取り扱いサービスSERVICE

ホーム 取り扱いサービス

当社のセキュリティコンサルティングサービス

お客様のセキュリティに関するリスクを可視化し、リスクへの現実的な解決策を共に検討し、実効性のあるセキュリティ対策の実現に
向けた支援、並びに日々のセキュリティに関する課題解決までをトータルにサポート致します。

  • セキュリティリスクの可視化

    お客様の目的に応じたアセスメントシートを策定し、現状のセキュリティ対策状況を確認し、リスクベースで対策の優先度を含めた課題・問題点を可視化することで、中期的なセキュリティ計画の策定や、優先的に取り組むべき課題の抽出を支援致します。

  • 個々の対策の実現

    アセスメントによって洗い出されたリスクに対して、規程類の改訂・策定、運用改善へのアドバイス(運用の見直し、教育、インシデントレスポンス体制構築等)など、個々の対策の実現を支援致します。

  • 日々の運用の拡充・効率化

    弊社コンサルタントによる日常のセキュリティ運用の課題や疑問点へのアドバイス、一部の運用をお客様組織の一員として支援することにより、専門的な観点によるアドバイスや運用の効率化の実現をサポート致します。

堅牢で能動的かつ効率的なセキュリティの実現へ

  • セキュリティリスク
    アセスメントサービス
    セキュリティリスクアセスメント
    セキュリティ計画
    (ロードマップ)策定支援
    簡易セキュリティリスクアセスメント
    サプライチェーンリスクアセスメント
  • マネジメント系
    コンサルティングサービス
    セキュリティポリシー・規程策定支援
    ISMS認証取得・運用支援
    IT統制支援
  • セキュリティ
    アドバイザリーサービス
    セキュリティアドバイザリ
    セキュリティコンサルティング支援

サービス一覧

セキュリティリスクアセスメントサービスASSESSMENT

セキュリティリスクアセスメント

お客様の組織・システムにおける情報セキュリティやサイバーセキュリティの対策状況について、当社コンサルタントが調査しリスクの分析を行います。当社標準のアセスメントシート(※)をベースにお客様と調査項目を協議の上で策定致しますので、目的に応じたリスク分析を行うことができます。

※アセスメントシート項目について(約130~150項目)
サイバーセキュリティフレームワーク(米国国立標準研究所:NIST)
高度サイバー攻撃対処のためのリスク評価等のガイドライン付属書(内閣サイバーセキュリティセンター:NISC)
高度標的型攻撃対策に向けたシステム設計ガイド(情報処理推進機構:IPA)
「標的型メール攻撃」対策に向けたシステム設計ガイド(IPA) 
政府機関の情報セキュリティのための統一管理基準
ISO/IEC 27001:2013
ISO/IEC 27002:2013 など

上記に加えて、必要に応じお客様業界が該当するセキュリティに関するガイドライン等を考慮したものを用いて、
情報セキュリティ並びにサイバー攻撃を想定したセキュリティ対策の実施状況の洗い出しを実施します。

アセスメントの流れ(約3か月間)※対象とする拠点数等により変動

アセスメント
シート策定
お客様情報
の事前確認
アセスメント
(ヒアリング)
リスク分析
報告会

セキュリティ計画(ロードマップ)策定支援

アセスメントの結果を踏まえて、可視化されたリスクに対して今後実施すべき対策についてロードマップ(1~3か年)を策定致します。

ロードマップ概要
・アセスメントにより抽出されたリスク
・リスクへの推奨対策(お客様環境を勘案した対策)
・対策優先度
・対策に要する概算コスト など

簡易セキュリティリスクアセスメント

お客様の組織・システムにおける情報セキュリティやサイバーセキュリティの対策状況について、当社コンサルタントが調査しリスクの分析を行います。当社標準のアセスメントシートの簡易版(※)を用いて、お客様におけるセキュリティ対策状況について整備状況を中心にリスク分析を行うことができます。

※簡易版アセスメントシートについて
セキュリティリスクアセスメントサービスで用いるアセスメントシートは、約130~150項目の設問で構成されておりますが、簡易版のアセスメントシートは約50問の設問で構成され、主にセキュリティ対策の整備・導入状況を中心に確認することを目的としております。 各セキュリティ対策の運用状況など詳細なセキュリティリスクの分析については「セキュリティリスクアセスメントサービス」をご利用ください。

アセスメントの流れ(約1ヶ月)

お客様による
事前回答
アセスメント
(ヒアリング)
リスク分析
報告会

サプライチェーンリスクアセスメント

お客様のグループ会社やシステム、ネットワークで繋がっている関係会社に対して、セキュリティ対策状況の可視化を行います。
ここ数年でセキュリティ対策が不十分な関係会社を介した「サプライチェーン攻撃」により被害を受けるケースが増えており、自社のみならずサプライチェーン上の関係会社におけるセキュリティ対策も重要になっております。

サプライチェーンリスクアセスメント(セキュリティ対策全般)
情報セキュリティ並びにサイバー攻撃を想定したセキュリティ対策状況の簡易的なリスクの洗い出しを実施します。(約40項目)
・状況確認シートの回答内容分析
・簡易ヒアリングの実施(約1時間)
・レポート作成
サプライチェーンリスクアセスメント(サイバーリスク可視化)
攻撃者視点で、自社及びサプライチェーン全体の脆弱性が外部からどのように見えているかを把握します。
攻撃者が初期偵察で収集するデータを収集/調査/分析/評価することで、「攻撃者からどう見えているのか(=攻撃の起点となる脆弱性がどこにあるか)」を知ることができます。
・脆弱性可視化実施
・レポート作成

マネジメント系コンサルティングサービスCONSULTING

セキュリティポリシー・規程策定支援

情報セキュリティポリシー(方針・規程)やルール(ガイドライン・手順)に関する課題に対して、当社コンサルタントの知見やノウハウを活かし、お客様にあったポリシーやルールを策定致します。また、法令等の改正などによる既存のポリシーやルールの改訂についても支援致します。策定・改訂後の定着を図るための教育コンテンツ作成や教育も支援致します。

支援概要
・情報セキュリティポリシー/情報セキュリティ管理規程/情報セキュリティ管理基準/情報セキュリティガイドライン
・個人情報保護基本規程/個人情報保護管理基準/個人情報保護取扱ガイドライン
・クラウドサービス利用ガイドライン
・テレワークセキュリティガイドライン
・SNS利用ガイドライン
※上記以外の文書も対応可能ですので、ご相談ください。

改正個人情報保護法対応支援

2020年6月に改正個人情報保護法が可決され、企業は2022年4月の施行までに同法が求める内容に対応した運用や規定類の見直しが必要になります。改正個人情報保護法の観点から個人情報を適切に取り扱うための具体的な対応について支援致します。

支援サービス
・個人情報保護基本規程/個人情報保護管理基準/個人情報保護取扱ガイドライン等規程文書の改訂
・社内ガイドライン/マニュアル類において対応が必要な事例や具体的な取扱い等を改訂
・改正個人情報保護に関する教育コンテンツの作成及び教育の実施
改訂及び作業
範囲の確定
規程文書類の
現状把握
改正内容と
現状のGAP分析
規程文書類の
改訂
教育準備と
教育実施
※オプション

ISMS認証取得・運用支援

情報セキュリティへの取り組みの一環としてISO 27001(ISMS)認証を取得したいというご要望に対して、お客様の目的に合った認証取得範囲の検討から適用宣言書をはじめとする認証取得に向けた文書の整備や内部監査の支援などトータルに支援致します。
既にISMSの認証を取得されているお客様において、日々の運用上の課題(ISMS事務局の業務支援、教育支援、内部監査支援など)についても支援致します。

支援サービス
・ISMS認証取得支援
・ISMS運用支援(規程類の改訂、内部監査支援、運用アドバイザリ など)

認証取得の流れ

適用範囲定義
リスクアセスメント
の実施
適用宣言書、
管理策の策定
管理策の実施
(教育・運用など)
内部監査
マネジメントレビュー
審査

IT統制支援

財務報告に係る内部統制報告制度(JSOX)におけるIT統制領域に対して、各統制に関する各種文書の見直しや監査対応(監査証跡の収集・確認、監査人のインタビュー対応など)、お客様の被監査部門に対するトータルサポートを致します。

支援サービス
・IT統制運用支援/評価支援

セキュリティアドバイザリーサービスADVISORY

セキュリティアドバイザリ

情報セキュリティやサイバーセキュリティの日々の運用における課題や新たな対策導入の検討に際して、お客様の環境等を理解している専門のコンサルタントが アドバイス致します。
また、世の中で発生したセキュリティインシデントをはじめとする脅威・脆弱性情報や、セキュリティの動向に関する情報を定期的に提供致します。

アドバイザリサービス概要
セキュリティ運用、対策検討に関するQ&A(メール)
セキュリティ情報(脅威・脆弱性・動向など)提供
定例会によるセキュリティ情報の解説やQ&A

セキュリティコンサルティング支援

専門のコンサルタントが、お客様の組織の一員としてセキュリティに関する様々なプロジェクトや業務を支援致します。
ご要望に応じて常駐/半常駐といった形の支援形態も可能となっております。

セキュリティコンサルティング支援概要
セキュリティプロジェクトにおけるPMO支援
セキュリティ部門における業務支援(運用支援、部門責任者の補佐など)
経営層、従業員向けのセキュリティ教育

セキュリティ診断サービスVULNERABILITY ASSESSMENT

プラットフォーム/Webアプリケーション診断

プラットフォーム診断は、ネットワーク越しにお客様の対象システム(サーバ、ネットワーク機器など)のセキュリティ強度やシステムに潜む脆弱性などを洗い出します。
Webアプリケーション診断は、ウェブアプリケーションに内在している脆弱性をはじめとする問題点を洗い出します。
いずれの診断も洗い出した問題点に対する推奨対策をご提示します。

サービス概要
・診断実施にあたっての各種調整
・ツール+手動によるリモート診断
・報告書作成、報告会実施
・検出された脆弱性へのお客様対応後の再診断

AI簡易診断

Webアプリケーション診断は、ウェブアプリケーションに内在している脆弱性をはじめとする問題点をAIにより洗い出します。(アナリストによる手動の診断は含まれません)

サービス概要
・診断実施にあたっての各種調整
・AIによるリモート診断
・報告書作成、報告会実施

ペネトレーションテスト

ペネトレーションテストは、インターネットなどの外部ネットワークに接続されているシステムに対して、様々な方法により侵入を試みシステムにセキュリティ上の脆弱性が存在するかどうかを洗い出します。

サービス概要
・テストシナリオ(診断項目)の策定
・ツール+手動によるリモート診断
・報告書作成、報告会実施
・検出された脆弱性へのお客様対応後の再診断

モバイルアプリ診断

モバイルアプリ診断は、スマートフォン向けアプリケーション(iOSやAndroid)に対して、内在する脆弱性を洗い出します。

サービス概要
・診断実施にあたっての各種調整
・ツール+手動によるリモート診断
・報告書作成、提出

セキュリティ教育・訓練TRAINING

セキュリティ教育支援

セキュリティ動向や注意喚起といった全般的な情報に加え、お客様のテーマに沿って経営層、従業員向けのセキュリティ教育を支援致します。

支援概要
・教育コンテンツ作成
・集合教育(講師)

標的型メール攻撃訓練

セキュリティインシデントの原因の一つとして、メールを介したマルウェアの感染があげられます。
標的型メール攻撃を模した訓練メールを対象者に送信し、組織としての耐性や受信者に対する攻撃メールへの対応力を身につけていただくサービスです。

支援概要
・訓練の計画策定
・訓練メールの検討、および作成
・訓練メールの配信、集計、報告書作成

お問い合わせ

情報セキュリティに関する課題は当社にご相談ください

情報セキュリティに関するご相談

当社コンサルティングサービスに関するお問い合わせ

お問い合わせはこちら