サプライチェーン強化セキュリティ
サプライチェーン強化セキュリティ
概要
従来の情報資産を守るセキュリティから、バリューチェーンを守るセキュリティへ発展させ、更なる事業継続性を高めます。自社だけでなく関連会社も含めたセキュリティリスクの可視化・現状把握にくわえて専門家によるコンサルティングを行い方針策定のための支援を行います。 また抽出した課題に応じた対策の導入支援を含めて、お客さまと伴走しながらサプライチェーン全体のセキュリティ強化を実現します。
こんな課題に
- 自社と関連会社を含めセキュリティの現状を把握し対策すべきことを整理したい
- 自社と関連会社のセキュリティを強化したいが、対策の整備/実施の方法がわからない
- 事業継続性を高めるため、サプライチェーンに起因するリスク低減策を導入したい
サプライチェーンのセキュリティ強化が必要な背景
近年、サイバー攻撃の対象はサプライチェーンにも拡大しています。IPA(独立行政法人 情報処理推進機構)が前年の情報セキュリティ事故や脅威の影響を鑑みて発表している「情報セキュリティ10大脅威 組織編」によると、「サプライチェーンの弱点を悪用した攻撃」は2019年に初めて選出され、2022年からは3年連続3位以内に含まれています。攻撃者はサプライチェーン全体を見て脆弱性のあるポイントを入口にして、目的の企業への攻撃を試みます。万が一サプライチェーンが攻撃を受けた場合には、業務停止を余儀なくされるなど企業運営に大きな影響を与えかねません。
サプライチェーンへの脅威の深刻化に対しては、政府も対策に乗り出しています。経済産業省とIPAが共同で発表している「サイバーセキュリティ経営ガイドラインVer 3.0」でも「経営者が認識すべき3原則」の中にサプライチェーンの観点が定義されています。さらに、経済産業省は、企業のサイバー攻撃対応力を段階別に評価する制度を2025年度に導入する方針を発表しました。今後、サイバー攻撃への対策レベルが可視化され、 取引先選定時の指標のひとつとなる可能性があります。
サプライチェーン強化セキュリティは、現状のセキュリティリスクを可視化・把握したうえで、専門家によるコンサルティングによって必要な対策をお客さまに合わせて提案。サプライチェーン全体のセキュリティ対策の底上げを支援します。
特長
自社と関連会社も含めてセキュリティ状況を可視化、改善案の提示によりサプライチェーン全体でのセキュリティ強化を支援
高度な技術を持つセキュリティのエキスパートがお客さまの現状を分析、改善案を優先度とともに提案
長年培ってきたノウハウを組み合わせた豊富なソリューション群でお客さまの事業継続性向上を支援
提供内容
セキュリティエキスパートがお客さまの状況をヒアリングし、対策方針を設定したうえで関連会社への要求項目を明確化します。さらに、外部ツールも活用して潜在的なものも含めセキュリティリスクを抽出。課題の可視化と現状分析を行ったのちに、セキュリティ戦略ロードマップを策定し必要な対策の提案から実装までを支援します。
![サプライチェーン強化セキュリティの提供内容](/security/sp/images/solution/task/supplychain_security_img_01.png)
提供例
関連会社評価に関する対策方針の策定から施策実施フローの策定
① 関連会社評価の対象範囲・運用方針・管理方針を策定
② 評価するためのガイドラインとチェックリストを作成
③ 評価の施策を既存の調達プロセスに適用
現行課題の抽出からセキュリティ構想の全体像を策定
① 現状分析によりセキュリティに関する顕在課題および潜在的な課題を明確化
② 収集した情報を体系的に整理し、課題の一覧および対応ソリューション案を提示
③ お客さまのインフラ計画に即したセキュリティ戦略ロードマップ案を作成
レーティングサービスによりセキュリティ状況を可視化
・悪意のあるソフトウェアや望ましくないソフトウェアが実行される恐れがある脆弱なシステムなどのセキュリティリスクを評価
・企業が攻撃を防ぐために講じた手順、効果的な実装およびリスク軽減策(サーバー構成など)といった対策状況を評価
・ファイル共有やパスワードの再利用など、従業員のアクティビティを評価
外部観測/内部調査により関連会社を含め現状を詳細に分析・可視化、改善策を優先度とともに提案
・関連会社による評価基準を用いた自己評価の実施
・自己評価の結果分析にもとづいた関連会社評価
・ASM(Attack Surface Management)ツールによる脆弱性診断
是正方針の策定と課題解決策の提案・実装支援
・セキュリティ状況の分析結果にもとづき、今後の是正方針を策定
・関連会社を含め、お客さまの課題に合ったセキュリティ強化策の提案から実装までを支援
作業期間
期間は一例です。提供内容により変動します。お客さまとご相談のうえ決定します。
- 統制方針の設定、現行課題の抽出、ロードマップの策定:4カ月程度
- 詳細なセキュリティ状況の可視化、改善案の提示:6カ月から
活用する製品・サービス
CyCognito(サイコグニト)
企業が存在を把握できていないものも含め、企業が保有しているIT資産*1の探索、脆弱性診断により潜在的なリスクを洗い出すASM/EASM製品*2です。攻撃者より先回りして攻撃の糸口をなくすことで、攻撃のターゲットとなるリスクの低減を支援します。
*1 グローバルIPアドレスを有するサーバーや機器、クラウドサービスなど
*2 Attack Surface Management/External Attack Surface Management
企業セキュリティレーティングサービス
企業の最新のセキュリティ情報をインターネット上から収集し、セキュリティリスクを数値化してレーティングします。セキュリティの状況が可視化されることで必要な対策の導入へつなげることができます。
価格
詳細はお問い合わせください。