ITシステム セキュア設計支援

ITシステムへの適切なセキュリティ設計・設定の導入によるセキュリティリスクの低減

サービス概要

【ビジネス要件とセキュリティ要件を両立したシステム開発の実現を支援】

インフォセックのITシステムセキュア設計支援コンサルティングでは、情報システム開発ライフサイクル(information system development life cycle: SDLC) における "計画・要件" から "詳細設計"の各工程において、ビジネスの要件を満たしつつ、セキュリティを情報システムに組み込むための支援、あるいは設計書のレビューを行います。
SDLCの早い段階からセキュリティを組み込めば、情報システム運用後にセキュリティを追加するよりコストが少なくて済みます。

サービス概要

特長

【多彩な専門家による多面的なアプローチ】

守るべき資産を確実に守るため、計画的かつ多層的なセキュリティを合理的に施すため、あるいは開発の手戻りを極力減らすためにも、 SDLCの各フェーズにおけるセキュリティレビューは大変効果的であるといえます。
本サービスにはCISSP取得者、 ISMS審査員、脆弱性診断技術者、大規模システム開発経験者など多彩な専門家が参加しており、多面的なアプローチによって実施されます。

【豊富な経験に裏付けられた現実的な対策を支援】

情報セキュリティに関するトータル・ソリューションを提供する企業として、豊富な実績に基づく現実的なセキュリティ対策を支援します。弊社およびパートナーの取り扱い製品の適用による網羅性の高いセキュリティ対策の支援にとどまらず、情報セキュリティ全般にかかる知見から対象システムに必要となるセキュリティ対策について助言いたします。
ネットワーク構成設計やアクセス制御設計(ACL)、アクセス権限設計(認証・認可)等、汎用的なセキュリティ設定項目の一部については、実際の設定値に近い形式で設定方針を提示することも可能です。

【文書レビューから実機設定値レビューまで柔軟に対応】

要件定義段階等の早い段階でのセキュリティレビューでは、文書レビューを中心とした評価・助言を行います。
詳細設計段階等、設計フェーズの大詰めの段階でレビューを行う場合、または、システムの部分拡張や既存システムのリプレース時の評価に際しては、実際のシステムに投入される設定値(設定ファイル)やACL情報、ログ情報についても評価の対象とすることもできます(対応可能範囲についてはご相談ください)。セキュリティ技術者の視点から設計値や設定値をレビューすることで、意図しない設計や不要なリスクを排除し、ITシステムのセキュリティ水準を高めることができます。例えばファイアウォールの構成変更・機種変更を検討されるお客様において、実際のACL設定をお借りして変更前後の設定値を評価することにより、変更に伴う影響評価をより確実に行うことが可能となります。

特長

導入フロー

【ご要望に応じ、関係者へのインタビュー、文書レビューおよび設定レビューにより支援(評価・提言等)します】

  • お問い合わせ~ご提案
    • 対象となるITシステムの概要ヒアリング
    • お客様の目的や要望(課題)、対象となる範囲の定義
  • 導入(支援作業実施)
    • インタビュー(設計者様、開発者様、その他ご担当者様等)
    • 文書レビュー(要件定義書、設計書等)
    • 設定内容レビュー(ACL定義、ネットワーク構成等)
    • レビュー結果の整理、対策方針の摺り合わせ
  • 報告
    • 報告書の作成
    • 報告会の実施(必要時)
    • 電話・メールでのQ&A

サンプル

【大規模ネットワーク構成変更にかかるACL等価性評価を行った場合の報告サンプル】

大規模ネットワーク構成変更にかかるACL等価性評価を行った場合の報告サンプル

標的型攻撃対策(内部対策)観点からファイアウォールACLの棚卸し評価を行った場合の報告サンプル

標的型攻撃対策(内部対策)観点からファイアウォールACLの棚卸し評価を行った場合の報告サンプル2(報告書イメージ)

導入実績

【ケーススタディ①】

大規模ネットワークの構成変更およびファイアウォールリプレースをご検討中のお客様に対して以下の支援をご提供しました。

  • 構成変更の前後でファイアウォールACL等価性の評価・改善提案
  • ネットワークの構成変更にかかるリスク評価、改善提言

【ケーススタディ②】

自社保有Webサイト間のシングルサインオン導入について、必要性を含めご検討中のお客様に対して以下の支援をご提供しました。

  • 認証状態の引き継ぎ方法の妥当性の検討・改善提言
  • サイト間遷移後の認可範囲の妥当性の検討・改善提言

導入価格

対象となるITシステムの規模や複雑性、支援を要する範囲により異なります。詳しくはお問い合わせください。