SOFT CREATE

まずは自社のセキュリティ対策の現状を知ることから『セキュリティ評価サービス』今のセキュリティ対策、本当に問題ありませんか?「課題はどこ?」「何から対策すれば?」を見える化します。

お問い合わせはこちら

組織における
セキュリティ対策の重要性

サイバーリスクは年々複雑化・多様化しており、これに対抗するには従来の対策に加え、侵入を前提とした監視や迅速な対処のための体制といった様々な対策の見直しや強化が必要です。しかしセキュリティ予算は限られているため、最大限の効果を発揮できるよう工夫しなければなりません…

背景図

セキュリティ対策が重要なのはわかるけど…こんなお悩みありませんか?

まずどこから対策したら
よいかわからない

限られた予算で最適な
セキュリティ対策を
実施したい

今のセキュリティ対策の
課題を知りたい

自組織のリソースだけで
そこまで細かく進められない

限られた予算で
最大の効果を発揮するための
方針づくり

費用対効果の高いセキュリティ対策を進めるために
セキュリティ評価では、
お客様とともに現状把握改善策検討を行います。

サービス図

出典:SOC/CSIRTセキュリティ対応組織の教科書v1.0
日本セキュリティオペレーション事業者協会

セキュリティ
評価サービスの特長

本サービスでは、
セキュリティ対策の現状を客観的に評価し、
今後必要なセキュリティ対策の策定を
サポートします。

01

リスクの可視化

ヒアリング内容を一般的な指標を用いて評価します。各項目の状況をグラフや点数で可視化します。

02

客観的な評価

第三者が一般的な指標を用いて実施することで、客観的な評価が得られます。

03

対策優先度の明確化

評価結果から優先して対策すべき項目が把握でき、今後必要なセキュリティ対策が明確になります。

お気軽にご相談ください

まずは相談してみる

プランのご紹介

本サービスでは3つのプランをご用意しており、
評価の粒度や予算、期間等に合わせて
お選びいただけます。
お客様のご要望に合わせたプランをご紹介します。

ライト

スタンダード

アドバンスド
目的
  • 情報資産に対するリスク値を算出し、優先的/重点的な対策が必要な資産を把握、今後必要な情報セキュリティ対策の決定をサポート
  • 分析から得た結果から、SIer視点での対応助言を実施し早期対応を図る
  • サイバー攻撃を対象として、想定される脅威に対する技術的な対策(対策をすり抜ける攻撃への運用状況含む)の充足状況、追加・改善を要する事項とその優先度等を把握する
  • スタンダードの内容に加え、内部要員の過失や悪意によるインシデントを想定し、既存の規定類、管理資料等をもとにマネジメントの観点からの対策充足度も評価
  • 改善に向けたプランニング
調査スコープ
  • 自組織の情報資産(組織内にあるヒト・モノ・カネに関するデータ・紙)に対するリスク分析/対策充足度
  • サイバー攻撃への技術的対策充足度
    (脅威シナリオ別)
  • サイバー攻撃への対策充足度
  • 内部不正、過失によるインシデントへの対策充足度
  • マネジメント(管理体制、規程文書類)のセキュリティ評価)におけるセキュリティ評価
評価指標

IPA「中小組織の情報セキュリティ対策ガイドライン第3版」(2019年3月改訂)

経済産業省「サイバーセキュリティ経営ガイドライン Ver2.0」(2017年11月改訂)

経済産業省「サイバーセキュリティ経営ガイドライン Ver2.0」(2017年11月改訂)
ヒアリング
項目数		 約100項目 約150項目 約200項目
実施期間 約1か月(契約締結後) 約2か月(契約締結後) 約3か月(契約締結後)
アウトプット
ボリューム

評価報告書:A4 片面5枚程度

エグゼクティブサマリ:A3 両面1枚
評価報告書:A4 20枚程度

エグゼクティブサマリ:A3 両面2枚程度
評価報告書:A4 80枚程度 
報告会有無
価格

65万円〜

200万円〜

要御見積

サービス実施の流れ

本サービスは以下の流れで実施します。

STEP01

契約手続き

  • 見積提示
  • 注文書・申込書提出
  • 契約締結

本サービスの目的、実施方法、評価項目、価格等の概要をご説明し、契約を締結します。

STEP02

現状調査

  • ヒアリングシート記入
  • 詳細ヒアリングMTG
  • 現状調査結果の整理

お客様にヒアリングシートを記入いただいた後、詳細ヒアリングを実施し、詳細な現状確認と情報の整理を行います。

STEP03

脅威分析

  • 現状における課題の整理
  • 成熟度指標による比較

弊社にてヒアリング結果をもとに、課題整理や指標による比較を行い対策状況を分析します。

STEP04

対策検討

  • 課題への対策案を検討
  • 対策の優先順位付け

弊社にて分析結果をもとに、対策案への検討や対策の優先順位付けを行います。

STEP05

結果報告

  • 報告書作成
  • 報告会実施

弊社にて報告書の作成後、オンラインでの報告会を実施します。今後の具体的な対策案をご説明します。

セキュリティ評価後の
支援サービス

弊社では、各種セキュリティ製品の販売や
SOCサービス、セキュリティアセスメントサービス
を取り扱っております。
セキュリティ評価の結果を踏まえ、
一気通貫でのご支援が可能です。

本サービス

フェーズ 求められる対応 セキュリティ運用体制を構築した組織
現状把握
脅威シナリオ		 ①セキュリティ対策の有効性 〇:スナップショットで現状のセキュリティ対策/運用の有効性を確認・把握◆ セキュリティ評価で対応
対応方針 ②将来に渡る有効な対策 〇:リスクの洗い出し対策のプライオリティ付けとアクションプランの策定◆ セキュリティ評価の報告書をもとに対応

導入から対応まで一気通貫でご支援

フェーズ 求められる対応 セキュリティ運用体制を構築した組織
導入 ③防御の建付け 〇:自社のIT環境が抱える脅威に合わせた対策を実装◆ 導入前のセキュリティ評価で実施事項と優先順位を明確化
④検知の仕組み作り 〇:脅威の挙動を検知する為のログを適切に取得でき、検知ロジックも確立◆ SIEM導入時にSC&セキュリティベンダによるセキュリティ設計で対応
⑤分析環境の構築 〇:分析する事を前提にした要件に合った適切なログ分析環境を構築◆ 分析を前提にしたSIEM構築(クラウドSIEMも含み)対応
⑥分析体制の構築 〇:CSIRTはお客様、SOCはSC&セキュリティベンダで実施し役割分担◆ 高度な分析においてもSC&セキュリティベンダに委託できる体制構築
運用 ⑦検知 〇:防御で防ぎきれない脅威の検知が可能◆ 設計内容をSOC-Engineに実装して実装済み
⑧分析 〇:セキュリティ専門家が適切な分析を行い、対処すべき事象をCSIRTにエスカレーションを実施◆ SOC-Engineを用いて高度な分析をセキュリティアナリストにて実施
⑨対処 〇:適切な処置が実施できる◆ アドバイザリで適切な対応のアドバイス
復旧 ⑩インシデントレスポンス 〇:クイックインシデントレスポンスや全数調査を実施◆ アドバイザリで適切な対応をアドバイス
◆ セキュリティベンダ独自ソリューションや高度なスキルを有するIRチームにて対応

関連サービス

大企業レベルのセキュリティ運用を! パソコン監視サービス Active Directory 脅威診断・監視サービス

自社のセキュリティ対策やセキュリティ評価
についてお気軽にお問い合わせください!