サイバーセキュリティ体制構築支援
サービス
企業のサイバーセキュリティ体制は、企業のどのデータをどのように守るべきかのグランドデザインが決定されないまま、部分最適の対処療法的対応で決定されることがしばしばあります。企業として、いかなるセキュリティ体制を構築すべきか、その具体的な実装方法については、データが漏えいした場合に企業が被るリスクの大きさやリスクの性質を考慮して設計していく必要があります。その際には、新しいサイバー攻撃の手口など最新の脅威動向、同業他社のサイバーインシデント事案をフォローし、これを他山の石として自社で講ずるべきセキュリティ体制の設計を日々アップデートすることが肝要です。当社では、数多くのサイバー攻撃や内部者の情報持ち出しのインシデント対応を行うなかで蓄積した経験をもとに、平時においていかなるセキュリティ体制を構築するかを総合的にサポート致します。
経営責任 / 説明責任
組織構築
セキュリティ管理委員会組成
セキュリティ施策実装
サイバー保険の導入支援
成果物例:
- ・各種ポリシー
- ・各種規程・マニュアル
運用改善
セキュリティ管理委員会運用
インシデント発生時の有事対応
成果物例:セキュリティ管理委員会参加
研修・レクチャー
プロジェクト当初における経営層レクチャー
プロジェクト最終における事業部レクチャー
成果物例:レクチャー資料
データフローマッピング
ビジネスフローマッピング
データフローマッピング
成果物例:
・ビジネスフローシート
・データマッピングシート
Fit&Gap 分析
セキュリティアセスメント
プライバシーインパクトアセスメント
成果物例:Fit&Gap シート
プラン策定
GAP
事項のクリアランス計画策定
成果物例:クリアランス計画書
セキュリティホール診断サービス
昨今の攻撃手法は多様化しており、思わぬ経路から社内へ悪意のある第三者が侵入してくるケースが多くなっています。これまでは、電子メールを経由した侵入や、マルウェア感染したUSBメモリの挿入、不正に改ざんされたWebサイトの閲覧などで最初のマルウェア感染が発生し、悪意のある第三者が運用するC&Cサーバから感染したエンドポイントに対して攻撃命令が送信され、その通りに社内のマルウェア感染端末は動作する、というケースが多かったと思います。しかしながら、最近では、デバイスなどの既知の脆弱性がパッチなどの適用により修正されていないデバイス狙い、既知の脆弱性を利用してデバイスなどを経由して社内に侵入してくるケースも散見されています。セキュリティホール診断では、侵入経路を可視化して、IT部門が気づかなかった侵入経路を事前に防ぐことにより、セキュリティ事故の事前防止をはかるサービスとなっています。
セキュリティホール診断の手法
〜
業務リスクの可視化
本プロジェクトでは、貴社が保有する業務リスクを洗い出し、リスクマップを用いて表現します。このことにより、貴社がサイバー攻撃を受けた際に、どういうリスクに対して対応する必要があるかを全員で認識することが可能です。
業務リスクの可視化イメージ
各部署が保有する情報を、情報種別ごとに法的知見を踏まえて整理しリスクマップに適用することで、脅威に対するビジネスリスクを可視化します。
セキュリティホール診断の手法
〜
システムリスクの可視化
サイバー攻撃を受けると、業務リスクが発生するだけではありません。例えば、基幹システムやECサイトの停止が貴社にとって逸失利益を与える可能性があります。どのようなシステムがリスクが高いと見積れるかシステムを取り扱う情報を基にリスクマップを用いて可視化します。
業務リスクの可視化イメージ
保持された情報に対し、各情報の機密区分ごとに発生し得る脅威をリスクマップとして洗い出し、システムリスクを可視化します。
セキュリティホール診断の手法
〜
その他のステップ
その他のステップについての詳細は、弊社のコンサルタントが直接ご説明いたします。興味がありましたら、ご連絡ください。
Service
システム環境及びセキュリティ対策の可視化
提供いただいたドキュメントレビュー及びヒアリングにより、確認できるシステムネットワーク構成の情報を基に、保護すべき情報資産とアクセス経路、講じているセキュリティ対策を可視化します。
業務リスク分析
提供いただいたドキュメントレビュー及びヒアリングにより業務及び取り扱っている情報に関して、弁護士の知見を基に業務リスク及びそう判断するに至る根拠法令等について一覧化し、業務リスクを可視化します。
セキュリティホール診断
業務リスク分析で分析対象となったシステムに対し、可視化されたセキュリティ対策状況にモデル化した脅威シナリオを照らし合わせて、脅威が顕在化し得るかを評価します。
サーバー攻撃シナリオ
サイバー攻撃に係る脅威シナリオは、標的型攻撃のフレームワークとなるサイバーキルチェーンを用いて評価します。標的型攻撃は、複数の攻撃フェーズを持ち各フェーズにおける攻撃パターンの組み合わせによって形成されるため、単発のサイバー攻撃を用いたシナリオ評価よりも幅広いリスクを洗い出すことが可能です。
内部不正シナリオ
内部不正の脅威シナリオでは、情報流出を主眼に評価します。
セキュリティレベル診断サービス
TMIP&Sは、サイバー攻撃手法の高度化とワークスタイルの急激な変化を鑑み、平時の状態でどのような経路で外部から企業の情報資産にアクセスされることがあるのかを再度把握しておくことで、脆弱なアクセス経路の事前把握をすることができ、また有事の際には被疑箇所を早急に特定し、サイバー攻撃により企業が受ける影響を最小化することができると考えております。
多くの企業では、セキュリティ対策を各社の規程や基準に従って実装していると思います。しかしながら、それらを適切に運用できているでしょうか。セキュリティ対策製品は、適切に運用されないと、本来の効果が発揮できません。また、インシデント発生時に、それらの製品を適切に運用できなければ、インシデントの終息までに時間を要してしまうことも考えられます。本サービスは米国のNIST「重要インフラのサイバーセキュリティを改善するためのフレームワーク」を用いて、同フレームワークで触れられている各分野がサイバーセキュリティリスクマネジメントにおいて、どれくらい成熟しているかを確認します。また、フレームワークだけでなく、弊社が持つ同業他社の施策と比較することにより、他社の優れている施策を把握し、自社の施策に取り入れることが可能になります。
Communication
コミュニケーションプラン
次の会議体を通じたコミュニケーションにより、本プロジェクトを推進します。
Task
タスクイメージ
本プロジェクトは、以下の進め方を想定しております。
Report
最終報告
各担当者へのインタビューとドキュメントレビューで得られた結果をまとめて、ご報告い
たします。その際、TIST CSF の各ピラーに対してTier1(Partial)、Tier2(Risk Informed)、
Tier3(Repeatable)、Tier4(Adaptive)の4段階での評価結果、及びディスカッションを
させていただき、最終的なToBe のスコアを記載します。
- サイバーセキュリティ上の役割と責任が、貴社内で定められ、その内容が貴社のMSSサービスを提供しているベンダーに共有し、連携を強化すること
- 現行のリスクマネジメントプロセスを見直し、見直し後の新たなリスクマネジメントプロセスを貴社のステークホルダーが把握し、対応できるようにすること
- 昨今VPN経由での侵入が多発しているため、貴社で利用されているSSL-VPNデバイスのファームウェアに脆弱性がないかを確認し、脆弱性がある場合は速やかにファームウェアのアップデートを実施すること
- Azure ADの条件付きアクセスを用いて、リスクの高い認証の試行については、多要素認証を求める等の認証の段階で脅威を食い止める施策を講じることを検討すること
- 貴社で利用しているセキュリティデバイスからのアラートをSIEMを用いて相関分析し、早期に不正なふるまいを検知できるようにすること(マネージドサービスに委託してもよい)
- 検知したイベントはMITRE等の第三者機関が発する情報や、特定のメーカーに関連するものであれば、そのメーカーのサイトを確認し、今後どのような影響が発生し得るか、影響分析を行うこと
- 既存のインシデント対応マニュアルに従い、インシデント発生時に速やかに関係者を招集し、協議ができるようにすること。マニュアルに不備がある場合は、マニュアルを適切に改訂すること
- ISAC等を通じて、貴社と同じ業界で発生したインシデントに関して、他社と意見交換できるような体制を整えること。他社から得た情報に関しては速やかに自社インフラで実現できないか、確認すること
- 貴社においてインシデントが発生した場合、貴社が定める復旧計画に基づき、業務継続に最低限必要な業務システムについては、xx時間以内に復旧すること
- 上記はセキュリティ部門のみだけではなく、情報システム部門と協力し実施すること。実現が困難な場合は、業務システムを構築したベンダーに協力を仰ぐこと
弊社より、推奨される改善策を各ピラー毎にお出しさせていただきます。 一気にすべての推奨策に対して着手するのではなく、優先順位付けをされてから改善策に取り組まれることを推奨します。
情報漏えい緊急対応訓練サービス
昨今様々な企業でセキュリティインシデントが発生しています。大規模なものから小規模なものまでパターンは複数あると考えられますが、いずれにしても自社がもつ個人データを外部に漏えいすることは多かれ少なかれ自社のブランドイメージに傷がついてしまいます。そのため、適切な初動対応が非常に重要でありますが、多くの場合セキュリティインシデントを初めて経験する場合も多く、どのような対応を取る必要があるのかわからない場合も多く、対応が後手に回ると顧客からのクレームや、個人情報保護当局からの是正を求められる可能性もあります。本サービスでは、訓練のシナリオ作成から検討を行い、実際に作成したシナリオを元に、関係者がどのような対応を取るのかを弊社でチェックをさせていただき、講評を行った後、質疑応答で疑問点について解消するところまでを行います。
流れ
情報漏えい緊急対応訓練では、インシデント発生時に適切な初動を取ることが出来るように、平時の訓練をするものです。本訓練では、次のような流れを想定して進めていきます。
実演
訓練は次のような時系列で進みます。弊社から適時質問を投げかけますので、それに対してご回答ください。
<時系列例>
見直し
机上訓練でインシデント対応マニュアル通りに対応した結果、改善点が見つかる事が考えられます。改善点を反映したRACIチャート、アクターのフローチャートを作成することも可能です。
<インシデント対応マニュアル見直しの一例>
CISOサポート
~セキュリティ顧問サービス~
今後実施される再発防止策について、何か質問があった際に弊社にメールやオンライン会議(Zoom)を用いてディスカッションできるサービスです。IT部門が持たれるセキュリティに関する懸念点についてもお答えすることが可能です。
ご相談事例
- EDRの選定に関する疑問点
- オンプレミス環境をセキュアにする方策
- オンプレミス環境からクラウドドリフト&シフトを行う際の疑問点
- エンドポイントで考えるべき強化ポイント
- 情報セキュリティ管理体制の見直しポイント
- 関連規定の棚卸と改訂
- 想定時間
- :最大10時間(月2回の場合)
※10時間を超えるもプロジェクトが必要なものについては別途お見積りとさせていただきます。 - 受任スコープ
- :再発防止策やIT部の業務におけるセキュリティの質問
- 報酬
- :個別に見積もりをいたします。
タスクリスト例
| 2~3か月のタスク | EDRの選定 |
検討論点
|
|---|---|---|
| データセンターの サーバ堅牢化 |
検討論点
|
|
| 脆弱性 情報の収集 |
検討論点
|
| 中長期で検討すべきもの | オンプレミス サーバのIaaS化 |
検討論点
|
|---|---|---|
| 情報セキュリティ 管理体制の見直し |
検討論点
|
世界各国の個人情報保護法(プライバシー)及び
セキュリティに係る法令調査
プロジェクトに合わせ、必要な地域での個人情報保護法(プライバシー)やセキュリティに関する法令調査を弊社で行い報告いたします。
調査事例
ゲーム会社の世界展開事例
日本のゲーム会社が、スマートフォン用のゲームアプリをアプリストア上で、世界各国のユーザに販売・運用している(或いは PC 用のゲームソフトを Web 上のダウンロードサイトで、世界各国のユーザに販売・運用している)際に、ユーザの ID、パスワード、氏名、購入履歴等を取得・利用する事例
人事情報の事例
日本本社が世界各国の拠点の、現地社員や出向社員の人事情報を、人事管理クラウドサービスを導入して、一元的に管理しようとしている。その際には、世界各国の拠点からの域外移転が生じる。
グローバル内部通報制度の導入
グローバル内部通報制度の事例 日本本社が各国拠点のガバナンスを高めるために、各国拠点の従業員から日本本社の通報窓口に内部通報が可能となるグローバル内部通報制度を導入している。その際には、各国拠点の通報者、被通報者及び関係者のセンシティブな情報を含む個人情報が日本本社に対して域外移転される。
製薬会社の治験
日本の製薬会社が、世界各国において治験を実施している。その際、世界各国の医療関係者の履歴書及び連絡先等の個人情報及び治験患者の仮名化された診療情報が当該国外の分析機関及び日本の製薬会社に域外移転される。
Time Sheet
