内部監査 Security/IT Audit
- トップ
- >
- 内部監査
情報セキュリティ監査 - Security Audit
情報セキュリティ監査の概要
ISMS内部監査や、外部委託先監査など、組織の目的に応じた情報セキュリティ監査を支援いたします。
経験豊富な有資格者による外部監査によって監査対象との独立性を保ち、また潜在的なリスクへの改善(是正、予防処置)の機会を得ることが可能となります。
特徴
監査とひとことに言っても、下表のように様々な評価、監査があります。
これらの監査を的確に行う、または監査を受ける場合も適切に対応できることは、情報セキュリティレベルを高めるばかりでなく、企業の信用、信頼そして、ビジネス価値をも高めるものです。
自己評価 |
自社の情報セキュリティ対策の有効性や実施状況を自主的に確認すること 結果は社内で改善のために用いられる |
---|---|
第1者監査(内部監査) |
自己評価とほとんど同じだが、専門性、客観性の高い評価を行うこと。 場合によっては、外部の専門家を監査チームに入れる場合もある。 |
第2者監査 |
事業場の取引において、セキュリティ要求が満たされているか、相手方を評価すること。 一般的に購買者が調達先を監査する場合を指す。 |
第3者監査 | 対策の導入や運用に関与していない、また、ビジネス上の関係においても独立の立場の専門家による客観的評価を行うこと。 |
・監査有資格者による支援
情報セキュリティの分野では、情報セキュリティ事件、事故のリスクが高まっているため、スキルの高い監査人による監査が求められています。
ICTにおける情報セキュリティ技術から情報セキュリティマネジメントまで幅広い知見と資格を有する監査人が、貴社の情報セキュリティ評価、監査を監査、被監査者の立場で支援します。
・ITセキュリティ対応
情報セキュリティ(マネジメント)監査はともすれば、情報通信技術の対策や運用の結果に対する評価が不順分なケースが見うけられます。
このサービスでは、情報システム監査、サイバーセキュリティ検査などと連携をとり、総合的に監査をするため、「リスク対応計画はできているけれど、対策がそのとおり実施されていない」とか、「情報セキュリティ対策は多数導入されているけれど、肝心なところが対策されていない」といったことは無くなります。
・日英対応
情報セキュリティ監査は、とりわけ、国際取引において要求されるケースが増えてきています。
その際、監査基準、チェックリスト、監査実施におけるコミュニケーション、監査報告文書といったものが英語となることがほとんどです。
このような場合、通訳をつけることは多額の費用が発生するばかりでなく、通訳に専門性が無ければ適切でタイムリーなコミュニケーションに支障をきたすことになります。
このサービスでは必要に応じて、英語も対応可能なプロフェッショナルがご支援いたします。
想定するお客様
- ・上場準備のため内部統制の一貫でセキュリティ状況を把握したい事業者様
- ・ステークホルダー(株主、お客様等)より、情報セキュリティ監査レポートを求められている事業者様
- ・所管省庁、業界によるセキュリティ基準、規格の順守を求められている事業者様
- ・同業他社にてセキュリティ事件、事故が発生し、現状の対策が不安な事業者様
スケジュール
監査の種類、範囲、基準等によって、スケジュールは変動します。
費用
個別にお見積りいたします。お見積は弊社お問い合せページよりご依頼ください。
関連サービス
情報システム監査 - IT Audit
情報システム監査の概要
ITガバナンスSMS内部監査や、外部委託先監査など、組織の目的に応じた情報セキュリティ監査を支援いたします。
経験豊富な有資格者による外部監査によって監査対象との独立性を保ち、また潜在的なリスクへの改善(是正、予防処置)の機会を得ることが可能となります。
関連する監査制度、監査基準には以下のようなものがあります。
- ・システム監査基準(経済産業省 平成16年10月8日改訂)
- ・金融機関等コンピュータシステムの安全対策基準(公益財団法人 金融情報システムセンター 平成27年)
特徴
想定するお客様
- ・上場準備のため内部統制の一貫でセキュリティ状況を把握したい事業者様
- ・ステークホルダー(株主、お客様等)より、情報セキュリティ監査レポートを求められている事業者様
- ・所管省庁、業界によるセキュリティ基準、規格の順守を求められている事業者様
- ・同業他社にてセキュリティ事件、事故が発生し、現状の対策が不安な事業者様
スケジュール
監査の種類、範囲、基準等によって、スケジュールは変動します。
費用
個別にお見積りいたします。お見積は弊社お問い合せページよりご依頼ください。
関連サービス
サイバーセキュリティ検査 - Cyber Security Inspection
サイバーセキュリティ検査の概要
すべての公開サイトには安全性確認が求められている時代です。
SQLインジェクション、クロスサイト・スクリプティング、ディレクトリ・トラバーサル…、業種、規模の大小、有名無名関わらず、公開サーバーは常に世界中から悪意を帯びた攻撃にさらされています。
特にホームページ上のフォームから個人情報などを入力してサーバーに送信するようなページを持つサイトは、サイトの改ざんやサーバーからの情報漏えい、アクセス者のフィッシングサイトへの不正誘導など実害にも結びつき、サイト閉鎖や損害賠償などのリスクも無視できません。
このような恐ろしいWebへの攻撃も、基本的なセキュリティ対策を怠らなければかなりの程度防ぐことができます。
当サービスは、情報セキュリティ監査の一環として、中小のビジネスサイトを対象に低価格で手軽に受けられるWebの健康診断です。
Webアプリケーション脆弱性診断の特徴
1. 一般的なWebサイトに求められる既報セキュリティ項目を診断
独立行政法人 情報処理推進機構(IPA)による「安全なウェブサイトの作り方」別冊の『ウェブ健康診断仕様』やOWASPトップ10などを参考に、独自項目を加えて、一般的なWebサイトのセキュリティ確保に最低限必要とされる項目を網羅しています。
2. 専門技術者による人的な診断でリスクに応じた調査を実施
ツールによる自動診断とは異なり、国内提携企業の技術者による人の目を通じた診断ですので、対象サイトの用途やターゲット、運用等を考慮しリスクに応じた効果的な診断を行います。
意図的な攻撃だけでなく誤操作のリ スクも考慮します。
3. 公的資格保有者による報告書の提供
当サービスはISMS審査員、情報セキュリティ監査員などの資格保有者によって報告書が作成され、提供します。
よって、ISMSやSEO、経営の観点からの安全に配慮したWebサイト有効活用のアドバイスを行います。
主な診断項目(基本診断項目)
SQL インジェクション | HTTP ヘッダ・インジェクション |
クロスサイト・スクリプティング | 認証 |
CSRF(クロスサイト・リクエストフォージェリ) | セキュリティ管理の不備 |
OS コマンド・インジェクション | 認可制御 |
ディレクトリ・リスティング | パスワードポリシー |
メールヘッダ・インジェクション | フォームの脆弱性 |
ディレクトリ・トラバーサル | Cookie の脆弱性 |
強制リダイレクト | 非公開ファイルの閲覧 |
※ソースレベルで検証を行うより精度の高い上位診断コースもございます。
サービス提供の流れ
1 | 1.お申込み |
当社のお問い合わせフォームなどから Web セキュリティ診断希望の旨お申し出ください。 折り返し詳細確認のご連絡を差し上げます。 |
---|---|---|
2 | 2.ご契約 |
対象サイトの規模、仕組みなどを確認のうえ、正式見積り致します。 また事前調査が必要な場 合は NDA(秘密保持契約)を締結のうえ、作業を致します。 見積もり金額、内容、納期などにご同意頂きましたら正式契約のうえ、作業に入らせて頂きます。 |
3 | 3.診断準備 |
診断にあたって必要な情報(URL、サーバースペック、ログイン情報等)をご提供頂きます。 これらの情報を元に診断準備をさせて頂きます。 |
4 | 4.診断実施 |
Web 診断自体はリモートサイトより、ネットワーク経由で実施します。 現地調査やインタビューなどで訪問が必要な場合は別途ご契約となります。 |
5 | 5.報告書作成 |
診断結果を元に報告書を作成します。 報告書は標準形式の他、お客様や報告先のご希望にそった書式での作成、提出も可能です。 ご提出は原則 PDF 形式での送付となりますが、紙でのご提供も可能です。 尚、訪問での報告会実施は別途御見積となります。 |
6 | 6.改善支援 |
診断結果に基づき修正、改善を実施された場合、原則として1ヶ月間は再診断を無料で行います。 (ページ数、内容に制限が有り)。 また、御質問にも随時対応致します。 |
想定するお客様
- ・公開Webアプリケーションを開発している事業者様
- ・個人情報や機微な情報をWebサイトから入力、あるいは更新可能なサービスを提供する事業者様
スケジュール
対象サイトの構成、ページ数などによって診断期間が数日~数週間に変わります。
費用
対象サイトの構成、ページ数などによって費用が変わります。
お見積は弊社お問い合せページよりご依頼ください。
関連サービス
・ペネトレーションテストサービス