自治体では情報セキュリティポリシーが策定されていますが、規定しただけではセキュリティは守れません。物理的・可視的な現象については人による確認ができますが、IT上の運用は容易に目視できないため困難です。このため、情報システム上のセキュリティリスクを可視化する有効な手段としてセキュリティ診断ツールがあります。
　 前号までこのコーナーで「良いパスワード」、「利用者アクセス管理」等の御紹介をしました。利用者が規定どおり情報システムを利用して、初めてセキュリティ対策の効果が表れます。また、情報システムを導入した当初は規定を遵守していても、時間の経過とともにセキュリティレベルが低下することはよくあることです。
　 このため、情報セキュリティ対策の実効性を担保するためには、定期的・継続的にセキュリティ診断・監査を行い、人的には困難なチェックを効率的に行うための技術的手段の投入も重要です。
　 今回は、この技術的手段の一つとしてセキュリティ診断ツールについて御紹介します。

これまでセキュリティ診断ツールは、高額で、活用するには高度な専門的知識が必要でありましたが、近年では、ITの基礎知識があれば、比較的安価に活用できるツールが発売されています。

対象パソコンに診断ツールをコピーしパソコンの内側から診断するもので、組織のポリシーに合わせ、パスワード長、有効期限等のしきい値を設定し実行する。
　 短時間の処理で正確に情報を収集し分析を行い、その結果を詳細レポートに出力することができる。
　 また、ISMSの監査証跡としても活用できる

●アカウント管理の診断
　 対象パソコンに設定されているOSレベルのアカウントの状態が把握できる。情報漏えいリスクのあるアカウント（使用頻度が低い、人事異動／退職などで使われていない等）の検出ができる。
　 ●セキュリティパッチ適用の診断
　 OSベンダーからリリースされているセキュリティパッチの対象パソコンに対する適用状態が把握できる。

●パスワード設定の診断
　 対象パソコンでのパスワード管理状況及び安易なパスワードを持つアカウントの存在が把握できる。
　 ●その他の診断
　　 ・ログインアクセス設定
　　 ・ネットワーク設定
　　 ・ログ記録設定
　　 ・サービス設定 など OSレベルの設定状況

●分かりやすい診断結果
　 診断した各項目について、その結果がグラフで表示される。どの領域が最も危険で優先的に対処すべきか一目瞭然で分かる。「警告」、「注意」など段階的に区分して危険な状態にあることが示される。
　 ●脆弱性の分析
　 対策を必要とする、特に危険な脆弱性について指摘される。また、各脆弱性について、「内容」、「考えられるリスク」及び「対策」に分けて報告される。
　 ●対策方法が明示
　 診断結果について、「内容」、「説明」及び「対策方法」について助言の報告がされる。「対策方法」は、設定操作の方法が具体的に記述される。