セキュリティリスク対策プランニングサービス（リスクアセスメント）

セキュリティリスク対策プランニングとは

システムとそれに関わる組織に対するリスクをヒアリングベースで洗い出し、セキュリティ対策の方針、優先度を提案します。リスクを見える化し優先的に対策すべき項目を明らかにしますので、セキュリティ対策をどのように進めてよいかわからないという方にまず最初に導入検討いただきたいサービスです。

こんな方におすすめ

リスクがたくさんありそうだが、優先着手すべき事項がわからない方: 起こりうる攻撃の頻度と発生時被害に加え、システムの売上への寄与と資産の規模から、貴社におけるリスクの高さを見積もりますので優先対応すべきリスクが明確になります。
セキュリティ対策をしたいが、どのような手順で進めればよいか良いか判らない方: リスク（＝優先度）の高いものから短期的な対策、長期的な対策に分けて提案します。
セキュリティ対策予算を確保するための理由付けが欲しい方: 実際に情報漏洩が発生した際の被害金額を算出しますので、予算を投じない場合の具体的な危険性を訴えることができます。運用対処で対策できるものはその方法も提案しますので、必要最低限の予算を検討することもできます。

サービスの進め方

STEP

全体像とアクセス経路の把握

システム状況確認アンケートによって、システムの特性や扱っているデータの情報種別とシステム間の関係性を把握します。これにより、システム全体像を明らかにし、不正アクセスの経路を洗い出します。

STEP

ヒアリングによるリスク評価

ヒアリングシートをもとに各脅威に対する対応状況をヒアリングします。「抑止・予防策」の有無を確認することで、脅威の頻度を下げる対応ができているかを評価し、「回復策・検知策」の有無を確認することで、脅威発生時の影響を下げる対応ができているかを評価します。これにより各脅威の一般的に考えられるリスクをどの程度下げる働きができているか明らかにすることができます。また、対応のなされていないリスクは必然的に高リスク事象として洗い出されます。

STEP

高リスク事象への対策提案

リスク評価の結果洗い出された高リスク事象について最も優先度の高い対策３つを検討し、対策一覧にまとめます。この際に、作成したアクセス経路図も確認しながら検討します。これにより、システム毎の対策だけではなく、あるポイントに機器を導入することで複数の高リスク事象に対する一括した対策も提案できます。提案内容は機器導入等で解決できるシステム的な対策と、設定変更やルールによって解決できる運用的な対策それぞれを提案します。また、システム的な対策についてはおおよその費用感も提示します。これによりリスクを低減するための必要予算が明らかになります。