サービス | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > サービス > セキュリティポリシー&リスクアセスメント支援

セキュリティポリシー&リスクアセスメント支援

セキュリティポリシー&リスクアセスメント・コンサルティングで得られるパラダイムシフト


今のセキュリティ
ポリシーで最新の脅威に対応できるか心配
数千以上の企業のアセスメントサービスを実施した専門家がアドバイス
IT環境変化にも強いセキュリティ体制の確立
既存サービスで集積してきた脅威情報を参考に効果的なコンサルティング
現状を調査して、汎用的なテンプレートからお客様向けにカスタマイズ
脅威の影響度を
見誤っていないか?
このセキュリティ対策
で将来的にも対応し
切れるのか知りたい
アセスメントに時間も
費用も掛かり過ぎて
取り掛かれない

 フォーカスシステムズでは情報システムにおいて日々発見される新たな脆弱性や現実の脅威情報を踏まえ、有効な対策を講じるための専門家によるアドバイス、アセスメントサービスの提供を行っています。
 組織の状況に合わせた情報セキュリティポリシーの策定支援を通じて、IT環境への変化にも強いセキュリティ体制を確立して頂けます。

リスクアセスメントの必要性

 情報資産をめぐるリスクは日々増大していますが、お持ちの情報資産に対する新しい脅威を見逃したり、影響度を低く見積もってしまう事例は枚挙に暇がないのが現状です。

 例えば、近年、無視できないほど大きな攻撃手法として台頭してきた攻撃手口である、「リスト型攻撃」について考えてみましょう。

【リスト型攻撃とは】
 既存サービス等で使用されているIDもしくはメールアドレスとパスワードの組み合わせを何らかの手段によって入手し、同じ認証情報を使用して様々なサイト、サービスへログインを試行する攻撃手法。近年、無視できないほど大きな攻撃手法として台頭してきた攻撃手口。

リスト型攻撃のリスクアセスメントをしていなかった場合

  社員Aさんは社用PC、社用メールのIDとパスワードを、個人用SNSや通販サイト登録の際も使いまわしていました。
  社員Aさんが利用していた通販サイトの1つから、事業者のミスで平文のまま保存されていたIDとパスワードが流出してしまいました。
  社員AさんのIDとパスワードを使って通販サイトのアカウントに不正アクセスした何者かは、登録されたメールアドレスを確認します。
  その何者かは社員Aさんが登録していた社用メールにも同じIDとパスワードを使ってログイン。会社の大切な情報は盗まれてしまいました。


認証情報を盗まれた利用者が、他のサービスでも同じ認証情報を使いまわしている場合、攻撃者によって容易に登録していた個人情報や他の情報の閲覧・操作を許す結果になります。リスト型攻撃の影響を小さく考え、社内システムのログインなどに他のサービスと同様の認証情報を使用していた場合、取引先企業やお客様の個人情報が流出してしまう可能性があります。

リスクアセスメントでリスト型攻撃を予防する
 強固なパスワードの設定に加え、総務省の「リスト型アカウントハッキングによる不正ログインへの対応方策」では、以下のような予防策が推奨されています。

  • パスワードの使い回しの禁止(使い回しに対する注意喚起)
  • パスワードの有効期限設定
  • パスワード履歴の保存(パスワード変更時の循環防止)
  • 二要素認証の採用

一つ一つの項目は基本的な内容ですが、対策項目は多岐にわたり、それぞれの予防策が適切に実行されていることを逐一チェックして、セキュリティが甘い箇所を残さないことが重要です。

 また、当社では最新の脅威情報を把握して、予防だけでなく、攻撃に遭遇した際の被害の拡大防止策につなげる提言も行います。リスト型攻撃では短い時間内で多数のログインが成功する傾向にあるため、通常の同時ログイン総数を遥かに超える異常なログインを検知する仕組みを備える必要があります。その上で同一IPアドレスから大量の接続試行があった場合には、アカウントをロック、通信を遮断などの対策の提案やネットワーク監視等のサービスも行っています。

サービス概要

リスクの
特定
リスクの
分析
リスクの
評価
現状調査
攻撃のトレンド
現情報セキュリティポリシー
策定支援
リスクファイナンス
の判断
リスクコントロール
(回避・軽減・移転)

ISO/IEC 27001 (JIS Q 27001)で規定される情報セキュリティリスクアセスメントではリスク基準の確立・維持、アセスメントの一貫性及び妥当性確保の要請に加え、以下の事項の適用を求めています。

情報セキュリティリスクの特定 (社内の情報資産を洗い出します)
情報セキュリティリスクの分析 (定量的・定性的な方法でリスクレベルを決定します)
情報セキュリティリスクの評価 (分析結果を元にコントロールの要否を判断します)

 リスクはその発生頻度や影響度の大きさに応じ、費用対効果も見越したうえで、回避・軽減・移転等のリスクコントロールやリスクファイナンスの判断を行うことが必要になってきます。
 一方で、脅威の発生確率が極めて低く、対応コストも膨大になる可能性があるリスクが存在したり、最新のあらゆる防衛方法を施しても、なお残存するリスクがある場合、完全なリスクの除去は現実的ではなく、リスクの受容を考える必要が出てくる場合もあります。当社ではお客様の組織にあった適切な判断ができるようアセスメントの全てのプロセスで情報セキュリティマネジメントの観点から現状調査のサポートを行います。

 また、情報資産に対する脅威は一定ではなく常に変化しているため、リスクアセスメントも定期的な見直しが必要になります。組織のセキュリティ対策が時間経過を経ても統一的に保たれるよう、これらの見直しの際にも当社のコンサルティング・サービスをご活用頂けます。また見直しと改善を続けることでアセスメントに基づくセキュリティ対策の実際の効果もより明確になります。

サービス詳細・特徴

アセスメントの網羅性とコスト


 お客様の環境における情報資産をめぐる様々なリスクの洗い出し、最新の攻撃傾向と併せた分析・評価を行う詳細なプロセスを経ることは、望ましい反面、アセスメント(プロセス)自体に多くの費用がかかる点が問題になります。

 そのため、社内の全ての情報資産に対し、1から10まで詳細な分析を行うのではなく、情報セキュリティ管理基準やガイドラインに基づく、ベースラインアプローチや分析者の経験、能力を前提とする非公式アプローチなども組み合わせ、適切なコストでアセスメントを実施する必要があります。

 当社のリスクアセスメント・サポートサービスでは豊富な知識と経験を有する専任のコンサルタントが、現実の脅威情報を意識した深い洞察によるアセスメントとアドバイスを行い、企業の情報資産の防御に貢献します。
 世界数十カ国、数千を超える企業にセキュリティサービスを提供しているため、攻撃のトレンドや攻撃の発生件数を把握するのが早く、また他の組織にも繰り返し用いられる同じ脅威情報を共有することが可能です。そのため、非常に高い品質のコンサルティングサービスを低価格で実現しています。

情報セキュリティガバナンスの作成、セキュリティポリシー策定支援


 リスクアセスメントによって現状が可視化された後は、CSIRTなどの構築を柱とするインシデント対応計画の策定が必要になります。しかし、アセスメントの結果によっては内部統制に問題が見つかるなど既存の体制を刷新することが求められる場合もあります。社内の情報セキュリティガバナンスの見直しが必要な場合やセキュリティーポリシーが未整備の場合は、まずこれらのポリシー策定や付随する規定、手順書など社員が行動する際の指針となるドキュメント作成が急務です。

 当社では汎用的なテンプレートを元に、お客様の組織に合わせて内容をカスタマイズし、セキュリティ構想の策定を支援します。これらのサービスはリスクアセスメントに続いて実行することで、より高い効果を上げることが可能になります。
製品及びサービスに関するご質問、お問合せはこちら
関連製品
セキュリティ運用・監視サービス
セキュリティ運用・監視サービスで得られるパラダ ...
詳細
セキュリティ診断サービス
 当社のセキュリティ診断サービスは、診断対象に ...
詳細