Comments
Description
Transcript
サイバーセキュリティ アドバイザリーサービス
サイバーセキュリティ アドバイザリーサービス Cyber Security Advisory サイバーセキュリティアドバイザリー KPMGは、さまざまな企業への支援を通じて得られた専門知識とノウハウ を用いて、企業が直面するサイバー攻撃の脅威に適合した取組みを支援し、 サイバー攻撃防御態勢の高度化をトータルにサポートします。 経営層向け サイバーインザボードルーム サイバーセキュリティ経営ダッシュボード クライアントとのディスカッションを通じて判明した重要項目や多くの組織に共通する 課題をKPMG独自のフレームワークで整理・可視化し、サイバーリスクを直感的に把握 できるサイバーセキュリテイ経営ダッシュボードを提供します。 改善プロジェクト リスク状況 ・リスクへの影響 ・ステータス ・重大リスク ・領域別リスク サイバー セキュリティ 経営における 6つの重点領域 脅威レベル ・外的脅威 ・内的脅威 ダッシュボードイメージ例 セキュリティ意識 コンプライアンス ・法規制 ・内部規定 ・準備状況 インシデント ・教育受講状況 ・スコア統計 ・カリキュラム ・発生状況 ・対応状況 ・発生履歴 サイバー攻撃演習 サイバーリスク啓発 プロセス上の意思決定と対応方法について演習します。企業文化 て、ワークショップ形式で解説します。 サイバー攻撃が発生した際、経営層が採るべきインシデント対応 やビジネス環境を踏まえたリアルなシナリオを作成し、サイバーリ スクに備えた効果的なシミュレーションを実施します。 メディアや警 察、関連省庁 等への報告を はじめとする 外部対応 封じ込め 対応方針やビ ジネス中断に 関する意思決 定、顧客への 通知 分析・調査 分析に必要な 経営資源の投 入、調査結果 とビジネスへ の影響の把握 復旧 ビジネスの復 旧に関する意 思決定、顧客 への保証、最 新情報の開示 【解説するトピック例】 • 最新のサイバー脅威動向 演習範囲 特定 経営層が知っておくべきサイバーリスクとそのマネジメントについ 再発防止 再発防止策の 承認、ステー クホルダーと のコミュ ニ ケーション • 企業におけるセキュリティ対策のあるべき姿と ケーススタディ • リーダーシップと体制の構築 • リスクを踏まえた攻撃を防ぐための事前対策 • サイバー攻撃に備えた準備と対応態勢の整備 演習の進め方 座学 インシデント対応 の 基 本、演 習 の 説明 初期対応 想定インシデント の選択、初期対応 表の記入 2次対応 インシデント対応表 の記入、インシデ ント報告書の記入 講評 講評 1 © 2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( “KPMG International” ), a Swiss entity. All rights reserved. 成熟度評価 運用の高度化 KPMGのサイバーセキュリティ分野における業界知見と実績を KPMGがグローバルで独自に開発したSTIC(Security Threat 成熟度評価フレームワーク(CMA) 体系的に集約したCMA(Cybersecurity Maturity Assessment)を 活用し、クライアントのサイバーセキュリティ管理態勢を包括的 かつ客観的に評価します。 CMAによる評価結果は、クライアントが所属する業界平均との k ris Busin ess co nt in u nt eme nag ma 67 16.7 CMA scores T&O n factors Huma 最適かつ高度なサイバーセキュリティ監視態勢の実現を総合的 に支援します。 34 ITインフラ(ネットワーク/システム/アプリケーション/デバイス) A 経営層 B グローバル コーディネーション C 23 15 グローバルIT/ セキュリティ管理組織 プロセス テクノロジー ヨーロッパ 地域拠点 サービスレベル マネジメント ベンダー マネジメント 脆弱性管理 セキュリティ監視 インシデント対応 脆弱性診断 イベント監視 インシデント調査 リスクアドバイザー エシカルハッカー 脅威データベース 診断ツール/ラボ リスクマネジメント アメリカ 地域拠点 プロフェッショナルアドバイザー プログラム マネジメント 脅威インテリジェンス 組織 アジア 地域拠点 SOCアナリスト SOC(FW/IPS/SIEM) CSIRT 解析ツール/ラボ サービスプロバイダー/ソリューションベンダー/システムインテグレーター/リサーチャー A:クライアント B:KPMG(STICマネジメント) C:KPMG/パートナー(STICファンクション) 37.5 Le ga l nce plia om dc an Lea de rsh ip Level 1 Level 2 Level 3 Intelligence Center)フレームワークに基づいて、企業ごとに ity • リーダーシップとガバナンス • リスクマネジメント • 危機管理とレジリエンシー • 法務とコンプライアンス • 組織・風土・人材の成熟度 • 技術的な統制と運用 Inf o 比較や、海外先進企業とのベンチマーキングが可能です。 次世代型SOC構築支援サービス(STIC) CSIRT構築支援/体制評価サービス CSIRTの構築により、侵害によるダメージの脅威を最小限に留め ます。下記の3つのSTEPにより、クライアントに最適なCSIRT 構築を効率的に支援します。 ソリューション最適化 セキュリティレベルを高めつつ、投資対効果の最大化を支援します。 テクノロジーを中心に、運用プロセス、運用体制が三位一体となり、 セキュリティソリューションの最適化を実現します。 たとえば、類似の機能を持った機器を複数部署で導入しているた STEP 1: クライアント環境に適したCSIRT を構築するために 現状を分析し、課題を整理 STEP 2: クライアントCSIRTのあるべき姿と、それに向けた 現実的な構築計画の設計の支援 STEP 3: 技術的知見が求められるタスクの実行を支援 め過剰な維持費がかかっている場合などは、最新動向の分析結果 すでにCSIRTが構築されている組織に対しては、現実的なシナ アドバイスします。 能かどうか包括的に評価し、改善策を提示します。 とベンダーに依存しない公平な視点から、維持費の削減について リオを想定し、インシデント発生時に迅速かつ的確な対応が可 セキュリティ監視高度化支援サービス テクノロジー クライアントの現状に応じて3つの側面からセキュリティ監視オ ペレーションの高度化を支援します。 三位一体 Stage 3 運用 プロセス 運用体制 Stage 2 Stage 1 【テクノロジー】最新のサイバー攻撃を踏まえたリスクシナリオに基づ く対策の決定や自社環境に整合したソリューションやツールの採用 3 継続的改善 2 高度化 分析プロセス 1 現状分析 テクノロジー 実装 など。 以下のような課題を解決します。 更管理プロセスの確立、業務環境の変化に応じた見直しなど。 • SIEMを導入したが、うまく使いこなせていない 【運用プロセス】セキュリティポリシーに準じた運用手順の策定や変 【運用体制】役割と責任、担当範囲の明確化や内部リソースとスキル に基づく外部リソースの活用など。 組織体制 • どのような監視体制が必要か検討したい • 監視の人的リソースや分析スキルが不足している • インシデント発生時を想定した訓練をしていない 2 © 2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( “KPMG International” ), a Swiss entity. All rights reserved. 情報セキュリティ 事業継続マネジメント 情報セキュリティ管理に関するルールや役割分担を、企業の業 を引き起こし、事業の継続性を損なう要因となります。KPMG 情報セキュリティ管理態勢の最適化支援サービス 種や標準的な業務の流れ、規程類などを踏まえて最適なものへ と見直す支援を行います。 サイバー攻撃は、企業の基幹システムや顧客向けサービスの停止 では、企業の継続性を確実にするために、経営活動に組み込ま れた全社的なリスクマネジメントや内部統制と整合性のとれた、 事業継続マネジメント(BCM)サービスを提供しています。 以下のような課題を解決し、最適化を支援します。 • 情報セキュリティに関連するルールが複数存在し、何を中心に 据えればよいか迷っている。 BCM戦略立案支援サービス 情報セキュリティ管理に不安を感じている。 例等を紹介しながら支援します。 • 情報セキュリティ管理と委託先管理が分離しており、委託先の 企業の中長期的戦略を考慮した事業の優先順位づけを指標や事 ment age an m k ris Busin ess co nt in u 把握し、実効性のある最適な情報セキュリティポリシー策定を支 手順、事業の継続および復旧手順の文書化を支援します。 ら改訂までトータルに支援します。 34 16.7 BCPテスト/訓練支援サービス 15 37.5 策定したBCPのテスト・訓練の実施を支援します。事例を加味し Le ga l 散見されます。KPMGは、情報セキュリティポリシーの策定か n factors Huma 策定済みであっても、その後の見直しが行われていないケースが 23 T&O 援します。 BCM戦略に基づき、不測の事態における緊急対策本部の対応 67 た臨場感のあるテストシナリオ、経験豊富な専門家によるファシ nce plia om dc an 精緻なリスク分析により、情報セキュリティ態勢の現状を的確に Inf o BCP策定支援サービス ity 情報セキュリティポリシー策定・改訂支援サービス Lea de rsh ip リテーションにより、不測の事態における組織の対応能力の開 情報セキュリティ監査サービス KPMGがグローバルで有する最新の手法や蓄積されたノウハウ を基に、有効性の高い情報セキュリティ監査を提供します。情 報セキュリティ監査の実施により、情報セキュリティ管理の現状 把握、業務改善への取組みが可能です。 発を支援します。 BCM評価/統括サービス 現在構築されているBCMおよびBCPを、国内外の規格やガイド ライン、さらに実務経験から導き出した観点に基づき、客観的 に評価・総括し、課題とその解決のための改善案を提示します。 海外拠点のセキュリティ診断サービス グローバル企業では、組織やビジネスの規模、IT 環境などにお けるダイバーシティが内在し、本社側が意図したセキュリティ要 BCM戦略立案支援 件や管理策が必ずしも適切に実装・運用されていない場合が多く あります。KPMGでは、統一された評価軸で、拠点ごとの対策 状況を把握し、グローバルで重点的に取り組むべき共通課題を 明確にします。 10 8 6 4 2 0 開発 物理 リ IT ◆ BCM要員の確保 など ◆ 予防措置 運用 外部 ◆ 是正処置 ◆ 継続的改善 拠点A 全社平均 拠点ごとの比較 組織 日本 サンフランシスコ ス 20 数 10 上海 0 BCM方針の策定 BCM推進のための Act 処置 全社平均との比較 ニューヨーク ク ◆ ◆ 経営資源確保 40 30 Plan 計画 BCP策定支援 Do 実施 ◆ 事業インパクト分析 (BIA) ◆ 事業継続戦略策定 BCPの策定 ◆ BCP訓練の実施 など ◆ Check 点検 ◆ 内部監査の実施 ◆ マネジメントレビュー の実施 BCM評価・総括 ロンドン シンガポール 高 中 低 3 © 2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( “KPMG International” ), a Swiss entity. All rights reserved. BCPテスト 訓練支援 プライバシー クラウドセキュリティ 個人情報保護法が、約10年ぶりに改正され、改正ポイントとし 向上が重要視されるようになっています。 個人情報保護管理サービス て「ビッグデータの利活用」が注目されています。 クラウドサービスの普及に伴い、クラウドセキュリティの維持・ KPMGは、独自のクラウドセキュリティ評価フレームワークで、 IoT /ビッグデータの時代が到来した今、大量のパーソナルデー クライアントにおけるクラウドセキュリティの現状を分析し、推 すことのできない取組みです。 また、2015年11月、国際規格ISO/IEC 27017に基づくクラウド タを保護し情報漏えいを防止していくことは、企業にとって欠か KPMGでは、個人情報保護の管理態勢の構築から監査まで、 個人情報保護に関する以下のようなサービスを提供しています。 • 個人情報保護管理態勢レビューサービス • 個人情報保護規程の策定支援サービス • 個人情報保護外部委託管理支援サービス クラウド 使用者 マイナンバー制度への対応支援サービス マイナンバー制度への対応のための計画策定から業務プロセス・ システムの見直しまで、プロジェクトチームの作業全般を継続的 に支援します。 整備 4 安全管理措置の実施 5 業務プロセス・ 情報システムの見直し 2016 年1月から個人番号の利用が開始され、マイナンバー法や 関連法令への対応、個人番号を利用する業務や情報システムの 見直し、不正アクセスや情報漏えい対策が必要となります。 規程類の整備 特定個人情報の取扱いルール 上乗せ ルール 具体化 特定個人情報 マイ ナンバー法 ガイドライン 個人情報保護法 具体化 経産省ガイド等 事業会社の対応 特定個人情報に関する方針、 規定、 マニュアルの整備 特定個人情報方針、規定、 マニュアル 物理的措置 技術的措置 ■ユーザ部門や個人利用 クラウドのシャドーIT化 ■クラウド間サプライチェーンでの 役割と責任分担不明確 クラウドサービス 事業者1 クラウドサービスの 利用と提供 インシデント対応体制、委託先管理、教育等 特定個人情報ファイルを取り扱う情報システム を管理する「管理区域」、事務を実施する「取 扱区域」の設置 等 クラウドサービス 事業者2 クラウドサービス 事業者3 クラウドサービス 事業者4 認証取得支援 各種セキュリティ関連の認証規格に準拠するための現状評価か ら改善支援までのコンサルティングと、提携機関による審査まで を包括的にサポートし、スムーズな認証取得を支援します。 • ISMS認証取得支援サービス • BCMS認証取得支援サービス • CSMS認証取得支援サービス • プライバシーマーク取得支援サービス • PCIDSS認証取得支援サービス 認証取得支援のステップ STEP1 対象範囲の確認 STEP2 現状調査 STEP3 評価結果まとめ STEP4 改善策実装 ・キックオフ 安全管理措置の実施 組織的・人的措置 ■クラウド内の運用管理体制の不備 クラウドサービス クラウドサービスの 利用と提供 利用者 • 個人情報保護監査支援サービス 立案等支援 します。 ■利用者と提供者間での 役割と責任分担不明確 • 個人情報保護教育支援サービス 3 規程類の セキュリティ認証の開始が発表されており、その認証取得を支援 クラウド利用によるリスク例 • 個人情報保護管理態勢構築支援サービス 1 プロジェクト 2 影響分析 奨改善策およびロードマップを提示します。 ・ドキュメント ・推奨改善策、・態勢構築/ ロードマップ 改善 ・対象システム、 調査 サービス洗出し ・ヒアリング実施 策定 ・規定類策定 /修正 ・対象範囲確定 ・ギャップ分析 ・評価報告書 ・システム導入 /設定変更 STEP5 準拠審査 ・審査準備 ・模擬審査 ・準拠認定審査 技術的措置(特定個人情報ファイルのアクセス 権限管理)、操作ログの見直し 等 4 © 2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( “KPMG International” ), a Swiss entity. All rights reserved. 制御系システム向け IoTセキュリティ 攻撃者の視点で、システムの脆弱性、攻撃者によるシステム環境 IoTセキュリティアセスメントフレームワークは、IoTサービスの 制御系システム向けセキュリティ診断サービス への侵入可能性を診断します。セキュリティ対策の有効性の確 認や侵入された場合の影響度合の把握、セキュリティ対策の強 化につなげることが可能です。 Level 4 Level 3.5 OAゾーン 外部ベンダー FW Proxy SW 制御情報NW Historian Level 2 Level 1 フィールドNW SCADA PC 標準診断項目 HMI SW PLC RTU DCS オプション診断項目 重要インフラ向けセキュリティコンサルティング KPMGは、ICSに関する深い専門性と、豊富な経験を有しており、 セキュリティ態勢、組織体制、技術的対応能力の強化や、ICS環 境のメンテナンスにおけるセキュリティ強化の支援が可能です。 ・インフラ設備の構成情報 管理基盤の構築・導入 ・ジョイント・ガバナンス モデルの構築 ほか 管理・ ガバナンス 態勢構築 ・ギャップ分析 ・技術的アセスメント ・脅威シナリオモデリング ・リスク影響度分析 ほか アセスメント /分析 重要インフラ サイバー セキュリティ ICS アーキテクチャ の再構築 の8カテゴリーでIoTサービスを分析し、IoTサービスに内在する リスクの抽出およびリスクの関連性の分析を行います。 IoTセキュリティアセスメントフレームワーク ・プライバシー ・認証と認可 ・監視と保守 ・アタックベクター ・セーフティ ・データ保護 ・レジリエンス ・ライフサイクル 必要な監視と保守を行い、問題 発生時に検知と迅速な対応がで きるかを確認します。 MES OPC 制御NW セキュリティ対策に必須の8カテゴリーで構成されています。こ サービスが個人情報および個人 の特定につながる情報を漏えい させることがないかを確認します。 FW ICS DMZ Level 3 IoTセキュリティアセスメントサービス 方針 / プロセスの 整備・導入 人命や資産などの現実世界に対す る致命的な影響が発生しないよう に設計されているかを確認します。 障害やサイバー攻撃が発生した場 合に、縮退やバックアップによる システム保 護やサービス継 続 が 可能かを確認します。 ・手順の定義・文書化 ・ギャップに対する代替統制 ・課題解決策の策定 ・定期的アセスメント態勢の構築 ほか サービスで使 用するデータが使 用状況に応じて改竄/削除/盗 用などから適切に保護されてい ることを確認します。 サービスに使用されるデバイスが 製造から廃棄の全工程において 適切に管 理されていることを確 認します。 サイバーセキュリティ教育/ eラーニングサービス 経営層向け、管理者向け、一般従業員向けなど、クライアント のニーズに応じてKPMGのサイバーセキュリティ専門家が講師と なり、教育サービスを提供します。本サービスは、集合型教育 やeラーニングなどさまざまな形式で提供可能です。 人材育成カリキュラム作成支援サービス KPMGが豊富な知見とグローバルなサービス提供実績を元に独 自に開発したCyber Academyフレームワークに基づき、クラ イアントがサイバーセキュリティ人材を育成するために持つべき カリキュラムの作成とそのカリキュラムに基づく教育コンテンツ の作成、教育の実施などを総合的に支援します。 カリキュラム一例 基礎レベル ITセキュリティ ISO27001 ITIL基礎 シャドーウイング 内部/外部 ISO 27001監査 コンセプト インシデント対応 /不正行為/ 内部通報 SSCP 5 サイバー攻撃の入り口となりうる システムの脆弱性を確認します。 教育・人材育成 セキュリティコンサルタント ・セキュリティエンジニアリング ・パッチ/脆弱性管理の改善 ・SIEM、eGRC導入 ほか ユーザやデバイスが 認 証によっ てサービスアクセスが 可能とな り、適切なシステム利用権限が 与えられるかを確認します。 監査人 テクニカル ワークショップ ISO27006 達成レベル 上級レベル 職場内ジョブ トレーニング CISSP ITIL応用 CISM COBIT 5実装 CISSP CISA 疑似業務体験 CISM PM上級 リスク関連 出版物への投稿 ITIL サービスデザイン ITIL サービス戦略 © 2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( “KPMG International” ), a Swiss entity. All rights reserved. KPMGサイバーセキュリティアドバイザリー リスクマネジメント、情報セキュリティ、事業継続、プライバシー保護、フォレンジッ クの専門家からなるKPMGのサイバーセキュリティアドバイザリーグループが、アセス メントからマネジメント、レスポンス、インテグレーションまでトータルに支援します。 サイバーアセスメントサービス サイバーマネジメントサービス 点を明らかにし、サイバー攻撃防御態勢の改 テム、ルール、 PDCAの要素について、強化・ サイバー攻撃防御態勢の核となる体制、シス サイバー攻撃の防御態勢に関する現状の問題 改善するための活動をトータルに支援します。 善ロードマップ立案をトータルに支援します。 ・サイバーセキュリティ監査/態勢評価 ・セキュリティ脆弱性診断/ペネトレーションテスト ・標的型攻撃/ DDoS/マルウェア対策支援 ・クラウドセキュリティアセスメント ・IoTセキュリティアセスメント サイバーインテグレーションサービス 時々刻々と進化していくサイバー攻撃に対し て、防御態勢を有効に機能させ続けるために、 既存の企業活動との統合、定着をトータルに 支援します。 Prepare Protect THREAT INTELLIGENCE Integrate CY BE Detect & Respond TIO R TR A N SF O RM A N ・情報セキュリティと制御系システムセキュリティ の統合 ・サイバーセキュリティ組織の設置と運営支援 ・サイバーインテリジェンス活用支援 ・サイバーセキュリティソリューション最適化 ・サイバーセキュリティオペレーションの高度化 ・次世代型SOC 構築支援 ・サイバーセキュリティ戦略・態勢構築支援 ・サイバーセキュリティポリシー立案支援 ・サイバーセキュリティライフサイクルの確立 ・セキュリティ担当役員(CISO)の補佐 ・ISMS/CSMS/PCIDSS/ プライバシーマーク認証取得支援 サイバーレスポンスサービス サイバー攻撃が発生した際の広報・メディア対 応、事実究明、再発防止策の立案・展開につ いて、適切かつ迅速なアドバイスでトータルに 支援します。 ・インシデントレスポンス態勢(CSIRT)構築・ 評価 ・サイバー攻撃演習/インシデント対応訓練 ・フォレンジック/マルウェア解析 ・危機管理態勢の整備支援 ・インシデントハンドリング実行支援 KPMGのメンバーファームには以下の強みがあります。 ●グローバル KPMGは現在、世界155ヵ国のメンバーファームに約174,000人の人員を擁し、サービス を提供しています。 ●受賞歴 KPMGはForrester調査にて、サイバーセキュリティのリーダーとしての地位を2013年 1Qと2016 年1Qに獲得しています。また、KPMGはSC Europe誌にて、サイバーセキュ リティにおける研修・認証プログラム部門やコンサルティング部門でWinner/Finalist を5年連続獲得しています(2011年~ 2015年)。 ●サイバーセキュリティの課題を特定 世界の主要企業が現在あるいは将来的に直面するサイバーセキュリティ上の課題を共同 で解決する支援を行っています。 6 © 2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( “KPMG International” ), a Swiss entity. All rights reserved. Contact us KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリー TEL: 03-3548-5307 [email protected] www.kpmg.com/jp/cyber-security twitter.com/kpmg_jp facebook.com/kpmg.jp kpmg.com/app ITILⓇは、AXELOS Limitedの登録商標です。 COBITⓇは、米国及びその他の国で登録された情報システムコントロール協会(ISACA)及びITガバナンス協会(ITGI)の商標です。 本文中では、Ⓡマーク等は省略しています。 本冊子で紹介するサービスは、公認会計士法、独立性規則及び利益相反等の観点から、提供できる企業や提供できる業務の範囲等 に一定の制限がかかる場合があります。詳しくはKPMGコンサルティング株式会社までお問い合わせください。 ここに記載されている情報はあくまで一般的なものであり、特定の個人や組織が置かれている状況に対応するものではありません。 私たちは、的確な情報をタイムリーに提供するよう努めておりますが、情報を受け取られた時点及びそれ以降においての正確さは 保証の限りではありません。何らかの行動を取られる場合は、ここにある情報のみを根拠とせず、プロフェッショナルが特定の状 況を綿密に調査した上で提案する適切なアドバイスをもとにご判断ください。 © 2016 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( “KPMG International” ), a Swiss entity. All rights reserved. Printed in Japan. 16-1292 The KPMG name and logo are registered trademarks or trademarks of KPMG International.