サイバーセキュリティは、決して軽視できるものではありません。 多くの企業は、オンライン・セキュリティがいかに重要であるかということに、手遅れになったときに初めて気づくのです。
米国政府公認のNISTサイバーセキュリティフレームワークを使用することで、カルソフトは企業の安全・安心な運用を支援しています。
包括的なレポート
ITアセスメントのメリットは、クライアントが当社のITセキュリティポリシーレポートとユーザーセキュリティポリシーレポートを入手できることです。
実行可能なタスク
IT管理者の中には、会社のネットワークに何らかの問題があることを知っている人もいます。 しかし、管理者は、その問題の周辺で実際に事件が起きないようにするための適切な対応策を知らないのです。
包括性
NISTに基づくアプローチと物理的な評価により、ITシステムのリスク評価の包括的な内容を提供しています。 これが、このサービスの本質的なメリットです。
投資対効果の最適化
カルソフトITアセスメント成果物
課題やリスクの深刻度を定量的に測定することは常に困難です。
ある経理社員が会社のクレジットカード番号を会社のPCのメモリに保存し、攻撃者がその番号にアクセスする事件が発生した場合、どれくらいの被害が出るのでしょうか。
すべての潜在的な問題は、クライアント企業にどれだけの損害を与えるのか?
カルソフトはこれを解決します。 顧客管理者は、定量的なリスクインパクトに基づき、より良い経営判断を下すことができるだろう。
カルソフトのレポートでは、潜在的なインシデントごとにデータ侵害責任額を提示しています。
クライアントは、私たちの提案したアクションをとても気に入ってくれています。 アクションの深刻度を高、中、低に整理しています。 クライアントは、将来のサイバーセキュリティリスクを軽減するために、翌日から何から手をつければよいかを知っています。
ITアセスメント事例
クライアントのCEOは、人間が読むことのできない分厚いセキュリティレポート・データを前にして、何から手をつければいいのか分からないでいました。 これは、たとえベンダーを使って分析しても、企業が直面する典型的な状況であった。
ベンダーは訳の分からない報告書を持って帰ってしまう。 お客様は、親会社からサイバーセキュリティリスクに対する積極的な対応を求められるようになりました。 顧客企業にはこの要件をリードする専任のITマネージャーがいなかったため、カルソフトに相談したのです。
クライアントの経営陣は、セキュリティの問題を考えていた。 カルソフトの包括的な評価の後、お客様は潜在的なリスク、深刻度の高低を十分に認識されました。
NISTとは?
国立標準研究所(NIST)は、2013年に出された大統領令13636号によって集められた、アメリカ合衆国商務省内の連邦機関である。 研究所は、産学官のさまざまな分野から集まった3,000人以上の人々で構成されています。
彼らの使命 生産性を高め、貿易を促進し、生活の質を向上させるために、測定、標準、技術を開発し、促進すること。 NISTは、連邦政府機関が使用するコンピュータや情報技術関連の規格やガイドラインを制定する役割も担っています。
“国家の重要インフラのセキュリティと回復力を強化し、安全、セキュリティ、ビジネスの機密性、プライバシー、市民の自由を促進しながら、効率、革新、経済の繁栄を促進するサイバー環境を維持することは、米国の政策である “と述べた。
フレームワーク・コアは、重要インフラ部門に共通するサイバーセキュリティ活動、望ましい成果、適用可能な参考資料のセットである。
Coreは5つの同時・連続機能で構成されています。
-
識別
-
プロテクト
-
ディテクト
-
応答する
-
回復する
NISTフレームワークの詳細
NIST Framework Coreは、組織全体で安全な通信、活動、結果を可能にする方法で実行される一連の業界標準、ガイドライン、慣行である。
これらの機能は、組織のサイバーセキュリティリスク評価管理のライフサイクルをハイレベルで戦略的に捉えたものである。
リスク評価プロセスでは、各機能の基本的な主要カテゴリーとサブカテゴリーを特定し、サブカテゴリーごとに既存の規格、ガイドライン、プラクティスなどの情報源となる参考文献と照合します。
お問い合わせ先
何か質問は? スペシャリストへのお問い合わせ
概要
NISTフレームワークの5つのルール
1
識別
カルソフトは、お客様の組織の使命、目的、利害関係者、活動内容をまず理解します。 Calsoftは、この情報を使って、サイバーセキュリティの役割、責任、リスク管理の決定などを分析しています。 そして、組織の規制、法律、リスク、環境、業務上の要件を管理・監視するための方針、手順、プロセスを理解します。 お客様の資産を把握し、お客様のサイバーセキュリティリスクを評価します。 このサイバーセキュリティリスク評価により、顧客組織は業務リスクとサプライチェーンリスクの両方について優先順位を決定することができます。 これにより、組織の優先順位、制約条件、リスク許容度、前提条件が明確になる。
2
プロテクト
Projectステップの核となるのは、データセキュリティの管理です。 これは、アクセスコントロールから始まります。 許可されたユーザー、プロセス、デバイスは、物理的および論理的な資産へのアクセスを制限します。 また、組織としてサイバーセキュリティの啓発とトレーニングを行う必要があります。 また、組織として技術的なセキュリティソリューションを管理する必要があります。 これらはすべて明確であるが、組織は情報の機密性、完全性、可用性を保護するために、リスク戦略と一致した情報および記録を管理する必要がある。
3
ディテクト
組織は、異常な事象を確実に認識するために、異常検知プロセスを維持し、テストしています。 異常な活動を検出した場合、組織はそのイベントの影響を理解する必要があります。 組織は次に事象に対応する。
4
応答する
社内外の関係者と連携して対応活動を行いながら、対応効果の分析を行っています。 組織はインシデントを軽減する一方で、インシデントの拡大を防止する必要があります。
5
回復する
さて、組織が効果的にインシデントを管理した後は、リカバリーの時期である。 復旧作業を実行し、他の関係者と復旧作業を調整する必要があります。 結局は、復旧計画や復旧プロセスの改善が重要なのです。
私たちは何者か
カルソフトのアドバンテージ
1000+ 成功した導入事例
-
レガシーシステムからのデータ移行
-
コアビジネスプロセスを維持する
- 500年以上の経験を総動員
-
システム指導の業界経験者BC/F&SCM
フルIT ライフサイクル
-
アセスメント, ERP, ネットワーク, セキュリティ, トレーニング, サポート, アップグレード
-
サードパーティーのアドオン指導とプロジェクト管理
-
Azureプライベートクラウドまたはパブリッククラウド
-
NIST CSF認定技術者
レスキュープロジェクト達成率100
-
システム利用・導入分析
-
ヘルプデスクサポートチーム待機中
-
世界最高水準のユーザートレーニングおよび教材
-
重要課題プロジェクト
