サイバートラスト 情報セキュリティコンサルティング セキュリティ調査サービス
コンプライアンス調査サービス
コンプライアンス調査サービスは、企業の継続的なコンプライアンス活動の中で情報漏洩などのインシデントが起こった際に、特殊な機器を利用して端末利用者のパソコンから利用者の活動履歴・利用状況の情報収集や分析を行います。また、こうした監査を定期的に実施することで不正行為に対する抑止力にもつなげることができます。
企業が情報セキュリティ体制を維持するために
コンプライアンスとは日本語では法令遵守と訳され、企業や組織が法令や社会的規範を守って活動を行うことを指します。コンプライアンス体制構築のため、企業は各規程の策定を策定し、組織的に社員に対して教育を行う必要があります。
コンプライアンス遵守において、モニタリングやチェックを行う仕組み「内部統制」も必要です。コンプライアンス違反には厳しい目が向けられ、その後の企業存続にも大きな影響を与えます。
情報セキュリティ対策の継続的な取り組みは、経営層が積極的にコンプライアンス活動を行い、社員の意識と行動を望ましい方向に誘導する事が有効です。
コンプライアンスの違反例
個人情報漏洩
サイバー攻撃による漏洩、機器の紛失、従業員の持ち出し
隠ぺい・偽装
リコールなどの不祥事の隠ぺい、耐震強度の改竄、賞味期限・食品産地の偽装
不正会計
粉飾決算、架空取引、社員による横領
労務違反
セクハラ、パワハラ、著作権侵害ソフトウェアの利用
従業員による情報漏洩のリスク
従業員による、機密情報・個人情報などの取り扱い規定違反
小遣い稼ぎ目的の転売、クレジットカード情報の不正取得、帳簿などの文書改竄
不正ソフトウェア混入による機密情報の漏洩・外部侵入
許可されていないソフトウェアのインストール、USB ディスクなど外部記憶メディア利用時の感染、不審なインターネットサイト閲覧時の感染
このような内容は、平穏な企業活動の維持だけでなく、Pマーク・ISMS の順守などにおいても無視できない要因となっています。また、CSIRT の観点からは、未然に防ぐための施策の導入が望まれています。
コンプライアンス調査サービスとは
企業や自治体、教育機関において、各利用者が端末(パソコンなど)で不正なことを行っているかどうかを知ることは、内部統制の上で重要なことです。また、インシデントが起きる前に利用状況を確認することは、リスクを未然に防ぐコーポレートガバナンス上、重要な要素です。
コンプライアンス調査サービスでは、特殊な機器を利用して、端末利用者のパソコンより利用者の活動履歴・利用状況の情報収集を行うことができます。収集された情報は当社側で分析を行いレポートとしてご提出いたします。
こうした調査が行われることをあらかじめ周知しておくことで、企業内のコンプライアンスを維持する上で不正行為に対する抑止力ともなります。
コンプライアンス調査サービス 詳細
企業内の PC 端末/サーバーに専用デバイスを接続し、プログラムを実行することで監査対象の情報を収集。監査対象のユーザーアカウントの行為やシステム、データの状況を把握、追跡調査できるサービスです。
フォレンジックという手法を用い、ユーザーの不正行為や、第三者による犯罪行為、マルウェア感染などを可視化することができます。
外部のネットワークと遮断された、クローズド環境で行うため、他の PC /システムに影響を及ぼさずに調査を行えます。また、専用デバイスはお客様にて所持が可能なため、インシデント発生時に迅速に対応が可能となります。
テレワークなど自宅等の社外ネットワーク環境においても対応が可能です。
サイバートラストならではの強み
- 情報セキュリティに精通した当社情報セキュリティコンサルタントが、端末内の不正だけでなく、規定や手順書などを包括した経営者側からの内部統制の視点で改善点を指摘可能です。
- 他社フォレンジックサービスの場合、オーバースペックで料金も高額になるシーンも多いところ、コンプライアンス調査サービスでは比較的安価に調査を行えます。
コンプライアンス調査サービス 活用シーン
不正行為調査
従業員・退職者などによる機密情報の持ち出しや着服などを、履歴を通じて調査できます。 定期的な実施による抑止力向上、または有事の調査に活用いただけます。
ポリシーの順守
禁止ウェブサイトへのアクセスや勤務時間以外の利用など労働外履歴を収集可能です。またハラスメントなどの証拠もキーワード検索などを通じて収集できます。
ハッキング・不正アクセス
マルウェア感染などが疑われた際、PC を調査して情報漏洩の有無や遠隔操作された履歴などを確認します。
このような課題が解決できます
- 不正なソフトウェアがインストールされているか、またそれによる情報漏洩の有無を確認できる
- 禁止している社内データの外部メール送信/外部メディアへの保存を発見することができる
- PC 端末に保持、または潜在している個人情報を発見できる
- 許可していないアクセスポイントへの接続や不正なウェブサイトへのアクセスを発見できる
- マルウェアやウイルスの感染を発見することができる
サービス提供プラン
コンプライアンス調査サービスは、主に 2 つのメニューで構成されています。
情報分析プラン
ユーザーの利用履歴や、ファイル・ウェブのアクセス履歴、プログラム実行履歴等を収集しレポートをすることができます。
企業の内部監査・維持に活用できるため、ISMS や企業の情報セキュリティ監査に組み込みが可能です。
主な利用用途
- 退職・業務委託者の PC 監査
- 定期的な診断または抜き打ち検査
- 内部監査
参考価格
30 万円~/台
マルウェア分析プラン
監査対象 PC/サーバーにマルウェアが仕込まれていないか、または仕込まれていた際に、何の情報が漏洩したかを確認することができます。
インシデントの原因究明など CSIRT におけるインシデントハンドリング体制に組み込みが可能です。
主な利用用途
- 悪性コードの特定
- 感染経路分析
参考価格
150 万円~/台
- ※1
- 1 つの専用デバイスに複数台の情報を収集することができますが、上記金額は 1 台の PC を解析する料金の目安となります。
- ※2
- 別途消費税がかかります。
コンプライアンス調査サービスご利用の手順
-
1. 本サービスにお申し込みいただくと当社より専用デバイスを貸与いたします。
専用デバイスはご希望により販売も可能です。 
-
2. 監査対象サーバー/監査対象 PC に専用デバイスを接続し、情報を収集(お客様側対応)
ご希望により弊社技術者による実施も可能です。 -
-
3. 専用デバイスを当社に送付
-
4. 当社側で解析
-
5. 貴社側にレポートを送付/専用デバイスの返却
ご希望により報告会等の実施も可能です。
レポート
- サービスの成果物として、分析項目ごとに詳細を記載した、分析レポートを納品いたします。
- 分析内容としては下記一覧に記載されている評価軸でレポートいたします。
情報分析プラン
| 調査項目 | 調査内容 |
|---|---|
| 基本システム情報分析 |
OS 基本情報
共有フォルダー
|
| インストールプログラム |
インストール日時
|
| 実行したプログラム | W クリックで実行したプログラムの情報リスト(exe,bat,msi) |
| 無線 LAN 接続履歴 | 最近接続した無線 LAN の SSID、パスワード、暗号化の情報 |
| 業務時間外 PC 使用分析 |
操業時間外に行われた操作情報
|
| Web 使用分析 |
Web の利用情報
|
| 外付け記憶媒体の使用分析 |
|
| プレミアムサーチ |
社内ポリシー上、不適切なキーワードを設定してスキャンした結果、検知した内容と件数情報
|
マルウェア分析プラン
| 調査項目 | 調査内容 |
|---|---|
| マルウェア分析 |
|
コンプライアンス調査サービス 注意事項
- 調査対象 HDD・SSD 等が故障している場合は、調査を遂行できない場合があります。
- 調査対象機器・調査対象ソフトウェアの状況によっては確認できない場合があります。
- OS の再インストールのような、大きな変更が加わる操作が行われている場合、痕跡が発見できない可能性があります。
- 分析過程で児童ポルノや犯罪など事件性のある重大な事象を確認した場合、速やかにお客様にご報告させて頂きます。また、その時点で分析を中止し、その時点までにかかった費用を請求させていただきます。
本サービスは DOUZONE JAPAN の調査技術を採用しています。
