お客様におけるセキュリティの現状把握のポイントは、セキュリティ対策状況を網羅的に可視化することで、必要な対策とその優先順位付けを行うことです。そのためには、最新のセキュリティ動向・知識に精通した専門家によるセキュリティの現状調査が必要になります。
BBSは、高度な専門知識と豊富な経験を持つセキュリティ専門コンサルタントが、セキュリティ分野に関する現状調査を行い、後続の戦略立案から定着化まで中長期で継続的な支援を実現します。
目的に応じた調査が可能
お客様の調査の目的に合わせて、調査範囲や深さなど調査内容を自由に決めることができるため、あらゆる目的を実現できます。セキュリティ対策状況の可視化
セキュリティ関連状況のみならず、対策状況を網羅的・横断的に可視化できます。課題と改善策の優先度付けが可能
セキュリティ課題の影響度を評価し、対応の優先順位を明確化することで、セキュリティ対策のロードマップを策定できます。1.調査計画の立案
お客様が直面しているテーマに基づいて、方針、目的、内容、範囲、期間を含む調査計画を策定する
2.資料収集
調査の関連項目を把握できる業務関連、情報資産、及び利用システムなどに関わる資料を収集・整理
3.概要調査
事前に収集した資料に基づいて、ビジネスモデル、業務の流れ、及び関連システムをインタビュー形式で調査する
4.詳細調査
事前資料と概要調査の情報をもとに、システム、データ、及びセキュリティ対策状況をインタビュー形式で調査する
5.リスク分類
抽出された発見事項を整理しリスク項目を分類して、発見事項の重要度により解決の方向性を決定する
6.対策の優先順位付け
具体的なセキュリティ対策を検討し、リスクと取り巻く環境(コスト、期間、体制など)により優先順位付けを行う
7.ロードマップ作成
経営方針や事業戦略から打ち出したIT戦略と整合させ、実効的なロードマップを作成する
8.報告書作成・報告
調査内容全般に関わる作業内容と調査結果を取りまとめた報告書作成と報告会を実施する
BBSのセキュリティ・リスクアセスメントは、お客様の目的、対象範囲、成熟度に応じて、最適なアプローチを選択してお客様を支援します。豊富な経験とともに最新のセキュリティ知識を有するセキュリティ専門家がリスクを正確に可視化し、効果的な対策の策定をご支援します。
| ベースラインアプローチ | 評価の基準となるお客様のセキュリティ対策基準や標準的なグローバル基準、国内ガイドライン等のセキュリティ対策基準(ベースライン)を定め、お客様の対策状況を客観的に評価します。 評価基準が明確であり、少ないリソースで現状把握できるため、取り組むべき課題の優先順位付けと、具体的な改善計画を短期間で策定できます。 |
|---|---|
| リスクベースアプローチ | お客様の情報資産を対象として、取り巻く脅威、脆弱性を分析し、発生可能性(Likelihood)と影響度(Impact)からリスクを評価します。 お客様固有のリスクを把握して、投資対効果を重視した優先順位を明確にできるため、重要リスクへの投資コストの最適化、規模に応じた柔軟性など経営目線と整合できます。 |
| 成熟度評価アプローチ | お客様のセキュリティ対策や管理体制がどの程度整備・定着・最適化されているかを評価し、その成熟度レベルに応じて改善計画を策定します。 リスクそのものを直接評価するのではなく、「リスクを管理する能力」を評価して現状の管理能力を可視化できるため、経営層への説明がしやすく、また定期的な比較評価も可能となります。 |
| 脅威ベースアプローチ | ランサムウェア、標的型攻撃、サプライチェーン攻撃など近年増加するサイバー攻撃や脅威を起点に評価します。近年では、サイバー攻撃の高度化に伴い、単なる管理策チェックではなく、現実的な攻撃シナリオを想定した脅威ベースアプローチが重視されています。 主な特長は、現実的なリスク評価ができ優先順位付けがしやすいため、実際の攻撃に強くなり、SOCやCSIRTとの親和性も高く、最新脅威を反映できます。 また、「ランサムウェア感染で3日間業務停止」など経営層が直感的に理解しやすいシナリオで説明できます。 |
セキュリティ監査の目的は、単なる脆弱性診断ではなく、「組織として適切な統制が機能しているか」を第三者視点で評価し、リスク低減と経営の説明責任を果たすことです。
セキュリティ監査には、下記のような重要性があります。
| サイバーリスク低減 | 不正アクセス、ランサムウェア、情報漏えい、内部不正等への対策状況を確認し、事故発生確率と影響を低減 |
|---|---|
| 経営ガバナンス・説明責任 | 経営層が「どの程度安全なのか」「何を優先投資すべきか」を判断可能にする |
| 法令・規制・契約遵守 | 法令やガイドラインへの準拠状況確認 |
| システム刷新・DX時の統制確認 | ERP更新、クラウド移行、生成AI活用等で統制が崩れやすいため、事前・事後監査が重要 |
| インシデント耐性向上 | 事故をゼロにすることではなく、「起きても被害を抑え、復旧できる状態」を作る |
BBSのセキュリティ監査は、お客様の監査実施目的に対応し、必要な監査対象、監査タイプ、監査形態を柔軟に組み合わせてお客様を支援します。
| 監査対象 | 準拠性監査 | 組織が定めた情報セキュリティポリシー(規定・マニュアル・手順書など)や、外部の法令・ガイドラインが実際に正しく守られて運用されているかを検証・評価する |
|---|---|---|
| 妥当性監査 | 組織のセキュリティポリシーや対策基準などの「ルール(規程)そのもの」が、最新の脅威や国際的なセキュリティ基準に照らし合わせて適切かつ有効であるかを点検・評価する | |
| 監査タイプ | 助言型監査(アドバイザリー) | 情報セキュリティマネジメントの改善を目的として、問題点を検出し改善提言を行う監査であり、組織のセキュリティレベル向上や、弱点の発見を主眼に置く場合に適している |
| 保証型監査(アシュアランス) | 組織の情報セキュリティの水準を保証することを目的として、監査対象の情報セキュリティマネジメントが要求される水準を満たしていることを保証する | |
| 監査形態 | 外部監査 | 客観的な評価と社会的な信用獲得を目的として、被監査組織から独立性を確保した第三者の立場として専門家が実施する |
| 内部監査 | 自主的な点検と早期の改善対応することを目的として、内部監査人の育成、支援、及び共同作業を通じ内部監査手法や監査技術などを助言する |
BBSのセキュリティ監査は、監査目的、監査範囲、準拠する基準、及び期間を合意して、下記の手順を基本に実施します。
1.監査計画の立案
事前に確認した目的、範囲、基準、期間を基本としながら、テーマ、ポイント、課題を加味して、監査を円滑に実施するための実施計画を策定する
2.予備調査
本調査をスムーズに行うのための監査チェックリスト作成を主な目的とし、監査範囲における関連規定や関連する情報収集を行うことにより、監査対象の実態把握を行う
3.本調査
予備調査で作成したチェックリストに基づいて、対象とする現場でのインタビュー、証跡のレビュー、及び視察により、監査証拠を入手して要求事項に対する準拠性や妥当性などを評価する
4.事実確認と意見交換
調査で収集した監査証拠に基づいて調査内容の事実確認を行い、発見事項等について意見交換を行うことで監査報告書を適切に作成する
5.監査報告会
管理基準への充足状況や検出事項、指摘事項、および是正措置を含む改善事項を整理した監査報告書を作成し、監査結果を報告するとともに、情報セキュリティに関する業務改善の助言を行う
6.フォローアップ
監査報告における指摘事項、および是正措置を含む改善事項について、改善施策の実施状況及び実施結果のフォローアップ監査により、セキュリティレベルの維持向上を行う
BBSのセキュリティ監査は、下記の主なセキュリティ基準等に対応します
当社のセキュリティ監査を実施する監査人は、公認情報システム監査人(CISA)、システム監査技術者など専門資格を有するコンサルタントが支援します。また、継続的に教育、研修を行うことで、サービスレベルを確保しています。
近年はサプライチェーン全体のセキュリティ強化が求められており、取引条件としてセキュリティ対策評価の格付け取得が要求されることが想定されています。ビジネス活動を行っている組織にとってサプライチェーンが複雑であればあるほど、セキュリティ対策評価(SCS評価)の格付けの影響範囲は大きくなり、対応できていない場合はビジネス継続の大きなリスクとなってしまいます。
BBSでは下記のサービスにより、お客様のセキュリティ対策評価への対応を支援します。
AI利活用においては、意図しない情報漏えい、著作権侵害、ハルシネーションなどAI特有のセキュリティリスクや注意すべき問題点があります。お客様での利活用が進んでいる現状においてはガバナンスとして対策が不可欠です。BBSのAI利活用セキュリティ支援では、お客様のビジネス環境、規程、体制などを考慮して最適なリスク対策(ルール・ガイドライン整備、教育)を提供します。
BBSでは下記のサービスにより、お客様のAI利活用に伴うセキュリティリスクへの対応を支援します。