安全なシステムを企画・構築・運用するためには、そのシステムを取り巻く脅威について理解を深め、リスクに対して適切なアクションをとることが重要です。守るべき対象である事業に対する脅威を理解しリスクを正しく判断することで、効果やコストに応じた適切なセキュリティ対策を採ることができるようになります。
本サービスで提供される脅威分析ワークショップを体験頂くことにより
・既存システムや新規設計するシステムの持つ脅威を分析しリスクを把握して対策の検討を進める
・自社で脅威を分析しリスクに応じた適切な対策を考えられるよう、脅威分析に必要な知見を習得する
といった成果へとつなげることができます。
脅威分析とは
- システムの保有する資産やシステムにおけるデータの流れ、システムを構成する要素を整理します
- それぞれのデータや要素に対してどのような問題が起こりえるか、実際にその問題が発生する可能性はどれくらいか、問題が発生したときの被害はどれくらいの影響があるのかを検討します
- 「問題の発生する可能性」と「問題が発生したときの影響の大きさ」を「リスク」として取り扱い、その大きさを見積もります
- それぞれのリスクを相対的に比較し、対策の優先度を検討します
- 優先度の高いリスクについて具体的な対応方法を検討し、対策が必要なリスクに対しては費用対効果を合わせて考えます
このようなプロセスによって、やみくもにセキュリティ対策を行うのではなく、問題が発生する可能性や発生したときの影響の大きさに合わせた効果的なセキュリティ対策を進めることができるようになります。このような一連の取り組みを脅威分析と言います。
サービス内容
実在システムの脅威分析
既存システムや新規に設計するシステムなどお客様が実際に携わっているシステムを対象として、弊社担当者が中心となりながらお客様と一緒に脅威分析のプロセスを実施いたします。実在のシステムに対する脅威や存在し得る脆弱性、インシデントが発生するリスクを明確化することで、お客様がこの先進めていくセキュリティ対策や被害軽減のための計画策定をより効果的なものにすることができます。
自社での脅威分析実施のための技術習得トレーニング
お客様の環境に実在するシステムまたは架空のシステムを題材として、弊社ファシリテーションのもとワークショップ形式でお客様ご自身に脅威分析を実施して頂き、お客様が脅威分析や対策立案の考え方を習得することを目指します。今後お客様ご自身で脅威分析やそれをもとにした効果的な対策立案が実施できるようお客様の技術習得を支援するサービスです。
社内システムのセキュリティ担当をされている方、社外向けシステムのサービス提供に携わっている方はもちろん、経営層やCxOの方も歓迎です。4-6名程度を1グループとしてワークショップを行いますので、4名様以上での受講をお願いします。
- これらを組み合わせて、お客様ご自身で脅威モデリングが実施できるように習得を目指しつつ、実在システムを対象として脅威分析を行うことにより、実在システムに対して実効力のあるセキュリティ施策の検討へとつなげることも可能です。
- 可能な限りオンサイト(対面)での開催をお勧めしています。日常的にオンライン環境でディスカッションを行っている等の場合にはオンラインでの開催も可能です。その場合、弊社スタッフも利用可能なオンラインで利用できるホワイトボードアプリケーションをお客様にてご準備ください。
サービス特徴
- 脅威分析とリスク判断というセキュリティの基礎となる考え方を習得することで、今後のセキュリティ施策の計画立案など広い範囲に応用させることができます
- 具体的なシステムに対するセキュリティ対策を進めるための準備としても、組織としてのトレーニングとしても活用頂けます
- お客様の達成したいゴールや現在の状況に応じて実施内容のカスタマイズも可能です
- 脅威分析の一連のプロセスを通じてメンバー相互の理解を深め、チームの醸成にもつなげることができます
サービス料金
| メニュー | サービス料金 | 実施時間、回数 | 内容 |
|---|---|---|---|
| 脅威分析 入門コース | 80万円~ | 事前ヒアリング:2時間×1回 ワークショップ:3時間×1回 | 事前にお客様のシステム構成などをヒアリングさせて頂き、それをベースに弊社にて脅威分析対象システムの題材として準備をいたします。 お客様のシステム情報の開示が難しい場合には、弊社で用意した仮想的なシステムを題材とします。 実施に当たっては、脅威分析、リスク評価や対策の検討を弊社ファシリテーションのもと行っていただきます。 今後、実際のシステムに対してセキュリティ施策を進めるため、その一貫として脅威分析を体験してみたいという方に適しています。 |
| 脅威分析 実践コース1 | 240万円~ | 事前ヒアリング:2時間×1回~ ワークショップ:3時間×3回~ | 事前にお客様のシステム構成などをヒアリングさせて頂き、それをベースに弊社にて脅威分析対象システムの題材として準備をいたします。 実施に当たっては、当初は弊社にてファシリテーションを行いますが、最終的にはお客様が自社内でご自身で脅威分析が進められるように進めます。 お客様の実在のシステムを対象に脅威分析を行いますが、すべての範囲での脅威分析、リスクの深掘りを目指すものではありません。 自社で継続的に脅威分析が実施できるようにするため、脅威分析に必要な技術を習得したい方に適しています。 |
| 脅威分析 実践コース2 | 240万円~ | 事前ヒアリング:2時間×1回~ ワークショップ:3時間×3回~ | 事前にお客様のシステム構成などをヒアリングさせて頂き、そのシステムの全範囲を対象に、弊社担当者が御社と協力しながらリスクを深掘りし対策の検討を行います。 全範囲の分析が行えるまで繰り返し実施いたします。 自社のシステムに対するセキュリティ施策を検討するために、脅威分析・リスク評価を行う場合に適しています。 |
- 表示価格はすべて税抜き価格です。
- オンサイトでの開催に関しては旅費・交通費が別途必要となる場合がございます。
- 回数、時間は標準的な条件を記載しています。システム構成により1回あたりの時間や開催回数は増減します。
サービスご利用の流れ
※「実践コース1」の場合
1.事前準備(オンラインで実施可能)
システム構成だけでなく、業種や事業規模、取り扱っている資産や現時点で抱いている懸念なども合わせてヒアリングさせていただきます
システム構成が複雑な場合、複数回に分けてヒアリングを実施させていただきます
脅威分析の対象システムとして弊社にて必要な資料を作成(2~4週間程度)
2.ワークショップ
弊社ファシリテーションのもと、脅威分析に着手
実施する中でお客様にファシリテーションを引き継ぎます
- データフローダイアグラム作成
- 資産の整理
- 驚異の検討
- 脆弱性の洗い出し
- 発生可能性、影響の大きさの検討
- リスクの整理
- 対策の検討
