セキュリティ強化の進め方

ProSolでは、企業の情報セキュリティ強化を以下のように進めています。

1、立ち上げ
 情報セキュリティを担当する組織を立ち上げます。
 セキュリティの責任者、管理者、運用者などを選任します。

2、情報の収集、整理
 セキュリティ管理に必要な情報を収集します。
 管理ができていない情報があれば、この機会に情報の管理ツールや
 管理プロセスを整備します。

 (収集する情報の例)
 業務と利用者の情報
 業務アプリケーションの情報
 データの情報(ファイルサーバやデータベース)
 ネットワークの情報
 メインフレームやサーバの情報(OSやミドルウェア、データベース等)
 PCやタブレット、モバイルの情報
 IoT(プリンターや監視カメラなど)の情報
 攻撃法のトレンド情報  ※弊社よりご提供
 各種のIT製品の脆弱性情報  ※一般的な製品については弊社よりご提供

3、リスクの分析
 収集した情報を元にリスクを分析します。

4、リスク対策の立案
 検知されたリスクに対し、対策を立案します。

5、実行計画の立案
 以下のような情報を元に、リスク対策の実行計画を立てます。

 (考慮事項の例)
 リスクの重要度(発生確率や最大損失など)
 セキュリティ対策にかかるコストや期間
 社内リソース

6、強化の実行
 計画に基づき、リスク対応(セキュリティ強化)を実施します。

 セキュリティソフトウェアの導入や、クラウドサービスの利用、
 社内教育など様々な対策を順次実行していきます。
 なお、対策の効果を測定するため、KPI(Key Performance Indicator)
 を定め、定量的な情報を収集、蓄積していきます。

7、評価
 KPIの情報を元に、各種のセキュリティソリューションのパフォーマンスを
 評価し、セキュリティリスクの分析に使用します。

その後、3、~7、のプロセスを半期や年次のサイクルで繰り返していきます。