情報セキュリティクイック
アセスメント
GSXの情報セキュリティクイックアセスメント
情報セキュリティに取り組むため、自社のリスクを手早く明らかにしたい!
他社と比べた自社のリスクはどこが高いか、弱点を明らかにし、経営者の理解を得たい。
そこから、世の中のサイバーセキュリティ対策動向も踏まえて自社のあるべき姿とのギャップが見えれば、すべき事の優先順位が決まり、改善の計画が可能となります。(道ができる)。
セキュリティ管理者視点と攻撃者視点It's New
Security Score Cardでは、実際に攻撃を受けるポイントを自動収集し、弊社コンサルタントによる分析解析の上、調査結果報告書として、レポーティングします。
Secure SketCHとSecurity Score Cardを組み合わせた
可視化手段
自己評価ツールである、経営・管理者視点のSecureSketCH(SS)と、攻撃者視点によるセキュリティリスクレイティングサービスとしてのSecurityScoreCard(SSC)を合わせることにより、内外両面からのリスクを網羅的かつ効率的に可視化できる。
- 「セキュリティリスク自己評価」
組織の情報セキュリティ管理・対策状況を内部の担当者ないしは専門家の支援を受けて
手動で定量的に評価
NRIセキュアテクノロジーズ社が提供
- 「セキュリティリスクレイティングサービス」
組織のサイバー攻撃リスクを明らかにするために、外部から確認可能なデータに基づき、
自動で定量的に評価
SecurityScorecard社が提供
セキュリティリスクレイティングサービス
「Security Score Card」とは
ドメイン情報からインターネット上の膨大なデータを自動収集し、外部視点から10のファクターごとに企業・組織のサイバーセキュリティリスクを定量化、攻撃者からの狙われやすさを評価できる。
Secure SketCHとSecurity Score Cardの組み合わせでできること
- リスクを数字で定量的に示せるので、経営層に自社のセキュリティ状況を理解してもらいやすい
- セキュリティ対策をした成果を、継続的にモニタリングできる(評価軸が一定)
- 内部/外部観点の多面的な評価
★Security Score Card:攻撃者視点での評価
この二つ(内外両面のリスクの可視化)を組み合わせることで、より多面的なリスク評価に繋がります。
サービス概要
情報セキュリティクイックアセスメントサービスでは、ISMS、NIST CSF、サイバーセキュリティ経営ガイドライン等の様々な基準をベースとして作成した調査項目により、情報セキュリティ管理及びシステム開発・運用の技術面・運用面・物理面において、NRIセキュアテクノロジーズ社が提供するSecure SketCH(セキュアスケッチ)を活用し、現状の対策状況を網羅的に調査・評価します。
影響の大きいリスク、対応すべき優先順位、対策方法を、客観的に報告・提言します。
システムやデータにアクセスする際のIDやパスワードはどのように管理していますか。
従業員の私物の持込みは制限されていますか?(スマートデバイス、USBメモリ等)
様々な基準をベースとした網羅的な調査を実施します
実施プロセス
以下の実施プロセスにより、およそ2か月ほどでアセスメント結果の報告が可能です。
調査項目については、初回訪問時コンサルタントによる説明を実施し、お客様にてWeb入力画面から回答の入力をしていただきます。回答された内容とお客様に提出いただいたセキュリティ関連文書の内容を元に、コンサルタントがレビューを実施し、フィードバックを行います。
コンサルタントの訪問(もしくはリモート会議)は計2回となります。記入内容のフィードバック等は、電話・メールにて実施します。
- 評価基準及び調査基準・項目の説明
- 報告様式の説明
- セキュリティ関連文書の提出
- 実施要領の配布
- 入力方法の説明
(訪問1回)
- URL、ユーザIDの配布
- 回答の入力
- 記入内容のレビュー・フィードバック
- データ回収
- データ整理、集計
- 分析・評価
- 報告書の作成
- 報告会の対面実施
(訪問1回)
※赤字はお客様にて実施
調査項目
以下のような国内外の各種ガイドラインをベースにし、最大公約数的に集約した調査項目を使用して調査を実施します。
| ガイドライン | 発行元 |
|---|---|
| ISMS(ISO/IEC27001) | ISO/IEC |
| Cyber Security Framework | NIST |
| SP-800 171 | NIST |
| CMMC (Cybersecurity Maturity Model Certification) |
米国国防総省(DoD) |
| サイバーセキュリティ 経営ガイドライン |
経済産業省 |
| CIS Controls | 米国CIS (Center For Internet Security) |
| 大項目 | 中項目 | |
|---|---|---|
| 戦略 | 1 | セキュリティリスク対応方針 |
| 2 | セキュリティ統制 | |
| 組織 | 3 | 情報管理 |
| 4 | 人材育成・教育 | |
| 5 | 物理アクセス制御 | |
| 技術 | 6 | 構成管理・設定管理 |
| 7 | ネットワーク管理 | |
| 8 | 無線アクセス管理 | |
| 9 | データ保護 | |
| 10 | アカウント管理 | |
| 11 | メール管理 | |
| 12 | マルウェア対策 | |
| 13 | 境界防御 | |
| 14 | クラウドサービス利用管理 | |
| 15 | セキュリティログの管理・保管 | |
| 16 | 特権アクセス管理 | |
| 17 | セキュアな開発・運用 | |
| 有事対応 | 18 | 災害発生時の対応 |
| 19 | インシデント対応態勢 | |
| 20 | インシデント対応訓練 | |
結果報告
アセスメント実施後に、下記内容を記載した報告書を作成し、報告会を開催します。
情報セキュリティに関するリスク等について対策優先度の高いものに関して、改善案を含め、ご報告・ご提言します。
報告会には経営層の方々や、今後の対策検討に関わる方にも出席していただくことをお勧めいたします。
1.結果概要
貴社の現状を分野別に評価し、評価結果を分かりやすく可視化します。
2.結果詳細
評価結果の分野別の詳細を提示します。
3.改善提言
検出された課題に対し優先度の高いものをピックアップし、改善策の提言を行います。
スケジュール例
本サービスのスケジュール例は次のとおりです。
納品成果物および費用
- 関東(1都3県)、関西(2府4県)以外への訪問の場合、別途旅費をお見積りさせていただきます。
- 同業他社比較版の場合、同業他社との比較が可能となります