header
TOP Special Talk Side Story Break! Back Number Presented by UNIADEX


ISMS適合評価制度、本年4月から本格運用開始/今、企業が取り組むべきは、企業情報セキュリティ管理システムの構築/ユニアデックス/ITセキュリティ・サービス

■なぜ、情報セキュリティ管理が必要なのか

▼セキュリティ対策という課題
インターネットは便利で低コストなため、これまでは高価な専用線を敷かなくては実現できなかったIT経営手法を、非常に手軽に実現することができるようになり、数多くの企業がCRMやSCMといった仕組みをインターネットを利用して構築しています。
これは、それまでクローズドな環境で稼働させていた企業の根幹である基幹システムが、非常に開かれた環境であるインターネット環境と、何らかのカタチでつながったということであり、つまり企業の中心部が外部から覗かれてしまう、侵入されてしまう可能性が生まれたということです。
この結果、インターネットの普及は業務の効率化や利便性を高める一方で、セキュリティ対策という新しい課題を生み出したのです。

▼セキュリティ対策を怠ると
去年のコードレッド、サーカム、ニムダといったコンピュータウイルスの猛威や、各公的機関のホームページ改ざん事件、また最近もホームページ上からの個人情報の漏えいなど、インターネットセキュリティに関するニュースが報道されることも珍しいことではなくなりました。こうした事件を企業が起こしてしまうと業務そのものに支障をきたすことはもちろん、何よりも怖いのは「信頼」という企業にとって命ともいうべきものが失われてしまうことです。
また、「信頼」を失うということだけでなく、実際に裁判沙汰になり、損害賠償を求められるということも十分考えられます。そして、こうしたセキュリティ被害に関して憂うべきは、被害者も加害者となってしまい、損害を被ったのに賠償をしなくてはならないケースが生まれてしまうことです。セキュリティ被害を考える場合、情報が持つ自分の企業にとっての価値はもちろんですが、その情報が盗難や流出、破壊に遭ったときに起こり得る2次的な影響の方が、より企業にとって恐ろしいものだといえます。


■広がり続けるセキュリティ被害、その一例

▼増加するセキュリティ被害
そしてこのようなセキュリティ被害は、インターネットの普及と比例して増加し続けています。ある調査では実に80%以上の企業が何らかの被害を受けたと答えています。

企業をねらう新たな脅威
・情報の盗難、盗聴、漏えい ・アクセスの否認 ・踏み台
・情報の改ざん、消去、破壊 ・ウイルス感染

例えばコンピュータウイルス
AさんのPCが、知らないうちに感染、さらに取引先のX社に感染メールを送ってしまった。Aさんの会社は一時業務が停止してしまい損害が発生。さらに後日取引先のX社よりAさん経由のメールでウイルスに感染し、損害が発生したとの報があり、損害賠償を請求されてしまった。

例えばホームページの改ざん
ライバル関係にあるB社とC社、ある日悪意を持った第三者がB社のサイトに不正侵入し、C社を誹謗中傷する内容に書き換えたとします。これを発見したC社は名誉毀損でB社に対して損害賠償を請求。この場合B社も不正アクセスを受けた被害者なのですが、「改ざん」を証明できない限り、加害者となってしまうのです。

image

いま、企業がすべきは、セキュリティ対策を講じ対外的な信頼関係を維持することです

■セキュリティ対策の重要性
今後ますます企業内外のIT化は進んでいくでしょう。そうした中、企業は全社レベルでのセキュリティ対策を行い、社会、取引先、顧客との信頼関係を維持していかなければ、ビジネスチャンスはことごとく失うことになることも十分考えられます。IT化社会において、セキュリティ対策は義務と捉えるべきです。

■これからのセキュリティ対策とは
もはやウイルスソフトやファイアウォールの導入は常識となりました。今後はそうしたハード、ソフトによるセキュアなネットワーク構築はもちろん、そうしたネットワークを、セキュリティポリシーを確立して運用することや、そのネットワークを流れる情報についても、その重要度、や責任者を明確にし管理することが必要です。「人」「もの」「情報」の3つが一体となり、初めてセキュリティ管理を実現できるのです。

また、今後、個人情報保護法案の成立も予測され、企業には今まで以上のコンプライアンス体制が求められています。


■ISMS本格運用開始

■第三者機関がセキュリティ管理体制を評価する制度
このように、社会的に情報セキュリティに対する関心が高まっていることを背景に、日本においても、本年4月より、JIPDEC(財団法人日本情報処理開発協会)が中心となって、情報セキュリティマネジメントシステム適合性評価制度(以下、ISMS)の運用が正式にスタートしました。

これはすでに同様の制度としてスタートしていた英国のBS7799をモデルに、より日本の業態に適正化した内容となっており、社外に対するアピールとしては、ISO9001、ISO140001と同様、もしくはそれ以上のものとして注目を集めています。

詳しくはこちらをご覧ください


情報セキュリティ管理とは
情報セキュリティの問題として、ホームページの改ざん、ハードウエア・ソフトウエアのトラブル、人的要因による情報漏えいなどが考えられます、個々の問題に対する対策はさまざまであり、それぞれのレベルで実施されていることでしょう。情報セキュリティ管理とは、これら個々の問題に対する対策の他に、組織として、自らのリスク評価を行い、必要なセキュリティレベルを決め、明快なシステムのもと、情報を管理していくことです。また、こうした企業の姿勢を、社外にアピールするための手段として、ISMS認定制度が制定されています。


しかし、このようなことをお考えではありませんか?

image

ISMSの認定は簡単に取得できるものではありません。セキュリティポリシーの策定など認定取得のためには専門知識がある程度必要です。
また、情報管理システムを構築する基盤となる、セキュアなネットワークも、日々報告される新しい脆弱点やハッキング手口の進化など、その維持のためには継続的な対応が必要です。

そこで

ユニアデックスのITセキュリティ・サービスでは、ISMS認定取得を支援する、トータルITセキュリティサービスの提供を開始しました。ITセキュリティに関する豊富なメニューを揃えており、ワンストップでの対応を可能としています。もちろんご要望のメニューのみお選びいただくことも可能です。


■企業情報のセキュリティ管理をサポートするITセキュリティ・サービスの豊富なサービスメニュー

▼ITセキュリティのライフサイクルを考慮したメニュー構成
セキュアなネットワークというのはPDCAのサイクルにより維持されます。つまり、「Plan:具体的な計画を策定する」「Do:計画に基づいて対策の実施・運用を行う」「Check:実施した結果の監査、分析を行う」「Action:その結果を見直し、改善を行う」この方法をセキュリティに当てはめて、スパイラルアップ、継続的改善を行っていく必要があるのです。
ユニアデックスでは、このサイクルに当てはまるメニューを取りそろえることで、セキュリティに関しあらゆるフェーズでお客様のご要望にお応えすることができます。

コンサルティング セキュリティ・コンサルティングサービス
■ISMS適合評価制度認定支援サービス
■セキュリティポリシーの策定支援サービス
■セキュリティ教育サービス
システム構築
セキュア・ネットワーク環境構築サービス


監査 セキュリティ監査サービス
■内部セキュリティ監査サービス
■リスク・カウンセリングサービス
監視 セキュリティ監視サービス
■不正アクセス監視サービス
■ファイル改ざん監視サービス
診断 ■セキュリティ検査サービス
■セキュリティ診断サービス


コンサルティング・・・セキュリティ・コンサルティングサービス

▼ISMS適正評価制度認定支援サービス
ISMS(情報セキュリティマネジメントシステム)適合性評価制度認定支援サービスは、組織(企業、事業体)に対し、ISMS認定を取得するための支援を行います。サービスは、審査員の視点に基づいたコンサルタントがトータルに行います。
◆セキュリティポリシー
◆情報資産の分類および管理
◆アクセス制御
◆通信および運用管理
◆事業継続管理
◆セキュリティ組織
◆人的セキュリティ
◆物理的および環境的セキュリティ
◆システムの開発およびメンテナンス
◆準拠

▼セキュリティ・ポリシー策定支援サービス
その組織のもつ情報資産価値がいくらで、何が脅威で、どこに脆弱性があるかを調査した上で、実施すべき目標と管理策の出発点となる“セキュリティ・ポリシー”の策定について支援を行います。
◆ISO15408 コモンクライテリアのセキュリティレベル
◆ISO17799 ISMS運用、管理の規定
◆個人情報保護法、個人情報取扱い業者の義務
◆損害保険の導入

▼セキュリティ教育サービス
セキュリティの基礎知識、ハッキングの実態、セキュリティ対策の重要性などに関する講習をセキュリティエンジニアが行います。
◆利用者に対するセキュリティ教育、セミナー
◆管理者に対するセキュリティ教育、セミナー
◆経営者に対するセキュリティ教育、セミナー


システム構築・・・セキュア・ネットワーク環境構築サービス

お客様のネットワークの安全性を確保する、最適なセキュリティ環境(Firewall/VPN/認証など)を構築するサービスです。このサービスでは、セキュリティ・ポリシーに基づき、現在市場に流通しているプロダクトを的確に利用し、高度な技術を提供いたします。
◆セキュリティ・ポリシーによるシステム基本設計
◆トラフィック算定によるネットワークトポロジーの論理設計
◆ネットワーク基本設計
◆セキュリティ・ポリシーによるシステムとネットワークの基本設計に基づくシステム基本設計
◆システム基本設計に基づくシステムの構築
◆システム基本設計に基づくシステムの開発
◆システムのパフォーマンステスト
◆システムのセキュリティテスト


監査・・・セキュリティ監査サービス

▼内部セキュリティ監査サービス
組織(企業、事業体)に対し、セキュリティ内部監査を行います。監査は、ISMS適合性評価制度に沿って行います。このサービスは、日常のセキュリティを維持するサービスです。

▼リスク・カウンセリングサービス
システムに内在する脅威から、どのようなリスクが派生するかをレポートします。このとき、リスクレポートは3つの分野において提供されます。
◆外部からの不正アクセスによるリスク
◆内部からの情報漏えいによるリスク
◆ウイルス感染、サービス妨害行為などによるシステム停止のリスク


監視・・・セキュリティ監視サービス

▼不正アクセス監視サービス
外部(インターネット経由)からの不正侵入および攻撃からシステムを守るために、お客様のネットワークに設置された侵入検知システム(IDS)やFirewallをセキュリティエンジニアによる24時間/365日の不正アクセス有人監視を行います。不正侵入や使用不能攻撃もしくは、その試みを検知した場合、お客様に通知します。
◆侵入検知システムによる侵入者の監視
◆Firewallによる侵入者の監視

▼ファイル改ざん監視サービス
外部からのファイル改ざんや内部の不正な設定変更、ファイルの不正改ざんを監視します。


診断・・・セキュリティ検査・診断サービス

▼セキュリティ検査サービス
お客様のインターネット環境を、脆弱性検査ツールを使用して、外部(インターネット経由)よりセキュリティ検査をいたします。脆弱性を検査するツールとして定評のある、伊、E*MAZE Networks社のツールを利用することにより、高信頼性のある検査を低料金で提供できます。3IPアドレスまでならば、50,000円という非常に利用しやすい価格でサービスを提供いたします。報告書は、郵便もしくは電子メールでお送りいたします。

▼セキュリティ診断サービス
お客様のご指定の機器に対して、外部(インターネット経由)からの診断サービスに加え、お客様のネットワーク上に診断用機器を持ち込み、セキュリティ専門技術者が内部からの診断を行います。報告書は診断した結果の報告書と具体的な対策をお知らせします。

セキュリティ診断サービス構成例

▼インフォメーションセキュリティ
ネットワーク機器、サーバなどに関して、診断以後に発生した新たなセキュリティホール、侵入手口などの情報を、お客様の機器構成を前提に整理し必要な情報のみを定期的にお知らせします。このサービスを受けることにより、新たな脅威への対応が容易になります。


■経験豊かなユニアデックスが提供します

▼サービスプロバイダとしての経験を活用
ユニアデックスはネットワークのスペシャリストとして、長年に渡りさまざまなネットワークに関するノウハウを蓄積してきました。また同時に多くのサービスを提供し、特にサポート業務においては非常に高い評価をいただいております。今回のセキュリティサービスにおいても、ネットワーク構築のノウハウ、各種サービスのノウハウをフルに活用し、万全の体勢で望んでいます。セキュリティに関してお悩みをお持ちならば、ぜひ一度ユニアデックスにご相談ください。




お客様お問い合わせ窓口
ユニアデックス株式会社
SEサービス部 森谷TEL:03‐5652‐9166
市場開発部 木内TEL:03‐5546‐4121
E-mail:webinfo@uniadex.co.jp



TOPSpecial TalkSide StoryBreak!Back Number


UNIADEX
Copyright(C)2002.UNIADEX, Ltd. All Rights Reserved.


トップページ