(株)シマンテックは7日、地方公共団体向けのセキュリティーコンサルティングサービスとして、“情報セキュリティ実施手順作成支援サービス”を7月1日から提供すると発表した。価格は100万円(案件ごとのカスタマイズについては別途費用がかかる)。
 |
|---|
| “情報セキュリティ実施手順作成支援サービス”の概要 |
同サービスは、地方公共団体における情報セキュリティー施策の推進に向けた、具体的なセキュリティー対策の実施事項が書かれた“実施手順書”の作成について、同社がコンサルティングを行なうというもの。サービスには、“実施手順策定マニュアル”“実施手順項目リスト”“実施手順テンプレート”およびオンサイト・トレーニングが含まれる。
 |
 | |
|---|---|---|
| “実施手順項目リスト”の概要 | “実施手順策定マニュアル”に基づいた実施手順作成/トレーニングの流れ |
総務省が提示している“地方公共団体情報セキュリティ管理基準”に基づいて作成された約400項目の“実施手順リスト”をベースに、“実施手順策定マニュアル”の手順に従って、質問に回答していく形式で対象となるシステムの構成や機密度などに応じて“実施手順テンプレート”を調整し、最終的な“実施手順書”を作成する。
同社によると、総務省の“地方公共団体情報セキュリティ管理基準”の内容は抽象的なもので(基準はあるが実施に向けたガイドラインはない状態)、これを遵守するには、具体的な実施プランの作成が必要だという(※1)。しかし、地方公共団体では情報システムの選任担当者がいない場合もあり、具体的な実施手順が未整備なケースも多いという。同社では、地方公共団体からの具体的な実施手順の作成に対するニーズに対応するとともに、サービス費用を一定にすることで予算も立てやすくしているとしている。
※1 たとえば、パスワードの管理/運用について、総務省の基準の中では“パスワードの長さは十分な長さとし、文字列は想像しにくいものとすること”とのみ記述されているが、同社のサービスで作成する手順では、“責任の所在”を明確にする(“システム主管課長はパスワード管理において、文字列の条件を~~のとおりとすること”と明記)とともに、具体的な規定(“ユーザーIDと同一文字列や同一文字列の繰り返しの禁止”“英字と数字の両方を含むこと”“8文字以上とする”など)を定めるという。 |
 | |
|---|---|---|
| コンサルティングサービス部 シニアマネージャの兜森清忠氏 | 今回発表された新サービスの位置付け |
この日の発表に併せて開催された記者説明会で新サービスの説明を行なった同社コンサルティングサービス部 シニアマネージャの兜森清忠(かぶともり きよただ)氏によると、今回の新サービスは、情報セキュリティー対策のライフサイクル(策定→導入→運用→評価/見直しのライフサイクル)のうち、特に“策定”に重点を置いたものとなっているが、同社では今後、“運用”(セキュリティー情報提供)、“導入”(教育サービス)、“評価/見直し”(情報セキュリティー監査)などの強化を行ない、総合的な情報セキュリティー対策支援の確立を目指すと述べてる。
 |
 | |
|---|---|---|
| セキュリティサービス事業部 日本/アジアパシフィック地域担当事業部長、マイルス・バートン氏 | シマンテックのセキュリティーサービスの概要と重視ポイント |
この日の記者説明会で、新サービスの説明に先立って同社のセキュリティーコンサルティングサービス全般の概要について説明した、セキュリティサービス事業部 日本/アジアパシフィック地域担当事業部長のマイルス・バートン(Miles Burton)氏によると、シマンテックのセキュリティーコンサルティングでは、多くのセキュリティー項目のうち、“基盤”“アプリケーション”“運用”“組織”の4点を特に重視したサービス展開を行なっているという。各重視ポイントにおける目標や取り組み、提供サービスは以下のとおり。
- “アプリケーション”
- 重要なビジネスデータ、取り引きの整合性の確保
- アーキテクチャー設計、セキュアーコードレビュー、セキュアーシステムの構築ライフサイクル、など
- “基盤”
- 企業が信頼できるシステムの実現支援
- ネットワーク方針/設計/構築、ネットワーク脆弱性評価、OSの要塞化、など
- “運用”
- 確実な事業継承の確立
- 情報セキュリティーポリシー/運用規定、インシデント再発防止対策、インシデント対応チームの整備
- “組織”
- 組織末端までの教育および責任感の育成
- セキュリティー戦略、組織全体の認識(教育サービス)
