当社の内部不正による情報漏えい(不注意による情報漏えい等も含む)被害の調査診断とは
社外からでは無く、社内に潜む内部不正に対して、調査と調査結果からの対処方法についてコンサルティング致します。社内IT資産の範囲の中でハードウェア・ソフトウェア(パソコン、サーバー、ネットワーク、ストレージなど)の社内の隠れた脆弱な部分や内部不正行為について調査し診断します。全部調べる君[ファイル診断]を通して、診断結果のレポートとコンサルティングを致します。
内部不正による情報漏えい(不注意による情報漏えい等も含む)対策サービスポリシー
弊社の最前線で活躍するサイバーセキュリティエンジニア監修によるCyberSecurity as a Serviceでは、内部不正対策のサイバーセキュリティの設計・構築・運用を、予算の範囲内で最適化し支援します!専門家が“攻撃者視点”で考えるので、防止対策の信頼性も抜群(レッドチーム)。データのバックアップはもちろん、ホワイトハッカーによるサイバーセキュリティリスクの評価・分析&コンサルティング、UTMを使ったサブスクリプションサービスなども展開。
今お客様に必要なサービスをワンストップでご提供します。
現在のサイバーセキュリティ管理について、職場の課題や懸念点
オンプレミスサーバーやクラウドやストレージなどの形態が多様化して、一元管理が困難
管理しなければならないログの量が増えて、分析にとても時間がかかる
コンピューターからの誤検知を伴う膨大なアラート数の対応に時間がかかる
サイバー攻撃手法の検出と修復作業に手間と費用がかかる
サイバーセキュリティ対策製品(クライアント・サーバー・ストレージ・ネットワーク)の導入が増え、ライセンス費用や管理工数がかかる
社内にて、サイバーセキュリティ対策を担当する人(プロパー)や技術スキルが不足している
エンドユーザーのセキュリティ教育・啓蒙活動に効果が発揮されない・進まない(エビングハウスの忘却曲線など)
職場におけるセキュリティ管理ツールを選定する際に重視する点
自宅や外出先(個人・仕事)からもセキュリティ管理業務が行う事が出来る
AI活用して脅威検出とITインフラ基盤修復作業が自動化出来る
当事者の同業界や企業規模の導入事例
他製品と比べた費用対効果
社内外からの脅威に遅延なく対応できること
導入前後のコンサルティングやサポート対応
職場における重要視するセキュリティソリューション
SD-WAN(Software Defined-Wide Area Network)
SSE(Security Service Edge)
FWaaS(Firewall as a Service)
NDR(Network Detection and Response)
SWG(Secure Web Gateway)
ZTNA(Zero Trust Network Access)
CASB(Cloud Access Security Broker)
DLP(Data Loss Prevention)
EDR(Endpoint Detection and Response)
XDR(Extended Detection and Response)
アプリケーションやシステム開発におけるITインフラ基盤面での課題
自動化に対応していない
可用性への不安がある
カスタマイズ・自由度の余地が余りない・低さ
技術について属人化している
社内の社員の知識が不足している
社内のプロパー社員などの人材が不足している
事前の費用見積が難しい、運用費用が想定より高額になる傾向がある
ベンダーロックインされる可能性があり壁や溝が出来てしまい、導入したいシステムやアプリケーションソフトが導入出来ない
必要なリソースが、何らかの要因により直ぐに使用出来ない
ネットワークにスループットが発生して、ネットワークの回線の増強が必要
クラウドにリフトしただけでクラウドネイティブへのシフトは未対応
情報漏えいのリスクパターン
外部からの標的型攻撃
WebアプリケーションやOS・ミドルウェアの脆弱性管理の不備
Web・メールを侵入経路とする不正プログラム対策の不備
内部から外部ネットワークへ接続制限、モニタリングの不備
内部ネットワーク分割、モニタリング不備
内部社員の不正行為
機密情報管理ルールの不備、不徹底(保管、Web経由・Mailでの社外送信・持ち出し)
機密情報へのアクセス権限管理やモニタリング、アイデンティティー管理の不備(ADや特権ID)
人事、労務管理の側面からの不正リスク管理の不備
災害時のリスクヘッジなど、万一に備えたデータのバックアップなど、状況や予算に応じてお客様ごとにご提案します。
企業組織内における機密情報の紛失や外部漏洩の防止・阻止などの情報漏洩対策では、不正侵入を防いだり、パスワードやアカウントの管理方法指導も含めて行っております。
コンサルティング
事業への脅威分析
自社の事業に多大な影響を及ぼす可能性がある内部不正対策の脅威を洗い出して、 事業への影響度や対策の優先度を明確化することで、対策への方針を導き出します。
・事業のリスト化、棚卸し
・対象業務システムの棚卸し
・システム構成要素の棚卸し
・影響の明確化、影響レベルのリスト化
・事業への影響を想定
・現状の状況、把握分析
・対策優先度の決定
・考えられる脅威、経路の分析
・予防策の検討
・事後対策の検討、回復目標
・行動基準の策定
サイバーセキュリティ内部不正対策のPDCAサイクル
状況は日々変化し、内部不正行為の方法も進化していきます。安心のサイバーセキュリティを実現するため、常にPDCAを意識し、提案します。
内部不正による情報漏えい(不注意による情報漏えい等も含む)対策の強化
セキュリティポリシーのアップデート
ハイブリットな仕事に対するリスク対応
IoTなど重要インフラ対策
内部不正対策サイバーセキュリティ対策の分類
セキュリティを確保するための対策の分類と具体的な例
| 分類 | 内容 | 具体的例 |
|---|---|---|
| 抑止 | 犯罪や不正行為を牽制したり、思いとどまらせることで、問題の発生を未然に防ぐ | 法制度 セキュリティ教育の実施 規定遵守状況のチェック等 |
| 防止 | 不正アクセスなどの脅威に対する対策を施すことで、損失の発生を防ぐ | アクセス制御(FireWal等) データの暗号化 本人認証等 |
| 検知 | 不正アクセスなどの発生を速やかに発見・通知することで、問題の拡大・拡散を防ぎ、被害を最小限に抑える。 | 電子署名技術 不正アクセス監視 ウィルス対策ソフト等 |
| 回復 | 事故や障害が発生した場合に、速やかにシステムを正常な状態に回復させる。 | バックアップ 緊急時対応計画の策定と運用等 |
内部不正による情報漏えい(不注意による情報漏えい等も含む)対策のサイバーセキュリティ脆弱性診断について
社内IT資産の範囲の中でハードウェア・ソフトウェア(パソコン、サーバー、ネットワーク、ストレージなど)の脆弱な部分やセキュリティホール的な箇所が無いかを調査し診断致します。
OS、web、制御デバイスからIoT機器までも調査を行い、必要に応じて脆弱性検査(ペネトレーションテスト)や脆弱性診断結果のレポートも提出します。
内部不正による情報漏えい(不注意による情報漏えい等も含む)対策のサイバーセキュリティリスク評価・分析について
リスク分析については、IPA情報処理推進機構のリスクの特定とリスクの算定に基づいて分類し行っております。
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html
制御システムのセキュリティリスク分析ガイド
https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
リスクの特定は組織レベルで実施し、リスクの評価とリスクの洗い出し、原因、予防対策、発生時の対策、トリガーポイントの設定などをリスクレポートして一覧表にまとめ、必要に応じて部・課単位、部門ごとに提出します。
(纏めて提出する場合もあります)
お客様側で現状を把握していただくために、サイバーセキュリティの状況を記録した物をログシートとして残しております。
サポート契約をして頂いたお客様に対しては、随時状況を確認しログシートを更新しますので、いつでもインターネットでご閲覧いただく事が可能です。
※レポートではその後の“対策”“課題”等についてもわかりやすくご説明しますのでご安心ください。
リスク分析も含めますと、より“見える化”ができ、サイバーセキュリティ対策の全容を確認する事ができます。(IPA/経済産業省の脆弱性に準拠しております。)
内部不正による情報漏えい(不注意による情報漏えい等も含む)に抵触する法律
個人情報の保護に課する法律(個人情報保護法)
⇒<リンク>個人情報の保護に関する法律 – e-Gov法令検索
行政手続きにおける特定の個人を識別するための番号の利用者等に関する法律(マイナンバー法)
⇒<リンク>行政手続における特定の個人を識別するための番号の利用等に関する法律 – e-Gov法令検索
不正競争防止法
⇒<リンク>不正競争防止法 – e-Gov法令検索
労働契約法
⇒<リンク>労働契約法 – e-Gov法令検索
労働者派遣法
⇒<リンク>労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律 – e-Gov法令検索
公益通報者保護法
刑法(窃盗罪、横領罪、背任罪など)
⇒<リンク>刑法 – e-Gov法令検索
民法(契約責任、不法行為責任など)
⇒<リンク>民法 – e-Gov法令検索
労働法(秘密保持義務違反、競業避止義務違反など)
内部者によるうっかりミス、不正犯行
- 機密情報管理ルール(保管、web、メールでの送信、社外への持ち出し等)の不備・不徹底
- 機密情報へのアクセス権限管理(特権IDを含む)・モニタリングの不備
- 人事労務管理の側面からの不正リスク管理の不備
- WebアプリケーションやOS・ミドルウェアの脆弱性管理の不備
- Web・メールを侵入経路とする不正プログラムの不備
- 内部から外部ネットワークへの接続制限、モニタリングの不備
- 内部ネットワーク分割・モニタリングの不備
解決策
コンサルティング・予防・検出・回復
- web、メールからの不正プログラム侵入や内部からの不正・不適切な外部webアクセスを防止
- web、ネットワークセキュリティ診断
- webアプリケーションやIT基盤の脆弱性及び設計上の問題点を検出し、修正を支援
情報漏洩リスクアセスメント
- 機密情報の保護状況を確認
- セキュリティレベルの低いPCのネットワークアクセスを制限
- 機密情報の管理体制やアクセス保護の不備を検出し、修正を支援
- PC、サーバーへの不正侵入を検出、ブロック
情報セキュリティマネジメント支援
- 機密情報の暗号化による保護
- 管理体制やポリシー
- ルールの策定・見直し・ユーザー教育等を支援
- 機密情報の保護状況を棚卸し、アクセス状況をモニタリング
マネージドセキュリティサービス
- 全社的に一貫した情報セキュリティ管理ポリシーの実施を支援、IT基盤のセキュリティ設定等を一元管理
- 統合ログ監視とインシデント対応
- 機密情報の外部送信や持ち出しのプロック
- ネットワークやIT基盤の監視・分析
サイバーセキュリティ運用
- 次世代アンチウィルス運用サービス、DLP運用サービス、標的型攻撃マルウェア検査サービス、EDR運用サービス、マルウェア分析サービス、駆けつけ対応サービス
エンドポイントセキュリティ
- コンサルティングサービス、認証ソリューション、セキュリティ教育サービス、ログ収集サービス・相関分析、CSIRT構築支援サービス、フォレンジックサービス、バックアップソリューション
Webセキュリティ
- Web脆弱診断サービス、WEF運用サービス、DDos対策運用サービス、Web改竄チェックサービス
ネットセキュリティ
- ネットワーク脆弱診断サービス、次世代ファイヤーウォール運用サービス、メールセキュリティサービス、プロキシ監視サービス、サンドボックス運用サービス
サービス概要
- 内部不正対策策定(情報持出し抑止、ログ分析検知など)
- (チェックシート方式・場合によっては診断ツールを使用)
- ホワイトハッカーによるサイバーリスク分析(定量分析、定性分析)
- コストパフォーマンスを考えたサイバーセキュリティ脅威対策
- セキュリティポリシー整備/ポリシー策定
- トータルセキュリティの提案、BCP対策(災害、サイバー攻撃など)
- ログシートを作成し、サイバーリスクを評価・分析
- 情報資産の棚卸し、ITアーキテクチャの見直し
- セキュリティ監査、不正通信や異常通信の検知対策
サイバーセキュリティ設計書、ロードマップ&ワークロード作成
長期的(中期:3~5年後程度、長期:10年後程度)な費用対効果を考え、サイバーセキュリティの方向性を示す指針やロードマップ、指南書を作成します。
希望のサイバーセキュリティと年間予算をヒアリング後、コストとのバランスをしっかりと考えた上で約6000種類の機器の組み合わせの中から最適であろうと思われるサイバーセキュリティ機器の組み合わせ(ハードウェア・ソフトウェア)をご提案。 また、ご希望される場合は、ITインフラ投資の観点からもアドバイスをします。
新規構築・工程表(WBS)・現状からの改修ポイントの説明書、ITインフラ構成図、システム構成図、ソフトウェア一覧表…等
現状を把握して危険度の高いモノから設計書を作成します。弊社のセキュリティテーブルに基づきサイバーセキュリティのサービスで必要なモノ(導入すべきモノ)と要らないモノ(導入する必要性が無いモノ)をしっかりと見極め整理することを対策ポリシーに掲げております。
① 社内システムやバックアップの単純化
② 社内システムやソフトウェア・ハードウェアの買い換え時期、メーカー機種を揃える
③ 社内で使用しているソフトウェア・ハードウェアを別の物に置き換える
④ 社内で現在使用しているソフトウェア・ハードウェアで危険性がある物の使用を止める
Etc…
概要
- 内部不正対策サイバーセキュリティロードマップ作成・ワークロード作成(1ヶ年計画、3ヶ年計画、5ヶ年計画)
- 内部不正対策サイバーセキュリティ対策方針策定
- 内部不正対策サイバーセキュリティに掛かる予算計画書作成
- 内部不正対策サイバーセキュリティ概要設計書作成
- 内部不正対策サイバーセキュリティ構成図作成
- 内部不正アクセス防御策を設計(サーバー攻撃、サイト改ざん、仕様設計のセキュリティ分析、ソースコードの静的解析、スマホアプリ診断、JSSECセキュアコーディングなど)
- 多層防御対策マップ作成(入口対策、出口対策、内部対策、運用管理など)
- クラウド化ロードマップの策定
- 次世代ファイヤーウォールプラン作成
- ITコスト削減プラン作成
- クライアント様ビジネスへの貢献プラン作成
- 事業継続リスクの最小化策定
- 管理者視点のセキュリティ強化プラン作成
ITインフラの観点で考える理想的なシステム運用の形
現在行っているセキュリティ対策は、事業の成長を停滞させるような過剰防衛になっていませんか?
セキュリティリスクだけを注視した‟守りだけ“の対策に徹するのではなく、リスクそのものの削減について考えるなど、ITインフラの観点を踏まえた構築が企業の成長を左右するのです。セキュリティとITインフラを切り離して考えるのではなく、全体を通した最適化を図ることでより安全な経営を確立し、事業をさらに飛躍へと導きます。
スマートなインフラ
内部不正対策サイバーセキュリティ構築運用保守サポート(リスク対応)
【脅威】・【脆弱性】・【情報資産】といったリスクからセキュリティの要因を突き止め、保守サポート(リスク対応)を行います。
サイバーセキュリティの要因
リスクベースのアプローチで考える
5つの構成要素で隙のないサイバー防御能力を発揮します
構築、運用、保守までをノンストップで管理。【観測力】・【解析力】・【構成力】 ・【人材育成力】・【資源管理力】といった多角的な目線で考え、万全のセキュリティを築きます。一元管理されたサービスはサポート(リスク対応)も素早く安心です。
| 観測カ | ・攻撃観測力(主にクライアント、サーバー、ネットワーク、ストレージなど) |
|---|---|
| 解析力 | ・攻撃状況の解析(実時間) ・攻撃手法の解析 ・防御技術の解析(相対的な能力理解) |
| 構成力 | ・防御スキームの設計と実装 ・実装した防御技術の評価 |
| 人材育成力 | ・持続的な要員確保 ・継続的教育の実施による人材の活性化 ・運用段階でのOJT |
| 資源管理力 | ・防御システムに対する適切な投資管理 ・リソース管理の出来る要員の確保 ・事業など発生時のフレキシブルな運用 |
構築概要(2023/11/18現在)
- サイバーセキュリティ壁、網の構築
- UTMを使ったサブスクリプションサービス
- 管理者視点のセキュリティ強化プラン作成
- SIEMやSOC構築、ヘルプデスクサービス
- 社員のwebアクセスセキュリティ構築
- CSIRT構築支援
- データベースセキュリティ
- トラフィックシェーピング
- IPV6
- 仮想アプライアンス
- 負荷分散
- SSLインスペクション
- 持出端末セキュリティ
- 脅威ウェイト
- WAN最適化
- 仮想UTM(VDOM)
- OTP(電子証明書)
- 踏み台対策
- DNSリフレクション(リフレクター)
- メールセキュリティ(アンチスパム)
- クラウドセキュリティ
- Dos/DDos対策
- IPS/IDS
- エンドポイントセキュリティ
- 高性能負荷分散
- 認証
- 働き方改革
- アプリケーション制御
- RADIUS認証
- 攻撃時対応
- サーバーセキュリティ
- バーチャルワイヤー
- WAF
- ドキュメント、データストレージ
▼お問い合わせ等は下記から御願い致します▼
