ITセキュリティコンサルティング(Dimension Data)
ITセキュリティコンサルティングの内容について理解しておく必要性を感じる今日この頃。
コンサルとして、と言うよりは、事業としてのコンサルティングサービスでは何を提供しているのか、と言った観点。
下記のDimension Data社さんのサービスの紹介ページを読ませて頂いて、少しでも学びを得る(られると良いな)。
部分的に引用し、適当に意訳させて頂く。
Security Advisory Services
Giving you the security expertise to risk less, yet achieve more
タイトルはConsultingじゃなく、Advisoryなのか。
#ConsultingとAdisoryはどう違うんだ、という疑問もあるが、それは別の機会に。
Put the right security policies, processes, architecture, and expertise in place.
IT security skills are in short supply globally, but our enterprise risk management offerings give you cost-effective access to the expertise you need. Through our security consulting services, you gain the innovation and economic productivity benefits of cloud, mobility, social media, and the Internet of Things, while eliminating the threats these technologies can pose to your brand, reputation, and business performance.
- ITセキュリティスキルは 世界的に不足しています。
- 我々の企業向けリスク管理手法は、費用対効果の高い方法で必要な専門性を提供します。
- 我々のセキュリティコンサルティングサービスにより、クラウド、モバイル、ソーシャルメディア、IoTにおける革新性と生産性(economic productivity benefits)を得ることができます。
- また、これらの技術が企業のブランドや評判やビジネスに対してもたらす可能性のある(can pose to)脅威を排除します。
ITセキュリティの技術者が不足している、というのは日本だけの話じゃないみたい。
The pillars of Security Advisory Services
セキュリティアドバイザリサービスの柱は次の3つ。
Our security consulting is based on three interrelated pillars.
- Governance, risk, and compliance
- Security Penetration Testing
- Incident Response
ということで1つ目。統治、リスク、コンプライアンス的な。
Governance, risk, and compliance
These services help you establish governance policies and processes for directing and controlling the organisation based on your risk appetite and applicable legal, regulatory, and industry compliance requirements.
We ensure that you keep documentary evidence of compliance with your internal policies and processes as well as with external regulation. Our services include:
- 企業のリスク選好(risk appetite)や、関連の法律、遵守が求められる業界ルールなどに沿って、組織に対するポリシーや手順の適用や制限などを確立します。
- 企業の内部ポリシーや手順、また外部のルールに準拠するよう、証跡が保全されることを保証します。
- 具体的なサービス例:ISMSの導入、組織にあったポリシーの作成、ITポリシーの作成、作成したポリシーと実際のギャップ分析、ISO/IEC 27000に則ったISMS、PCI DSSの取得の支援
Developmentってどういうニュアンスなのかなあ。。。作成して組織内に展開する、というイメージかな。。。
2つ目は、ペネトレイトレーションテスト。
Security penetration testing
We determine weaknesses that could be exploited to compromise your most critical infrastructure, including web applications, networks, and endpoints.
Our proven penetration testing methodologies, which align to industry best practice and security standards and guidelines, include:
- Internet-facing infrastructure
- internal network segments such as a demilitarised zone or an office local area network
- desktop and laptop computers, including ‘stolen laptop’ attack scenarios
- Internet-facing and internal web applications
- wireless network infrastructure
- remote access and VPN infrastructure
- Webアプリケーション、ネットワーク、内部端末、といった企業の重要なシステムが侵入されて危険に晒されるような弱点を特定します。
- 我々の信頼性の高い侵入テスト手法は、業界のベストプラクティスやセキュリティ標準やガイドラインに則っています。
- 次のような環境に対してテストを行います。:インターネットに公開された環境、DMZやLANのような内部ネットワーク、デスクトップやノートPC(盗難されたというシナリオ)、インターネットに公開された、また内部のWebアプリケーション、Wi-Fiネットワーク、VPN等を利用したリモートネットワーク
うーむ、幅広い。。。テスト(攻撃)のシナリオも手法も多岐に渡りそう。
最後はIncident Response。
Incident response
These services swiftly detect, respond to, and remediate a given threat with well-established methodologies, processes, and experienced incident responders. Scalable, repeatable, comprehensive, and mature, they include:
- first response service
- incident response readiness assessment
- compromise assessment
- incident response programme development
- incident response retainer
- 確立された手法やプロセスと熟練したIR担当者によって、発生したインシデントを迅速に(swiftly)に特定し、対応し、取り除きます(remediate)。
- 大規模にも対応する幅広く熟練した次のようなサービスを提供します。:インシデント発生時の初動、インシデント対応の準備状況の診断、侵害された場合の調査、インシデント対応プログラムの導入、インシデント対応担当者の派遣
世間的にも、ITセキュリティの三本柱(三大キーワード)は、ISMS、ペンテスト、IRなのかな。
ペンテストは脆弱性を含み、IRにはマルウェア解析を含む、と言う理解。そして、ISMSはサイバーだけではなく、物理と人/組織を含む、と。
