情報セキュリティ事務局支援サービス|S&Jコンサルティング

情報セキュリティ事務局支援サービス


 従来の取り組みと問題点

情報セキュリティ対策は、情報資産の洗い出し、リスク分析をしなければならない、という思い込み
   → 結局、やることはどの会社も変わらない

リスク分析とポリシー作成をワンセットでコンサルティング依頼
   → 多大なコストを掛けた割には継続性がない

ハッカー/ウイルス対策、または、マネジメント(行き過ぎた個人情報管理や認証取得)に偏った対策
   → 経営者目線での包括的な対策ができていない


情報セキュリティ事務局とは 情報セキュリティ事務局とは

情報セキュリティ対策には高度で多様な能力を持った専任担当者だけでなく、それをとりまとめるマネージャも必要です。
情報セキュリティ事務局という事務局を設置し、様々な技術を持った専任者を活用しながら、深い経験を持つアドバイザがマネージャとして   とりまとめを行うことにより、情報セキュリティ責任者(お客様)は高度で最新のセキュリティ対策を実施できます。

情報セキュリティ事務局


内部関係者からの情報漏えい対策 内部関係者からの情報漏えい対策

内部関係者による情報漏えいは、個人情報の売買だけでなく、クレジットカード情報のブラックマーケットの充実、内部告発サイトの登場、製造業における中国へのCAD図面流出など、社会問題や企業の存亡にも関わる事態に発展しつつある。
これまでの対策は主に外部からの脅威に対するものであり、内部関係者を疑うような対策はほとんどとられていない。
内部関係者による情報漏えい対策は、基本的にはシステム中心となり、社内調査チームが取り扱うようになる。 早期発見、早期対処が企業にとって重要な意味を持つ。
内部関係者の不正や情報漏えいには、平常時における微細な変化や不審な行動を察知するための監視システムのチューニングが欠かせない。
PC操作、サーバ、ネットワーク、監視カメラ、出入室など様々な箇所における監視システムを統合的に取り扱う必要がある(PSOC)。
とはいえ、限られたリソース(予算)をいかに有効に使うかも求められる資質となる。

情報セキュリティ事務局の役割 情報セキュリティ事務局の役割


導入フェーズ

・セキュリティレベル調査(各部署、関連会社へのヒアリング)
・セキュリティ対策コスト算定、優先順位策定、中期計画、年度計画策定

定例会議

・年度計画進捗チェック
・個々のセキュリティ対策へのアドバイス

個々のセキュリティ対策

・各種セキュリティ機器の設置や調整、ログ収集と分析
・ポリシーや手順書の改定と教育、運用準拠性監査や脆弱性監査
・情報セキュリティ防災訓練の企画と実地

社内調査とインシデント対応

・インシデントには至っていない不審なアクセスやアクションを調査
・インシデントの早期対応と事後対策





LinkIcon 事務局支援パターン①
    (一部上場生命保険会社)

一部上場生命保険会社 事務局支援パターン① (一部上場生命保険会社)


・ 年間契約で毎週レビューと方針決定を行う


  - 年間計画を策定し、技術・組織面での対策をCheck&Action
  - インシデント対応と再発防止策、年間計画への取り組み


・ セキュリティ事務局構成 (2時間1回 / 週)

  - お客様2名

  - 情報セキュリティアドバイザ1名
     ・ 方針のアドバイス、進捗チェック、事務局会議のリード


  - 技術、書類作成他コンサルチーム2名
     ・ ポリシー改定
     ・ 脆弱性検査(サンプリング)
     ・ インシデント対応
     ・ ユーザ向け教育コンテンツ作成、自己点検による状況把握


ページの先頭へ






LinkIcon 事務局支援パターン②
    (一部上場電器メーカー)

一部上場電器メーカー 事務局支援パターン② (一部上場電器メーカー)


・ 年間契約で毎週レビューと方針決定を行う


  - 年間計画を策定し、技術・組織面での対策をCheck&Action
  - インシデント対応と再発防止策、年間計画への取り組み


・ セキュリティ事務局構成 (2時間2回 / 週)

  - お客様5名

  - 情報セキュリティアドバイザ1名
     ・ 方針のアドバイス、進捗チェック、事務局会議のリード


  - 技術、書類作成他コンサルチーム5名
     ・ ポリシー改定
     ・ 脆弱性検査
     ・ インシデント対応
     ・ ユーザ向け教育コンテンツ作成
     ・ 運用準拠性監査

ページの先頭へ





LinkIcon 事務局支援パターン③
    (一部上場ECサイト運営会社)

一部上場ECサイト運営会社 事務局支援パターン③ (一部上場ECサイト運営会社)


・ 年間契約で毎月レビューと方針決定を行う


  - 年間計画を策定し、技術・組織面での対策をCheck&Action
  - インシデント対応と再発防止策、年間計画への取り組み


・ セキュリティ事務局構成 (2時間1回 / 月)

  - お客様3名
     ・ ポリシー改定
     ・ 脆弱性検査(外部に委託)
     ・ インシデント対応
     ・ ユーザ向け教育コンテンツ作成
     ・ 運用準拠性監査(外部に委託)


  - 情報セキュリティアドバイザ1名
     ・ 方針のアドバイス、進捗チェック、事務局会議のリード


ページの先頭へ






LinkIcon 事務局支援パターン④
    (ECサイト運営会社)

ECサイト運営会社 事務局支援パターン④ (ECサイト運営会社)


・ 年間契約で四半期毎にレビューと方針決定を行う


  - 年間計画を策定し、技術・組織面での対策をCheck&Action
  - インシデント対応と再発防止策、年間計画への取り組み


・ セキュリティ事務局構成 (2時間1回 / 四半期)

  - お客様3名
     ・ ポリシー改定
     ・ 脆弱性検査(外部に委託)
     ・ インシデント対応
     ・ ユーザ向け教育コンテンツ作成
     ・ 運用準拠性監査(外部に委託)


  - 情報セキュリティアドバイザ3名
     ・ 方針のアドバイス、進捗チェック、事務局会議のリード


ページの先頭へ