top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

海外拠点セキュリティ現状調査サービス

海外拠点セキュリティ現状調査サービス

海外拠点におけるセキュリティ課題の背景

ビジネスのグローバル化により、海外拠点や現地法人を持つ日本企業は増加傾向にありますが、以下の背景により、十分な情報セキュリティレベルが確保されず、外部に営業機密情報が流出するケースもあるかと思われます。

  • ・政府の規制、基準の違い
  • ・方針、規程等の翻訳に伴うニュアンスの違い
  • ・従業員のロイヤリティ、帰属意識の違い
  • ・従業員の情報管理や知的所有権に関する意識の違い
  • ・地政学的リスク(戦争・紛争、テロ、犯罪、災害 等)
  • ・宗教、文化、民族の違いによる意識や価値観の違い
  • ・多言語、多民族から構成されている場合のコミュニケーションリスク
  • 例えば…国内本社と海外拠点の物理的な距離、言語の壁、習慣の違いなどにより日本国内同様のセキュリティレベル維持、担保及び統制が保てない
  • 例えば…ITインフラ環境などが国内と異なり情報セキュリティマネジメントシステムを遂行する上でも様々な制限や限界がある
  • 例えば…日本人同士や日本でのみ通用するような情報セキュリティガバナンスを展開しても、海外の子会社や利害関係者に理解されない

海外拠点におけるセキュリティ課題の背景

事業の運営に大きな影響を及ぼす海外拠点の情報セキュリティに係るリスク

事業の運営に大きな影響を及ぼす海外拠点の情報セキュリティに係るリスク

サイバーセキュリティ経営ガイドライン

組織におけるサイバー攻撃の脅威に立ち向かうために必要な対策例として、下記の表に示すものがあげられます。2015年12月(2017年11月にVer2.0へ改定)に公開された経済産業省策定の「サイバーセキュリティ経営ガイドライン」では、企業がサイバー攻撃によるリスクを経営リスクに位置づけて対策を講じることを求めています。

対策分類 対策内容
組織的 ・サイバーセキュリティリスクの認識、組織全体での対応の策定
・サイバーセキュリティリスク管理体制の構築(サイバー攻撃に対する監視の体制・役割の整備)
・サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
・サイバーセキュリティ対策フレームワーク構築(PDCA)
・系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
・サイバーセキュリティに係る人材育成、拡充計画の整備
・ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
・情報共有機関等を通じた情報収集・共有の体制・役割の整備
・緊急時対応及び早期警戒の体制・役割の整備(組織内CSIRT等)
・サイバー攻撃を想定したコンティンジェンシープランの整備状況、訓練や見直しの実施(業界横断的な演習参加含む。)
・サイバー攻撃の報告及び広報の体制・役割の整備
技術的 ・以下の多段階サイバーセキュリティ(多層防御)による対策
 ‐入口対策(ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入 等)
 ‐内部対策(特権ID・パスワードの適切な管理、不要なIDの削除、特定コマンドの実行監視 等)
 ‐出口対策(通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断 等)
・ネットワークへの侵入検査や脆弱性診断等の定期的な評価実施の整備
・OSの最新化やセキュリティパッチの適用などのシステムの脆弱性管理の整備
・サイバー攻撃を受けた場合の被害拡大防止措置の整備
規程類 ・サイバーセキュリティリスクに係わる規程、基準、手順類の整備

参考:経済産業省 「サイバーセキュリティ経営ガイドライン Ver1.0」

サービス内容

(1)実施概要
お客様のIT環境、セキュリティ環境等をもとに、サイバー脅威に対するリスクを評価し、優先順位付けを含め、リスク低減に向けた技術的対策および組織的管理体制の改善案をそれぞれ提示します。

海外拠点セキュリティ現状調査サービス 実施概要 図

サービス内容

(2)実施ステップ
サイバーセキュリティに係るリスク(*1)について、技術的対策状況の調査・評価を以下のアプローチにて実施します。
(*1) 標的型メール攻撃及び水飲み場攻撃により生じる情報漏えいリスク

海外拠点セキュリティ現状調査サービス 実施ステップ 図

サービス内容

(3)組織的管理体制の調査視点
サイバー攻撃に対する組織的な対策を評価するにあたり、以下の体制整備状況を調査します。

・監視に基づく、サイバー攻撃、その疑わしき行為等について、予防・防御措置に係る規定の整備状況
・サイバー攻撃に対する監視体制、攻撃を受けた際の被害拡大防止措置体制
・サイバーセキュリティに関する外部との情報共有状況
・サイバーセキュリティに係る人材育成、拡充計画の策定状況

サービス内容

(4)技術的対策状況の調査視点
サイバー攻撃の脅威を評価するにあたり、以下のネットワークのセキュリティ対策状況、及びシステムのセキュリティ対策状況を調査します。

ネットワークの対策状況 ※全社共通の入口出口を中心に、主に以下の対策状況
 ・ファイアウォール、不正アクセス対策(IDS/IPS装置、検知センサーなど)
 ・スパムメール対策(メールフィルタリング、サンドボックスなど)
 ・Webアクセス対策(URLフィルタリングなど)

内部システムの対策状況 ※生産管理システム及び運用管理端末、ファイルサーバ及び標準PCについて、主に以下の対策状況
 ・アクセス管理
 ・ログ管理
 ・脆弱性管理/ウィルス管理
 ・外部記録媒体管理

実施方法

(1)技術的対策状況の評価に使用する脅威シナリオ
調査・評価の実施にあたり、標的型攻撃におけるサイバーキルチェーンにもとづく脅威シナリオを使用します。
※サイバーキルチェーンとは、標的型攻撃における攻撃者の一連の行動を軍事行動になぞらえて示したもので、2009年に米国の航空機、宇宙船の開発製造会社「ロッキードマーチン」で提唱されたもの(出典元:ZDNet Japan)

脅威のカテゴリ 攻撃ステップ 内容
標的型攻撃/水飲み場攻撃 1. 初期感染/侵入 ユーザにマルウェアを含む添付ファイル等を開かせるか、悪性Webサイトへアクセスさせて端末に感染・侵入し、C&Cサーバとの不正通信を確立する。
2. 攻撃基盤構築 感染端末への不正プログラムや攻撃ツールの組み込みや、システム情報・ネットワーク情報を収集し、侵入拡大するための基盤を構築する。
3. 侵入拡大 他の端末やサーバの管理者権限アカウントなどを搾取しながら、侵入を拡大する。
4. 目的遂行 目的の情報を探して、暗号化及び細分化するなどして、外部への持出しを行う。

実施方法

(2)調査方法
本サービスは、文書レビュー及びヒアリングにより実施します。
具体的には、弊社調査シート(以下サンプル)を用いて、文書レビューにより実施状況を確認し、文書レビューで不明な点や有効性の確認が必要な箇所を中心に、ヒアリングを実施します。

脅威種別 区分1 区分2 対策名称 対象 ご確認内容 実施状況
APT 内部 防御 脆弱性を突いた権限昇格の防止 AD セキュリティパッチを適宜当てているか
APT 内部 監視 脆弱性を突いた権限昇格の防止 AD ケルベロス認証の脆弱性を突いた管理者権限への昇格を監視しているか
APT 内部 防御 ドメイン管理者アカウントの管理 AD ドメイン管理者のパスワードを定期的に変更しているか
APT 内部 防御 ドメイン管理者アカウントの管理 AD ドメイン管理者のパスワードに複雑性を設定しているか ×
APT 内部 防御 ドメイン管理者アカウントの管理 AD ドメイン管理者のログオン端末を限定しているか ×
APT 内部 監視 ドメイン管理者アカウントの管理 AD ドメイン管理者の権限昇格/ログオンイベントを監視しているか ×
APT 出口 防御 IPフィルタリング FW C&Cサーバ宛の通信をFWで拒否しているか ×
APT 出口 監視 IPフィルタリング FW C&Cサーバ宛のアウトバウンド通信を監視しているか ×
APT 内部 防御 アクセスルール FW システム管理端末のLAN環境は、OA端末のLAN環境と分離しているか

成果物について 概要

作業フェーズ毎にご提供いただく情報、成果物及びその説明となります。

作業フェーズ ご提供頂く情報
(インプット)
成果物
(アウトプット)
成果物(アウトプット)の説明
1.計画 ・計画書 ・標的型攻撃対策の有効性評価に係る計画についてまとめたもの。
具体的な項目例は以下です。

 -調査目的
 -調査基準
 -調査対象及び範囲の設定
 -監査実施体制
 -監査実施スケジュール
2.準備・調査 ・文書資料
(例)ネットワーク構成図、評価対象システムのシステム概要資料、ADサーバ設計書、運用手順書、等)
・調査シート
・インタビュー結果
調査シートは2種類作成いたします。
1) 文書調査結果を調査シートに反映したもの。
2)インタビュー結果を調査シートに反映したもの。
3.評価 ・文書資料
・調査シート
・インタビュー結果
・報告書
(ドラフト版)
・サイバー攻撃の攻撃ステップ毎に、調査・評価結果と追加を要する対策案をまとめたもの(対応製品例も含む)。 ・対策案の優先順位などもご提示。 ・別紙としてリスクマップ(評価対象のシステムとネットワーク構成、および想定されるサイバーセキュリティ事案の概要図)を添付。
4.まとめ・報告 ・お客様レビュー結果 ・報告書 ・上記報告書(ドラフト版)をフィックスさせたもの。内容はドラフト版と同。

成果物について 報告書内容

成果物について 報告書内容 図

成果物について 報告書内容 ロードマップイメージ

報告書内容 ロードマップイメージ

成果物について 報告書内容 ロードマップイメージ

Pagetop