サイバーセキュリティ & コンプライアンス支援
中小企業向けIT資産管理(ITAM)+IT監査
改革デジタルでは、重要なIT資産の保護や各種法規制対応、デジタル環境全体の積極的なリスク管理を支援しています。
🔐 IT資産管理&IT監査
改革デジタルの「IT資産管理+IT監査」では、2ステップのサービスを通じて散在するIT資産を管理台帳にまとめ、標準化されたプロセスを構築。個人情報保護法(APPI)・ISMS、SOC 2、ISO/IEC 27001(附属書A)・NIST Cybersecurity Framework 2.0等に準拠した実用的なITリスク登録簿を整備し、リスクへの具体的な対処が可能な状態を実現します。
2ステップのアプローチ:
1. IT資産管理(ITAM)
- ディスカバリー:エージェントスキャン+SaaSおよびAPI経由での情報収集+ウォークスルー
- 納品物 : ハードウェア/ソフトウェア/SaaSを含むIT資産台帳、ITAM SOP(標準運用手順書)
2.特定した資産を対象とするIT監査
- 監査範囲と統制基準の設定:NIST CSF 2.0、ISO/IEC 27001 附属書A、個人情報保護法などのフレームワークの選定
- テスト及び検証:サンプルベースの検査(構成、ログ、パッチ、暗号化、バックアップなど)
- 納品物:監査所見、リスク評価、改善計画、監査結果に基づく “生きた” ITリスク登録簿
📜 セキュリティテスト&診断サービス(包括的VAPT)
Web・モバイル・API・クラウド・インフラ全般における弱点を浮き彫りする包括的なVAPT(脆弱性診断・ペネトレーションテスト)を実施。ビジネスインパクトと関連付け、優先度を明確にした修復プランを提供します。
- ネットワーク&インフラの侵入テスト(外部/内部):ペリメータ(境界)、横移動、権限昇格
- Webアプリ侵入テスト:OWASP Top 10/ASVS、認証・セッション、ロジック悪用
- モバイルアプリ侵入テスト(Android/iOS):OWASP MASVS、ストレージ、通信、ランタイム改ざん
- デスクトップ クライアントセキュリティテスト:ローカルストレージ、IPC、アップデートの完全性、DLLハイジャック
- APIセキュリティテスト:OWASP API Top 10、認証/承認、レート制限、インジェクション攻撃
- 無線LAN(Wi‑Fi)診断:不正AP、悪魔の双子攻撃、セグメンテーション、キー管理
- クラウドセキュリティ&侵入テスト(AWS/Azure/GCP):IAM/権限、設定ミス、データ露出;CIS/CSA準拠
- SAST(ソースコードのセキュリティ解析):多言語・フレームワーク対応の静的解析+手動検証による脆弱性検出
- レッドチーム評価:MITRE ATT&CKに基づく攻撃シナリオを用いた検出テスト
- パープルチーム演習:SOC/ブルーチームとの協働による検知・対応力強化
改革デジタルの典型的なプロセス(6〜10週間パス)
- 第0~1週:ディスカバリー&リスク・ワークショップ → スコープ、IT資産、データフローの定義
- 第2~4週:ITAM構築 → IT資産台帳、使用者・責任者、入退社管理、パッチ基準の整備
- 第3~6週:対象資産・アプリケーションに対するVAPT / ハードニング
- 第5~8週:コンプライアンスギャップ評価(ISMS/APPI/SOC 2マッピング)
- 第8~10週:改善スプリント → ポリシーパック、ランブック、訓練(IR/BCP)、取締役会向けサマリーの取りまとめ
- 納品物:IT資産台帳、ITリスク登録簿、ポリシーセット、エビデンスライブラリ、90日改善計画
よくあるご質問
Q1. 中小企業でもNIST/ISMS対応は必要ですか?
→ はい、組織規模が小さくても、適切なスケールに合わせたCSF 2.0プロファイルや必要最小限のISMSを導入することで、大きな効果が得られます。たとえば責任者の明確化、ログ管理、バックアップの定期検証、インシデント対応プレイブックの整備など、基本的な対策を講じるだけでもセキュリティ体制が大きく向上します。(NIST出版物より)
Q2. 個人情報保護法では、侵害時にどのような対応が求められるのですか?
→ 個人情報保護委員会(PPC)への漏えい等の報告に加え、多くの場合は影響を受けた本人への通知も求められます。あらかじめ、判断基準となる意思決定ツリーと、証拠となる履歴や記録を整備しておくことが重要です。
Q3. 監査準備にはどのくらい時間がかかるのですか?
→ 正確なIT資産台帳とリスク登録簿を作成できれば、多くの中小企業は6〜10週間程度で十分な準備が整います。その後は四半期ごとのレビューを通じて体制を継続的に強化していけます。
漠然とした対策から、整然とした統制へ。
IT資産の一元管理、プロセスの標準化、実効性あるセキュリティ対策は、ぜひ改革デジタルにご相談ください。自信をもって監査に臨める体制づくりを支援します。