ニュース

NRIセキュア、サイバーセキュリティ対策の「効果測定」と改善提案を行うコンサルティングサービスを提供開始

2019年3月20日
NRIセキュアテクノロジーズ株式会社

NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)は、企業や組織で実施されているサイバーセキュリティ対策が効果的に実施されているかどうかを測定するための、コンサルティングサービス「CIS Controlsによるサイバー攻撃対策の強化支援(以下「本サービス」)」を、本日から提供します。

従来、企業や官公庁などの組織では、どのようなサイバーセキュリティ対策を採用すべきかについて、おもに2つの手法によって検討してきました。一つ目は、セキュリティの専門家による組織内のヒアリングなどに基づく「リスク評価」で、もう一つは、Webアプリケーションやネットワーク、IoT機器などに脆弱性がないかどうかを、疑似的な攻撃を行って調べる「診断およびテスト」です。

それらの2つの手法は、それぞれ個別の基準で行われることから、「リスク評価」で発見された課題が適切に対処されたかどうかを、「診断やテスト」で確認する作業が見落とされがちでした。それが原因で、セキュリティ事故が起きてしまうケースも生じています。

米国では、数年前からセキュリティ対策が適切に実施され、サイバーセキュリティに関わるリスクが低減されていることを確認するために、「効果測定」を行うことの重要性が提唱されています。米国をはじめ世界各国で多くの企業や公的機関に採用されている、サイバーセキュリティ対策のフレームワーク「CIS Controls」では、そのような効果測定を行うに際して有用な実施基準・実施方法が、補足資料(Measures & Metrics)としていち早く公表されました。

NRIセキュアは、日本においてセキュリティ対策の効果測定を希望する企業・組織を対象に、本サービスの提供を開始します。「CIS Controls」を熟知したNRIセキュアの専門家が、当該企業や組織のセキュリティ対策状況を机上評価し、そこで見つかったセキュリティ上の脆弱性に対処するため、技術的対策のシステムへの実装を支援します。さらに、対策の効果を測定するためにデータの収集・分析を行い、必要な改善策を提案していきます。

本サービスの詳細については、以下のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/ciscontrols.html


NRIセキュアは、今後も、企業・組織のサイバーセキュリティ対策を支援するさまざまな製品・サービスを提供し、グローバルな規模で安全な情報システム環境の推進に貢献していきます。


* CIS Controls:
CIS Controlsはサイバーセキュリティに関する技術分野に焦点を当て、現在発生しているサイバー攻撃や近い将来に発生が予測される攻撃の傾向を踏まえ、多岐にわたる対策の中から、自社(組織)が実施すべき対策と、その優先順位を導くためのアプローチを提示したフレームワークである。アメリカ国立標準技術研究所(NIST)の「NIST Cyber Security Framework」や、ISMS(ISO/IEC27001, 27002)と並んでグローバルに普及している。 米国の国家安全保障局(NSA)をはじめとした公的機関や、サイバーセキュリティ専門企業などが2008年に共同研究を開始し、2009年にセキュリティ専門団体のSANS Instituteが取りまとめたガイドラインが前身となっている。その後、非営利団体であるThe Center for Internet Security(CIS)の管理の下、改訂が重ねられており、現在Version7(第7版)が最新となっている。 なお、NRIセキュアは、Version3以降、日本語への翻訳を担当している。
日本語版は、次のWebサイトからご覧いただけます。  https://learn.cisecurity.org/control-download

ニュースに関するお問い合わせ

NRIセキュアテクノロジーズ株式会社 広報担当
TEL:03-6706-0622 E-mail: info@nri-secure.co.jp