サイバーセキュリティ支援サービス

サイバーセキュリティとは

サイバー攻撃が急速に複雑・巧妙化している中、サイバーセキュリティの強化は国を挙げて取り組むべき最重要課題の一つとなっています。近年、サイバー攻撃に対するにはアンチウイルスソフトやファイアウォールなど従来型の一般的な技術だけでは防ぎきれなくなってきているのが実情であり、実際に、ここ数年、被害件数が劇的に増加しています。技術的対策、整備・運用面の対策、そして経営層の意識や被害が発生したという前提で手を打っておくなど様々な要素が必要となってきており、企業組織全体で取り組むことが求められています。

サイバー攻撃に対する動き

サイバー攻撃とは、文字通り、ネットワークを介した技術的な攻撃です。近年の被害件数の増加を受け、規制当局の動きも激しくなってきました。例えば、金融業界では、安全対策基準をはじめとした主要な業界向けガイドラインの改訂にあたって、「サイバー攻撃対応」に関する記述を盛り込む動きをとりはじめています。

【表:サイバー攻撃を念頭においたFISC安全対策基準の見直し方針】
主な検討テーマ 改定のポイント
金融機関におけるサイバー攻撃対応体制について 金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」を踏まえ、サイバー攻撃の対応態勢の整備について、事前対策、検知策、対応策、教育・訓練に関する基準を新設、また、インターネットバンキングにおける不正送金防止策や、利用時の注意事項について、運用基準、技術基準を改訂する予定。
(安全対策基準とは別に、サイバー攻撃の手口や被害の事例、対策例等、金融機関がサイバー攻撃対策を検討するにあたり、参考となる情報を集約し、情報提供する予定)
金融機関におけるクラウドサービス利用について 金融機関におけるクラウド利用に関する有識者検討会報告書」を踏まえ、以下の観点から【運用基準No.108(クラウド利用に関する基準)】の全面改訂を行う予定。

○ クラウド事業者の選定手続きの明確化
○ クラウド事業者との安全対策に関する契約内容の明確化
○ サービス利用中の情報漏洩防止策
○ 利用終了時の情報漏洩防止策
○ 立入監査・モニタリング態勢の整備
外部委託先による不正な引出し事例に関する検討について 不正な引出し事例のヒアリング調査等から得られた対策をもとに、今回の改訂では、暫定対応として、技術的な対策を対象とし検討を行う。
委託先管理態勢等のガバナンスについては、次年度計画している有識者検討会において議論し、その結果を踏まえ改訂検討(本格対応)を行う予定。

<暫定対応における主な検討事項>
○ 重要なデータへのアクセス制限の対策例
○ 外部記憶媒体の利用制限、持込み・持出制限の対策例 等
(出典:金融情報システムとFISC安全対策基準について)

企業は何が必要なのか?

こうした攻撃に対して、企業は複数手段を併用して防御態勢を整える必要があります。冒頭で「手口が狡猾さを増している」と述べましたが「狡猾さ」を表す近年の典型的な攻撃の一つが「標的型メール攻撃」(詳しくはNAVI記事「標的型メール攻撃」を参照ください)です。「標的型メール攻撃」とは、特定の攻撃対象に対しメールを使って不正ファイルを開かせ、その組織のネットワークにセキュリティの穴を開ける攻撃手法です。攻撃対象を定めた上で、その対象組織が信頼できる名を語って、あたかも重要な用件であることを装い本文を送りつけ、不正な添付ファイルを開かせるのです。

こうした例からもわかりますように、サイバー空間における攻撃手法はますます高度化、巧妙化してきています。ある意味では、こうした攻撃を技術的に完全に防ぐことは困難と言えます。だからこそ、複数の視点から、対策を講じることが必要なのです。

複数の視点から対策を講じるための手法は様々です。近年のサイバー攻撃に対しては、入口対策(外部から内部のネットワークに入ってくる通信への対策)だけでなく出口対策(内部ネットワークから外部へ出て行く通信への対策)も重要であるとはよく言われることです。加えて、例えばBow-tie-Analysis(蝶ネクタイ分析)と呼ばれるアプローチも有効な手段の一つです(下図参照)。この技法を用いると、原因と結果の両側面から分析することが可能です。

【図: Bow-tie-Analysisによるサイバー攻撃対応に関するリスクアセスメント(例)】

サービス一覧

ニュートン・コンサルティングでは、近年注目が増しているサイバーセキュリティについて、お客様のセキュリティ強化のお手伝いをする各種サービスをご提供しております。
      

 

サイバーセキュリティ評価支援サービス

対象企業 ・現状のサイバーセキュリティ対応状況を客観的に知りたいお客様
・あるべき姿とのギャップを知りたいお客様
・サイバーセキュリティに関して不足している点、やりすぎている点を知りたいお客様
サービス概要 組織としてのサイバーセキュリティの対応力を整備状況(文書査閲・インタビュー)、運用状況(現場点検・インタビュー)、テストの観点(脆弱性診断・ペンテスト、サイバー演習)から評価します。

・評価基準の選定
・訓練ツール準備・提供
・訓練実施
・改善方針の助言等

金融機関向けサイバーレジリエンス向上サービス

対象企業 サイバーレジリエンス向上を客観的に知りたい金融機関のお客様
サービス概要 組織としてのサイバーレジリエンスを整備状況(文書査閲・インタビュー)、運用状況(記録確認・現場点検・インタビュー)、テストの観点(脆弱性診断・サイバー演習)から評価
・評価基準の選定
・訓練ツール準備・提供
・訓練実施
・改善方針の助言等

CSIRT構築支援サービス

対象企業 CSIRTの策定を求められているものの、具体的な進め方がわからないお客様

対象:情報システム部門を始めとするCSIRT構成メンバー等
サービス概要 サイバー攻撃に備えて、平時・有事に関わらずCSIRTがとるべき対応計画の整備及びCSIRT演習・訓練のお手伝いをします。

・CSIRT運用方針の確立支援
・平時態勢、及び有事態勢の確立支援
・CSIRT演習・訓練支援

CSIRT演習・訓練支援サービス

対象企業 ・CSIRTは構築したが、実際に機能するか不安があるお客様
情報システム部門を始めとするCSIRT構成メンバー等
サービス概要 サービス概要 サイバー攻撃に備えて、CSIRT構成メンバーに対する演習・訓練のお手伝いをします。
・CSIRT演習・訓練支援

標的型メール訓練サービス

対象企業 標的型メール訓練を定期的・継続的に実施したいお客様
サービス概要 標的型メール攻撃に対する訓練を実施し、訓練結果の分析・評価を行うともに教育までをお手伝いします。

サイバー攻撃対応演習・訓練支援サービス

対象企業 サイバー攻撃対応計画や対応態勢は整備してあるものの、検証したことがほとんどないお客様
サービス概要 外部からサイバー攻撃を受けたことを想定した様々な演習を行います。経営層やCSIRT、営業、広報、法務などを含めた演習・訓練シナリオの策定から、演習当日のファシリテーションまでお手伝いし、初動対応から最終的な意思決定を行うまでの一連の流れを体験いたただきます。

レッドチームサイバー演習サービス

対象企業 ・サイバー演習・訓練は定期的に実施しているがマンネリ化しているお客様
・多くの部署のサイバー攻撃に対する意識を向上させたいお客様
サービス概要 弊社技術チームおよびお客様のメンバーでレッドチーム(サイバー攻撃専門チーム)を編成し、疑似サイバー攻撃を実施。組織全体のセキュリティのボトルネックを現場視点であぶり出すことが可能になります。実施後、課題を抽出して報告書を作成し、改善策をご提案します。

仮想通貨事業者向けセキュリティ監査支援サービス

対象企業 仮想通貨取引システムで取引所業務を提供しているお客様
また、上記参入をご検討されているお客様
サービス概要 仮想通貨取引システムの整備状況、運用状況について、セキュリティレベルの評価を行います。また、仮想通貨取引システムにおけるベストプラクティスに基づいた改善策を提示し、セキュリティレベルの向上までお手伝いします。

コード決済セキュリティ監査支援サービス

対象企業 コード決済サービスを提供する事業
サービス概要 コード決済に関わるシステムやルールの整備・運用について、セキュリティレベルの評価を行います。また、一般的な情報セキュリティに加え、コード決済に特化する技術的なセキュリティ部分についても改善案を提示します。

FFIEC CAT(Cybersecurity Assessment Tool)による金融機関向けサイバーセキュリティ監査支援サービス

対象企業 日本国内で金融サービスを提供されているお客様
また、客観的なサイバー対応レベルを知りたいお客様
サービス概要 サービス概要 FFIEC CATを使用して、整備状況、運用状況の視点から、サイバーセキュリティ成熟度の評価を行います。
また、金融機関システムにおけるベストプラクティスをご提示し、サイバーセキュリティ成熟度の向上までお手伝いします。

脆弱性診断サービス

対象企業 自社のシステム・ネットワークの脆弱性を確認したいお客様
サービス概要 Certified Ethical HackerやLicensed Penetration Testerなどの国際資格を保持する経験豊富なコンサルタントがグローバル・スタンダードに基づいたセキュリティレベルの診断を行います。新規に発見された脆弱性に関しては最新のデータベースにより検出するため、常に最新の脆弱性に対しての診断が可能となります。

NIST SP800-171に基づくセキュリティ監査支援

対象企業 特に米国政府や防衛省(防衛装備庁)と取引がある、グローバル展開するお客様
サービス概要 システムの整備状況、運用状況について、セキュリティレベルの監査を行います。NIST SP800-171で特に問われる部分の技術的なセキュリティ対策に加え、一般的な情報セキュリティも含めて改善策を提案します。

お問い合わせ

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる