ニュース
SecureWorks Japan、NISTの基準に対応、サイバーセキュリティリスクアセスメントサービスを本格提供開始
2017年12月6日 14:06
SecureWorks Japan株式会社(以下、SecureWorks)は6日、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)と、米Center for Internet Security(CIS)のクリティカルセキュリティコントロール(CSC)を基準として対応する、「サイバーセキュリティ・リスクアセスメント・サービス」の本格提供を開始した。
NIST CSFは、サイバーセキュリティ対策ガイドラインのデファクトスタンダードとしてグローバルレベルで活用されている、網羅的なサイバーリスク管理のフレームワーク。
サイバー攻撃に対する組織の体制評価に適した事前対策(特定、防御、検知の一部)、事後対応(検知の後半、対応、回復)の5つの機能と、資産管理やリスクアセスメントなどを含むカテゴリー、参照関係にあるCSCやNIST-SP 800-54などのベストプラクティスを具体的な管理策として98項目を参照するサブカテゴリで構成。重要インフラのセキュリティとレジリエンスを向上させるためのリスク管理原則およびベストプラクティスを、企業組織が適用できるようにするためのフレームワークとなっている。
中長期的にサイバーセキュリティ対応体制を構築し強化させるためのベースラインとしても活用可能。PPT(People:組織・人、Process:運用プロセス、Technology:技術)を評価対象として、組織全体のインシデント対応に関する「総合力」を評価する。
CIS CSCは、サイバーセキュリティ対策に効果的な上位20項目を集約したガイドラインで、具体的かつ実践的な技術的対策(コントロール)で構成され、最も危険な脅威からリスクを最大限減らすことに重点を置いている。
実際に行われた攻撃に対する防御経験から得られた実際に攻撃を阻止できる効果が明確かつ実施可能な防御技術を採用。更新頻度が高く、より新しいセキュリティリスク対策状況を評価する。
SecureWorksのサイバーセキュリティ・リスクアセスメント・サービスでは、上記2種類のフレームワークを基準とし、顧客の状況やニーズに応じてNIST CSFまたはCIS CSCを選択して、プロジェクトの進め方を決定。現状把握のための事前情報収集から、リスク評価・分析、報告書作成・報告会の実施、アセスメントの結果と推奨改善策に基づいて具体化された中長期にわたるセキュリティロードマップの策定などを行う。
SecureWorksのセキュリティコンサルタントが、独自のカウンタースレットプラットフォーム(CTP)で集積・解析される脅威インテリジェンスを活用して、セキュリティ対策の成熟度に関する総合的評価、または外部・内部からの攻撃に対抗するための現時点の対策の評価などを要望する顧客を支援する。
サービスの参考価格は、NIST CSFを基準として採用した場合が480万円(+オプション)、CIS CSCを基準として採用した場合が250万円(+オプション)。