サイバーセキュリティコンサルティングサービス

サイバーセキュリティとは

サイバー攻撃が急速に複雑・巧妙化している中、サイバーセキュリティの強化は国を挙げて取り組むべき最重要課題の一つとなっています。近年、サイバー攻撃に対するにはアンチウイルスソフトやファイアウォールなど従来型の一般的な技術だけでは防ぎきれなくなってきているのが実情であり、実際に、ここ数年、被害件数が劇的に増加しています。技術的対策、整備・運用面の対策、そして経営層の意識や被害が発生したという前提で手を打っておくなど様々な要素が必要となってきており、企業組織全体で取り組むことが求められています。

サイバー攻撃に対する動き

サイバー攻撃とは、文字通り、ネットワークを介した技術的な攻撃です。近年の被害件数の増加を受け、規制当局の動きも激しくなってきました。例えば、金融業界では、安全対策基準をはじめとした主要な業界向けガイドラインの改訂にあたって、「サイバー攻撃対応」に関する記述を盛り込む動きをとりはじめています。

【表:サイバー攻撃を念頭においたFISC安全対策基準の見直し方針】
主な検討テーマ 改定のポイント
金融機関におけるサイバー攻撃対応体制について 「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」を踏まえ、サイバー攻撃の対応態勢の整備について、事前対策、検知策、対応策、教育・訓練に関する基準を新設、また、インターネットバンキングにおける不正送金防止策や、利用時の注意事項について、運用基準、技術基準を改訂する予定。
(安全対策基準とは別に、サイバー攻撃の手口や被害の事例、対策例等、金融機関がサイバー攻撃対策を検討するにあたり、参考となる情報を集約し、情報提供する予定)
金融機関におけるクラウドサービス利用について 「金融機関におけるクラウド利用に関する有識者検討会報告書」を踏まえ、以下の観点から【運用基準No.108(クラウド利用に関する基準)】の全面改訂を行う予定。

○ クラウド事業者の選定手続きの明確化
○ クラウド事業者との安全対策に関する契約内容の明確化
○ サービス利用中の情報漏洩防止策
○ 利用終了時の情報漏洩防止策
○ 立入監査・モニタリング態勢の整備
外部委託先による不正な引出し事例に関する検討について 不正な引出し事例のヒアリング調査等から得られた対策をもとに、今回の改訂では、暫定対応として、技術的な対策を対象とし検討を行う。
委託先管理態勢等のガバナンスについては、次年度計画している有識者検討会において議論し、その結果を踏まえ改訂検討(本格対応)を行う予定。

<暫定対応における主な検討事項>
○ 重要なデータへのアクセス制限の対策例
○ 外部記憶媒体の利用制限、持込み・持出制限の対策例 等
(出典:金融情報システムとFISC安全対策基準について)

企業は何が必要なのか?

こうした攻撃に対して、企業は複数手段を併用して防御態勢を整える必要があります。冒頭で「手口が狡猾さを増している」と述べましたが「狡猾さ」を表す近年の典型的な攻撃の一つが「標的型メール攻撃」(詳しくはNAVI記事「標的型メール攻撃」を参照ください)です。「標的型メール攻撃」とは、特定の攻撃対象に対しメールを使って不正ファイルを開かせ、その組織のネットワークにセキュリティの穴を開ける攻撃手法です。攻撃対象を定めた上で、その対象組織が信頼できる名を語って、あたかも重要な用件であることを装い本文を送りつけ、不正な添付ファイルを開かせるのです。

こうした例からもわかりますように、サイバー空間における攻撃手法はますます高度化、巧妙化してきています。ある意味では、こうした攻撃を技術的に完全に防ぐことは困難と言えます。だからこそ、複数の視点から、対策を講じることが必要なのです。

複数の視点から対策を講じるための手法は様々です。近年のサイバー攻撃に対しては、入口対策(外部から内部のネットワークに入ってくる通信への対策)だけでなく出口対策(内部ネットワークから外部へ出て行く通信への対策)も重要であるとはよく言われることです。加えて、例えばBow-tie-Analysis(蝶ネクタイ分析)と呼ばれるアプローチも有効な手段の一つです(下図参照)。この技法を用いると、原因と結果の両側面から分析することが可能です。

【図: Bow-tie-Analysisによるサイバー攻撃対応に関するリスクアセスメント(例)】

サービス一覧

ニュートン・コンサルティングでは、近年注目が増しているサイバーセキュリティについて、お客様のセキュリティ強化のお手伝いをする各種サービスをご提供しております。
      

 

CISOアドバイザリー・戦略立案支援コンサルティングサービス
対象企業 CISOの方、これからCISOに任命される方、またはCISOのような組織全体のセキュリティに関する責任を担う方 (CISOに任命されたものの、何から手を付けてよいかわからない方等)
サービス概要 ビジネスとIT・サイバーセキュリティに精通したコンサルタントが対面・電話・メール等で日々のCISO業務のサポートを行います。
本サービスの特長は下記のとおりです。
1.困ったときにすぐに相談可能
2.経営に資するサイバーセキュリティ戦略立案の支援
3.自組織のサイバーセキュリティロードマップ策定の支援
4.役員会やセキュリティ委員会などの経営の舵取りを行う会議体への同席
5.かゆい所に手が届く支援
サイバーセキュリティトップインタビューコンサルティングサービス
対象企業 サイバーセキュリティの取り組みを強化したいお客様、サイバーセキュリティに取り組んでいるものの、前進しているかどうか不明なお客様
サービス概要 トップマネジメントのサイバーセキュリティに対する思いの明確化を目的に、コンサルタントが貴社のトップマネジメントに直接インタビューさせていただくサービスです。1~1.5時間のインタビューを通じて、昨今のサイバーセキュリティのトレンドをご共有するとともに、以下のような質問を行います。

●経営において大切にしていること
●ITに限らず、過去、何か重大なインシデント(自らが陣頭指揮を執って対応する事態)が発生したか。その時どのように判断、対応したか
●経営の観点でどのリスクが気になるか。その中でサイバーは直感的にどの位置付けか
●サイバー攻撃に起因する最悪の事態は何か
●重要システムが停止したとして、どれくらいの停止時間が許容できるか
●ITやサイバーセキュリティについて、更なる投資や人材雇用等についてどう考えているか
●サイバーセキュリティ・ITセキュリティに関して、同業他社と比較した場合、どのレベルで対応が必要か 等

インタビュー結果はトップマネジメントのコミットメントとして、サイバーセキュリティ活動の明確な方針となります。本サービスでは、その活用法までをアドバイスいたします。
セキュリティポリシー策定支援コンサルティングサービス
対象企業 国内外の拠点やグループ全体にサイバーセキュリティに対する意識を浸透させ、セキュリティの底上げを実現したいお客様
サービス概要 経営層の意思を反映したセキュリティ基本方針やセキュリティポリシーを策定します。オプションとして策定後の国内外の拠点への展開のご支援も可能です。
CSIRT構築コンサルティングサービス
対象企業 CSIRTの策定を求められているものの、具体的な進め方がわからないお客様

対象:情報システム部門を始めとするCSIRT構成メンバー等
サービス概要 サイバー攻撃に備えて、平時・有事に関わらずCSIRTがとるべき対応計画の整備及びCSIRT演習・訓練のお手伝いをします。

・CSIRT運用方針の確立支援
・平時態勢、及び有事態勢の確立支援
・CSIRT演習・訓練支援
PSIRT/DSIRT構築支援コンサルティングサービス
対象企業 クラウド、AI、IoT、ドローン・UGV(無人車両)等の先端技術に関する製品/サービスを提供するお客様
サービス概要 トップインタビューやワークショップから脆弱性やかかるインシデント対応を検討し、PSIRT/DSIRTマニュアル案を提示します
グローバルCSIRT構築コンサルティングサービス
対象企業 海外を含む全拠点でのCSIRT構築や、セキュリティインシデント対応の共有体制の整備をしたいお客様
サービス概要 各国の拠点でCSIRTを構築するとともに、セキュリティインシデント対応における情報共有体制を整備します。
なお、各拠点でのCSIRT構築には、必要なインシデント対応ポリシー、規程、ガイドライン等の整備、現地またはオンラインでのルール説明、ワークショップ研修等を含みます。
金融機関向け(金融サービスプロバイダー含む)システム管理態勢構築・改善コンサルティングサービス
対象企業 ・金融機関のお客様
・金融機関向けにサービスを提供するお客様
サービス概要 FISCの各種ガイドラインや各種基準準拠に向けて、現状分析の上、FISC安全対策基準等が定める「金融機関のあるべき姿」と現状のギャップを特定します。運用態勢や各種ガイドラインが求めるレベルをルール・プロセスに落とし込み、運用として定着化を支援します。
NIST SP800-171セキュリティ構築支援コンサルティングサービス
対象企業 ・米国政府と取引があり、NIST SP800-171への準拠が求められるお客様
・米国内での製品/サービス提供を行うお客様
・日本政府(防衛省など)の調達に関係するお客様
・グローバル・スタンダードに基づきセキュリティを強化しているお客様
サービス概要 NIST SP800-171への準拠に向けたセキュリティ構築について、ギャップ分析から対策の導入まで支援いたします。フェーズを区切っての支援も可能です。
サイバー攻撃対応BCPコンサルティングサービス
対象企業 サイバー攻撃から自社を守り、事業継続を果たしたいお客様
サービス概要 本サービスでは、サイバー攻撃から自社を守り事業継続を果たすために、既存ルールと整合しつつも災害対応とは異なる特長を踏まえたサイバー攻撃対応BCPの策定支援を行います。
経営陣向けサイバー演習・訓練コンサルティングサービス
対象企業 サイバーセキュリティの取り組みを進めているお客様、または、本格的に取り組もうとされているお客様(サイバーセキュリティの重要性を現場は理解しているものの、経営陣の理解が不足しているなどのお悩みをお持ちの方等)
サービス概要 ビジネスインパクトの大きいセキュリティインシデントが発生した際における経営陣の意思決定力を養うことができるサイバー演習です。
CSIRT実務者向けサイバー演習・訓練コンサルティングサービス
対象企業 ・CSIRTは構築したが、実際に機能するか不安があるお客様
情報システム部門を始めとするCSIRT構成メンバー等
サービス概要 サイバー攻撃に備えて、CSIRT構成メンバーに対する演習・訓練のお手伝いをします。
・CSIRT演習・訓練支援
サイバー攻撃対応演習・訓練コンサルティングサービス
対象企業 サイバー攻撃対応計画や対応態勢は整備してあるものの、検証したことがほとんどないお客様
サービス概要 外部からサイバー攻撃を受けたことを想定した様々な演習を行います。経営層やCSIRT、営業、広報、法務などを含めた演習・訓練シナリオの策定から、演習当日のファシリテーションまでお手伝いし、初動対応から最終的な意思決定を行うまでの一連の流れを体験いたただきます。
グローバルサイバー演習・訓練コンサルティングサービス
対象企業 グローバルレベルで、セキュリティに対する意識改革やサイバー攻撃に対する対応力の向上を図りたいお客様
サービス概要 グローバル企業向けに、本社と主要海外拠点あるいは全海外拠点を対象として、サイバー攻撃に起因するセキュリティインシデントの発生を想定したサイバー演習・訓練を実施し、本社と海外拠点のギャップや海外拠点の改善事項の抽出を行い、対応力の向上につなげます。
レッドチームサイバー演習コンサルティングサービス
対象企業 ・サイバー演習・訓練は定期的に実施しているがマンネリ化しているお客様
・多くの部署のサイバー攻撃に対する意識を向上させたいお客様
サービス概要 弊社技術チームおよびお客様のメンバーでレッドチーム(サイバー攻撃専門チーム)を編成し、疑似サイバー攻撃を実施。組織全体のセキュリティのボトルネックを現場視点であぶり出すことが可能になります。実施後、課題を抽出して報告書を作成し、改善策をご提案します。
標的型メール・SMS訓練コンサルティングサービス
対象企業 ・標的型メール訓練を定期的・継続的に実施したいお客様
・メール訓練からさらに進んだSMSでの訓練を行いたいお客様
サービス概要 標的型メール・SMS攻撃に対する訓練を実施し、訓練結果の分析・評価を行います
サイバーセキュリティ評価コンサルティングサービス
対象企業 ・現状のサイバーセキュリティ対応状況を客観的に知りたいお客様
・あるべき姿とのギャップを知りたいお客様
・サイバーセキュリティに関して不足している点、やりすぎている点を知りたいお客様
サービス概要 組織としてのサイバーセキュリティの対応力を整備状況(文書査閲・インタビュー)、運用状況(現場点検・インタビュー)、テストの観点(脆弱性診断・ペンテスト、サイバー演習)から評価します。

・評価基準の選定
・訓練ツール準備・提供
・訓練実施
・改善方針の助言等
NIST SP800-171 セキュリティ監査支援コンサルティングサービス
対象企業 特に米国政府や防衛省(防衛装備庁)と取引がある、グローバル展開するお客様
サービス概要 システムの整備状況、運用状況について、セキュリティレベルの監査を行います。NIST SP800-171で特に問われる部分の技術的なセキュリティ対策に加え、一般的な情報セキュリティも含めて改善策を提案します。
IoTセキュリティ監査コンサルティングサービス
対象企業 IoT機器を利用しているお客様
サービス概要 自社が利用するIoT機器のインターネット接続状況を確認し、脆弱性を含めた機器設定に関するリスクを特定します。また、IoT機器の運用ルール・オペレーションに関するリスクも可視化します。その後リスクに対する最善の改善策を提示します。
ISMAP(政府情報システムのためのセキュリティ評価制度)登録支援コンサルティングサービス
対象企業 政府機関にクラウドサービスを提案したいお客様
サービス概要 ISMAPクラウドサービスリスト登録に向けたクラウドサービスの評価および改善策の提案
テレワークセキュリティ評価コンサルティングサービス
対象企業 テレワークを実施、もしくは実施の検討をしているお客様
サービス概要 テレワーク環境に対し、「NIST SP800-207(ゼロトラストアーキテクチャ)」など様々なフレームワークのエッセンスを取り入れたニュートン考案のテレワークセキュリティモデルに基づき第三者目線で評価し、課題を可視化したうえで、具体的な改善ロードマップを提示するサービスです。
サプライチェーンセキュリティ360度評価コンサルティングサービス
対象企業 ・取引先などサプライチェーンのセキュリティを可視化し、改善を促したいお客様
・グループ企業などのセキュリティを可視化し、改善につなげたいお客様
・自組織のセキュリティを定期的に可視化し、改善につなげたいお客様
サービス概要 サプライチェーンやグループ企業まで含めたサイバーセキュリティの現状について、外部環境/内部環境の両軸での評価を行い、全方位に可視化し改善につなげます。
制御・OTシステムセキュリティアセスメントコンサルティングサービス
対象企業 制御システムを利用しているお客様
サービス概要 自社の制御システムにおけるセキュリティリスクを可視化し、評価します。その後明確になったリスクに対して、どのような対策をいつまでに行うかを検討し、技術的・物理的・人的観点から効果的かつ具体的なセキュリティ対策案を提示します。
本サービスは丸紅情報システムズ株式会社、株式会社コミュニケーション・アライアンスと協業して提供いたします。
FFIEC CAT(Cybersecurity Assessment Tool)による金融機関向けサイバーセキュリティ監査コンサルティングサービス
対象企業 日本国内で金融サービスを提供されているお客様
また、客観的なサイバー対応レベルを知りたいお客様
サービス概要 FFIEC CATを使用して、整備状況、運用状況の視点から、サイバーセキュリティ成熟度の評価を行います。
また、金融機関システムにおけるベストプラクティスをご提示し、サイバーセキュリティ成熟度の向上までお手伝いします。
仮想通貨事業者向けセキュリティ監査コンサルティングサービス
対象企業 仮想通貨取引システムで取引所業務を提供しているお客様
また、上記参入をご検討されているお客様
サービス概要 仮想通貨取引システムの整備状況、運用状況について、セキュリティレベルの評価を行います。また、仮想通貨取引システムにおけるベストプラクティスに基づいた改善策を提示し、セキュリティレベルの向上までお手伝いします。
コード決済事業者向けセキュリティ監査コンサルティングサービス
対象企業 コード決済サービスを提供する事業
サービス概要 コード決済に関わるシステムやルールの整備・運用について、セキュリティレベルの評価を行います。また、一般的な情報セキュリティに加え、コード決済に特化する技術的なセキュリティ部分についても改善案を提示します。
CRI Profileセキュリティ監査コンサルティングサービス
対象企業 日本国内や海外拠点で金融サービスを提供されているお客様
客観的なサイバー対応レベルを知りたい金融サービスを提供しているお客様
サービス概要 CRI Profileを使用して、整備状況、運用状況の視点から、サイバーセキュリティ対策の評価を行います。
また、金融機関システムにおけるベストプラクティスをご提示し、サイバーセキュリティ成熟度の向上までお手伝いします。
金融機関向けサイバーレジリエンス向上コンサルティングサービス
対象企業 サイバーレジリエンス向上を客観的に知りたい金融機関のお客様
サービス概要 組織としてのサイバーレジリエンスを整備状況(文書査閲・インタビュー)、運用状況(記録確認・現場点検・インタビュー)、テストの観点(脆弱性診断・サイバー演習)から評価
・評価基準の選定
・訓練ツール準備・提供
・訓練実施
・改善方針の助言等
脆弱性診断コンサルティングサービス
対象企業 自社のシステム・ネットワークの脆弱性を確認したいお客様
サービス概要 Certified Ethical HackerやLicensed Penetration Testerなどの国際資格を保持する経験豊富なコンサルタントがグローバル・スタンダードに基づいたセキュリティレベルの診断を行います。新規に発見された脆弱性に関しては最新のデータベースにより検出するため、常に最新の脆弱性に対しての診断が可能となります。
SecurityScorecard(セキュリティスコアカード)
対象企業 ・国内外の拠点やグループ企業のセキュリティ状況が気になるお客様
・サプライヤのセキュリティ状況の確認について、調査表等ではなく能動的にスキャンすることで確認したいお客様
・セキュリティの課題に対し、具体的に何から対応したら良いかわからないお客様
サービス概要 自組織やサプライヤ、グループ企業などの各組織について、セキュリティの現状を評価し、サイバー攻撃を受けるリスクを可視化するツールです。

お客様事例

お問い合わせ

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

動画アーカイブ

セミナー動画などをご覧いただけます。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる