情報セキュリティ診断・構想~導入支援

情報セキュリティを取り巻く環境

過去数年にわたり、ITおよびセキュリティの専門家のみならず経営者においても、情報セキュリティは“ビジネスを実現するためには欠かせない”という認識が浸透し、企業の情報セキュリティに対する取り組みは確実に向上してきました。しかし、現在の企業においては、以下のような経営環境や情報技術の大きな変化に直面しています。

経営環境の変化

  • 日本企業が海外に進出したり、外国企業の傘下に収まったりする機会が増えた。結果的に、情報セキュリティ管理の対象は拡大している。
  • 企業による買収や合併が盛んになった。しかし、統合後も統合前の別々のルールが並存し、情報セキュリティ管理の一貫性を欠いているケースが見られる。
  • 国や地域によって、法規制、商慣習、従業員の能力、雇用の安定性など、ビジネスの環境はさまざまである。世界中で同一の管理方法を適用しようとすると、情報セキュリティ管理の実効性が低下する恐れがある。
  • 経済情勢は依然として厳しい状態であり、企業における情報セキュリティ管理の予算は潤沢ではない。そのため、さらに効率的な管理手法が必要となっている。
  • 企業において、情報セキュリティの知識を持つ内部監査人の育成は急務だと言われてきた。このような内部監査人を抱える企業であっても、限られた人員でビジネスの規模拡大に対応することは難しい。

情報技術の変化

  • ソーシャルメディアの普及により、世界に向けて誰でも情報発信が可能になった。マーケティング戦略上、ソーシャルメディアを活用しようとする企業も多いが、誤ったメッセージの発信や情報漏洩のリスクを考慮したソーシャルメディアの活用方針を明確に定めている企業は少ない。
  • 企業におけるクラウドコンピューティングの利用が進み、コスト、システム導入期間、運用管理の専門性などの面で一定の効果が表れている。一方で、ベンダー選定・監視は、情報セキュリティにかかわる新たな課題として認識されている。

今求められている情報セキュリティとは?

今日においては、これまでの情報セキュリティポリシーや管理体制、およびPDCAサイクルの定義といったガバナンスの構築に加えて、企業が必要に応じて、 IDM(※1)ツールやGRCツール(※2)といったITツールを活用するなど、より実践的で効率的なアプローチの適用が求められています。

※1 IDM (Identity Management)ツール
企業におけるユーザIDやアクセス権限を統合的に管理するためのツール。統合管理によって、職務分掌の徹底による不正防止や、システム部門におけるID管理の効率化を可能にする。
※2 GRC(Governance, Risk and Compliance)ツール
企業におけるリスクやコンプライアンスにかかる情報を一元的に管理するためのツール。一元管理されたデータを用いて、モニタリングの効率的な実施、経営陣に対する迅速な報告を可能にする。

コンサルティングサービス内容

企業の情報セキュリティ管理の現状評価から、設計、構築、導入、運用まで、効率的で一貫性のあるリスク管理の実現を支援します。管理体制の構築、内部監査やCSA(Control Self Assessment)導入、GRCツール導入など、各企業に適したアプローチによって情報セキュリティ管理の実効性を確保します。
また、積極的にITツールを活用し、情報資産の利用制限、自動化ツールやダッシュボード機能による管理運用業務の効率化、モニタリング機能によるセキュリティインシデントの早期発見を可能にします。

情報セキュリティガバナンス構築支援サービスの全体像
情報セキュリティガバナンス構築支援サービスの全体像

  • 情報セキュリティ管理の現状評価
    • 体制
    • 規定
    • リスク評価
    • IT
    • 事業継続
    • インシデント対応
    • コンプライアンス対応
    • 委託先管理
    • 教育
    • 内部監査
    • 有効性評価
  • 情報セキュリティ管理体制(専門部署や委員会等)の設計、役割・責任の明確化
  • グローバル環境における情報セキュリティ管理の運用および評価スキームの設計(各種ITツールを活用した効率化などを含む)
  • 関連法規、業界標準等へのコンプライアンス設計
  • ポリシーおよび運用手順の策定
  • 各種ITツールを活用した情報セキュリティ管理インフラの構築
  • ポリシーおよび運用手順の導入
  • 各種ITツールを活用した情報セキュリティ管理インフラの導入
  • 従業員等に対する情報セキュリティ教育
  • ポリシーおよび運用手順の運用・モニタリング評価
  • 各種ITツールを活用した情報セキュリティ管理インフラの運用
  • 内部監査・CSAなどの実施
  • 情報セキュリティインシデント発生時の対応

サービスの特徴

(1)グローバルな連携
世界158カ国のPwCのネットワークを生かし、各国の特性に合わせた情報セキュリティ管理のスキームを構築することが可能です。
(2)ビジネス/規制に対する理解
コンサルティングファームとしてさまざまな企業に対するサービス提供の実績から、業界、規制およびガイドライン、業務特性を踏まえた提言を行います。グローバルスタンダードの単純適用による形骸化されやすい施策ではなく、実効性のある施策を提言します。
(3)ベンダーに依存しない中立性
監査法人系コンサルティングファームとしての中立的な立場を活かし、特定のベンダーや製品に依存しない提言を行います。これにより、クライアントの要件に合致した最適なソリューションを選択します。
 
 ページトップへ