ケーススタディ 事例3大手プロバイダ企業 セキュリティ品質水準の比較調査
1. お客様と締結したSLAと一般プロバイダとのサービス品質の比較
一般キャリアSLAとのサービスレベルの相対評価
※SLA:Service Level Agreement
対策項目や実施内容の比較
| サービス | 障害時対応 | |||
|---|---|---|---|---|
| SLA規定内容 | 対策(実現方式) | |||
| 一般 | A社 | 一般プロバイダ | A社 | |
| Aサービス | 2時間 | 120秒 | コールド スタンバイ |
High Availability (HA)構成 |
| Bサービス | 4時間 | 20分 | 予備機 | RAID、日次 フル バックアップ |
2. FISC/ISMS評価項目毎の実現内容の比較
SLAを満たすために実施している対策内容の評価
FISC、ISMSから抽出した
評価項目ごとの実現内容と一般レベルとの比較
| 大項目例 | データ保護 | 不正使用防止 | ソフトウェアの信頼性向上 |
|---|---|---|---|
| 中項目例 | 漏洩防止 | 検知策 | メンテナンス時の品質向上対策 |
| 小項目例 | 伝送データの漏洩防止策 | 不正アクセスの監視機能 | 定期的変更作業時の正確性確保 |
| 一般プロバイダ の実現レベル |
SSLによる 暗号化を施す |
不正アクセスを検知するためにIDSを導入し検知、監視する | 作業の標準化をおこない、手順化して管理する |
| A社の 実現レベル |
独自暗号化方式でおこなっている | IPSとTripwireを導入し、検知・ 遮断・監視している | 運用マニュアルとして手順化されている |
3. 実現レベルのリスク分析
現状のセキュリティ対策レベルにおいてリスクがどのくらい存在するかの分析
| 脅威 | 記録媒体持ち出し | 認証情報の漏洩 |
|---|---|---|
| セキュリティ 対策 |
|
|
| A
社の実現 レベル |
ビルの入館管理は、 実施しているが、 ラテラルの管理をしていない |
|
- 脅威シナリオの洗い出し
- スタンダード、プロシージャの分析
- 過度の管理や実施手順の洗い出し
適正な実現レベルに対する過剰投資を明らかにし、
コスト削減を実現
プロジェクトのテーマ
システム開発や運用上の投資対効果の妥当性検証
重要な情報資産に対して現状どのようなセキュリティ対策が、どの程度実現できているかを組織毎に把握することにより現状の残存リスクを明らかにし、今後とるべき対策を導き出す。
