複雑なセキュリティ対策、何から始めるべき?
サイバーセキュリティの専門家が最適な計画を策定します
セキュリティプランニングサービスが解決するお客様の課題
情報セキュリティ対策で必要な人・組織、技術、物理の領域にわたり、現状のセキュリティリスクアセスメント、必要な対策の洗出し、ロードマップ策定、お客様にフィットしたセキュリティ実施計画を支援します。
都度、都度の対策で、全体像がわからない
これまで場当たり的に導入してきた対策が、全体として適切に機能しているか不安。
現状のセキュリティ対策を「人・組織」「技術」「物理」の3つの側面から網羅的に評価し、
全体像を可視化、導入された対策を、位置づけや有効性を明確にすることで、
お客様が抱える不安を解消します。
費用対効果の高い対策を判断するのが難しい
多くの有効な対策がある中で、どれを優先すべきか、費用対効果を見極めるのが困難。
リスクアセスメントの結果に基づき、「リスク低減度合い」と「コスト」を明確に評価します。
これにより、お客様は費用対効果を客観的に比較し、最適な投資判断を行うことができます。
高度化する攻撃に対応できる専門知識が不足している
高度化するサイバー攻撃に対応するため、自社だけで適切な対策を検討するのは難しい。
最新のサイバー攻撃手法や技術動向を常に把握しており、最新の知見に基づいた評価と、
実効性の高い対策をご提案することで、お客様社内の専門知識不足を補います。
業界標準との比較で自社の立ち位置を把握したい
業界の標準と比べて自社の対策が適切か知りたい、今後何をすべきか知りたい。
ISO27000やNIST SP-800シリーズなどの国際的なフレームワークに基づき、お客様のセキュリティ対策を客観的に評価します。
自社の対策が業界標準と比べてどのレベルにあるのか、また、今後どのような対策が必要かを明確に把握することができます。
私たちが選ばれる理由
圧倒的な実績と
豊富な知見
最新動向への
対応力
計画から運用まで
一貫した支援
セキュリティプランニングサービスの3つのステップ
サービスの特徴
リスクアセスメント
人・組織、技術、物理の3側面から包括的に評価
お客様における情報セキュリティ対策の現況を把握するため、既存資料のレビュー、
および関係者へのヒアリングを実施し、セキュリティリスクの有無および度合いを評価します。
対策領域 | 対策項目 |
|---|---|
人・組織 | セキュリティポリシー、セキュリティマネジメントシステム(PDCA)、監査、教育、インシデント対応体制(CSIRT)、事業継続管理、等 |
技術(運用・技術) | ネットワーク、サーバー、データベース、アプリケーション、エンドポイント(PC)、クラウドサービス、認証、無線LAN対策、ログ/アラート監視、脆弱性/パッチ管理、バックアップ/障害復旧、暗号化、アカウント/アクセス権、運用・管理状況、等 |
物理・環境 | ゾーニング、入退室管理、カード/生体認証、盗難/紛失対策、耐震・空調・電力設備、等 |
アセスメント実施フロー
資料レビュー及びヒアリングから構成されるプロセスとなり、
情報を分析した結果を報告書にまとめてお客様へご提出します。
評価方法
リスクアセスメントにおいて、セキュリティリスクの有無およびリスク度合いは
人・組織は成熟度、技術は対策強度により評価します。
対策の洗い出し
お客様にフィットした対策を提案
アセスメント結果を踏まえ、「成熟度」と「対策強度」を明確に評価。
効果、緊急性、費用対効果を考慮した優先順位を付け、お客様と協議のうえ決定します。
進め方
対策洗出しは以下の通り、弊社でドラフトした対策一覧表をお客様と合同でレビューし、
レビュー時に得られたコメントや合意された内容を弊社で反映・最終化してご提出します。
この一覧表は次ステップにて行うロードマップ策定のインプットとなります。
ロードマップ策定
実現可能なロードマップを策定
洗い出した対策を、優先度や相関関係、依存関係を考慮しロードマップをお客様と合意された内容を
反映・最終化してご提出します。
このステップ完了後、「最終報告書」を作成し、最終報告会実施をもってプロジェクトクローズとなります。
最長3年程度の時系列に沿ったスケジュール案を作成します | |
|---|---|
短期施策(3〜6ヶ月) | 外部からのサイバー攻撃対策など、最優先で取り組むべき施策。 |
中期施策(6〜12ヶ月) | 社員教育や業務改善が必要な内部不正対策など。 |
長期施策(1年以上) | グループ内のガバナンス確立など長期的な取り組みが必要な施策。 |
アウトプット | セキュリティロードマップ(最終版) |
