 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
シマンテック、企業のセキュリティ状況を総合的に評価するサービス |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
STSAは、情報セキュリティ向上の第一段階である事前評価を行うサービス。同社コンサルティングサービス部シニアマネージャの松田義巳氏は、「情報セキュリティの評価には、セキュリティ運用、従業員のセキュリティ意識、情報システムの3つの観点が必要だが、従来これらは別々に評価され、個別に対策を実施していた」と、総合的な判断が不十分であったと指摘。「今回提供するSTSAは、こうした情報セキュリティの3つの観点に基づいて総合的に評価を行うサービス」と説明する。 STSAでは、1)情報セキュリティ運用評価、2)情報セキュリティ意識評価、3)情報セキュリティシステム評価、の3つの評価を元にエグゼクティブ・サマリーと個々の詳細レポートを作成、総合的な情報セキュリティの評価結果と改善策を提示する。なお、情報セキュリティ運用評価と情報セキュリティ意識評価は、株式会社OSKのサービスを利用して提供される。 情報セキュリティ運用評価は、アンケート形式の「情報セキュリティ確認シート」を用いて、セキュリティの運用状況を評価するもの。ISMS認証基準やコンピュータ不正アクセス対策基準、コンピュータウイルス対策基準、情報システム安全対策基準、ISPME(Information Security Policy Made Ease)などの基準やガイドラインを取り入れたチェック項目(550以上)によって、一般的な情報セキュリティ運用の強度を示すとしている。 情報セキュリティ意識評価は、利用者の情報セキュリティ意識を評価するもの。OCRを用いたアンケート(50問)によって、「情報セキュリティ基本意識」「情報管理意識」「情報システム利用意識」の3つのフレームに分けた分析・評価が行われる。OCRを使う理由について松田氏は、「Webでのアンケートは意外に回答率が低い。紙を使ったほうが確実に回答していただける」ためと説明する。 情報セキュリティシステム評価は、同社のセキュリティ管理ツール「Symantec Enterprise Security manager」を用いて、OSのセキュリティ設定を評価するもの。アカウントの完全性や、パスワード強度、ファイル整合性、ネットワーク整合性、パッチ適用状況などの評価を行うとしている。金融機関等のシステム監査指針(FISC)やISMS認証基準Ver.2(JIPDEC)、個人情報保護法、同社独自テンプレートなどの評価テンプレートを使用してコンプライアンス的な評価が可能となっている。 同社では、STSAを従業員数1000名以上の規模の企業を対象に提供するとしている。「規模の小さい会社では、互いに声をかけあって対応できる。また、巨大企業はトップダウンで情報セキュリティが整備されている。1000名以上の規模の企業が、部署の縦割りなどによって情報セキュリティ対策が難しいゾーンになっているのではないか」と、情報セキュリティ対策を必要とする企業が多くいると分析している。 価格は個別見積もりで、従業員数5000名、サーバー30台規模の場合で700万円程度としている。なお同社では、今年度末までに10件程度のサービス提供を目標としている。 ■ URL シマンテック株式会社 http://www.symantec.co.jp/region/jp/ ■ 関連記事 ・ シマンテック、中小企業を対象とした脆弱性診断サービス(2005/09/15)
( 福浦 一広 )
|
