セキュリティリスク対策プランニングとは

システムとそれに関わる組織に対するリスクをヒアリングベースで洗い出し、セキュリティ対策の方針、優先度を提案します。リスクを見える化し優先的に対策すべき項目を明らかにしますので、セキュリティ対策をどのように進めてよいかわからないという方にまず最初に導入検討いただきたいサービスです。
こんな方におすすめ
- リスクがたくさんありそうだが、優先着手すべき事項がわからない方
-
起こりうる攻撃の頻度と発生時被害に加え、システムの売上への寄与と資産の規模から、貴社におけるリスクの高さを見積もりますので優先対応すべきリスクが明確になります。
- セキュリティ対策をしたいが、どのような手順で進めればよいか良いか判らない方
-
リスク(=優先度)の高いものから短期的な対策、長期的な対策に分けて提案します。
- セキュリティ対策予算を確保するための理由付けが欲しい方
-
実際に情報漏洩が発生した際の被害金額を算出しますので、予算を投じない場合の具体的な危険性を訴えることができます。運用対処で対策できるものはその方法も提案しますので、必要最低限の予算を検討することもできます。
サービスの進め方
システム状況確認アンケートによって、システムの特性や扱っているデータの情報種別とシステム間の関係性を把握します。これにより、システム全体像を明らかにし、不正アクセスの経路を洗い出します。

ヒアリングシートをもとに各脅威に対する対応状況をヒアリングします。「抑止・予防策」の有無を確認することで、脅威の頻度を下げる対応ができているかを評価し、「回復策・検知策」の有無を確認することで、脅威発生時の影響を下げる対応ができているかを評価します。これにより各脅威の一般的に考えられるリスクをどの程度下げる働きができているか明らかにすることができます。また、対応のなされていないリスクは必然的に高リスク事象として洗い出されます。

リスク評価の結果洗い出された高リスク事象について最も優先度の高い対策3つを検討し、対策一覧にまとめます。この際に、作成したアクセス経路図も確認しながら検討します。これにより、システム毎の対策だけではなく、あるポイントに機器を導入することで複数の高リスク事象に対する一括した対策も提案できます。提案内容は機器導入等で解決できるシステム的な対策と、設定変更やルールによって解決できる運用的な対策それぞれを提案します。また、システム的な対策についてはおおよその費用感も提示します。これによりリスクを低減するための必要予算が明らかになります。

今までの作業内容をまとめ、対策一覧に記載の対策を実施せずに攻撃を受けて情報漏えいした際の被害想定金額を算出結果と事故事例を加えて報告書を作成します。これにより、対策一覧に記載の対策費用と被害想定金額を併記することによって、経営層に向けて、どちらを選択するか促すことができるようになります。

サービスの特長
経験豊かなコンサルタントが、
貴社のセキュリティ対策をご提案
様々な規模、業種の案件を担当した経験豊かなコンサルタント自らヒアリング~対策まで担当させていただきます。
JIS規格に沿ったサービス提供
サービス範囲が不明瞭になりがちなコンサルティングですが、本サービスはJIS Q 27002に沿ってシステムとその運用をヒアリングベースで評価するものですので、ご安心ください。
対策方法を複数ご提案
1つのリスクに対して、複数の対策方法をご提案させていただきます。ご予算など実行するための難易度と期待される効果との兼ね合いで、ご検討いただくことができます。
対象システム選定から
サポートすることも可能
組織内で扱っているシステムの全貌がつかめておらず、リスク評価をする対象選定が難しいという場合は、(オプションにて)情報資産の把握をサポートさせていただくことも可能です。
導入の流れ
- 機密保持契約
- 情報提供、お見積
- 基本契約、ご発注
- 業務内容、利用システム概要、セキュリティ対策の現状、取り扱いデータ、等に関しヒアリングを実施
- ヒアリング結果を元にリスクを分析
- リスク分析結果を元にして報告資料を作成
報告資料を使用して報告会を開催
関連サービス





導入事例
ブログ
-
パスワードマネージャーの選び方!考慮すべきポイントを簡単に解説します
昨今オンライン化が進み、アプリやWebサービスを使う機会が増えています。IDとパスワードを入力し、ログインして利用するものが多いですが、セキュリティの観点から同じパスワードを使いまわすべきでないことは皆さん知ってると思います。 そこでパスワー… -
【自動化】Power Automateを使った脆弱性情報の収集方法【インシデント対策】
突然ですが、昨今のインシデントに関するニュース、皆さんはどのようにその情報を知りますか? 2021年12月 株式会社メタップスペイメント トークン式クレジットカード決決済情報データベース、決済情報データベース、加盟店情報データベースが… -
【ゼロトラストで考える】DX社会における工場セキュリティの進め方とは
DX社会の実現とともに現在ではあらゆるロケーション・モノがネットワークにつながりはじめ、守るべき資産は境界の内外どちらにもあり、境界内部においても脅威は存在するというゼロトラストの考え方が注目されるようになってきました。外部ネットワークと…