<NSFの5つの切り口>
- ・Governance
- 人的・組織的な対策、規定、体制 等
- ・Risk
- リスク、インシデント管理、BCP 等
- ・Compliance
- 法令、契約、規則の把握・遵守 等
- ・Physical
- 物理的な対策、設備、施設 等
- ・Technical
- 技術的な対策、構成管理、アカウント管理、
脆弱性管理、データ管理、ログ管理 等
自社やグループ会社などのセキュリティ対策状況を網羅的・横断的に可視化して評価するとともに、対策の提言やロードマップ作成支援も
情報セキュリティ関連の事故や犯罪に関する報道の増加や、さまざまなガイドラインの制定などの影響で、情報セキュリティ対策を"経営課題"と位置づける企業が増えています。それに伴い、「自社の対応状況がわからない」「どこまで対策すればよいのかわからない」などの課題を抱える企業も多くなっています。情報セキュリティ関連投資を意義があるものにするためには、投資が必要な分野を的確に見極めなければなりません。それには、自社のセキュリティ対策状況を網羅的に可視化し、必要な対策とその優先付けを把握することが必要です。
「セキュリティ対策状況可視化サービス」では、NRIセキュアが長年コンサルティングで培ってきたノウハウと外部基準を踏まえて整理したフレームワーク「 NRI Secure Framework (以下、NSF)」を用いて自社やグループ会社などのセキュリティ対策状況を第三者的な立場で網羅的・横断的に可視化します。さらに、 セキュリティリスク評価のみならず、具体的な対策に踏み込んだ提言や、セキュリティ対策に関わる中長期のロードマップ作成支援を行うことも可能です。
<NSFの5つの切り口>
「NSF」を用いることで、対策状況の可視化や最新の脅威を踏まえた対策立案に加え、NRIセキュアが独自調査で入手した国内外1,600社以上の対策状況、業種・規模が近い企業との比較も可能です。
また、本サービスは企業単体だけでなく、多くの子会社や拠点を有するグループ企業全体の実態把握にも対応しており、共通基準によりグループ会社内や海外拠点同士の比較も可能です。
「NSF」は、金融や製造、エネルギー、商社、不動産、物流など複数の業種ですでに利用されております(実績数は200社以上)。
「NSF」では、以下のような特定の環境に特化した評価も可能です。
また、「NSF」ではセキュリティ専門家による独立した第三者評価ですが、定期的に自組織のセキュリティ対策状況を自己点検するためのプラットフォーム(Secure SketCH)もご用意しております。これらを組み合わせることで、セキュリティ対策状況をより正確に把握することができます。
20年以上、金融業界を中心に、官公庁、流通、製造、製薬、通信、マスコミ、サービス業等2000社以上に情報セキュリティ対策を支援。豊富な経験とノウハウにより、セキュリティリスクのみならず、具体的な対策に踏み込んだ提言や、セキュリティ対策に関わる中長期のロードマップも作成できます。
また、NRIグループの標準プロジェクト管理フレームワークによりプロジェクト品質を向上。想定外の作業工数や追加コストを発生させないよう、主体的にプロジェクト管理を推進します。綿密な進捗管理によりプロジェクト遅延を防止します。
企業の情報セキュリティ対策は、技術的な要素以外に、人的・物理的・組織的など、多方面からのアプローチが必要です。本サービスでは、NRIセキュアがこれまで多くの企業でセキュリティ対策を実施してきた蓄積や知見を元に、独自に設定した標準化フレームワークを用いた評価を行います。
標準化フレームワーク「NRI Secure Framework(NSF)」は、国内および海外の著名なセキュリティ対策基準、ベストプラクティス*を解釈し、評価項目を策定しており、国内外の傾向や脅威も踏まえ、継続的に更新しています。
*NSFで活用している代表的な外部基準
カテゴリー | ガイドライン・規定類 | 特徴 | |
---|---|---|---|
マネジメント系 | 全般 | ISO/IEC 27001 | ISMSの要求事項および実践規範 (対策集) |
特定 分野 |
経産省 サイバーセキュリティ 経営ガイドライン |
経営者が認識し、為すべきことに 関するガイドライン |
|
経産省 クラウド利用ガイドライン | クラウドサービスの利用、 提供に関するガイドライン |
||
技術系 | 全般 |
CIS CIS Controls |
重要インフラ防護のための 効果的対策集 |
IPA10大脅威 | 国内企業が直面している脅威 | ||
特定 分野 |
NIST サイバーセキュリティ フレームワーク |
サイバーセキュリティに向けた考え方 | |
JSSEC スマートデバイスガイドライン |
スマートデバイスの セキュリティに特化 |
||
特定 業界向け |
FISC 安全対策基準 | 金融機関向け | |
PCI DSS | クレジットカード取扱事業者向け |
標的型攻撃、内部不正などますます高まるセキュリティ上の脅威に対して、関係者へのヒアリングで現状を多角的に診断し、評価の対象である企業としてどこまで防御策が講じられているかを表す「耐性」を定量的に評価します。具体的には、脅威が顕在化した際の早期検出の手段、およびリスク発生時の影響を極小化させる対策の評価を行い、NSFの5つの切り口(Governance、Risk、Compliance、Physical、Technical)で、組織におけるセキュリティ脅威に対する予防的対策、発見的対策の状況を網羅的に可視化します。
現状把握、および可視化の結果をもとに、それぞれの企業に必要なセキュリティレベルを、"最低限対策すべきレベル"や"本来目指すべき対策レベル"などの形で提示します。また、セキュリティ投資に関しては、不備や不足の指摘だけでなく、重複の有無を評価するなど、網羅的な可視化を実施します。
標準化フレームワーク「NSF」を用いることで、組織・拠点ごとのセキュリティレベルを横断的に、統一された基準で比較することができます。
また、独自調査で入手した国内外企業の対策状況や、業種・規模が近い企業や同業他社などとの比較も可能であり、自社の課題や対策すべき優先順位が可視化されます。
個々の企業ごとにセキュリティリスクや具体的な対策に踏み込んだ提言と、その会社の経営方針や事業戦略から打ち出したIT戦略と整合させつつ、実効的なセキュリティ対策について中長期のロードマップ(3~5年までの段階的な対策計画)を提示します。
Phase1~Phase3の3段階/10ステップで支援可能です。
基本料金: 700万円~(税別)
以下のようなオプション料金につきましては、個別見積もりとなります。
(例)
・対策網羅性評価の作成
・ロードマップの作成
・お客さま指定のヒアリング項目や基準の追加
・報告書のカスタマイズ(特定の脅威シナリオ対応) など