サイバーセキュリティ・アセスメント ロードマップ策定サービスとは
お客様の考えや想いを理解し、使命感を持って「現在」そして「未来」のサイバー・セキュリティリスクからお守りするための「リスクアセスメント」から「ロードマップ策定」までを実施いたします。また、近年注目されている制御系の環境に対してもサービスを提供しています。
特徴
リスクアセスメント
- 社内ポリシーやご利用製品、その運用状況を基にお客様の対策状況を分析
- どのようなセキュリティリスクを持っているかの調査
リスクアセスメントについては、弊社セキュリティプロフェッショナルサービスの点検プロセスで実施する
「情報セキュリティ監査サービス(情報セキュリティ監査基準<経済産業省>準拠)」を適用。
対策の方向性を提示
- 業界を取り巻くサイバー脅威を分析し、お客様に最適なセキュリティ対策を提案
ロードマップ策定
- お客様の環境に合わせた優先度を考慮し、セキュリティ対策実施のロードマップを作成
このようなお悩みを解決します
- 自社に合わせたサイバーセキュリティを専門家に見てもらいたい
- 常に最新のサイバーセキュリティを施しておきたい
- サイバー脅威といっても、どのような脅威があるのかがわからない
- 自社の現状の環境を見直してほしい
主なサービス
【リスクアセスメントの例】
項番 | チェック事項 | チェック事項詳細 | 確認結果 |
---|---|---|---|
1 | データセンターの所在する地域(国、州など) | バックアップを含め、国内のみを選択できること。 | データセンターは欧州、米州、アジアに点在。 データの保管場所を選択できるが、国内は選択できない。 |
2 | 紛争時の準拠法、管轄裁判所 | 紛争時の準拠法と管轄裁判所を確認する。 (経産省ガイド「15.1.1 適用法令の識別」) |
紛争時は○○州法に準拠する。 「サービス提供契約」 準拠法。本規約または本サービスに起因、または関連するいかなる主張についても、(抵触法の規定を除く)○○州法に則って、○○州内に所在する裁判所においてのみ訴訟手続きを取ることができるものとします。両当事者は、これらの裁判所の対人管轄権に同意するものとします。 |
3 | データの暗号化 暗号鍵のユーザー管理 |
クラウドサービス上のデータを暗号化し、その暗号鍵を、クラウド事業者ではなく、ユーザーが管理する機能を実装できること。 (経産省ガイド「12.3.2 かぎ(鍵)管理」) |
ユーザー側でデータ暗号化する機能は提供していない。 |
4 | 管理者用Webインタフェースの認証方法 (多要素認証、パスワード管理) |
パスワードの有効期限を設けていること。 多要素認証を利用していること。 |
パスワードの有効期限を設定していない。 ※二要素認証機能を利用することで不正ログインの可能性を極小にすることは可能。 |
5 | 監査の実施可否 | クラウド利用者からの監査要求を受け入れ可能であること。 | 公開情報からは、クラウド利用者からの監査要求の受け入れに関する記述は確認できない。 |
【ロードマップの例】
No. | 対策 | 初年度 | 2年目 | 3年目 | |||
---|---|---|---|---|---|---|---|
1Q | 2Q | 3Q | 4Q | ||||
1 | プロセスの標準化 モニタリング |
業務システム規程等の更新 関連規程の新規作成 |
ルール見直し | ルール見直し | |||
2 | 資産棚卸と分類 リスク分析 |
リスク分析 | リスク分析 | ||||
3 | クラウドサービスのリスク評価 | クラウドサービス要求事項 ガイドラインの作成 |
クラウド評価 | クラウド脆弱性診断 | クラウド評価 | ||
4 | 脆弱性診断の範囲拡充 | プラットフォーム診断 | Webアプリ・プラットフォーム診断 | Webアプリ・プラットフォーム診断 | Webアプリ・プラットフォーム診断 | ||
5 | インシデント対応力の強化(技術的) | エンドポイント検知・防御効果 | アドバイザリーサービス | ||||
サーバの検知・防御の強化 | ログ分析の定義設定 | ログ分析の定義設定 | |||||
6 | インシデント対応力の強化(人的) | セキュリティ教育 | インシデント訓練 標的型メール訓練 |
セキュリティ教育インシデント訓練 メール訓練 |
セキュリティ教育インシデント訓練 メール訓練 |