情報セキュリティレベル診断サービス

情報セキュリティレベル診断サービス 必要性

昨今発生している情報漏えい事件の傾向は、これまで良く見られたシステムの脆弱性をついた不正アクセスによる漏えい事件と異なり、組織内の権限者(システム管理者、管理職者等)が自身の持つアクセス権限を悪用し、情報を窃取する事例が目立ってきています。
もはや、ハッカーによる不正アクセスや外部委託先要員、非正規社員を想定したリスクに対応するだけでは情報漏えい事件は防げなくなってきております。

また、情報セキュリティ対策の脆弱性(弱点)は、社会情勢の変化や技術革新により多様化、増加し続けているため、これまで問題点がまったく無かったとしても、現在および今後新たな問題点が発生している可能性は否めません。

さらに、情報セキュリティインシデントが内部犯行であった場合、不正行為者は内部事情やシステムのセキュリティ対策内容を熟知している可能性が高く、あらかじめ事件発覚を回避する手段を講じているケースが少なくありません。
(犯行後にアクセスログを消去したり、もともと正規IDでログインしているために、不正行為として検知すること自体が困難です)
これら内部犯行の影響は、組織内の域を超えて、大量のクレジットカード不正利用など社会全体の情報基盤を揺るがしており、顧客情報管理のあり方そのものを見直す動きにまで発展してきております。

このような重大な情報セキュリティインシデントが発生した場合、あるいは重大なリスクが組織内に存在することが認識された場合、局所的・場当たり的にセキュリティ対策を実施するよりも、組織の情報セキュリティ管理の現状を網羅的かつ正しく理解することが肝要です。

本診断サービス結果により、組織の情報セキュリティ管理の現状を正しく理解することが可能となり、内部犯行まで想定した情報セキュリティ管理における各種懸念事項の解決の一助となります。

GSXコンサルティングの特色

point1

弊社は、情報セキュリティマネジメントシステムのガイドラインがISO/IEC27001(JISQ27001)として国際規格化される以前のBS7799(英国規格)時代より、情報セキュリティを主体としたコンサルティング活動を続けており、多くの業界において情報セキュリティ支援の実績があります。

point2

要求レベルの高い金融業界のセキュリティ要件や、防衛省の調達におけるセキュリティ基準への対応など、特殊分野における情報セキュリティの支援実績も豊富です。

point3

実際の顧客(個人)情報漏えい、Webサイトの改ざん、サービス妨害攻撃(DoS)によるシステム停止、大規模システム障害等のインシデント発生時における支援経験も豊富です。

point4

Webサイトを始めとする重要サーバ、データベース、ネットワークに対する技術的セキュリティの脆弱性を検証するタイガーチームサービスを提供しており、情報セキュリティのマネジメントの側面に加え、より高度な専門スキルが要求される技術的側面からの検証が可能です。

point5

お客様の現状における情報セキュリティ上の問題点やリスクを可視化(見える化)することにより、既存の有効的な仕組みを活かしつつ、組織の実態にあった仕組みづくりを念頭におきご支援します。(ベストプラクティス的な理想論を押し付けるのではなく、実効性を踏まえた改善提案、ご支援を心掛けております)

point6

情報セキュリティレベルの診断結果は、お客様にご理解できる内容とし、また今後アクションプランを立てる際の判断材料として、本当に役立つ内容とすることを心掛けております。

構築ステップ

step1

プレヒアリング
対象部門・対象システム(業務)等の実施対象(スコープ)の選定・実施要領の説明・スケジュール調整等

step2

実施計画書の策定
実施要領の明文化、対象部門に対するアナウンス・調整等

step3

文書調査
実施対象(スコープ)に係わる規程類・マニュアル・記録類が対象

step4

ヒアリング調査
実施対象(スコープ)の管理責任者、担当者に対する運用状況のヒアリング

step5

実調査(検査)
評価対象(スコープ)の情報システム、ネットワークなどに対する技術的な検証および重要な情報資産の物理的セキュリティの検証(顧客情報の発生~廃棄までのライフサイクル)のセキュリティ強度を総合的に検査

step6

中間報告
調査の結果、緊急性の高い問題点やリスクを発見した場合は、可及的速やかに第一報を入れ、初動対応の支援を実施

step7

最終報告会
組織のキーマン(上層部向け、現場向け)に対して、調査結果を分かり易く説明し、今後の改善提案を実施

step8

フォローアップ
調査結果・改善提案の不明点、および具体的な改善計画(アクションプラン)立案に向けたアドバイザリー支援

導入後の効果・メリット

情報セキュリティレベル診断サービスを利用していただくことにより、下記のメリットがあります。

■現状の情報セキュリティ対策における具体的な問題点やリスクを可視化(みえる化)することができます。
■情報セキュリティインシデントが発生してしまった場合、診断結果に基づいた適切な是正処置により、被害を最小限に食い止めるともに、再発を防止します。
■重大なリスク・問題点を発見した際において、迅速かつ適切な予防処置を促進します。
■情報セキュリティの構成要素別(技術的セキュリティ、物理的セキュリティ、人的セキュリティ、組織的セキュリティ等)の情報セキュリティレベルを把握することができます。
■権限者による内部犯行まで想定した徹底的な脆弱性調査により、内部不正リスクを低減することができます。
■重大なリスクに見合った各種情報セキュリティ対策を最適化します。(コストパフォーマンス、セキュリティ強度)
■情報セキュリティ対策に係わる各主管部門の連携を強化し、リスクに対する共通認識を醸成します。(技術的セキュリティ対策の主管部門と、組織的セキュリティ対策の主管部門は、別部門であることが通例です)

支援実績

■大手証券会社の顧客情報漏えい時における総合セキュリティ診断
■大手航空会社の大規模システム障害時における総合セキュリティ診断
■大手通信事業者におけるシステム運用部門の総合セキュリティ診断

Q&A

Q1

キックオフから報告会までの所要期間の目安はどれくらいですか。

A1

対象となる部門、システムの規模及び技術的検査の実施項目数にもよりますが、プレヒアリング開始から2ヶ月程度で報告会まで実施可能です。 なお、検査中に重大リスクが発見された際は、報告会を待たずに第一報を入れ、必要な改善対応を支援いたします。

Q2

セキュリティ診断を実施する際の観点は、どのようなセキュリティ基準に基づきますか。

A2

ISO27001等の認証取得が目的ではないため、単一的なセキュリティ基準・ガイドラインに限定いたしません。 内部犯行まで想定した重大なリスクの所在を見極め、その問題点がどこにあるかを特定します。その際には特定のセキュリティ基準・ガイドラインを用いるよりも、豊富なセキュリティインシデントに関する知識・支援経験がより重要であると考えております。

Q3

調査結果はどのような形式で受け取れますか。

A3

報告書は原則WORDで作成しますが、PowerPointも可能です。
報告書の構成は、調査目的、調査概要、総評、検出事項一覧、改善提案一覧となります。

Q4

非常にボリューム感のある調査内容と思われますが、調査項目は選択することが可能ですか。

A4

はい、選択可能です。たとえば物理的セキュリティの調査項目を除外し、技術的セキュリティの調査項目のみ実施することも可能です。さらに、顧客情報を保有するデータベースを保有されていない場合は、データベースに対する調査項目のみ除外することも可能です。どの調査項目を実施するかは、プレヒアリングにおいて調査内容をご説明し、十分協議した上で実施計画書に反映いたします。