情報セキュリティ対策支援
情報を守ることは、事業の信頼を守ること。
組織の規模や段階に応じて、無理なく続けられるセキュリティ体制を整えます。
OVERVIEW
大きな仕組みをつくるのではなく、
続けられる形を整えます
セキュリティ対策は、一度整えれば終わるものではありません。規程をつくっても、実際の業務で使われなければ意味を持たず、時間とともに形骸化していきます。ともえぎは、国が推進するSECURITY ACTIONへの対応を起点に、組織の規模や段階に合わせて、無理なく続けられる体制づくりを支援します。
- SECURITY ACTION対応(自己宣言制度の活用)
- セキュリティポリシー・規程文書の策定
- リスクアセスメントの実施
- 従業員向けセキュリティ教育の設計
- インシデント対応の手順づくり
SERVICE
取り組みの段階に合わせて、以下のような領域で支援します。
セキュリティ診断・現状把握
現在の体制、運用状況、リスクの所在を整理します。何から始めればいいか分からない段階でも、まず現状を把握することから進められます。
SECURITY ACTION対応
独立行政法人情報処理推進機構(IPA)が推進するセキュリティ対策の自己宣言制度です。中小企業が最初に取り組みやすい枠組みとして、一つ星・二つ星の宣言に向けた要件整理をサポートします。
セキュリティポリシー・規程文書の策定
組織の方針を明文化し、運用に使える規程として整えます。形だけの文書ではなく、実際の業務で参照できる粒度と内容を意識して設計します。
リスクアセスメントの実施
組織が扱う情報や利用しているシステムを洗い出し、想定されるリスクを整理します。そのうえで、優先度の高いリスクから対応方針を決めていきます。
従業員向けセキュリティ教育の設計
組織の規模や業務内容に合わせた教育プログラムを設計します。年次の集合教育から、日常業務で使える簡易なチェックリストまで、形式は相談のうえで決めます。
インシデント対応の手順づくり
情報漏えいや不正アクセスが起きたとき、誰が何をするかを事前に決めておきます。実際に起きたときに迷わず動ける、実務的な手順を整えます。
PRINCIPLES
続けられる形を、最初から設計する
大掛かりな仕組みは、時間とともに形骸化します。ともえぎは「運用してみたら使われなかった」を防ぐため、組織の規模や業務の流れに合わせた、無理なく続けられる体制を設計します。
規程は、使われる文書として整える
規程文書は、読まれ、参照され、判断のよりどころになって初めて機能します。形式を整えるだけでなく、実際に使われる粒度・表現で整えることを優先します。
知識の差を、埋めていく
情報セキュリティは、専門用語が多く、依頼する側が判断しにくい領域です。対策の必要性や選択肢を、専門用語を避けて説明し、一緒に判断できる形で共有します。
段階を踏んで、無理なく進める
完璧な体制を一度に作ろうとせず、現状から一歩ずつ進めます。SECURITY ACTIONから始め、リスクアセスメント、教育と、組織の成熟度に合わせた段階設計を行います。
FLOW
ご相談から運用まで、セキュリティ対策は次の流れで進めます。
ヒアリング
現在の体制、これまでに取り組んできたこと、不安に感じている点を、専門用語を避けながらお伺いします。
現状の整理
業務でどのような情報を扱っているか、どこに保管されているかを整理します。何から始めるべきか、どこに優先度があるかが、この段階で見えてきます。
方針のご提案
どこまでの範囲で、どのような順序で進めるかをご提案します。SECURITY ACTIONから始めて段階的に進める方針、特定の領域を優先的に整える方針など、組織の状況に合わせて複数の選択肢をお示しします。
整備・導入
合意した方針に基づいて、規程の策定、教育資料の作成、手順書の整備などを進めます。作業中に気になる点が出たら、その都度相談しながら対応します。
納品・継続支援
整備した規程や手順書をお渡しし、運用に入ります。セキュリティ対策は一度整えれば終わるものではないため、定着状況の確認や見直しは、相談のうえで継続的に支援します。
OTHER SERVICES
セキュリティ対策をご検討の方へ
セキュリティ対策に関するご質問や、何から始めればいいか分からない段階でのご相談でもお気軽にお寄せください。
状況を伺ったうえで、無理なく続けられる進め方をご提案します。