CSIRT成熟度評価サービス

日本企業のCSIRT(Computer Security Incident Response Team)は多くの課題を抱えながら、セキュリティ対応における重要な任務を実行しています。当サービスでは、他社のCSIRTと比べた成熟度を理解できるよう、自社のCSIRT機能を評価し、客観的な目線で課題を洗い出し、実効性のある改善計画を策定することで、CSIRTの課題解決をサポートします。

該当サービスが必要な背景

デジタル化の進展により、企業がセキュリティ対応をすべき範囲が拡大しています。同時にサイバー攻撃もデジタル技術を活用し高度化・巧妙化していることから、企業のIT環境のセキュリティ確保はこれまで以上に難しくなっており、セキュリティインシデントに直面するリスクが高まっています。そのためCSIRTは守るべきシステム、資産、サービスなどを常に意識しながら業務にあたることが求められます。

図表1 守るべき範囲の拡大とCSIRTの役割

セキュリティ対策は年々高度化し、あらゆる業種の企業が日々サイバー攻撃を受け、自社の提供サービスに深刻なダメージを及ぼしかねないリスクに晒されています。しかし、CSIRTが企業のセキュリティ対応に対して組織としてどこまでサービス提供できているか、自己診断をしている日本企業は少なく、自社の組織が正しく運営できているかが分からないままセキュリティ対応を実施していることが多々あります。

PwC JapanグループはCSIRTのアセスメントを行うことで、現在の課題を洗い出し、その解決に向けたアドバイスを提供します。CSIRTが直面する組織、人材、ツール、プロセスにおける課題について、他社のCSIRT組織に比べて足りていない機能を可視化することで、解決策を検討することが可能になります。

当サービスの提供を通じ、日本企業のCSIRTのセキュリティ対応を底上げし、技術の漏洩防止や事業継続の向上に貢献することを目指します。

access to management

組織

  • CSIRTの役割と責任が組織の中で明確になっていない
  • CSIRTは責任に応じた権限が与えられていない
  • CSIRTと業務部門との権限が明確になっていない
Auditing picto

人材

  • CSIRTの構成要員は、他部署(情報システム部など)との兼務であり、十分な専門性を有しているとは言えない
  • CSIRTの構成要員に対する社内外の教育機会が積極的に設けられていない
  • 専門性のある構成要員を確保できない
Auditing picto

ツール

  • インシデント発生時あるいは予兆のある時に、CSIRTが調査するための異常検知および調査のためのツール群にアクセスできない。または情報不足のため調査ができない
  • インシデントを登録し、事象を追跡するためのITSM(ITサービスマネジメント)が構築されておらず、過去のインシデント対応に関する履歴が残っていない
Auditing picto

プロセス

  • インシデント発生時にCSIRTから経営へのエスカレーションルートおよびその基準が明確になっておらず、担当者の判断次第となっている
  • インシデント対応の手順が標準化されておらず、担当者の独自の判断で都度対応している

サービス内容

CSIRT成熟度評価の各種フレームワークに対する知見と、CSIRTの構築や第三者評価の経験を踏まえ、CSIRTアセスメントおよびアクションプランの策定支援を行います。客観的に自社のCSIRTを評価することで、CSIRTの成熟度レベルと課題を理解し、目標レベルまで到達するためのアクションを明確にするとともに、他組織のCSIRT成熟度レベルと比較することが可能となります。

ステップ1:CSIRT評価の各種フレームワークをベースにヒアリングやアンケート、資料の検証を行い、分析、評価を行います。

ステップ2:評価結果に基づき課題の優先度付け、改善案の検討、アクションプランの策定を行います。

ステップ3:アクションプランに基づく改善活動に対する助言と実行支援を提供します。

図表3 CSIRTアセスメントおよびアクションプランの策定支援の流れ

CSIRT成熟度評価サービスを活用するメリット

当サービスにより、自社のCSIRT機能を評価することで、客観的な目線で課題を洗い出し、実効性のある改善計画を策定することができ、CSIRTの課題に対する予算確保の一端をサポートすることが可能です。

①他社と比較しにくい自社のCSIRT機能について客観的な評価が可能

世界的に知られているフレームワークを活用することで、自社のCSIRT機能について客観的かつ網羅的な目線で評価することができます。4つのカテゴリーを評価して、自社で改善が必要な機能を洗い出します。自社では気づくことができない課題を客観的に評価することで、CSIRTの機能をより強固にする道筋が理解できます。

②サイバーセキュリティ専門家の知見を活用することでアクションプランが明確に

PwCには、CSIRTの評価・構築に限らず多数のサイバーセキュリティ専門家が在籍しています。サイバーセキュリティに関する豊富な知見と経験を活用することで、評価後のアクションプラン策定をより実効的なものにすることが可能です。他社の動向や海外の規制等も考慮した体制構築など、専門性の高いニーズに対する支援も可能です。

③経営層に対してCSIRTの課題を説明することをサポート

日本企業のCSIRTでは、セキュリティの専門的知見や人的リソースの不足により、他部署との兼務で人員を配置しているというケースも見受けられ、課題があると認識していても予算を確保することが難しい場合があります。客観的なCSIRT成熟度の評価とアクションプランの策定を行うことで、自社の課題を経営層に対して説明する際のサポートが可能です。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

綾部 泰二

パートナー, PwC Japan有限責任監査法人

Email

小堀 直樹

シニアマネージャー, PwC Japan有限責任監査法人

Email

熊坂 翔太朗

マネージャー, PwC Japan有限責任監査法人

Email

本ページに関するお問い合わせ