1/18ページ
カタログの表紙 カタログの表紙 カタログの表紙
カタログの表紙

このカタログをダウンロードして
すべてを見る

ダウンロード(1019.7Kb)

【資料進呈】セキュリティ診断サービス導入に向けた社内説得ノウハウ

ホワイトペーパー

情報セキュリティ対策が必須の現代において、その意思決定をサポートするための資料をご用意いたしました

総務省の発表によると、約 99.4%の企業が何かしらのセキュリティ対策を実施しており
対応していない企業はわずかであることが分かります。

情報セキュリティ対策が必須の現代において
その意思決定をサポートするための資料をご用意いたしました。

【資料目次】
1. 情報整理のSTEP
 1-1. リスク洗い出し
 1-2. 解決策の検討
 1-3. 実行時期の検討
 1-4. 診断対象の整理
 1-5. ベンダーの選定

2. APPENDIX
 2-1. 情報整理フォーマット
 2-2. ベンダー比較シート

このカタログについて

ドキュメント名 【資料進呈】セキュリティ診断サービス導入に向けた社内説得ノウハウ
ドキュメント種別 ホワイトペーパー
ファイルサイズ 1019.7Kb
登録カテゴリ
取り扱い企業 株式会社SHIFT (この企業の取り扱いカタログ一覧)

この企業の関連カタログ

このカタログの内容

Page1

脆弱性診断サービス導入に向けた 社内説得ノウハウ リスクを把握し、適切なセキュリティ診断を実践するために
Page2

はじめに 6億3,767万円※出典総務省 令和元年版 情報通信白書 これは個人情報漏えいにより生じた1件当たりの平均損害賠償額です。 また、セキュリティインシデントにより生じる1組織当たりの平均年間被害額は2億1153万円といわれています。 Webサイトへの不正アクセスや機密情報漏えいのニュース、 「うちの会社には関係ない」と思っていませんか? 情報セキュリティ対策が必須の現代において、セキュリティ意思決定に本資料をご活用いただければ幸いです。 本資料について 本資料の使い方 本資料では、セキュリティ診断サービスの導入を進めるための情報整 1)5つのSTEPに沿って、現状を把握する 理をサポートいたします。 2)情報をフォーマットに記入して整理する こんな方におすすめ ・脆弱性診断サービス導入のために社内を説得したい担当者 ・脆弱性診断サービスを導入する必要がある担当者 ・脆弱性診断サービスの導入を検討している担当者 1
Page3

目次 ■情報整理のSTEP リスクの洗い出し ・・・ 4 解決策の検討 ・・・ 6 実行時期の検討 ・・・ 7 診断対象の整理 ・・・ 8 ベンダーの選定 ・・・ 10 ■APPENDIX 情報整理フォーマット ・・・ 12 ベンダー比較シート ・・・ 16 2
Page4

情報整理のSTEP
Page5

STEP1.リスクの洗い出し① 現在のリスクは何か? ・考えられるリスクを洗い出す ・対処しないことで想定される損害を挙げる 現在のリスク 想定される損害 例)当社サイトへの不正アクセスが増加している 例)当社サイトへの不正アクセスが増加している (5月:2件 6月:11件) (5月:2件 6月:11件) 例)当社サイトへの不正アクセスが増加している 例)当社サイトへの不正改ざんによって (5月:2件 6月:11件) ブランドイメージ損失の事態が想定される 例)保有している10万人分の顧客情報管理体制 例)顧客情報が漏洩した場合、 が不十分。管理ミスによる漏えいの危険が高い 10万件数 × 損害賠償単価 = 損失賠償総額 多大な損害に繋がる可能性あり 例)Webサイトリリース時にセキュリティ診断を 例)新たなウイルスによってWebサイト利用者に 実行して以降、数年間は何も対処していない 悪影響を与えるなど損害に繋がる可能性あり 4
Page6

STEP1.リスクの洗い出し② 保有している機密情報の資産価値は? ・保有している機密情報(種類・件数)を把握する ・おおよその資産価値を算出してみる 一人 機密情報 想定 あたり の保有数 資産価値 想定単価 件 × 約 29,768 円 = 機密情報の種類 一人あたりの平均想定 ・□ 姓名 損害賠償額(※)を目安に設定 ・□ 住所 ・□ 電話番号 ※出典:JNSA,2018年 情報セキュリティインシ ・□ メールアドレス デントに関する調査報告書【速報版】 ・□ クレジットカード番号 など 5
Page7

STEP2.脆解決策の検討 リスクに対する解決策は何か? ・リスクを解消できる手段と特徴を洗い出す 01 脆弱性診断サービス 02 脆弱性診断サービス (手動診断) (ツール診断) ・専門性の高いセキュリティのプロによる診断ができる ・コストを抑えることができる ・状況に応じた柔軟な診断ができる ・ある程度の脆弱性診断が可能 ・コストがかかりやすい ・要件に合わせた柔軟な診断は難しい 03 04 WAF 自社内で対処 ・クラウド型WAFなど実用性の高く手軽な手段 ・人的コスト以外は発生しない ・サービスにより性能に差異がある ・一般的な診断基準を満たしにくい 6
Page8

STEP3.実行時期の検討 脆弱性診断の実行スケジュールは? 下記を考慮して、無理のない現実的なスケジュールとする 考慮すべきポイント 1.脆弱性診断の準備期間(情報収集、選定など) 2.診断ボリュームによって完了時期は変動する 3.診断結果を受けて、修正対応の期間を設ける 4.場合によって、リリース時期を調整する 1.準備 2.診断 3.修正 4.リリース 日間 日間 日間 日 7
Page9

STEP4.診断対象の整理① 診断対象の概要情報は? ・サイト名称と詳細 ・現在のサイト状況 診断対象の概要 診断対象を明確にする ・診断対象のサイト名称(またはアプリ名称) サイト名称と詳細 ・種類は、Webサイトなのかスマホサイトなのか ・どのようなサイトか(会員向けサービスサイト など) ※スマホサイトの場合、WebViewによってブラウザから全操作が可能か確認が必要 診断対象のサイトがどのような状況か <主なサイト状況例> 現在のサイト状況 - 運用中(本番環境) 現在、公開しているサイトである - 閉塞中(本番環境) 公開していないサイトである - 開発中(ステージング環境)これからリリースするサイトである 8
Page10

STEP4.診断対象の整理② 診断において必要な詳細情報は? ・機密情報と保有数 ・画面数(ページ数) ・HTTPリクエスト数 ・リクエスト制限 診断対象の詳細 機密情報と保有数 現時点で、保有する機密情報の種類や件数を把握 例) 登録顧客情報 ●●●件 、 クレジットカード情報●●●件 など 画面数(ページ数) 診断対象となるサイトのページ数はどれほどか クライアントがWebサーバへ送信する送信要求数 HTTPリクエスト数 <リクエスト数の確認方法は?> Webサイトの場合「画面数」と「画面遷移しない問い合わせ(*)」で概算可能。 (*の例 「郵便番号から住所を設定」ボタンで画面変わらずにサーバに問い合わせ) 送信要求の制限の有無 リクエスト制限 通常の診断では登録済み情報の更新・削除、多量のデータ投入が生じるため、診断後にはデータの初期化が推奨されます。 もし、運用中の本番環境を用いるなど初期化が難しい場合は、診断対象を限定したり、特別な診断が必要になるケースが あります。 9
Page11

STEP5.ベンダーの選定 診断目的に最適なベンダーは? ・診断対象のリスクが解消できること ・希望条件に合うこと <選定ポイント> ・希望条件に合わせて柔軟に対応可 ・確かな技術力がある ・適正な価格である ・対応スピードが速い ・明瞭な診断結果 ・アフターフォローが充実 など <ベンダー比較チェックの例> 診断結果で Webアプリケーション診 優先 診断レポート 再診断費用は 候補企業名 サービスの特徴 エンジニアによる 断以外のアプリ診断技術 順位 (アウトプット) 含まれるか 修正指示が明確か があるか 診断品質に 細かい修正指示を 1 SHIFTSECURITY 診断の翌営業日 基本料金に含む あり ばらつきがない 診断結果に添付 2 3 10
Page12

APPENDIX
Page13

情報整理フォーマット 診断対象サイト名 診断対象の概要 目的 トップURL 下記のいずれかに☑チェック □ Webサイト 実施内容 診断対象の種別 □ Single Page Application(SPA) □ Rest API □ スマホアプリ 効果 診断対象の画面数 購入時期 リクエスト数 □あり リクエスト制限 ベンダー名 □なし 下記のいずれかに☑チェックを入れてください。 □ 運用中(本番環境) 選定理由 サイト状況 □ 閉塞中(本番環境) □ 開発中(ステージング環境) 予算 □ あり 保有件数: 件 機密情報の有無 □ なし 12
Page14

情報整理フォーマット記入例 当社の 〇〇〇サービスサイト において サイトリニューアル 時点のセキュリティ診断が必要であり、専門業者へ委託 POINT するための費用申請。 目的 当サイトの個人情報保有数は 30万件 、Activeユーザー数は 10万件 である。脆弱性による不正アクセスか ら情報漏えいした場合の損害賠償金額は、 約〇〇億円 と想定される 現在のリスクや想定される影響に言及。 目的 それに対する解決策を明記する。 さらに、企業ブランドイメージ損失も 約〇〇億円 と想定されることから 合計 約〇〇億円 のビジネス損失が発生するリスクが考えられる。 実施内容 そのため、網羅的なセキュリティ診断を実施できる専門業者が必要である 具体的な診断方法を記載する。テスト仕様書がある 実施内容 テスト仕様書「〇〇〇〇〇〇〇〇〇」 に沿ったセキュリティ診断の実施 場合は、仕様書名を明記して添付。 効果 機密情報の漏洩を未然に防ぐ 効果 購入時期 2021年8月31日まで (実行完了を9月30日で想定) 実施することにより 前述したリスクを解決できることを明記 ベンダー名 株式会社〇〇〇〇 選定理由 選定理由 価格、技術、スピード要件を満たすため 何を基準に 委託するベンダーを選定したのかを明記 予算 50万円 13
Page15

情報整理フォーマット記入例 POINT 診断対象サイト名 〇〇〇サービス 基本情報 〇〇サービス利用者向けの会員専用サイト。 診断対象の概要 会員ログイン時にアドレスとPWを入力。 診断対象となるサイトを明確にする。 登録者数は〇〇万人。 その名称や、サイトの目的など トップURL www.〇〇〇.jp リクエスト数の確認方法 下記のいずれかに☑チェック ☑ Webサイト 診断対象の種別 □ Single Page Application(SPA) Webサイトの場合「画面数」と □ Rest API 「画面遷移しない問い合わせ(*)」で概算可能。 □ スマホアプリ 診断対象の画面数 ×××ページ (*の例 「郵便番号から住所を設定」ボタンで画面 変わらずにサーバに問い合わせ) リクエスト数 〇〇〇 ☑あり リクエスト制限 □なし 下記のいずれかに☑チェックを入れてください。 サイト状況 ☑ 運用中(本番環境) □ 閉塞中(本番環境) ☑ あり 保有件数: 10万 件 機密情報の有無 □ なし 14
Page16

ベンダー比較表 診断結果で 優先 診断レポート 再診断費用は Webアプリケーション診断以 候補企業名 サービスの特徴 エンジニアによる 順位 (アウトプット) 含まれるか 外のアプリ診断技術があるか 修正指示が明確か 1 2 3 4 5 6 15
Page17

お問い合わせ 株式会社SHIFT お問い合わせ先 営業本部 マーケティンググループ marketing@shiftinc.jp 16
Page18

17