サイバーセキュリティへの意識向上と対策は、今や経営の根幹です。

企業を狙うサイバー攻撃が年々増加し、重大な情報漏洩や不正利用の発生は、企業の信頼感を失墜し、経営品質を厳しく問われる時代です。サイバーセキュリティへの意識向上と対策は、今や経営の根幹です。
経済産業省は、サイバーセキュリティ経営ガイドラインを公表し、その中で「サイバーセキュリティの確保は、企業がITを利活用し、ビジネスを発展させていく上で、経営者が果たすべき責任のひとつであり、経営者自らがリーダーシップをとってサイバーセキュリティ対策を講じる必要がある」と述べています。

「中小企業はサイバー攻撃に遭わない」という神話

ある経営者は、「サイバーセキュリティ対策は、金がかかり、売上や利益に貢献しない」
「ウチのような中小企業は狙われるはずが無い、取られて困るような重大な情報も無い」と言い、
サイバーセキュリティ対策に積極的に関わろうとしません。

果たして「中小企業だから狙われない」「中小企業だから取られて困るような情報は無い」と言い切れるのでしょうか?
今やサイバー攻撃者は、「セキュリティの甘い」「狙いやすい」中小企業を選び出し、それらを踏み台として、その先にある大企業や官公庁を狙っています。

貴方の会社が踏み台にされ、取引先の企業や官公庁がサイバー攻撃を受けた事を想定して下さい。
取引先の企業や官公庁は、貴方の会社との今後の取引を今まで通り行うでしょうか?想像に難くないですね。

脆弱性診断とペネトレーションテスト

サイバー攻撃の最初の標的となるのが「脆弱性(セキュリティホール)」。OS、データベース、市販アプリケーションソフト等の周知の脆弱性(セキュリティホール)に対策(パッチ)を行うのは当然ですが、自社オリジナル開発のアプリケーションソフトの脆弱性診断を行い、対策を行うことを怠ることは出来ません。
サイバー攻撃者は、それらの脆弱性を突き止める専用ツールを使用して、いとも簡単に脆弱性に攻撃を行います。

私たちは、潜在的な脆弱性(セキュリティーホール)の発見・検出を専用ツールの自動スキャナーで行い、さらに自動スキャナーの誤診を手動で確認して正確にリスクを調査します。まずは、現状の脆弱性(セキュリティーホール)を理解するスタート地点として脆弱性診断がお薦めです。

さらにサイバー攻撃者が実際に行う手法・ツール・考え方を基に、自動スキャナーで感知できない脆弱性を徹底的に追求するためにペネトレーションテスト(実際にWEBアプリケーションへ擬似的に攻撃を行うテスト)にて、深いレベルでのセキュリティ上の問題を実際に見える化することで証明・報告します。

これらの一連の脆弱性診断やペネトレーションテストは、国際的に高度セキュリティ認定資格として認知されるGIAC認定者(ペネトレーションテスターGIAC GPEN, GWAPT認定、PCI SSC PCI Professional認定)とチームを組んで対応致します。

サイバーセキュリティ診断の流れ

1)お問い合せ

まずはフォームにてお問い合わせ下さい。差支えのない範囲で対象の詳細をいただけるとヒアリングがスムーズに運びます。

2)ヒアリング(2時間まで無料)

クライアント様のご要望をヒアリングして、診断・テスト対象(スコープといいます)の選定を行います。メールやお電話、ビデオ会議でのご対応も可能です。事前にNDA(秘密保持契約書)が必要でしたらヒアリング前にご用意下さい。
また、内容によってはこの段階でPGP公開鍵の交換をさせていただくこともあります。
※対面で遠隔地の場合は交通費をいただくことがあります。必要な際は事前にお知らせいたします。

3)お見積り(無料)

ヒアリングで選定したスコープに基づいてお見積りいたします。

4)ご契約

ご契約書、NDA(秘密保持契約書)等を締結させていただきます(クライアント様で専用のフォームがありましたらそちらをご用意いただいても構いません。)

5)PGP(GnuPG)公開キーの交換

以降のセンシティブな情報をやり取りする前に暗号化プログラム(PGP)をご導入いただき、公開鍵を交換させていただきます。※PC上の操作等の詳細は弊社担当におたずね下さい。

6)対象システムの情報ご提供

クライアント様から弊社へ対象システムの情報をご提供下さい。診断に使用するテスト用ユーザーの管理者やユーザー等複数のアカウントを作成いただくことがあります。詳細は打ち合わせで決定いたします。

7)関係ベンダーさまやISPさまへのご連絡

対象となるシステムのホスティングサービスやレンタルサーバー、VPS等のISPベンダー様やシステム管理者、WEBアプリケーション開発ベンダー様等へ診断を実施する日時やIPアドレス等の通知をクライアント様から行っていただくようお願いしております。これは悪意のあるパケットと診断のパケットとを切り分けていただくためです。

8)診断実施

事前に打ち合わせた日程で診断を実施いたします。緊急に対応が必要な項目が見つかりましたら報告書発行を待たずにすぐにクライアント様へご通知いたします。

9)報告書の作成

下記の構成で報告書を作成いたします。
・エグゼクティブ・サマリー ・・・ビジネスリスクを解析した総括的な内容
・イントロダクション・・・テスト手法やスコープ、テスト日時など
・ファインディングス・・・発見されたリスクの簡易的な一覧
・ファインディングス詳細・・・発見されたリスク詳細と開発者様向け修正方法等の提案
・結論・・・総括と組織として今後、必要な取組等のご提案

報告書の内容は非常にセンシティブな内容となりますのでお取り扱いには十分ご注意下さい。弊社からも注意点等ご説明させていただきます。メール送信の際はPGPにて暗号化してお送りいたします。

10)報告会(2時間まで診断費用に含みます)

報告書の内容を元に報告会を行います。ビデオ会議でのご対応も可能です。
※遠隔地の際は交通費は別途ご請求させていただきます。

11) 開発ベンダー様へのサポート

診断結果を元に修正される際は開発ベンダーさまへのサポートも実施可能です。
診断書のファインディングスに基づいた項目に限り、別途有償でご対応となります。

年間保守会員様向けオンラインサポート
年間保守会員様向けオンラインサポート