セキュリティアセスメント

サイバー攻撃の脅威はどのような企業であっても当たり前に対策しなければいけない状況になっています。しかしながら情報セキュリティ対策を効果的に実施することは難しく、目につく部分に偏り本当にとるべき対策が何かを見失いがちです。セキュリティアセスメントは、脅威と実際に取られている対策を洗い出し、ガイドラインと比較してとるべき対策を見つけ出す、現状の対策状況を評価する活動です。

DXCテクノロジーは、セキュリティアセスメント活動を通じて、必要なセキュリティ対策を明らかにするための支援をいたします。

ゼロトラストアセスメント

近年では従来からの境界型防御だけではサイバー攻撃から防御できない状況となっており、「ゼロトラスト」という概念が提唱されました。​その名の通り「全てを信頼しない領域」とし、守るべき「データ」へのアクセスを「全て信頼しない」ことにより、全ての通信に対して検知や認証を行うことで実現する情報セキュリティの考え方です。ただし、取り組みが難しい概念であり、多くの企業でどのように取り組むかが課題となっています。

DXCテクノロジーのゼロトラストアセスメントは、お客様の課題や環境にあわせてセキュリティ成熟度を把握し、経営陣への報告ができるように要約し、その後の施策の進捗が把握できるようなアセスメントシートにまとめることが特徴です。

アピールポイント

• 従来の境界型防御では防げなかった事象への対策が具体化できる
  
• ゼロトラストの実装を効果的に行える
• セキュリティ対策状況が網羅的かつクイックに確認が可能になる

グローバルセキュリティガバナンス

グループ会社と社内業務やシステムの連携を行っている場合、グループ会社の情報セキュリティ対策の不備がサイバー攻撃の対象となり、グループ全体に波及する重大なセキュリティインシデントに発展することがあります。

国内および海外のグループ会社を含むグループ全体でセキュリティガバナンスを実施するには、単なるセキュリティの「施策」だけでなく、経営層のコミットメント、本社とグループ会社の一体化、地道なPDCAサイクルといった「しかけ」が必要です。

本サービスは、戦略策定にとどまらず、実際のセキュリティ運用やSOC支援まで担ってきたDXCテクノロジーの経験を活かした、グローバルセキュリティガバナンス整備サービスです。海外法人・子会社を含む現場の実態を踏まえ、HQ主導の方針・ルール・役割を具体化。机上論ではない、実運用に定着するグローバルガバナンスの確立を支援します。

アピールポイント

• グループ会社のセキュリティ対策状況、課題を標準フレームワークに基づいて可視化
• 顕在化した課題をもとに作成したポリシー策定や施策等のソリューションを、優先度をつけロードマップ作成
• ロードマップをもとに、効果的かつ効率的なスケジュールでソリューションを実施

本サービスの特徴

• セキュリティ推進体制の整備：対象会社のセキュリティ規程およびセキュリティ運用状況を調査の上、課題を明確化。目指す姿、ロードマップの策定
• 共通セキュリティポリシーの策定：NIST CSF 2.0およびISMS等ガイドラインベースでグループ共通ポリシーの策定
• グループ共通ITインフラの展開計画：NIST CSF 2.0およびISMS等ガイドラインベースでツール評価。セキュリティインフラ展開支援
• グローバルセキュリティ運用の推進：インシデント対応フローの確立、平時のセキュリティ運用などグローバルでのPDCAサイクルの確立

サイバー成熟度レビュー（CMR）

最新の脅威に対する対策状況の成熟度を評価します。業界別のグローバルな評価軸に基づき、国際規格や各種のベストプラクティスをベースとしたスコアリングを行い、Cyber Reference Architectureを活用した改善ロードマップを策定します。

DXCテクノロジーは、情報セキュリティ対策状況を可視化し、同業他社との比較を可能にし、結果をロードマップに落とし込む支援を行います。

アピールポイント

• 同業他社と比べて情報セキュリティ対策がどの程度進んでいるか比較できる
• 対策状況の今と目標を視覚化し、どの領域の対策を強化するべきかが明確になる
• 改善ロードマップが策定されるため対策の着手が容易になる

WP29 CSMS(UN-R155 Annex5)リスクアセスメント

自動車会社での法規基準(WP29)への準拠には、多岐にわたる対応が必要となります。CSMS(UN-R155 Annex5) 対応を行うためのご支援として、バックエンドのシステムに対しての要求事項を要件としたリスクアセスメントを実施し、 CSMS認証取得に向けての課題を明確化します。また、バックエンドシステムに対してのCSMS認証取得に向けた提言を行うことが可能です。

アピールポイント

• お客様のシステム構成情報を元にWP29対象となるシステムを特定し、リスクアセスメントを実施する
• 今後どのような取り組みが必要か推奨事項とロードマップ（案）が得られる
• バックエンドシステムに対するアセスメントを実施することで、専門家による評価が得られる

グローバルSIEM/SOCアセスメント

グローバル企業において、グローバルに点在するSIEM/SOCが個別に管理されているため、セキュリティレベルの低い拠点に対して、攻撃者が侵害するリスクがあります。またグループ全体として運用が複雑になり、また多数のベンダーが混在するため、余分なコスト発生している可能性があります。

DXCテクノロジーは、戦略策定からSOCの構築・運用までをEnd to Endで支援してきた経験を有しています。その知見を活かし、机上論ではなく実運用に根ざしたアセスメントにより、グローバルSOCの本質的な課題と優先順位を明確化します。あわせて、実行可能な改善施策とロードマップを提示します。

アピールポイント

• SOCのグローバル統合にむけて各拠点のSIEM/SOCの状況を評価し、リスク・課題の洗い出し、またSOAR・自動化等の品質向上、コストダウンにつながる将来構想も踏まえてロードマップ作成
• SIEM/SOCの統合に伴うセキュリティレベルの向上（取得ログの適正化、プロセス見直しにより迅速な有事対応、運用の効率化等）※
• システムやベンダーの見直しによるコストやリソースの効率化　※

※アセスメント後の施策実施による効果

デバイス情報漏洩対策アセスメント

デバイス利用の多様化により、管理対象や利用状況が分散し、情報漏洩リスクを見落としやすくなります。本アセスメントでは、国際的なセキュリティ基準に基づき、PCおよびスマートデバイスにおける設定、運用、管理プロセスを網羅的に評価します。デバイス起因のリスクを可視化し、優先度に基づく対策とロードマップの策定を通じて、実効性のあるデバイスセキュリティ強化を実現します。

本サービスの特徴

• 複数の国際セキュリティ基準を活用：単一のガイドラインに依存せず、CIS ControlsやISO/IEC27002、NIST CSF、GDPRなど複数の国際基準を踏まえ、デバイスに特化した専門的かつ実務的なチェック観点に整理しています。
• PC・スマートデバイスに特化した実践的アセスメント：PC・スマートデバイス特有のリスク（端末紛失、ブラウザ・メーラー利用、外部記憶媒体利用、設定不備 等）に着目し、網羅的なチェックシートを用いて評価します。

IDセキュリティリスク可視化アセスメント

複雑化・分散化したID管理は、情報漏えいリスクの見落としにつながります。本アセスメントでは、NIST CSFやCIS Controlsなどの国際的なセキュリティ基準に基づき、ID管理・特権ID・アクセス制御の管理状況を網羅的に評価します。自社のIDリスクを正確に把握し、近年増加するマルウェア攻撃や不正アクセスに強いセキュリティ体制の実現へ確実につなげられます。

本サービスの特徴

• 分散IDの可視化：どのIDがどこで使われているのか、潜在的に危険なアカウントはどれかを見える化します。
• 国際標準に基づく診断：NIST/CIS等の国際的に確立されたセキュリティフレームワークに基づき、ID管理・特権ID・アクセス制御などの重要項目を網羅的にチェックします。
• リスク優先度整理：すぐに対応すべき重要リスクを明確にし、取り組み優先度を判断しやすい形で提示します。
• 改善ロードマップ提示：まず取り組むべきことから、中期的に目指す姿までを示したロードマップを作成します。

セキュリティチェックのクラウド化コンサルティング支援

企業内で求められる各種セキュリティチェック（グループ会社・委託先・クラウド利用・BPチェック）は、Excel管理では煩雑化し運用負荷が高まります。本サービスでは、必要なチェックルールの策定からクラウドツールによるプロセス一元化までを包括的に支援します。また、クラウド化することにより、申請〜評価〜管理の運用を効率化し、統制強化とガバナンス向上を同時に実現します。

本サービスの特徴

• Excel管理からの脱却：Excelやメールで分散しているセキュリティチェック（グループ会社／委託先／クラウド利用／BPチェックなど）をクラウド化し、申請・回答・承認・リスク評価・管理までの一連の流れを ひとつの仕組みで統合します。属人化しやすい運用を標準化し、チェック漏れ防止・作業工数削減・監査対応の迅速化を実現します。
• クラウドで一元管理：チェック回答、証跡、評価状況、過去の判断履歴などをクラウド上で集約し、セキュリティ部門が必要とする情報をリアルタイムで可視化します。対象ごとのステータス確認・進捗管理・リスク有無の把握が容易になり、従来のExcel管理では難しかった 迅速で正確な全体把握が可能になります。
• ルール・チェック項目の策定支援：企業が実施すべきセキュリティチェックについて、対象ごとの特性に応じてチェック項目・判断基準・運用プロセス・申請フロー を体系的に整備します。“何をチェックすべきか”が曖昧な組織でも、ゼロからルールを構築し、社内で継続運用できるガバナンス基盤を構築します。
• 運用・リスク評価までサポート：回答内容をもとに、生成AIを活用しリスク評価やコメント作成、レポート化 まで支援します。人手不足でチェック内容の精査や判断が追いつかない組織でも、一定品質のリスク評価を継続的に提供し、セキュリティ部門の負荷を大幅に軽減します。運用代行としてだけでなく、担当者の判断力向上にも寄与する伴走型支援です。

経済産業省 サプライチェーン対策評価制度 認定取得支援

サプライチェーンに起因するセキュリティリスクへの対応は、企業にとって重要な経営課題です。経済産業省が進めるサプライチェーン対策評価制度は、取引先に求めるセキュリティ対策水準を可視化する仕組みです。今後、取引条件やグループ統制の要件となる可能性があります。当社は、本制度の認定取得に向けて、現状評価から改善計画の検討までを支援します。

こんな課題はありませんか？

• 親会社から「★3」取得を求められたが、進め方がわからない。
• 顧客から取引条件として「★4」の取得を求められたが、現行のセキュリティ対策では要求水準に届かないと感じている。
• グループ各社に対して「★3」以上の取得を指示する方針であるが、各社で人材不足により対応が進まず、認定取得の遅延が懸念される。