「情報システムセキュリティ確保」という課題に取り組む場合に、どのような脅威に対して、どのレベルまで対応する必要があるのでしょうか。当社は創業以来15年に渡り「金融関連システム」の開発から運用保守の実績と経験があります。金融マーケットで採用される情報システムセキュリティの品質レベルの経験と知識により、情報システムセキュリティ対策支援をご提供いたします。

FISC安全対策基準支援

FISC安全対策基準支援イメージ画像

CSIRT構築支援

CSIRT構築支援イメージ画像

セキュリティ運用支援

セキュリティ運用支援イメージ画像

FISC安全対策基準支援

3つのポイントにてご提案いたします

重要事項ご説明
重要事項ご説明イメージ画像
  • 経営層の役割
  • リスクベースアプローチ
  • 経営層の責任

FISC安全対策基準とは
FISC安全対策基準とはイメージ画像
  • 統制基準
  • 運営基準
  • 設備基準
  • 監査基準

導入のステップ
導入のステップイメージ画像
  • 企業理念
  • 組織体制
  • 規程の整備
  • 運用

重要事項のご説明

FISC安全対策基準の導入で、最も重要な内容は「経営層(代表取締役)の認識と関与」です。経営層が情報セキュリティリスクを理解し積極的に指導することが必須です。具体的に、情報セキュリティ対策に関わる組織体制構築、規程策定、予算の執行を実施します。

FISC安全対策基準とは

金融機関が実施すべき情報セキュリティ管理対策の解説書として「金融情報システムセンター」より発刊されています。国内の金融機関は必ず本書に準拠した対策を行っています。金融機関の決済システムと外部接続を行う場合に、FISC安全対策基準への準拠状況のヒアリングや、立入検査を求められる場合があります。導入対象のFISC安全対策基準は2018年3月発行の第9版(現時点の最新版)です。

導入のステップ

情報セキュリティ対策は、企業により成熟度が異なります。FISC安全対策基準をすべて規程化し運用することは、それなりのコストが必要となります。経営資源は有限なので企業内の情報資産について重要性を評価し、優先度により経営資源を投下する必要があります。このプロセスが適切である事、PDCAサイクルが回るよう運用され品質が向上する運用となっている事が重要です。これらを実現するために必要な、組織体制、規程、各種重要ドキュメント運用プロセスの導入をご説明します。

FISC安全対策基準導入スケジュール

FISC安全対策基準導入スケジュール画像
ご協力頂きたい内容と留意点

スケジュールの青字項目(1~2)は弊社がご説明いたします。説明をお聞きになって不要である場合は期間を短縮できます。赤字項目(3)は御社の情報(組織図、関連規程と体系、会議体。システム概要)を開示して頂き当社が内容の読込を行い、現状のFISC安全対策基準準拠状況を判断致します。緑字項目(4)は御社と弊社で作業を分担して行います。弊社よりテンプレートまたは、不足している規程など御社の現行規定に合わせ規程や重要ドキュメントのサンプルを当社が作成します。この当社が作成したテンプレート、規程サンプル、重要ドキュメントを御社の実情に合わせ修正して頂き、規程類は取締役会等で承認頂きます。最後に当社がご提示するFISC安全対策準拠対応表に現状の状況を記載します。留意点として、このコンサルティング作業のみでFISC安全対策基準導入は完了しません。当社は基準導入に必要な管理方法を規程化し、管理上重要なドキュメントを作成し、運用方法をご説明いたします。規程の下位ドキュメント(ガイドライン、マニュアル)や、運用プロセスは御社で適宜策定、運用して頂く必要があります。

CSIRT構築支援

CSIRT構築の必要性

企業への不正アクセス、関係者を狙ったマルウェア感染、インターネットサービスを停止させることを目的としたDDoS攻撃等は、年々巧妙化・大規模化しており、非常に高度な戦略的かつ組織的なサイバー攻撃が増加しています。
サイバー攻撃とは
サイバー攻撃イメージ画像

金銭目的や、国際的な組織犯罪、産業スパイ活動、愉快犯、私怨など理由は様々ありますが、コンピュータシステムへ侵入し不正に情報を詐取、改ざんすることです。

サイバー攻撃イメージ画像

どのようなコンピュータもインターネットに接続した瞬間に攻撃が開始されます。これはボットネット(遠隔操作できるウィルス感染したコンピュータネットワーク)のような無作為に攻撃を仕掛ける攻撃ツールが存在しているためです。2019年のインターネット総通信パケット量の53%がサイバー攻撃の通信に該当すると観測されています。

サイバー攻撃イメージ画像

ウィルス添付メールやWEBブラウジング感染、フィッシング、スミッシングなど、メールやWEBブラウジング、SNSの利用時にも感染のリスクがあります。2019年の日本国内全メールの44%は迷惑メールという政府研究機関より報告されています。

サイバー攻撃イメージ画像

サイバー攻撃用の環境はダークウェブで安価に販売されています。たとえば、DDoS攻撃を特定の組織へ仕掛けようとすれば、1時間あたり$20程度でレンタルできます。

【CSIRTを構築して組織的な対策を】

サイバー攻撃やセキュリティインシデントに対して、組織的アクションを実行するのがCSIRT(Computer Security Incident Response Team)です。CSIRTはセキュリティに関する社内外からの問合せや事案全般について受付・調査・対応・周知などを実施します。現場の各部門と経営層を繋げ、組織的対策や経営判断などを打ち出しアクションするTeamと位置付けされています。

3つのポイントにてご提案いたします

初期設立(STEP1)
初期設立(STEP1)イメージ画像
  • 経営層の役割
  • リスクベースアプローチ
  • 経営層の責任

更新期(STEP2)
更新期(STEP2)イメージ画像
  • 統制基準
  • 運営基準
  • 設備基準
  • 監査基準

拡充期(STEP3)
拡充期(STEP3)イメージ画像
  • 企業理念
  • 組織体制
  • 規程の整備
  • 運用

初期設立(STEP1)

現状課題及び弊社経験等を基に、CSIRTのスコープ、活動・機能、インシデント対応プロセスや他組織との関係性、体制・役割分担等を定義し、立上げ初期時点において最低限持つべき機能を具備したCSIRTを設立します。なお、運用を開始し、現状調査の上、脅威リスク分析等を実施し、拡充すべき機能を特定します。

更新期(STEP2)

現状調査や脅威リスク分析等の結果を基に、確保されているリソースの範囲内でCSIRTのスコープ、活動・機能やプロセス、役割分担等を更新します。

拡充期(STEP3)

一定期間の運用経験に基づく課題及びSTEP2においてリソース制約等により実現できなかった活動・機能等を基に、CSIRTとしてあるべき姿に向けて、機能や運営資料等を拡充するために予算を改めて確保し、計画実施します。このSTEP以降は同様STEPを継続的に繰り返し中期計画として継続実施します。

サイバーセキュリティ強化計画方針

サイバーセキュリティ強化計画方針スケジュール画像

CSIRT初期設立期として3か月後の運用開始を目指します。
運用開始後、定期的に評価とマネジメントと報告を実施し、次STEPにつなげます。

セキュリティ運用支援

今後サービスを順次追加していきます

FISC安全対策基準、CSIRT構築以外でも情報セキュリティ運用に対して各事業者様が抱える課題や問題点への対策を支援致します。


お客様のご状況に合わせ、最適なプランをご提案致します。お気軽にお問い合わせください。

今後、当社からのお知らせやメールマガジンを受け取る

*当社は、必要最低限の情報を当社の個人情報保護方針に従い収集、使用させていただきます。詳しくは「個人情報保護方針」をご確認ください。
*当サイトでは、digicertのSSLサーバ証明書により、安全性の証明およびプライバシー保護を実施しております。