IS Consultant 情報セキュリティコンサル

情報セキュリティを制度から、習慣へ。
そして文化へ —— 。
TECH HORIZONは、セキュリティ人材の
育成を通して企業を支援します。

セキュリティポリシー
策定支援

セキュリティポリシーとは?

セキュリティポリシーとは、会社や組織が「情報を安全に守るためにどのようなルールで行動するか」を定めた方針やルールのことで、日常業務の中で情報を守る行動基準を明確にするためのもの。

  • パスワードのルール(英数字を混ぜる、定期的に変更)

  • USBメモリの使用制限

  • 外部ネットワークへの接続制御

  • 従業員が退職したときのアカウント削除手順

セキュリティポリシー策定の流れ

  1. STEP 1

    現状把握 1日

    現在の運用状況・管理体制をヒアリング・調査します

  3. STEP 2

    リスク分析 2日

    情報漏えいなどのリスクがどこにあるかを洗い出します

  5. STEP 3

    ポリシー設計 3日

    実態に即したルールを設計します(ひな形の提供も可)

  7. STEP 4

    資料作成 5日

    社員に伝えるためのわかりやすい社内向け説明資料を作成します

  9. STEP 5

    導入サポート

    ポリシーの社内展開、浸透のためのアドバイスや研修を行います

セキュリティ
ガイドライン策定支援

セキュリティガイドラインとは?

セキュリティガイドラインとは、会社や組織が情報を安全に取り扱うための具体的な実施手順やルールをまとめた文書です。

セキュリティポリシーとの違い

たとえば、ポリシーで「パスワードの適切な管理を行う」と定めた場合、ガイドラインでは「パスワードは8文字以上、英数記号を含めること。3ヶ月ごとに変更すること。」などと明記します。

  • セキュリティポリシー

  • 「何を守るか」を示す基本方針、抽象的で全体方針が中心

  • セキュリティガイドライン

  • 「どう守るか」を示す具体的な実践ルール、実務に沿った具体的な内容

セキュリティガイドライン策定支援とは?

現場で実践できる具体的なルールを設計・文書化する支援です。情報システム部門や管理部門が「ガイドラインを作りたいけど、どこから始めればいいか分からない」ときに、専門家がサポートします。

  1. STEP 1

    現状確認

    IT環境、業務フロー、既存ルールや課題のヒアリングを行います

  3. STEP 2

    要件整理

    業務に潜むセキュリティリスクを可視化し、必要な対策を洗い出します

  5. STEP 3

    草案作成

    実務に即したルール・手順を文書化します
    (例:端末管理・クラウド利用・メールの取扱など)

  7. STEP 4

    調整支援

    経営層・関係部門との調整、説明資料の作成や導入のサポートを行います

  9. STEP 5

    継続運用の提案

    教育プログラム、定期的な見直し手順の提供を行います

セキュリティアセスメント

セキュリティアセスメントの概要

情報資産を守るための現状把握とリスク評価を、専門的な視点で実施します。

サイバー攻撃や内部不正、情報漏えいなど、企業を取り巻くセキュリティリスクは年々高度化・多様化しています。セキュリティアセスメントは、貴社における情報セキュリティ対策の有効性や脆弱性を、第三者の専門的な観点から評価・分析し、必要な改善点を明確化するためのプロセスです。

法令遵守や取引先からの信頼確保、内部統制の強化といった観点からも、定期的なアセスメントの実施は非常に重要です。

サービス提供内容

当社が提供するセキュリティアセスメントは、以下のステップに基づき、現状分析から改善提案までを一貫してご支援いたします。

  1. STEP 01

    事前ヒアリング・現状整理

    • 業種・業務内容・システム構成・運用体制の把握

    • セキュリティに関する方針、ガイドライン、過去のインシデント有無の確認

  3. STEP 02

    セキュリティアセスメント実施

    以下の3つの観点から現状を評価します。

    • 組織的対策の評価

    • 管理体制、ポリシー策定、教育体制、インシデント対応体制の整備状況

    • 技術的対策の診断

    • ネットワーク構成、アクセス制御、暗号化、脆弱性の有無

    • 物理的対策の確認

    • 入退室管理、設備保護、媒体管理 等

    ご要望に応じて、外部からの侵入を想定した脆弱性診断(ペネトレーションテスト)も実施可能です。

  5. STEP 03

    報告書作成・結果報告

    • リスクの内容と影響範囲、対応優先度を明示した詳細なアセスメントレポートを提出

    • 経営層および技術部門の双方に向けた説明会の実施(ご希望に応じて)

  7. STEP 04

    改善提案・継続支援

    • 実効性の高い改善策のご提案と、導入支援

対象企業・シーン

  • セキュリティポリシーの見直しや初期策定を検討している企業様

  • 新規取引先からのセキュリティ要件提示に対応する必要がある企業様

  • 自社で構築したシステムでのサービス提供に不安を感じている企業様

CSIRT構築支援

CSIRT構築支援サービスの概要

インシデント発生時の対応力を高め、企業の信頼と事業継続を守る。

近年、標的型攻撃や内部不正、ゼロデイ脆弱性を突いた侵入など、企業を取り巻くサイバー脅威は急速に高度化・巧妙化しています。こうした状況に対し、自社内における迅速かつ的確な対応体制(CSIRT:Computer Security Incident Response Team)の構築は、セキュリティガバナンス強化の要となります。

当社のCSIRT構築支援サービスは、現状評価から体制設計、インシデント対応フローの策定、運用支援までを一貫してご提供。貴社の事業規模や業種特性に応じた現実的かつ実効性のあるCSIRT立ち上げをご支援します。

サービス提供内容

  1. STEP 01

    現状把握・ギャップ分析

    • 組織内のセキュリティ体制や過去の対応履歴、既存ルールを整理

    • 業界標準やフレームワーク(NIST、ISO/IEC 27035等)との比較によるギャップ評価

    • 経営層・IT部門・現場部門とのヒアリングを通じた現実的な課題抽出

  3. STEP 02

    CSIRT体制の設計支援

    • 役割分担(CISO、CIRTリーダー、連絡窓口など)の定義

    • 必要なスキル要件や役割ごとの責任範囲の明確化

    • 外部ベンダーや公的機関との連携体制を考慮した設計

  5. STEP 03

    インシデント対応プロセス策定

    • 検知・分析・初動対応・封じ込め・根本原因調査・再発防止策までの流れを文書化

    • インシデント分類・優先度評価基準の策定

    • 対応マニュアル(Playbook)やフローチャートの整備

  7. STEP 04

    初動対応訓練・教育支援

    • 想定インシデントを用いた机上演習やシナリオベースの訓練の実施

    • 各部門向けの教育・周知活動の設計と支援

    • 報告・連絡・記録に関するテンプレート類の整備

  9. STEP 05

    継続的運用・改善支援

    • CSIRT運用開始後のモニタリングおよび定期レビュー

    • 体制やルールの改善提案、最新動向に基づくアップデート支援

    • インシデント対応ツールの導入アドバイス

対象企業・シーン

  • サイバー攻撃への対応体制を整備したい中堅~大手企業様

  • 取引先からCSIRT体制の有無を求められている事業者様

  • ISMS(ISO/IEC 27001)やNIST対応に向けた実践的強化を図りたい企業様

  • 経営リスクマネジメントの一環としてセキュリティ統制を強化したい企業様

どのようなお悩みでも大丈夫、
まずはお気軽にご相談ください

お問い合わせ