企業のIT環境には、設定ミスや管理の抜けから生じる脆弱性が潜んでいることがあります。KGAでは、お客様のシステムをヒアリングと技術調査によって診断し、リスクの優先順位を整理した改善提案をご提供します。
ウイルス対策ソフトの導入・設定からファイアウォールのルール見直し、社内セキュリティポリシーの策定支援まで、組織の規模や予算に応じた現実的な対応を行います。
診断から対策実施・引き渡しまで一貫して担当するため、外部ベンダーとの調整コストを最小化できます。なお、本サービスは内部パイロット実績に基づく実務支援であり、第三者認証資格の保有を前提とするものではありません。
対応の流れ
- 1
スコープ定義
対象システム・ネットワーク範囲・作業日程をお客様と合意します。
- 2
現状調査・診断
設定レビュー、ポートスキャン、アクセス権棚卸しなど、合意したスコープ内で技術調査を実施します。
- 3
発見事項レポート
リスクを高・中・低に分類し、技術担当者と経営者の両方が読めるレポートを提出します。
- 4
改善計画の策定
優先度・コスト・工数を考慮した対策ロードマップをご提案します。
- 5
対策実施サポート
設定変更・ソフト導入・ポリシー文書化などを、お客様の担当者と並走して進めます。
- 6
モニタリング引き渡し
継続監視の手順と推奨ツールを整理し、自社運用できる状態に整えて引き渡します。
よくあるご質問
本格的なペネトレーションテストですか?
いいえ。本サービスは設定レビューとリスク可視化を中心とした実務支援です。ゼロデイ攻撃の再現や破壊的なエクスプロイトは行いません。より高度な専門試験が必要な場合は、要件をお聞きした上で適切な専門機関をご案内します。
発見した問題は修正してもらえますか?
はい。レポート提出後に対策実施フェーズとして設定変更・ソフト導入・ポリシー整備をサポートします。お客様側で対応される場合は、技術的なアドバイスのみの提供も可能です。
どのようなツールを使いますか?
業界で広く使われているオープンソースおよび商用ツールを状況に応じて使用します。使用ツールはスコープ定義時にご説明し、合意の上で作業を開始します。
診断内容は秘密にしてもらえますか?
はい。作業開始前に秘密保持契約(NDA)を締結します。レポート・発見事項・やり取りのすべてを第三者に開示することはありません。
ISO 27001などの認証取得支援はしてもらえますか?
認証審査機関ではないため、認証取得の代行や保証はできません。ただし、ISO 27001やNIST CSFなどのフレームワークに沿った社内規程整備の支援は対応しています。