 管理下端末を識別し是正できるか |
| 通信経路 | VPN前提から脱却できているか |
| 権限管理 | 高リスク操作が分離されているか |
| データ保護 | データ分類と復元訓練があるか |
| 検知・対処 | 異常検知と初動が回るか |
やってはいけない使い方は、点数を競うことと監査資料で終わることです。アセスメントは「次の一手」を決めるための地図として使います。
おわりに
6DSアセスメントは、構造で弱点を見つけ、優先順位を説明できるようにするための実践ツールです。次回は、アセスメント結果をロードマップに落とし込む手順を扱います。