NEC、「サイバーセキュリティ経営の実践」を踏まえたセキュリティ対策支援サービスを開始：IPA策定の重要項目を網羅し、サービスを体系化

NECが企業のセキュリティ対策を支援するコンサルティングサービスの提供を開始。管理体制、製品の安全な開発や運用プロセスの整備、提供体制など、IPAが策定した重要10項目を網羅して提供する。

[＠IT]

サイバーセキュリティ経営ガイドライン

　NECは2017年2月21日、「サイバーセキュリティ経営の実践」を踏まえた、新たなセキュリティ対策支援コンサルティングサービスを開始した。

　同サービスは、経済産業省とIPA（情報処理推進機構）が2015年12月に策定した「サイバーセキュリティ経営ガイドライン」に沿い、企業の経営者が、「会社としてセキュリティ対策を実施する責任者に指示すべき」とする重要10項目を網羅した上で、各種のコンサルティングサービスを体系化して提供するもの。例えば、「サプライチェーンのビジネスパートナーを含めたセキュリティ管理体制をどう構築すればよいか」「IoT（Internet of Things）時代を見据えて、より安全なものづくりの体制を構築するには何が必要か」といった課題解決を支援する。

　サービスメニューは以下の通り。

サービスメニュー一覧

　「リスクアセスメントサービス」は、ITシステムや制御システムへの脅威分析やリスクの影響度に応じた対策立案の支援を行うもの。これまでNECが自ら実施してきた、サイバーセキュリティ経営ガイドラインへの対応実績を基に作成したチェックリストを用い、体制、運用、技術の観点でリスクを可視化する。優先順位や効果を考慮した上で適切な対策の立案と実行を支援できるという。

　「サイバーセキュリティアドバイザリーサービス」は、セキュリティ人材のリソース不足を課題とする企業のCISO（情報セキュリティ最高責任者）やCIO（最高情報責任者）、その補佐役に向け、セキュリティ専門家による情報提供や課題ヒアリング、対策アドバイスなどを行う。

　「体制・仕組み構築支援サービス」では、サプライチェーンなども含めた全社的なセキュリティ管理体制の構築や、CSIRT（Computer Security Incident Response Team：コンピュータセキュリティインシデントに対応するための専門チーム）／PSIRT（Product Security Incident Response Team：製品セキュリティインシデントに対応するための専門チーム）の設置を計画する企業に向けて構築ノウハウを提供する。

　その他に、セキュリティ対策方針の見直しや整備を支援する「ポリシー策定支援サービス」、アプリケーション、OS、ミドルウェアなどに潜伏する脆弱（ぜいじゃく）性を洗い出し、問題点や対策点を提示する「脆弱性診断サービス」、演習を通じてセキュリティ対応力の向上を支援する「教育／人材育成支援サービス」、ISMS（Information Security Management System：情報セキュリティマネジメントシステム）やISO/IEC 15408などのITセキュリティ評価基準認証の取得を支援する「認証取得支援サービス」を用意する。

　価格はリスクアセスメントサービスの場合で、200万円（税別）から。