Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 1 情報セキュリティ・サービス CSIRT 情報システム開発 認証取得・運用 監査・教育 当社が長年提供している情報システムの開発・運用に関するノウハウと、情報 セキュリティの知見を効果的に融合し、お客様のニーズに合致する様な最適か つ効率的なご支援をご提案いたします。 目次 1.CSIRT 1.1.CSIRTとは・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・3 1.2.サービス概要・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・4 2.情報システム開発 2.1.設計・製造における情報セキュリティ・・・・・・・・・・・・・・・・5 2.2.サービス概要・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・6 3.認証取得・運用 3.1.マネジメント・システムの統合・・・・・・・・・・・・・・・・・・・・・・7 3.2.サービス概要・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・8 4.監査・教育 4.1.有効性評価・人材育成・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・9 4.2.サービス概要・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・10 Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 2 1.CSIRT Computer Security Incident Response Team 1.1.CSIRTとは 昨今、 Open SSL、Apache Struts、GNU bashなどの製品に関する高脆弱性が相次 いで報告されていることや、旧来のセキュリティ対策だけでは防御できない標的型攻撃やリス ト型攻撃などが増大しており、企業活動を脅かすインシデントが多数発生しています。 このため、インシデントや脆弱性に関する情報収集・分析・対処、情報システムの監視・検 知、インシデント発生時の解析・調査などを的確かつ迅速に実施することを目的とした組織 として、CSIRTを立ち上げる企業が増えています。 CSIRTが企業内で担う役割としては、CSIRT以外の部門や部署などに対し、様々なサー ビスを提供することであり、主に以下の3つが想定されています。 (1)事後対応型サービス セキュリティ侵害の報告、ソフトウェアの脆弱性、侵入検知やログ記録の結果など、何らか のイベントや要請を受けて実施されるサービスであり、CSIRTの中心的な活動です。 (2)事前対応型サービス 攻撃・問題・イベントに備え、情報システムの対策・防御・安全確保に役立つ支援と情 報を提供するサービスであり、将来のインシデント数を減らすことが可能です。 (3)セキュリティ品質管理サービス インシデント・ハンドリングとは無関係に、従来から組織に定着している監査やトレーニング などを補強するサービスであり、インシデント数を減らすことに間接的に役立ちます。 図:CSIRTが組織内で担うサービス内容 ※アーティファクトとは システムとネットワークの探査や攻撃に関与した、もしくはセキュリ ティ対策を無効化する目的で使用された可能性のある、システム 内で発見されたファイルまたはオブジェクトのことです。 出典:JPSERT/CC 『コンピュータセキュリティインシデント対応チーム(CSIRT)のためのハンドブック』 Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 3 1.CSIRT Computer Security Incident Response Team 1.2.サービス概要 構築支援 運用支援 BPO支援 改善支援 各種ソリューション(IDS、IPS、WAF、診断ツールなど) (1)「構築支援」の主な内容 ① プロジェクトの立ち上げ 目標の設定、スケジューリング、プロジェクト運営など ② 現状分析 情報システム関連調査、セキュリティ状況調査、ギャップ分析、課題抽出など ③ 計画立案 計画の作成【基本構想、サービス、体制、連携体制、リソース、スケジュールなど】 ④ 構築 規定整備、手順書整備、様式整備、教育など (2)「運用支援」の主な内容 ① 日常運用 CSIRTが提供する各種サービスの日常的作業 ② セキュリティ診断 脆弱性診断やアプリケーション診断、各種レポート提供など (3)「BPO支援」の主な内容 ① 脆弱性情報の収集と提供 情報システムにて使用している製品の脆弱性情報を調査し、定期的にご提供いた します。 ② 収集した脆弱性情報の評価 収集した脆弱性情報をCVSSにて評価し、定期的にご提供いたします。 (4)「改善支援」の主な内容 ① 現状評価・改善提案 情報収集、現状分析、改善案の作成、再構築案の作成など ② 改善・再構築 規定整備、手順書整備、様式整備、教育など Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 4 2.情報システム開発 Information System Development 2.1.設計・製造における情報セキュリティ 情報システムが稼働した後、設計や製 造に起因する脆弱性が発見された場合、 情報システムの改修に多大なコストが発 生します。 また、発見された脆弱性による情報漏え いなどのセキュリティインシデントが発生し た場合、損害賠償やお客様サービスの 停止による機会損失、信頼感の喪失や イメージの悪化など、多くの影響が懸念 されます。 それらを可能な限り回避するため、設計 工程や製造工程において脆弱性を作り 込んでしまわないような対策を行うことに より、コストの低減やセキュリティ・インシデ ント発生を防止する必要があります。 図:開発工程別セキュリティ対策コスト コスト 設計 製造 試験 運用 脅威が顕在化してしまう脆弱性が、情報システムの何処に存在し得るかを情報システムの 開発工程ごとに検討し、開発工程の特性を踏まえた脆弱性対策を行うことが重要です。 例えば、Webアプリケーションのリクエスト強要対策やセッション乗っ取り対策などは、通信方 法に関する対策として取りまとめる必要があることから、製造工程で検討するよりも設計工 程で検討した方が妥当といえます。 表:2013年個人情報漏えいインシデント概要データ 漏えい人数 925万2305人 インシデント件数 想定損害賠償総額 1388件 1438億7184万円 一件あたりの漏えい人数 7031人 一件あたり平均想定損害賠償額 1億926万円 一人あたり平均想定損害賠償額 2万7701円 出典:JNSA 2013年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~ Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 5 2.情報システム開発 Information System Development 2.2.サービス概要 設計支援 製造支援 試験支援 各種ソリューション(コーディング解析ツールなど) (1)「設計支援」の主な内容 ① セキュリティ設計のガイドラインとデザイン・パターン ガイドラインの作成、デザインパ・ターンの作成、ガイドライン運用など ② 設計書のセキュリティ評価(設計書レビュー) 各種レポート提供など ③ セキュリティ設計 要求定義、基本設計、概要設計、詳細設計など (2)「製造支援」の主な内容 ① セキュア・コーディングのガイドラインとコーディング・パターン ガイドラインの作成、デザイン・パターンの作成、ガイドライン運用など ② ソースコードのセキュリティ評価(ソースコード・レビュー) 各種レポート提供など ③ セキュア・コーディング コーディングなど (3)「試験支援」の主な内容 ① セキュリティ試験のガイドラインとテスト・パターン ガイドラインの作成、デザイン・パターンの作成、ガイドライン運用など ② 試験仕様書のセキュリティ評価(試験仕様書レビュー) 各種レポート提供など ③ セキュリティ試験 単体試験、結合試験、システム試験、受入試験など Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 6 3.認証取得・運用 ISO Authentication/management 3.1.マネジメント・システムの統合 現在、多くの企業が複数のマネジメント・システムの認証を取得し、PDCAサイクルに従った 運用を日々行っていますが、企業経営に資するための効果的かつ効率的な運営がなされて いな状況が散見されています。 そこで、マネジメント・システム個別にPDCAサイクルを回すのでは無く、複数のマネジメント・ システムを統合した形態でPDCAサイクルを構築することにより、効率的で機能的な仕組み とすることが可能となります。 また、マネジメント・システムの認証は、取得することが目的となりがちですが、取得後のPDC Aサイクルに従った運用やそのインプットおよびアウトプットが本来は重要であるため、組織内 でそれらを如何に有効に活用するのか、どの様にしたら有効に活用できるのかといった視点で 検討し、実践することにより、企業経営に資するための効果的で効率的なマネジメント・シス テムとすることができます。 図:マネジメント・システムの統合化 QMS Pマーク 「ISMS」と「QMS」と「BCMS」 ISO規格は、MSS(Manageme nt System Standard)として共 通化している要求事項が70%程 度存在する。 ISMS BCMS 「ISMS」と「Pマーク」 リスクアセスメントの対象が情報資 産か個人情報かで異なるが、規 格が要求している内容の共通性 が高い。 (1)情報セキュリティ ISMS(Information Security Management System):JIS Q 27001 (2)品質 QMS(Quality Management System):JIS Q 9001 (3)事業継続 BCMS(Business Continuity Management System):JIS Q 22301 (4)個人情報保護 プライバシーマーク:JIS Q 15001 Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 7 3.認証取得・運用 ISO Authentication/management 3.2.サービス概要 認証取得支援 運用支援 認証統合支援 ポイントコンサ ルティング 各種ソリューション(ID管理、文書管理、入退室管理など) (1)「認証取得支援」の主な内容 【対象:ISMS、QMS、BCMS、Pマーク】 ① プロジェクトの立ち上げ スケジューリング、プロジェクト運営、基本文書の作成など ② 現状分析と文書整備 セキュリティ状況調査、ギャップ分析、課題抽出、規定・手順書・様式の整備など ③ 内部監査とマネジメント・レビュー 監査への立会、指摘事項対応、資料作成・説明など ④ 審査 審査への立会、指摘事項対応など (2)「運用支援」の主な内容 【対象:ISMS、QMS、BCMS、Pマーク】 ① 事務局運営 情報資産の洗い出し、リスク・アセスメント、リスク対応処置、審査・監査対応など ② 文書作成 記載内容の調整、文書・手順書・様式の作成など ③ リスク・アセスメント リスクの特定、リスク分析、リスク評価など ④ 効率化診断 現状調査、現状分析、現状診断、診断レポートの作成など (3)「認証統合支援」の主な内容 【対象:ISMS、QMS、BCMS、Pマーク】 ① プロジェクトの立ち上げ スケジューリング、プロジェクト運営、基本文書の作成など ② 現状分析と文書整備 現状調査、現状分析、課題抽出、規定・手順書・様式の整備など ③ 審査 審査への立会、指摘事項対応など (4)「ポイント・コンサルティング」の主な内容 ① 事務局運営 訪問、電話、メール、掲示板、会議システムなどによる質疑応答など Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 8 4.監査・教育 Information Security Audit/Training 4.1.有効性評価・人材育成 本来監査は、ダメ出しを行うことが目的では無く、PDCAサイクルに従った運用を日々行って いない他者が、客観的に内容を確認をすることにより有効性を評価し、問題点や改善点を 発見した後、適切な脆弱性対策や効率化対策を講じ、情報セキュリティをスパイラルアップ することを目指しています。 自組織 (1)第一者監査 企業自身が行う監査 (内部監査) 他部門 (2)第二者監査 利害関係が有る外部 企業等の監査(委託 先監査) 第一者監査 仕入先 第二者監査 当該部門 第二者監査 顧客 第三者監査 (3)第三者監査 利害関係が無い外部 企業等の監査(認証 取得審査) 審査企業 社員は、自社の戦略をしっかりと理解し、相応のスキルを身に着ける必要がありますが、戦 略変更や最新技術の登場など、変化している状況への対応が求められます。そのため、常 に学習を行い、スキルを習得することにより、社員の個人的能力を発揮し、企業の業績向 上を目指すことが人材育成の目標となります。 図:人材育成の要素 人材 知識 技能 経験 基礎教育 専門教育 資格試験 OJT OJT 実務者研修 Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 9 4.監査・教育 Information Security Audit/Training 4.2.サービス概要 監査 準拠・適合性診断 教育・研修 各種ソリューション(eラーニングなど) (1)「監査」の主な内容 ① 内部監査 【対象:ISMS、QMS、BCMS、Pマーク】 監査内容の調整、監査計画書の作成、実査、監査レポート作成など ② 委託先事業者に対する情報セキュリティ監査 監査内容の調整、監査基準の作成、監査計画書の作成、チェックシートの作成、 実査、監査レポート作成など (2)「準拠・適合性診断」の主な内容 【対象:PCIDSS、FISC、ITIL、COBIT】 ① 準拠・適合性診断 診断内容の調整、診断計画書の作成、チェックシートの作成、診断、診断レポー ト作成など (3)「教育・研修」の主な内容 ① マネジメント・システム講座 【ISMS、QMS、BCMS、Pマーク】 1)基本講座(無料) 2)規格要求事項の解説(有料) 3)認証取得のための講座(有料) 4)マネジメント・システムを統合するための講座(有料) 5)個別項目講座(無料または有料) ② 情報システム開発研修 1)セキュア・プログラミング研修(有料) 2)セキュリティ設計研修(有料) 3)セキュリティ試験研修(有料) ③ セミナー・研究会 新人教育、各種セミナー、各種研究会など ④ 教育教材・試験問題の作成 ⑤ 教育プログラムの提供 ⑥ 講師派遣・研修請負 Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 10 ~情報セキュリティサービス 1.0版 2015年4月30日~ 株式会社セントラル情報センター 〒150-0043 東京都渋谷区道玄坂2-16-4 野村不動産渋谷道玄坂ビル 電話番号:03-3496-1571(代) FAX番号:03-3496-5204 URL:http://www.cic-kk.co.jp/ お問い合わせ先 ソリューション営業部 下山友嗣<Email:[email protected]> 村岡幸雄<Email:[email protected]> 【本資料の無断転載・複製・複写を禁じます】 Copyrightⓒ Central Information Center Co. ,LTD, All rights reserved. 11
© Copyright 2026 Paperzz
