サイト内の現在位置

情報セキュリティリスクアセスメント

セキュリティコンサルティングメニュー / マネジメントサービス

課題から具体的な対策案を導く、3つのアセスメントコースを提供

セキュリティリスクに備えるためには、多角的な観点からリスクを排除し、入念で万全な対策が不可欠です。本アセスメントは、必要に応じて内容が異なる3つのコースによるアセスメントを実施し、お客様のリスク分析を通じて、現状のレポートから効果的な対策案とそのロードマップまで含めた、具体的なアウトプットを提供します。

特長とメリット

3つのコースにより、お客様に適したアセスメントを実施します。また、ニーズに応じて、アセスメントのメニューをカスタマイズして提供することもできます。
ベンチマークの結果などはレーダーチャートを使用し、お客様のセキュリティレベルを分かりやすく視覚的に表現します。
リスクの把握だけでなく、解決へ向けた改善案までをご提示します。導入を推奨するSIやセキュリティ製品なども、具体的に提案します。

ほか、対策案のロードマップへ、セキュリティ製品の導入推奨時期まで記載するので、セキュリティ強化活動の指針として活用できます。

3つのアセスメントコース

コース 概要

ベースラインアプローチ
に基づくアセスメント(梅コース)

  • ベースラインアプローチによるリスク分析を実施
  • 課題と対策案を記載した報告書、簡易ロードマップの作成を支援

詳細リスク分析アプローチ
に基づくアセスメント(竹コース)

  • 詳細リスク分析アプローチによるリスク分析を実施
  • 課題と対策案を記載した報告書、簡易ロードマップの作成を支援

組み合わせアプローチ
に基づくアセスメント(松コース)

  • 詳細リスク分析アプローチ+ベースラインアプローチによるリスク分析を実施
  • 課題と対策案を記載した報告書、簡易ロードマップ(候補製品/ソリューションを明示)の作成を支援

ベースラインアプローチ(梅コース)

ベースラインアプローチでは、公的規格・基準とお客様の現状とのギャップをリスクとして認識します。

  • 認識したギャップには対策案を提示
  • 情報セキュリティにおける世界標準で、国際規格である下記の規格を元に分析を実施
    • ISO/IEC 27001:2013(JIS Q 27001:2014)
    • ISO/IEC 27002:2013(JIS Q 27002:2014)
  • 経済産業省「情報セキュリティ管理基準」や、総務省「地方公共団体における情報セキュリティ監査に関するガイドライン」「FISC」などにも対応可能。

詳細リスク分析アプローチ(竹コース)

セキュリティの強化対策は、リスクの現状に応じて選定するのが不可欠です。リスク対応計画策定には、以下の詳細リスク分析を実行します。

リスクの特定/リスク分析
  • 資産の調査や脅威・脆弱性の調査で、リスクを特定し課題を把握
  • 資産の評価やリスク値の算出をもとに、課題に対する優先度を決定
リスク評価
  • 現状のリスク受容水準の妥当性を確認
  • リスク受容水準と、残留リスクの比較を実施
リスク対応(対策の選定)
  • リスク低減:脆弱性に対策を講じて、脅威発生の可能性を低減
  • リスク回避:脅威発生の要因を停止または変更することで、リスク発生の可能性を除去
  • リスク移転:リスクを他社などへ移転
    例:リスク保険による損失充当、情報システムの依託による損害賠償請求など
  • リスク保有:リスクの影響が小さいため、リスク低減の対策を行わず許容範囲内として受容

組み合わせアプローチ(松コース)

  • ベースラインアプローチと詳細リスク分析アプローチを組み合わせて実施
  • 候補製品やソリューションを明示した、報告書とロードマップを提出

プロジェクトの進め方

スケジュール

それぞれのコースのご支援期間は想定となります。

成果物イメージ

それぞれのコースにより成果物は異なります。詳細は、お問い合わせください。

ベンチマーク結果
国内他社との比較が可能となるよう、経産省ベンチマークのカテゴリに振り分けて、経営層向けの比較資料の作成を想定しています。

アセスメント報告書
アセスメント結果は、課題、リスク、対処例で整理します。対処例は、固有の製品・ソリューション名に依存しない記載とします。

対策ソリューション(新規/更改)の導入ロードマップ
必要と考える対策の3力年を見据えた導入計画の概要を記します。

情報セキュリティリスクアセスメント

情報セキュリティ対策整備の検討に有効な情報をご提供します。


資料ダウンロード

お問い合わせ