サイバーセキュリティ簡易アセスメント ~網羅性のあるサイバーセキュリティ対策の実行~

近年、企業のITシステムは、サイバー攻撃の進化や法規制の拡大、クラウドやモバイルといった利用方法の変化などに伴い、様々なセキュリティリスクを抱えるようになっています。このような状況下、自社のマルウェア感染状況の把握や既存のセキュリティ対策の有効性の評価、さらには限られた予算の中で、確かな根拠に基づいた効果的な対策を実現したいという声が高まっています。

PwCでは、これらの要望にお応えするため、セキュリティ分野での豊富な実績と知見を活用した、ITシステムに対するサイバーセキュリティ簡易アセスメントサービスを提供します。

サイバーセキュリティ上の脅威と課題

多くの企業にとって、絶え間なく変化するサイバーセキュリティ上の脅威に対してどのように対策を整えていくのかが大きな課題となっています。

脅威

課題

標的型攻撃

  • アンチウイルスソフトによる対策の限界
  • 電子メールを利用するなどの多様な攻撃方法への対応
  • 検知、報告体制の不備

不正アクセス

  • 退職者等未使用アカウントの放置
  • なりすましによるシステム侵入
  • データ改ざんによるサービス停止

情報漏洩

  • 人為的ミスなどの過失による情報漏洩
  • 内部不正による情報漏えいとそれに伴う業務停止
  • ウイルスやサイバー攻撃などによるデータ漏えい

サイバーセキュリティ簡易アセスメントサービス

PwCでは、サイバーセキュリティ対策の課題を解決するための第一歩として、 「サイバーセキュリティ簡易アセスメント」を提供しています。本サービスは、「セキュリティ強化のためのデバイス管理」のうち、「1 Assess」部分のみを実施するサービスです。

サイバーセキュリティ簡易アセスメントサービス

サイバーセキュリティ簡易アセスメントにおける評価要素

本アセスメントは、ISF*のメンバーによって設計された当社アセスメントシートを使用します。貴社のセキュリティ対策状況をテクノロジー面から客観的に評価することで(能力成熟度モデル(Capability Maturity Model Integration, CMMI)を参考に、各評価カテゴリの成熟度を5段階で評価) 、カテゴリごとの比較が可能となり、次に必要となる対策が明確になります。

本アセスメントは、ISF*が定義する8 つの 評価カテゴリの中から、「ID・アクセス管理」、「脅威・脆弱性管理」、「プライバシー・データ保護」の3 つの カテゴリを中心に、人・プロセス・テクノロジーの観点による項目を評価軸としています。

 

概要

ID・アクセス管理

  • ユーザーを正しく識別するための基準の策定が行われており、かつ実施されていること
  • 統合認証基盤の導入とエンタープライズ・ID管理の実施が行われていること

脅威・脆弱性管理

  • ネットワーク侵入やマルウエア、不正の検知が実施されていること
  • 攻撃の予兆や疑わしいイベントの管理と相関分析が実施されていること
  • サイバー脅威を評価するための資産管理台帳が作成されていること

プライバシー・データ保護

  • データ保護技術やプロセスの実装が行われていること

多層防御の観点における評価要素

近年のセキュリティ対策では、様々な対策を組み合わせた「多層防御」が重要とされています。下図のように、入口、内部、出口において防御の「層」を作り、一つの層が突破されても別の層で保護されるという考え方で、それぞれの層で十分な対策が施されていることが重要となります。

本アセスメントでは、多層防御の考え方に基づき、環境全体で適切な対応がなされていることを評価するために、当社作成の評価マップを用います。この評価マップでは、入口・内部・出口ごとに防御・検知・対応・復旧の機能が提供されているかどうかを網羅的に評価します。

多層防御の観点における評価要素

サービスの詳細

本サービスでは、ヒアリングを中心とした現状調査により、貴社のサイバーセキュリティ対策の状況をテクノロジーに特化して短期間かつ網羅的に把握します。その結果をもとに、貴社環境に合わせたマイクロソフトテクノロジーによるセキュリティ対策案を提案します。

サービスの詳細

1-1 現状調査

  • サイバーセキュリティの対策状況について現状調査を実施
  • 導入済みセキュリティ対策テクノロジーを多層防御の観点で整理
現状調査

1-2-(1) セキュリティ評価

  • サイバーセキュリティ簡易アセスメント状況評価結果
セキュリティ評価

1-2-(2) セキュリティ対策マップ

  • 多層防御におけるセキュリティ対策マップ
セキュリティ対策マップ

1-3 対策案策定

  • マイクロソフトテクノロジーによるセキュリティ対策案の作成
  • アクションプランの作成
対策案策定

*ISF(Information Security Forum)は1989年に設立されたロンドンを拠点とする独立した非営利団体であり世界において約300社とのネットワークを保有します。標準の開発,、脅威の予測、リスク分析ツールなどの開発を行っており、世界の情報セキュリティ分野に大きな影響力を持っています。会員企業の多くはヨーロッパや北米の企業ですが、最近ではオーストラリアやシンガポールを始めアジア圏の会員も増えています。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}