セキュリティ対策状況可視化サービス

概要

情報セキュリティ関連の事故や犯罪に関する報道の増加や、さまざまなガイドラインの制定などの影響で、情報セキュリティ対策を"経営課題"と位置づける企業が増えています。それに伴い、「自社の対応状況がわからない」「どこまで対策すればよいのかわからない」などの課題を抱える企業も多くなっています。情報セキュリティ関連投資を意義があるものにするためには、投資が必要な分野を的確に見極めなければなりません。それには、自社のセキュリティ対策状況を網羅的に可視化し、必要な対策とその優先付けを把握することが必要です。

「セキュリティ対策状況可視化サービス」では、NRIセキュアが長年コンサルティングで培ってきたノウハウと外部基準を踏まえて整理したフレームワーク「 NRI Secure Framework (以下、NSF)」を用いて自社やグループ会社・海外支社のセキュリティ対策状況を網羅的・横断的に可視化します。さらに、 セキュリティリスク評価のみならず、具体的な対策に踏み込んだ提言や、セキュリティ対策に関わる中長期のロードマップ作成支援を行うことも可能です。

NSFの5つの切り口

Governance
人的・組織的な対策、規定、体制 等
Risk
リスク、インシデント管理、BCP 等
Compliance
法令、契約、規則の把握・遵守 等
Physical
物理的な対策、設備、施設 等
Technical
技術的な対策、構成管理、アカウント管理、
脆弱性管理、データ管理、ログ管理 等

「NSF」を用いることで、対策状況の可視化や最新の脅威を踏まえた対策立案に加え、NRIセキュアが独自調査で入手した国内外700社以上の対策状況、業種・規模が近い企業との比較も可能です。

また、本サービスは企業単体だけでなく、多くの子会社や拠点を有するグループ企業全体の実態把握にも対応しており、共通基準によりグループ会社内や海外拠点同士の比較も可能です。

「NSF」は、金融や製造、エネルギー、商社、不動産、物流など複数の業種ですでに利用されております。

特長

Point.1 情報セキュリティ専門会社としての豊富なコンサルティング実績とノウハウ

20年以上、金融業界を中心に、官公庁、流通、製造、製薬、通信、マスコミ、サービス業等2000社以上に情報セキュリティ対策を支援。豊富な経験とノウハウにより、セキュリティリスクのみならず、具体的な対策に踏み込んだ提言や、セキュリティ対策に関わる中長期のロードマップも作成できます。

また、NRIグループの標準プロジェクト管理フレームワークによりプロジェクト品質を向上。想定外の作業工数や追加コストを発生させないよう、主体的にプロジェクト管理を推進します。綿密な進捗管理によりプロジェクト遅延を防止します。

Point.2 優れた独自のフレームワーク

企業の情報セキュリティ対策は、技術的な要素以外に、人的・物理的・組織的など、多方面からのアプローチが必要です。本サービスでは、NRIセキュアがこれまで多くの企業でセキュリティ対策を実施してきた蓄積や知見を元に、独自に設定した標準化フレームワークを用いた評価を行います。

標準化フレームワーク「NRI Secure Framework(NSF)」は、国内および海外の著名なセキュリティ対策基準、ベストプラクティスを解釈し、評価項目を策定しており、国内外の傾向や脅威も踏まえ、継続的に更新しています。

*NSFで活用している代表的な外部基準

  • ISO 27001/27002
  • Critical Security Controls
  • NIST Cybersecurity Framework
  • 経済産業省クラウド利用ガイドライン
  • JSSEC スマートデバイスガイドライン
  • PCI DSS
  • サイバーセキュリティ経営ガイドライン
  • FISC安全対策基準
  • IPA10大脅威
  • 厚生労働省 医療情報システムの安全管理に関するガイドライン 等
カテゴリーガイドライン・規定類特徴
マネジメント系 全般 ISO/IEC 27001 ISMSの要求事項および実践規範
(対策集)
特定
分野
経産省 サイバーセキュリティ
経営ガイドライン
経営者が認識し、為すべきことに
関するガイドライン
経産省 クラウド利用ガイドライン クラウドサービスの利用、
提供に関するガイドライン
技術系 全般 Critical Security Controls 重要インフラ防護のための
効果的対策集
IPA10大脅威 国内企業が直面している脅威
特定
分野
NIST サイバーセキュリティ
フレームワーク
サイバーセキュリティに向けた考え方
JSSEC 
スマートデバイスガイドライン
スマートデバイスの
セキュリティに特化
特定
業界向け
FISC 安全対策基準 金融機関向け
PCI DSS クレジットカード取扱事業者向け
厚生労働省 医療情報システムの
安全管理に関するガイドライン
医療機関向け

Point.3 比較力

標準化フレームワーク「NSF」を用いることで、組織・拠点ごとのセキュリティレベルを横断的に、統一された基準で比較することができます。

また、独自調査で入手した国内外企業の対策状況や、業種・規模が近い企業や同業他社などとの比較も可能であり、自社の課題や対策すべき優先順位が可視化されます。

Point.4 セキュリティ対策の優先度付け、投資対効果も可視化

標的型攻撃、内部不正などますます高まるセキュリティ上の脅威に対して、関係者へのヒアリングで現状を多角的に診断し、評価の対象である企業としてどこまで防御策が講じられているかを表す「耐性」を定量的に評価します。具体的には、脅威が顕在化した際の早期検出の手段、およびリスク発生時の影響を極小化させる対策の評価を行い、NSFの5つの切り口(Governance、Risk、Compliance、Physical、Technical)で、組織におけるセキュリティ脅威に対する予防的対策、発見的対策の状況を網羅的に可視化します。

現状把握、および可視化の結果をもとに、それぞれの企業に必要なセキュリティレベルを、"最低限対策すべきレベル"や"本来目指すべき対策レベル"などの形で提示します。また、セキュリティ投資に関しては、不備や不足の指摘だけでなく、重複の有無を評価するなど、網羅的な可視化を実施します。

Point.5 現状把握後の対策の提言や中長期的な計画策定、対策実施も支援可能

個々の企業ごとにセキュリティリスクや具体的な対策に踏み込んだ提言と、その会社の経営方針や事業戦略から打ち出したIT戦略と整合させつつ、実効的なセキュリティ対策について中長期のロードマップ(3~5年までの段階的な対策計画)を提示します。

なお、本サービスでは対策状況の可視化からロードマップの提示までが提供内容となりますが、NRIセキュアは、各社で必要なセキュリティ対策の中長期計画を確実に遂行するために、各種対策製品の導入プロジェクトを支援する業務も行っています(別料金)。

サービスのご提供フロー

Phase1~Phase3の3段階/10ステップで支援可能です。

料金表

基本料金: 500万円~(税別)
ヒアリング(組織、アプリケーション、ネットワークなどの6対象)、可視化・報告書作成を含みます

オプション料金:個別見積もりとなります
(例)
・リスクシナリオ分析
・ロードマップの作成
・お客さま指定のヒアリング項目や基準の追加
・報告書のカスタマイズ(特定の脅威シナリオ対応) など

パンフレット