セキュリティコンサル
事業を推進するうえで重視すべき、Safety(安全性)、Environment(環境)、Quality(品質)、Cost(コスト)、Delivery(工期・工程)の5つの要素の頭文字をとった言葉で、これらの要素の優先順位を付けながら、うまくバランスさせて事業を行うことが重要となります。
セキュリティ診断
まず第一に、自社のセキュリティレベルとリスクを把握することが重要です。
現在、業務に使用しているIT資産を棚卸し、それらの接続構成と経路を確認したうえで、基本サービスとして、「脆弱性診断」を実施します。その診断結果に基づき、「リスクアセスメント(セキュリティレベルのスコア、改善すべき顕在/潜在リスク)等」を報告致します。
※脆弱性診断とは
ネットワークやデバイス、Webアプリケーションなどに存在するセキュリティ上の脆弱性(不正にアクセスされるような弱点)がないかを網羅的に診断することを言います。
◆「脆弱性診断」の種別とメニュー
当社の脆弱性診断は、「Webアプリケーション診断」、「プラットフォーム診断」、さらには工場やビルなどの制御系システムにチューニングした「OTセキュリティ診断」の種別があります。
| 種別 | 内容 |
|---|---|
| Webアプリケーション診断 | Webサイト等に不正にアクセスされるような脆弱性がないか診断します |
| プラットフォーム診断 | ネットワークの不要な通信ポートから攻撃されるような脆弱性やOS、ミドルウェア等に不正アクセスされるような脆弱性がないか診断します |
| OTセキュリティ診断 | 工場・ビルなどの生産制御機器やIoT機器に不正アクセスされるような脆弱性がないか診断します |
| メニュー | 概要 |
|---|---|
| エントリー | ツールによる診断 |
| スタンダード | ツールと専門家による診断 |
| プレミアム | お客様の要望に合わせたオーダメイド診断 |
セキュリティ対策支援
セキュリティ対策にはゴールはなく、サイバー攻撃の変容やセキュリティ防御技術の進化を踏まえ、継続的にPCDAサイクルを回しながら改善していくことが重要です。
当社では、このPDCAサイクルを伴走的に支援させていただきます。
まずは、”セキュリティ診断”《Check 評価》による客観的な根拠に基づき、見直すべき《Action 改善》項目を提案させていただきます。そして、優先付け等を考慮したセキュリティポリシー《Plan 計画》策定を支援をします。さらに中期的なロードマップも提言致します。
その後、対策の遂行《Do 実施・観察》にあたっては、お客様と一緒に現地に入り込んで現場主義でサポートさせていただきます。
そして、ある一定期間経過後、その結果を評価《Check 検証》し、次ステップへのフィードバックや改善を重ねることにより、 PDCAサイクル改善を伴走させていただきます。
アタックサーフェイスマネージメント(ASM)
アタックサーフェス(Attack Surface:攻撃対象領域)とは、外部からネットワーク経由でサイバー攻撃を受ける可能性がある攻撃点や攻撃経路を意味し、ASMとは、上記のような攻撃点や経路に存在する IT資産(ハードウェア、ソフトウェア、ネットワーク等)の脆弱性等による攻撃リスクを継続的に検出・評価して、適切なセキュリティ対策を実施する取り組みのことです。
近年、リモートワークの普及やクラウドサービスの利用に伴い、社内システムがネットワークを経由して外部と接続する経路が多様化し、外部からアクセスできるIT機器も増えています。そのような環境下で、もし自社で管理ができていなかったり、意図せず公開状態になっているような”未把握なIT機器”が存在し、その機器に脆弱性があった場合は攻撃者がその脆弱性を悪用して社内に侵入し、セキュリティ侵害を仕掛けてくる恐れがあります。
このため、このような外部からアクセス可能なIT機器を未把握なものも含めて実環境で発見し、それらに存在する脆弱性などのリスクを継続的に検出・改善する”アタックサーフェイスマネージメント”が重要になってきています。
当社では、このような重要性を踏まえ、「セキュリティコンサル」のオプションサービスとして、「アタックサーフェイスマネージメント」の支援サービスを提供致します。
| ASM | 脆弱性診断 | |
|---|---|---|
| 目的 | 外部から見た脅威を把握し、リスクを軽減する | 特定のシステムの脆弱性を網羅的に検出し、解消する |
| 対象 | 外部から直接アクセスできる(自社で管理できていない未把握なものも含む)すべてのIT機器 | 自社で管理できている(外部からアクセスできないものも含む)既知の診断対象IT機器 |
| 利点 | 想定していない対象(未把握のIT機器や侵入経路)も含めて攻撃を受ける可能性を幅広く確認できる | 診断対象のIT機器に内在する脆弱性を詳細に把握できる |
出典:ASM(Attack Surface Management)導入ガイダンス
2.4項 ASM と脆弱性管理、「図 2-2 ASM と脆弱性診断の違い」を引用
経済産業省 (2023年5月29日策定)
ペネトレーションテスト
ペネトレーション(penetration)とは“侵入”を意味します。ペネトレーションテストとは、実際の攻撃者と同様の手法を用いて、疑似的にシステムに侵入を試みることで、攻撃に対するシステムや組織の耐性を検証するテストのことです。
近年のセキュリティインシデントは被害規模が増大してしています。このため、サイバー攻撃や内部不正などの問題が現実に発生しうることを想定した“ペネトレーションテスト”の必要性が高まっています。
当社では、「セキュリティコンサル」のオプションサービスとして、想定する攻撃者の最終目的とシナリオを作成し、実際に外部からネットワークを経由して疑似的に攻撃を仕掛け、実践的に侵入可否判定と被害レベルを調査するとともに、技術面だけでなく運用面の課題も含めてフィードバックする「ペネトレーションテスト」の支援サービスを提供致します。
| ペネトレーションテスト | 脆弱性診断 | |
|---|---|---|
| 目的 | 攻撃者が実際に侵入できるかどうかの検証とその被害範囲を確認する | 特定のシステムの脆弱性を網羅的に検出し、解消する |
| 対象 | システム・組織・運用ルール | システム |
| 利点 | リアリティの高い診断が行える | 診断対象のIT機器に内在する脆弱性を詳細に把握できる |
デジタルフォレンジック
フォレンジック(Forensic)とは犯罪捜査における分析や鑑識等を意味します。デジタルフォレンジックとは、不正アクセスや情報漏洩などのセキュリティインシデントが発生した際に、システムやネットワーク、セキュリティ機器のデータやログを解析し、犯罪や不正行為の証拠を明らかにし、原因究明することです。
また、得られた調査結果は、法的根拠を持つ重要な証拠にもなり、訴訟対策や内部不正の抑止力にもつながります。
近年のランサムウェア攻撃や内部犯罪による事業への損害は大きく、信頼失墜にもつながります。このため、セキュリティインシデントが発生した際に、その原因究明や再発防止、法的証拠の確保などに役立つ“デジタルフォレンジック調査”がより重要になってきました。
当社では、「セキュリティコンサル」のオプションサービスとして、攻撃原因の調査や不正アクセスの侵入経路の特定、機密情報の持ち出し証拠、情報漏洩の有無、不正者の特定等を調査する「デジタルフォレンジック」の支援サービスを提供致します。
| 種類 | 主な調査内容 |
|---|---|
| コンピュータフォレンジック | ・削除されたデータの復元 ・マルウェア感染調査 ・PCの操作ログ履歴 ・PCのファイル閲覧、削除履歴 ・PCへの外部メモリー接続履歴 等 |
| ネットワークフォレンジック | ・パケットキャプチャー ・セキュリティログ履歴 ・情報漏洩、マルウェア感染経路 ・送受信したメールアドレス ・特定のサイトへのアクセス履歴 等 |
※なお、詳しい提供内容や料金につきましては、お気軽にお問合せください。
【当社の特徴】
当社は、お客様に身近な距離感で寄り添い、末永く伴走しながらPDCA改善していく、コンサルティングが特徴です。
一般的な対策だけでなく、お客様と目線を合わせながら、事業規模や実態に即したセキュリティポリシーを共に策定し、現場主義で対策の実施を伴走させていただきます。さらに対策後の検証や次ステップの改善を繰り返し重ねていくPDCAサイクルを支援していきます。