概要

取り扱いのセキュリティ製品

サイバー空間の脅威とリスク

サイバー空間は、人々に豊かさをもたらす新たなサービスが次々と創出される場である一方、悪意を持った第三者により、新たな情報通信技術を悪用・濫用し、容易に活動できる場でもあります。こういった脅威は、以下のような会社に損害をもたらす様なリスクとなります。

予想されるリスク

バランスの良いセキュリティ投資をご提案

投資とリスクの天秤

予想されるリスクの対策として、企業は、「セキュリティを強化・強固にすること」が一般的な対策となります。
つまり、サイバー空間のメリットを最大限に享受するためには、経営戦略としてセキュリティ対策を立てる必要があります。

しかし、すべて万全な対策を取ることは特にコスト面から難しいため、企業としてはリスクを許容できるレベルまでに低減させる投資とのバランスを考えることが非常に重要となります。
また、投資家への情報公開の面から、サイバーセキュリティ対策の情報開示が求められるケースも増えてきています。つまり、企業活動にセキュリティ対策は切り離せない重要な要素となっているのです。

提供するセキュリティサービス

新たな価値→ライフサイクル・監視→安全が持続する 安全に提供する、利用者が安心して利用できる セキュアな基盤:システム・人・組織

TDCソフトはSI事業で培ったノウハウを活かし、お客様に「安心・安全」なセキュリティサービスの支援を提供いたします。

安全な基盤(システム・人・組織)を構築するためのご支援はもちろんのこと、安全に価値を提供するためのセキュリティ開発 ライフサイクルを前提としたご支援や、その安全が脅かされないために継続的に監視を行うところまでを含め、トータルでのセ キュリティソリューションをご提供いたします。

当社セキュリティサービスの特徴

  • CSIRTの運用実績(※1)

  • CISSPによるトータルセキュリティ支援(※2)

  • 長年の開発経験で得たノウハウによるシステムの特性をふまえたセキュリティソリューションの提供

  • ネットワークを含むインフラ構築の経験を生かした安全な基盤構築支援

  • Webアプリケーションを熟知したセキュアなアプリケーション開発の支援

  1. CSIRT(Computer Security Incident Response Team、シーサート)は、コンピュータやネットワーク(特にインターネット)上で何らかの問題(主にセキュリティ上の問題)が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称です。

  2. CISSP認定資格とは、(ISC)² (International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた 情報セキュリティ・プロフェッショナル認証資格です。2018年1月時点、日本では1800名を超え、認知度と共に保有者数も増加しています。 (ISC)2(International Information System Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO (非営利団体)です。

サービス紹介

TDCソフトのセキュリティサービスのポートフォリオは、
システムライフサイクルを意識した4つのカテゴリと10のサービスとして構成されます。

診断・分析 Analysys

webサイト・ネットワーク脆弱性診断

webテストおよびネットワークの脆弱性の有無を確認し、対策することで攻撃を受けた際のリスクを低減します。

ペネトレーション(侵入)テスト

システムに対して侵入テストを行い、ビジネスの継続に影響を与えるリスクが潜んでいないかを検査します。

システムセキュリティ分析

システムの設計、構築状況を確認し、ベストプラクティスを提案いたします。

対策 Solution

webアプリケーションファイアウォール

webサイトのリスクに合わせたアプリケーションファイアウォールの構築を支援します。

クラウドセキュリティ

CISベンチマークに準拠したクラウドセキュリティ診断をご提供します。また、診断結果にもとづいたセキュアなクラウド環境の構築を支援します。

コンテナセキュリティ

コンテナを利用した場合のセキュリティ実装対策について、より良い解決方法をご提案いたします。

ガバナンス Governance

CSIRT構築支援

サイバーセキュリティインシデントに対応する組織内のチームであるCSIRTの構築を支援します。

セキュリティ教育支援

情報の取り扱いや標的型メール攻撃への対応等、社員のITリテラシーを向上させるための教育を支援します。

監視・監査 Audit

SIEM構築支援

ログの統合分析基盤であるSIEMを用いて、いち早く脅威を発見する仕組みの構築を支援します。

MSS・SOC支援

セキュリティオペレーションセンター(SOC)の構築支援やセキュリティ機器の導入・運用から監視・分析までを請け負うマネージドセキュリティサービス(MSS)をご提供します。

事例

サービス導入事例をご紹介いたします。

事例1 システムのセキュリティ分析支援

課題:構築を進める自社サービスへのセキュリティの不安 ・導入したセキュリティ製品は効果があるのか? ・現在のリスク対策は十分か? ・自分たちが知らない脅威があるのでは? ・ユーザーの「ポイント」が第三者に不正に使われてしまうのでは・・・ ユーザー―インターネット―クラウドサーバ(クラウドの設定不備はないか...)、ファイアウォール―PC・Appサーバ、データベース(データの漏れる経路は無いか...)  解決:当社がお客様のシステムを分析し、重要リスク対策方法を提言いたします。 資産抽出→脅威分析→対策をマッピング→リスク評価 →リスク一覧:  ・お客様の資産・サービスの「漏洩」「改ざん」「停止」等のリスク →推奨対策一覧:  ・クラウドサービスのベストプラクティス  ・認証や暗号化をかけるべき箇所のリスト  ・ログの管理・運用  →「リスク分析レポート」をお客様にご提供いたします

事例2 ログ分析基盤(SIEM)構築支援

課題:内部不正による情報漏洩の不安 ・外部の脅威の対策は進んでいるが内部不正は未対策 ・ログを見て危険な行動を察知したいが機器が多くて何をどう見ればよいか分からない 機器:社内サーバ、ファイアウォール、Active Directory、PC  解決:当社がログを一元管理分析するSIEMを構築し、お客様のIT基盤のリスクを見える化いたします。 SIEM導入ポイント: インシデントによる被害を最小限とするためには、発生している事象を速やかに検知し把握することが重要となります。そのためには、様々な機器が生成するログを一元的に集中管理するとともに、それぞれの情報を照らし合わせる、つまり相関分析を行う、総合的なログ管理システムが必要となります。リアルタイムかつ自動的に行うことで、脅威を早期発見し、警告を発する仕組みがSIEMです。 具体的な導入例: ・ファイアウォールのアウトバンド通信を可視化し内部から外部への機密情報が漏洩していないか監視できる仕組みを導入 ・Active Directoryの収集により内部犯行による不正な権限昇格を監視できる仕組みを導入  →表やグラフによる可視化、相関分析による見える化

事例3 ユーザ認証に関するアドバイザリ

課題:利用者保護への不安 ・パスワードリスト型攻撃を受けているが対策が適切かどうか分からない ・既存の認証の仕組みがどの程度強力なのか判別がつかない  不正に入手したパスワードリストによる攻撃→今のウェブサイトの認証の仕組みで利用者を保護できるだろうか...  解決:当社が認証の仕組みに対して妥当性を評価いたします。 評価内容の例: ・標準的なガイドラインに沿っているか ・IPアドレス制限の妥当性 ・設計、実装の難易度 ・横断的な情報資産の取り扱い範囲の確認 ・リスクベース検知  →強固なだけでなくユーザの利便性を考慮した対策を検討いたします
  • Active Directoryは、米国Microsoft Corporationの、米国およびその他の国における登録商標または商標です。

  • (ISC)² はInternational Information Systems Security Certification Consortiumの登録商標です。

  • CISSPはInternational Information Systems Security Certification Consortiumの登録商標です。

お問い合わせ