SecureOne
Webシステムや社内システムの90%以上から脆弱性が発見されています。
(SecureOne 約500件の診断実績)
SecureOne は、セキュリティー脆弱性診断、および脆弱性対応の支援などを行うセキュリティーコンサルティングサービスです。
セキュリティーの本質は非常にシンプルです。本質を理解すれば、多大な投資を行うことなく実効性の高いセキュリティー対策が可能であり、 SecureOneは、そのための具体的なご支援をさせていだだきます。
クライアントの皆さまがいだいているセキュリティーへの4つの悩み。
私たちTISは逆に、そんな悩みに問いかけてみたいと思います。
セキュリティーには投資効果が見えない。
セキュリティー対策は、直接利益を生み出すことはありません。
しかし「水と安全はもはやタダではない」というコンセンサスが、現代社会にあるように、正常なビジネス活動のためには、やはり最低限の資本投資は必要です。
その資本投資が効率的で、どのような成果を得ているかが、どうしてちゃんと見えないのでしょうか。
どこまで対策していいのか分からない。
それは、「どこまでセキュリティー対策をすればいいのか」という目標が、ちゃんと見えていないからではないでしょうか?
セキュリティーを脅かす新しい脆弱性が日々発生している。
確かに、セキュリティーには、日々新しい脆弱性が発生しています。
しかしそれは、本当にまったく新しいものなのでしょうか?
そもそも自社のセキュリティーレベルの現状が、よく分からない。
日々の経営・業務であれば、まず現状の把握から始めるのが当然なのに、どうしてセキュリティーについては、それができないと、思ってしまうのでしょうか?
特長
「原因を明確にすること」、そして「対策を効率化すること」。
の2つの原則から、より確実で、より費用対効果の高いセキュリティー対策は可能になります。
劣化型セキュリティーと、非劣化型セキュリティーについて
セキュリティーにおける原因の明確化のために、TISではまずセキュリティーを日々劣化していく「劣化型セキュリティー」と、一度修正すれば改変しない限り変わらない「非劣化型セキュリティー」に分類して考えています。
原因の明確化
脆弱性の事象をつきとめるだけでなく、根本原因を洗い出します。
根本原因に対して対応をしなければ、同じ原因により同様の脆弱性を何度も生み出してしまう可能性があります。
- 従来のぺネトレーション(擬似侵入)やソースコード診断などで分かるインフラやアプリケーションにおける脆弱性だけではなく、広義のセキュリティー(ファシリティ・設備・体制・ルール・技術・契約など)における脆弱性が整理できます。
- セキュアにしたシステムをどのように継続運営するか等、組織・仕組みを含めた対策方針の作成が可能となります。
対策の効率化
効率的に対策を施すため、セキュリティー投資を行う箇所や方法を明確にします。
優先順位や対応方法は、お客さまの業界や企業規模、業務特性によっても異なります。数ある対応策の中から、お客さまにとって効率の良い対応案をご提示します。
- その会社の業種、業態、置かれた業界のルールまでをも踏まえた、より効果的な セキュリティー投資指針をご提供できます。
- 企業によっては同じ箇所の対策ができていなくても、脆弱性にならないこともあります。
セキュリティーのスペシャリストが実施するSecureOneだからこそ、この判断が可能です。
導入のメリット
SecureOneには、TISが長年培ってきたノウハウが集約されています。
セキュリティー監査の実績
- 金融・カード・保険・流通など民間企業から官公庁まで、多種多様な業界、大小さまざまな規模のお客さまのセキュリティー監査を実施しております。(2005年5月現在:343件)
- 「診断結果を生かしていかにセキュアな環境を作っていただくか」に目的を置いた監査も行っており、脆弱性のある箇所の指摘だけではなく対処方法についてもご提案しております。
- メーカーやプロダクトベンダーのように、お客さまにご提供するソリューションを自社製品枠だけで考えておりません。
特定のプロダクトの推奨だけにとどまることなく、サービスとしてのセキュリティー監査を行っております。
システムに関する豊富なノウハウ
- ソフトウエア開発、アウトソーシングサービス、ソリューションサービスをバランス良く提供しており、システムの設計から運用まで多くの実績があります。
- 過去30年にわたり、金融業界を中心とした幅広いお客さまに対し、ミッション・クリティカルなシステムを含めた基幹系業務システムの設計・構築・運用を行ってきた実績があります。
- ISO9001認証取得、SI認定企業/情報通信NW安全信頼性対策実施事業者登録、プライバシーマーク付与事業者認定取得等、お客さまに対し、確かな技術で付加価値の高いサービスをご提供できるよう努力しております。
モデルケース
下図は、実際にSecureOneで分析を行ったA社の、セキュリティー対策レベルを表したものです。
A社は、SecureOneを適用するまで、自社のセキュリティーレベルの現状を把握できていない状態でした。
- 技術面ではかなり高いレベルにあると認識していたが、さらなる技術的対策への投資が必要と考えていた。また、技術的対策を正常に機能させるための運用面の対策が十分な状況にないものが散見された。
- BS7799などの、組織としての認証取得には取り組んでいたが、ルールの整備が十分でないことから、月次で実施すべき点検がちゃんと行われているかどうか把握できない状態にあった。
- 技術面の対策は十分なレベルにあり、これ以上の投資を行う必要はなく、むしろ、適正な運用方法の整備や、組織におけるルールの整備を強化することで、全体としてバランスの取れたセキュリティーレベルの引き上げを行った。
SecureOneの診断により、A社を取り巻く業界事情も踏まえた現状を多面的に分析した結果、より効率的セキュリティー対策を行うことが可能になりました。
サービスメニュー
セキュア・アドバイジングサービス
脆弱性の根本原因の究明と、対策投資の優先順位・方法などを明確にする「チェックリスト」を用いた、診断士・セキュリティーエンジニアによるヒアリング形式での分析サービス
セキュリティー診断サービス
公開セグメント脆弱性診断・ツール診断・ソース診断・ペネトレーション・アプリケーション診断・ドキュメント診断など、診断士の高度なスキルによる診断とその対策支援
システム構築コンサルティングサービス
セキュアなシステムを構築・運用するための全般的なコンサルティングサービス
セキュアツールサービス
Webコンテンツの「改ざん確認ツール」、SQLインジェクションなどの「脆弱性確認ツール」などを用いた、セキュリティーレベル維持の支援サービス
デジタルフォレンジックサービス
情報漏えいなどが発生した場合、クライアントPC内の痕跡を調査・解析する支援サービス
(サービスの一例)
「SecureOne/クライアントPC簡易監査サービス」※ダウンロード資料あり
ソフトウエアのインストールなどの特殊な準備を一切行うことなく、容易にPCの利用状況を監査(調査)するサービス
認証取得支援サービス
審査員資格を持つ診断士による、BS7799/ISMS/プライバシーマークの取得支援サービス
エデュケーションサービス
セキュアプログラミングの基礎と原則・構築のポイント/インシデント発生時の対処方法などの教育支援サービス