サイバーセキュリティ支援サービス

サイバーセキュリティとは

サイバー攻撃が急速に複雑・巧妙化している中、サイバーセキュリティの強化は国を挙げて取り組むべき最重要課題の一つとなっています。近年、サイバー攻撃に対するにはアンチウイルスソフトやファイアウォールなど従来型の一般的な技術だけでは防ぎきれなくなってきているのが実情であり、実際に、ここ数年、被害件数が劇的に増加しています。技術的対策、整備・運用面の対策、そして経営層の意識や被害が発生したという前提での手を打っておくなど様々な要素が必要となってきており、企業組織全体で取り組むことが求められています。

サイバー攻撃に対する動き

サイバー攻撃とは、文字通り、ネットワークを介した技術的な攻撃です。近年の被害件数の増加を受け、規制当局の動きも激しくなってきました。たとえば、金融業界では、安全対策基準をはじめとした主要な業界向けガイドラインの改訂にあたって、「サイバー攻撃対応」に関する記述を盛り込む動きをとりはじめています。

【表:サイバー攻撃を念頭においたFISC安全対策基準の見直し方針】
主な検討テーマ 改定のポイント
金融機関におけるサイバー攻撃対応体制について 金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」を踏まえ、サイバー攻撃の対応態勢の整備について、事前対策、検知策、対応策、教育・訓練に関する基準を新設、また、インターネットバンキングにおける不正送金防止策や、利用時の注意事項について、運用基準、技術基準を改訂する予定。
(安全対策基準とは別に、サイバー攻撃の手口や被害の事例、対策例等、金融機関がサイバー攻撃対策を検討するにあたり、参考となる情報を集約し、情報提供する予定)
金融機関におけるクラウドサービス利用について 金融機関におけるクラウド利用に関する有識者検討会報告書」を踏まえ、以下の観点から【運用基準No.108(クラウド利用に関する基準)】の全面改訂を行う予定。

○ クラウド事業者の選定手続きの明確化
○ クラウド事業者との安全対策に関する契約内容の明確化
○ サービス利用中の情報漏洩防止策
○ 利用終了時の情報漏洩防止策
○ 立入監査・モニタリング態勢の整備
外部委託先による不正な引出し事例に関する検討について 不正な引出し事例のヒアリング調査等から得られた対策をもとに、今回の改訂では、暫定対応として、技術的な対策を対象とし検討を行う。
委託先管理態勢等のガバナンスについては、次年度計画している有識者検討会において議論し、その結果を踏まえ改訂検討(本格対応)を行う予定。

<暫定対応における主な検討事項>
○ 重要なデータへのアクセス制限の対策例
○ 外部記憶媒体の利用制限、持込み・持出制限の対策例 等
(出典:金融情報システムとFISC安全対策基準について)

企業は何が必要なのか?

こうした攻撃に対して、企業は複数手段を併用して防御態勢を整える必要があります。冒頭で「手口が狡猾さを増している」と述べましたが「狡猾さ」を表す近年の典型的な攻撃の一つが「標的型メール攻撃」(詳しくはNAVI記事「標的型メール攻撃」を参照ください)です。「標的型メール攻撃」とは、特定の攻撃対象に対しメールを使って不正ファイルを開かせ、その組織のネットワークにセキュリティの穴を開ける攻撃手法です。攻撃対象を定めた上で、その対象組織が信頼できる名を語って、あたかも重要な用件であることを装い本文を送りつけ、不正な添付ファイルを開かせるのです。

こうした例からもわかりますように、サイバー空間における攻撃手法はますます高度化、巧妙化してきています。ある意味では、こうした攻撃を技術的に完全に防ぐことは困難と言えます。だからこそ、複数の視点から、対策を講じることが必要なのです。

複数の視点から対策を講じるための手法は様々です。近年のサイバー攻撃に対しては、入口対策(外部から内部のネットワークに入ってくる通信への対策)だけでなく出口対策(内部ネットワークから外部へ出て行く通信への対策)も重要であるとはよく言われることです。加えてたとえばBow-tie-Analysis(蝶ネクタイ分析)と呼ばれるアプローチも有効な手段の1つです(下図参照)。この技法を用いると、原因と結果の両側面から分析することが可能です。

【図: Bow-tie-Analysisによるサイバー攻撃対応に関するリスクアセスメント(例)】

113_ext_05_1.png

ニュートンのサイバーセキュリティ支援サービスメニュー

ニュートン・コンサルティングでは、近年注目が増しているサイバーセキュリティについて、お客さまのセキュリティ強化のお手伝いをする各種サービスをご提供しております。

サイバー攻撃対応態勢整備支援サービス

対応企業 ・サイバー攻撃対応計画や対応態勢などが未整備または部分的な整備にとどまっているお客様
・サイバーセキュリティにこれから全社的に取り組みたいお客様
・サイバーセキュリティに関するPDCAの仕組みを構築したいお客様
サービス概要 サイバー攻撃に組織として対応するため、サイバーセキュリティに関するリスクアセスメントから規程・基準・手順類の整備までを支援します。
・有事態勢の確立支援
・サイバー攻撃対応計画書の整備支援など
期間 2~4ヶ月
成果物 ・サイバーセキュリティ関連規程、基準、マニュアル類
・サイバーセキュリティリスクアセスメント
・リスクシナリオ
・リスク対応計画書
支援ステップ 1.予備調査(既存のシステム対策、既存態勢におけるギャップ確認、サイバー攻撃に関するリスクアセスメントなど)
2.サイバー攻撃対応方針の決定
3.サイバー攻撃シナリオ策定
4.対応態勢および初期対応手順の確立
5.IT-BCPや危機管理マニュアルの整備(必要に応じて)

サイバー攻撃対応訓練支援サービス

対応企業 ・サイバー攻撃対応計画や対応態勢は整備してあるものの、検証したことがほとんどないお客様
・サイバー演習・訓練を実施したことがないお客様
・サイバー演習・訓練を実施したが、もっと効果的な進め方を知りたいお客様
・演習・訓練で課題を抽出したいお客様
サービス概要 サイバー攻撃に備えて、CSIRTや経営層を含めた演習・訓練シナリオの策定から、演習当日のファシリテーションまでお手伝いをします。

・整備した各種マニュアルに基づく訓練計画の策定
・訓練ツール準備
・訓練実施
・訓練課題対応計画策定の支援など
期間 2~3ヶ月
成果物 ・サイバー攻撃対応演習・訓練計画書
・サイバー攻撃対応演習・訓練実施支援ツール一式
・サイバー攻撃演習シナリオ
・サイバー演習・訓練実施結果報告書
支援ステップ 1.現状調査
2.サイバー攻撃対応訓練方針の決定
3.サイバー攻撃対応訓練計画の策定
4.サイバー攻撃対応訓練準備
5.サイバー攻撃対応訓練実施
6.サイバー攻撃対応訓練結果のとりまとめ

標的型メール訓練支援サービス

対応企業 標的型メール訓練を定期的に実施したい企業
サービス概要 近年増加している標的型メール攻撃に対する訓練を実働/机上形式で行い、有効性の検証のお手伝いをいたします。

・訓練計画の策定
・訓練ツール準備・提供
・訓練実施
・改善方針の助言、など
期間 2~3ヶ月
成果物 ・標的型メール訓練計画
・標的型メール訓練支援ツール
・標的型メール訓練結果報告書
支援ステップ 1.実施方針(対象人数、実施時期など)の合意
2.訓練用ツールの準備・提供
3.訓練の実施
4.訓練結果報告書の策定

CSIRT構築支援サービス

対応企業 CSIRTの策定を求められているものの、具体的な進め方がわからないお客様

対象:情報システム部門を始めとするCSIRT構成メンバー等
サービス概要 サイバー攻撃に備えて、平時・有事に関わらずCSIRTがとるべき対応計画の整備及びCSIRT演習・訓練のお手伝いをします。

・CSIRT運用方針の確立支援
・平時態勢、及び有事態勢の確立支援
・CSIRT演習・訓練支援
期間 2~3ヶ月
成果物 ・CSIRT運用方針書
・CSIRT構築支援ツール一式
・CSIRT運用マニュアル
支援ステップ 1.現状調査
2.サイバー攻撃対応方針の決定
3.CSIRT及び関連部門の役割の明確化
4.平時・有事における活動内容の明確化
5.CSIRT運用に関する文書化

CSIRT演習・訓練支援サービス

対応企業 ・CSIRTは構築したが、実際に機能するか不安があるお客様
・CSIRT演習・訓練の実効性を検証したいお客様
・演習・訓練で課題を抽出したいお客様

対象:CSIRT構成メンバー
サービス概要 サイバー攻撃に備えて、演習・訓練シナリオの策定から、演習当日のファシリテーションまでお手伝いをします。
期間 2~3ヶ月
成果物 ・CSIRT演習・訓練計画書
・CSIRT演習・訓練シナリオ
・CSIRT演習・訓練実施支援ツール一式
・CSIRT演習・訓練実施結果評価報告書
支援ステップ 1.現状調査
2.CSIRT演習・訓練シナリオ策定
3.CSIRT演習・訓練実施
4.CSIRT演習・訓練結果のとりまとめ

サイバーセキュリティ評価支援サービス

対応企業 ・現状のサイバーセキュリティ対応状況を客観的に知りたいお客様
・あるべき姿とのギャップを知りたいお客様
・サイバーセキュリティに関して不足している点、やりすぎている点を知りたいお客様
サービス概要 組織としてのサイバーセキュリティの対応力を整備状況(文書査閲・インタビュー)、運用状況(現場点検・インタビュー)、テストの観点(脆弱性診断・ペンテスト、サイバー演習)から評価します。

・評価基準の選定
・訓練ツール準備・提供
・訓練実施
・改善方針の助言、など
期間 2~3ヶ月
成果物 ・サイバーセキュリティ評価計画書
・サイバーセキュリティ評価シート
・サイバーセキュリティ評価報告書
・ロードマップ
支援ステップ ・予備調査(システム環境、サイバー攻撃対応マニュアルの整備状況、サイバー攻撃に関するリスクアセスメントなど)
1.サイバーセキュリティ評価計画の策定
2.評価(文書、インタビュー、実機スキャンなど)
3.サイバーセキュリティ評価報告書の策定
4.報告会の開催

経営層向けサイバーセキュリティ研修サービス

対応企業 ・経営層がどの程度サイバーセキュリティに関わるべきかわからないお客様
・経営層がどのようにサイバーセキュリティに携わるかわからないお客様
・他社の事例を知りたいお客様

対象:経営層
サービス概要 経営層がサイバーセキュリティに携わるべき理由と方法を、他社事例を交えて理解いただきます。
1.サイバーセキュリティの現状
2.被害発生事例、対応の成功事例
3.簡易ワークショップ
4.有効な対策
5.教訓とまとめ
期間 2時間程度
成果物 ・研修資料一式
(現在のサイバーセキュリティ環境、他社の失敗事例、成功事例、簡易ワークショップ、経営層に求められる役割等)
・アンケート結果
支援ステップ 1.現状の取り組み状況、課題のヒアリング
2.日時、当日の流れ、コンテンツ案の合意
3.研修の実施
4.アンケート等のとりまとめ

脆弱性診断サービス

対応企業 自社のシステム・ネットワークの脆弱性を確認したいお客様
サービス概要 Certified Ethical HackerやLicensed Penetration Testerなどの国際資格を保持する経験豊富なコンサルタントがグローバル・スタンダードに基づいたセキュリティレベルの診断を行います。新規に発見された脆弱性に関しては最新のデータベースにより検出するため、常に最新の脆弱性に対しての診断が可能となります。
期間 1ヶ月~2ヶ月
成果物 脆弱性診断結果報告書

お問い合わせ

contact_banner.gif

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。