貴社のセキュリティ対策の現状を”見える化”し
本当に必要な次の一手を明確にします
サービス概要
お客様の情報セキュリティ対策の現状を「人・組織」「技術」「物理環境」の3つの側面から客観的に評価し潜在的なリスクを可視化します。
漠然とした不安を解消し、費用対効果の高い、最適なセキュリティ対策の実施計画を策定することができます。
可視化された現状と推奨水準のギャップから、お客様に本当に必要な対策が明確になります。
サービスが解決するお客様の課題
セキュリティの全体像が分からない
自社全体としてセキュリティが保たれているのか、全体像が分からない。
網羅的な調査
「人・組織」「技術」「物理環境」の3つの側面から、対策状況を調査・情報収集します。
第三者評価
既存資料とヒアリングに基づき、専門家の視点から客観的に評価します。
セキュリティの全体像を「見える化」し
最適な次の一手を明確化します
個別の対策は行っているが、適切に対策されているかわからない
システムの更新やインシデント対応にあわせて、その都度対策を導入してきたが、適切に対策されているか、優先順位があっているかわからない。
リスクレベルの定義
評価で発見された課題に対し、リスクレベルを「高」「中」「低」で定義対応の緊急度を明確にします。
想定されるリスクを具体化
改善・強化が必要な事項の想定されるリスク(情報漏えいや改ざん等)とその緊急度合いを詳細に記載します。
「高」リスクの課題から着手すべきことが明確になり
客観的な評価とリスクレベルに基づいて、
「何を優先すべきか」の判断基準が得られます。
高度な攻撃に対応するための専門的な知見が社内にない
高度化した攻撃に対応するための高い専門性が必要となり、自社の知見での検討が難しい。
インシデント発生時の対応体制に不安がある。
専門家による評価
情報セキュリティの戦略、組織、人、プロセス、技術、物理環境の各領域にわたる第三者評価(アセスメント)を、高い専門性を持つ弊社コンサルタントが実施します。
網羅的な知見の活用
評価には、ISO27000シリーズやNIST SP-800シリーズなどの業界標準フレームワークに基づいたリスク評価ツールを使用します。
最新の脅威動向や業界標準を踏まえ、
高度化した攻撃に対応できているかを客観的に判断。
今後何をすべきかを明確に示します。
お客様は高度な専門性を自社で保持することなく、
専門家のお墨付きを得た次期セキュリティ実施計画を策定できます。
業界標準と比較して、自社の対策が適切かどうかを知りたい
業界の標準と比較して適切なのか、今後何をしたらよいのか知りたい。
標準フレームワークの活用
評価には、ISO27000シリーズやNIST SP-800シリーズなどの業界標準フレームワークを活用した弊社リスク評価ツールを使用します。
ベンチマークとの比較
想定されるセキュリティ脅威に対する現状の施策状況を評価し、弊社推奨の水準データと比較します。
「業界標準とのギャップ」を解消し、客観的な適正性を確認。
ベンチマークとのギャップを基に、今後何をすべきか 、
改善・強化が必要な事項を明確に提示。
業界標準を満たすための具体的なロードマップ策定が可能となります。
私たちが選ばれる理由
お客様の視点に寄り添った3つの強みがあります。
徹底的な
可視化
漠然とした不安ではなく、具体的なデータに基づいたリスクを把握できます。
優先度をつけて
改善提案を実施
早急に対応すべき課題と中長期的に取り組むべき課題が明確になり、リソースを最も効果的に活用するための計画を立てることができます。
専門家による
伴走支援
単なる診断結果の提示に終わらず、最終報告会での詳細な説明や質疑応答を通じて次のアクションをサポートします。
サービスの特徴
広範囲な評価項目
「人・組織」「技術」「物理環境」の3つの側面から、多角的にリスクを評価。
対策領域 | 対策項目 |
|---|---|
人・組織 | セキュリティポリシー、セキュリティマネジメントシステム(PDCA)、監査、教育、インシデント対応体制(CSIRT)、事業継続管理、等 |
技術(運用・技術) | ネットワーク、サーバー、データベース、アプリケーション、エンドポイント(PC)、クラウドサービス、認証、無線LAN対策、ログ/アラート監視、脆弱性/パッチ管理、バックアップ/障害復旧、暗号化、アカウント/アクセス権、運用・管理状況、等 |
物理・環境 | ゾーニング、入退室管理、カード/生体認証、盗難/紛失対策、耐震・空調・電力設備、等 |
第三者評価
専門家による客観的な視点で、内部では見つけにくい課題を発見。
効率的なアプローチ
既存資料のレビューとヒアリング中心のため、お客様の新規作成作業は不要。
アセスメント作業の進め方
資料レビュー及びヒアリングから構成されるプロセスとなり、これらの情報を分析した結果を報告書にまとめてお客様へご提出します。
この報告書は次フェーズに行う対策洗い出しのインプットとなります。
評価方法
セキュリティリスクの有無およびリスク度合いは、人・組織は成熟度、技術は対策強度により評価します。
アセスメント報告書掲載内容
リスク評価結果概要(サマリー)
貴社で想定されるセキュリティの脅威に対する現状の施策状況に関する全体的な水準の評価、および弊社推奨の水準データ。
リスク評価結果詳細
貴社で想定されるセキュリティ脅威に対する現状の施策状況についての弊社評価、ならびに改善・強化が必要となる事項とそれらに対処しない場合に想定されるリスク(情報漏えいや改ざん等)に関する詳細とその緊急度合い(リスクレベル)。
