コンピュータメーカーやソフトウェア会社、システム運用会社などの系列に属することなく、独立した立場で、客観的かつ公正に監査することを基本にしています。
安全性、信頼性、効率性の観点から、総合的にITの点検および評価を行い、改善のためにご支援いたします。
不正アクセス・情報漏洩、セキュリティホールを利用した攻撃が増大しています。セキュリティ診断は、ツールと、セキュリティ技術者が様々な手法を用いて、擬似的にアタックして点検評価いたします。
策定されたルールに従って、組織内の情報資産が適切に保護・運用されていることを、外部の第三者の視点から客観的に評価します。
監査結果については、対策状況の整備や情報保護の管理体制等の向上に役立てることができます。
当社では、情報セキュリティ監査に関する各種監査基準に基づき、情報セキュリティ監査のサービスを提供しています。
■活用実績のある主な監査基準
・経済産業省:情報セキュリティ管理基準、情報セキュリティ監査基準、情報システム管理基準、情報システム監査基準
・総務省:地方公共団体における情報セキュリティ監査におけるガイドライン
・内閣サイバーセキュリティセンター(NISC) :政府機関等の情報セキュリティ対策のための統一基準群
・その他:特定個人情報の適正な取扱いに関するガイドライン、地方公共団体にて定める情報セキュリティに関する監査基準、JISQ15001、JISQ27001(日本規格協会)など
○情報セキュリティの対策状況、運用状況のチェックと評価を行います。
○単なる指摘に終わらず、改善や有効な対策の方向性をアドバイスします。
○経験豊富な監査人が現状に即したチェックリスト※を活用し評価を行います。
※情報セキュリティの規程や各種の監査基準を参考にして作成します。
こんなお困りごとはありませんか?
・自社、自組織の情報セキュリティの対策状況を知りたい。
・現状について、対策がうまく機能しているのか?問題点はないのか?など
・今後に向けて、どのような点を強化する必要があるのか?、など
・また、組織の対策状況を確認したい場合にも活用いただけます。
当社の情報セキュリティ監査サービスは経済産業省の定める「情報セキュリティサービス基準※1」に適合したサービスとして「情報セキュリティサービス基準適合リスト」における「情報セキュリティ監査サービス」 に登録されております。
品質を担保したサービスを提供いたします。
サービス名称 :情報セキュリティ監査サービス
サービス登録番号:019-0011-10
自社サービスの安全面を「強み」とすることで、顧客に信頼されるとともに、顧客増につなげたい! そんなクラウドサービス事業者様(特に中小規模のSaaSサービス事業者様)を対象にした「セキュリティチェック」サービスをご案内いたします。
令和3年9月に改定された総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」に準拠したチェック項目で、貴社クラウドサービスのセキュリティ対策状況を「手軽に」「手早く」「的確に」チェックいたします。
対象となるシステムについて、システムの特性や業務の内容等を踏まえた監査テーマに基づいた監査を行います。監査の観点としては、「有効性」、「安全性」、「信頼性」、「効率性」などがあります。当社では、特に「安全性」や「信頼性」を得意領域としています。
個々のシステムだけでなく、業務や組織との関連なども見た適切な評価を目指します。
○リスクアプローチに基づく監査
○システムの実装状況を踏まえた監査
○個別システムからシステム全体を見渡す監査
○経験豊富な専門家による監査
こんなお困りごとはありませんか?
・社会インフラに関連する事業のシステムや、重要かつ膨大な量の情報処理を行うシステムなど、社会に大きな影響を及ぼすシステムを保有している。
・保有するシステムに対して、特定のテーマで調査、評価を必要としている。
(システム停止などのリスク対応状況、安定稼働のための対策状況など)
ネットワーク内の特定の対象機器に対して、診断ツール(Nessus)を使用して疑似アタック(スキャン)を行い、サーバーやネットワーク機器、端末で稼働しているオペレーティングシステム、ソフトウェア等のセキュリティ更新の未実施や不適切な設定など、不正侵入が行われる要因となる脆弱性が潜んでいないかどうかを診断します。検出した脆弱性に対しては分析を行い、その脆弱性と対処方法を報告します。
○対象機器との接続方法として、2タイプの診断が可能です。
「オンサイト」
イントラネット内で稼働しているサーバー・機器に対 して診断を実施
「リモート」
インターネットに公開されているサーバー・機器に対して、インターネット経由で診断を実施
お客様のWebサイト、Webアプリケーションに潜むセキュリティ上の問題点を、攻撃者の視点や手法を用いて診断します。
○診断は、調査用PCを接続してインターネット経由で診断対象のWebサイトにアクセスして、診断ツール(Burp Suite)及び手動(キーボードオペレーション)で診断します。
○SQLインジェクションやクロスサイトスクリプティング(XSS)といった、Webアプリケーションにまつわるさまざまな脆弱性を検出することで、不正アクセスやマルウェアの被害を防ぎます。
◯診断項目は、OWASP(Open Web Application Security Project)※が提示しているWebアプリケーションの脆弱性TOP10の内容を中心に確認します。また、独立行政法人情報処理推進機構による「「ウェブ健康診断仕様」が定める診断内容を参考にします。
※Webアプリケーションセキュリティのコミュニティで、策定された基準等は世界標準として活用されています。
当社のプラットフォーム診断およびWebアプリケーション診断サービスは経済産業省の定める「情報セキュリティサービス基準」に適合したサービスとして「情報セキュリティサービス基準適合リスト」における「脆弱性診断サービス」 に登録されております。
品質を担保したサービスを提供いたします。
サービス名称 :脆弱性診断サービス
サービス登録番号:019-0011-20
詳しくは、下記リンクからお問い合わせください。