CPMサービスのご案内 セキュリティ対策を可視化し、攻撃に対して先手を打つ サイバー攻撃に気付くことが できますか? 多くの企業が困難な体験を通して 学んだ教訓は、サイバー攻撃は、もはや 起こるかどうかではなく、いつ起こる かが問題だということです。ハッカーの 攻撃はますます執拗になっており、 一つの手口が失敗しても、組織の 防御を突破するまで別の手口で攻撃 を仕掛け続けます。それと同時に、 技術の進化によって 攻撃に対する 組織の脆弱性が拡大しています。 フィッシング、標的型攻撃等、サイバーセキュリティの脅威は、日々多様化・高度化 しています。自社や他社で起こった事件・事故の再発を防ぐという一般的なアプローチ だけでは、現在のサイバーセキュリティの脅威からビジネスを守ることが困難になって きています。 こうした状況の中で大切なことは、自社のサイバーセキュリティ対策の全体像を可視化 すること、そして、その中からビジネスへの影響が大きい弱点を特定して計画的に強化 することです。すなわち、すでに顕在化している脅威への対応を繰り返す「後追い」の 対策を改め、脅威に対して「先手を打つ」能動的な対策を始めることが重要なのです。 現状評価から改善領域を特定、そして改善の実現へ サイバーセキュリティ対策の向上は、診断から改善・定着までの一連のプロセスにより、 効果的に達成することができます。 本サービスは、そのうち「現状の診断・評価」、「目標の設定と改善点の明確化」および 「セキュリティロードマップの策定」に焦点を当てています。 まず、最新のサイバー・セキュリティ・リスクに対して、定量的な指標を利用した詳細な診 断によって、組織のセキュリティ対策状況を正確に可視化します。それにより、「後追い」 の対策の中で見落とされていたり、手付かずになっていたりした弱点を浮き彫りにします。 診断 作業計画と エンゲージ メント 手順の決定 設計と実行 現状の 診断・評価 目標の設定と 改善点の 明確化 現状評価フェーズ ► ► 規程類閲覧・各部署への ヒアリング 発見事項の整理 セキュリティ ロードマップ の策定 定着 推奨された プログラムの 実行 ► ► ► ► 望ましい状態とのギャップの明確化 改善項目の具体化と優先付け 改善施策の提示 施策のロードマップへの展開 CPMサービスの位置付け 継続的な改善 プログラム マネジメント支援 目標設定フェーズ 測定 可能な 効果 継続的改善の支援 ► ► プログラムの始動 と推進の支援 ► 導入した対策の モニタリング 運用状況の評価と 改善策の提言 包括的かつ柔軟なフレームワークを用いて、現状のサイバーセキュリティ対策の全体像を可視化 本サービスでは、情報セキュリティ対策の国際規格ISO/IEC27001等を基にした、EY独自のCPM (Cyber Program Management) フレームワークを利用します。CPMフレームワークは、ガバナンス、テクノロジーによる保護、イベント・ログの管理等、サイバーセキュ リティの構成要素を網羅しており、またサイバー・セキュリティ・リスクの変化にも柔軟に適応します。 CPMフレームワークに基づいた現状評価により、貴社におけるサイバーセキュリティ対策の全体像の可視化および強化が必要な 領域の識別が可能です。また、貴社と共に設定する目標(目指すべき状態)とのギャップを視覚的に把握することで、サイバーセキュ リティ対策への取組みに向けた経営層による意思決定が容易になります。 【CPMフレームワーク】 【現状評価結果のレーダーチャートのイメージ】 ビジネスドライバー 1. 戦略 20.評価指標および報告 19.データ基盤 5. オペレーション コンプライアンス 4. アーキテクチャ 6. 意識向上 サービス 7. ネットワーク セキュリティ 9. ホスト セキュリティ 8. ソフトウェア セキュリティ 11. IDおよび アクセス管理 12. 資産管理 10. データ保護 14. 脅威および 脆弱性の管理 15. セキュリティ 監視 技術的防御 イベント 13. サード パーティ管理 17. ビジネス 継続管理 16. プライバシー 18. インシデント 管理 機能別オペレーション 復旧力 19. データ基盤 アラート 18.インシデント管理 17.ビジネス継続管理 16.プライバシー ログ 2.ガバナンスおよび組織 3.ポリシおよび基準のフレーム ワーク 4.アーキテクチャ 5.オペレーション 6.意識向上 15.セキュリティ監視 インテリジェンス 2. ガバナンスおよび組織 3. ポリシおよび基準のフレームワーク 1.戦略 5 4.5 4 3.5 3 2.5 2 1.5 1 0.5 0 7.ネットワークセキュリティ 14.脅威および脆弱性の管理 8.ソフトウェアセキュリティ 13.サードパーティ管理 9.ホストセキュリティ 12.資産管理 10.データ保護 11.IDおよびアクセス管理 評価結果 目標値 20. 評価指標および報告 改善施策を推進するプロジェクトの計画を支援 現状と目標とのギャップを解消するための有効 な改善施策案を提言します。体制の構築、手順 の整備、ツールの導入等といった一連の取組 みを包含するプロジェクトとして改善実施される ことを想定し、改善実施に係る優先付けを行い ます。 また、貴社におけるプロジェクトの計画立案や セキュリティロードマップの策定が有効に実施 できるよう支援します。 施策案一覧 項番 推奨する改善項目(案) 対象領域 1 常設のセキュリティ組織の設置および専任のセキュリティ担当の配置 2 2 1、2、3、4、 情報セキュリティ関連規程類の整備 (情報セキュリティ組織の役割、責任および経営層や他の関係部門の役割、 5、6、19、 責任の明確化) 20 3 情報セキュリティ組織への情報セキュリティ運用、管理の集約 4、5、19 4 情報セキュリティのエスカレーションおよび組織横断型のコミュニケーション の仕組み構築 2、3、4、 19 5 情報セキュリティに関する従業員への周知、教育の仕組み構築 1、3、6 6 インシデントレスポンスチームの編成および対応手順の確立 18 7 組織的な委託先管理、委託先リスク管理の仕組み構築 13 8 社内ネットワーク構成の整備 7 9 パッチ管理手順の整備 7 10 脅威および脆弱性管理の一元化 14 11 セキュリティ監視に係る専属組織の設置および監視手順の確立 15 12 集中管理ディレクトリサービスの導入 11 13 資産管理台帳の一元化 12 14 ソフトウェア開発工程におけるセキュリティ対策の改善 8 ガバナンス 系領域 サービス系領域 7 14 12 13 8 優 先 度 3 11 2 6 1 10 9 4 3 5 優 先 度 2 優 先 度 1 EYが提供するサイバー・セキュリティ・サービスのご案内 当法人はEYのメンバーファームです。EYではサイバーセキュリティの問題を解決するためのさまざまなサービスをご用意しています。詳しくは、 EYサイバーセキュリティのウェブサイト<http://www.shinnihon.or.jp/services/advisory/risk-advisory/cybersecurity/>をご覧ください。 お問合わせ先: 新日本有限責任監査法人 アドバイザリー事業部 〒100-6028 東京都千代田区霞が関3-2-5 霞が関ビルディング Tel: 03 3503 3500(代表) Fax: 03 3503 1966 Email: [email protected] EY | Assurance | Tax | Transactions | Advisory EYについて EYは、アシュアランス、税務、トランザクションおよびアドバイザリーなどの分野における世界的なリーダーです。私たちの深い洞察と高品質なサービスは、世界中の資本市場や 経済活動に信頼をもたらします。私たちはさまざまなステークホルダーの期待に応えるチームを率いるリーダーを生み出していきます。そうすることで、構成員、クライアント、 そして地域社会のために、より良い社会の構築に貢献します。 EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した 組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。詳しくは、ey.comをご覧ください。 新日本有限責任監査法人について 新日本有限責任監査法人は、EYの日本におけるメンバーファームです。監査および保証業務をはじめ、各種財務アドバイザリーサービスを提供しています。詳しくは、 www.shinnihon.or.jp をご覧ください。 © 2016 Ernst & Young ShinNihon LLC. All Rights Reserved. ED None 本書は一般的な参考情報の提供のみを目的に作成されており、会計、税務およびその他の専門的なアドバイスを行うものではありません。新日本有限責任監査法人および他の EYメンバーファームは、皆様が本書を利用したことにより被ったいかなる損害についても、一切の責任を負いません。具体的なアドバイスが必要な場合は、個別に専門家に ご相談ください。
© Copyright 2024 ExpyDoc
