サイバーセキュリティ支援 | RSM汐留パートナーズ

国の「サイバーセキュリティ経営ガイドライン」およびRSMの国際的な経験・ノウハウを活用しながら、サイバーセキュリティの構築や継続的改善を支援します。

サイバーセキュリティとは、企業が保有するデジタル情報やIT資産を脅威から守るための取り組みを言います。不正アクセス、マルウェア、フィッシング詐欺のような外部からのサイバー攻撃＝脅威を防ぎ、企業のネットワーク、システム、ソフトウェアを保護することを目的としています。

「情報を守る」という観点から、情報セキュリティはサイバーセキュリティを内包する関係にあります。しかし、対策実務という観点では、サイバーセキュリティが守るべき対象は情報・データだけでなく、ネットワーク、システム、ソフトウェアといったIT資産をも含みます。したがって、情報セキュリティがサイバーセキュリティを完全にカバーしているとは限りません。現在情報セキュリティマネジメントを運用している企業においても「サイバーセキュリティ」という観点から、従来の対策を改善したり、新たな対策を講じる必要があります。

RSM汐留パートナーズは「サイバーセキュリティリスク＝経営リスク」と捉え、従来の貴社の情報セキュリティとも連動して、IT資産を守る仕組みを構築し、継続的改善を進め、リスクを軽減するためのサポートをします。

こんなお悩み、ありませんか?

• 経営者がサイバーセキュリティの脅威を認識しておらず、会社のトップとしてITリソースの確保やセキュリティ対策の決定等に能動的に関わることができていない
• 自社だけでなく、関連会社、業務委託先、その他関連するサプライチェーンにおいて共通の情報または情報資産を取り扱う場合、サイバーセキュリティ意識を高めるための教育訓練やコミュニケーションを取ることができていない
• フィッシング攻撃やランサムウェアなどの脅威が進化し、企業の防御をすり抜けるケースが増えている中、サイバー攻撃を想定した防御策を計画、実行できていない
• クラウドサービスの利用が増える中、アクセス管理やデータ保護の対策を十分に計画、実行できていない
• リモートワークが普及している中、従業員が異なる場所やデバイスから業務を行うため、「誰が、どこから、何にアクセスしているか」を監視する仕組みが機能していない
• 従業員による情報漏洩・消失のリスク（意図的か否かにかかわらず）を検知したり監視する仕組みが機能していない
• 法人顧客からサイバーセキュリティへの取り組みに関するアンケートや監査が来て、対応に苦慮している

主なご支援内容

サイバーセキュリティ経営ガイドラインの重要10項目の把握～ギャップ分析～リスクと機会の特定

サイバーセキュリティの目的や重要10項目を理解したうえで、現状の業務やプロセスとの間のギャップ（違い）を把握し、貴社がガイドライン要件を満たすために取り組むべきリスクと機会は何か？を明確にすることを支援します。

方針・戦略・目標・アクションプラン策定

サイバーセキュリティの重要10項目を満たすために取り組むべきリスクと機会への対応のため、貴社のサイバーセキュリティ方針、戦略、目標、アクションプラン策定を支援します。サイバーセキュリティに関連する部署はITだけでなく、ITを利活用する全ての部門となりますので、経営者を含めたクロスファンクショナルチームを構成し運用することをお薦めします。

マネジメントシステム構築

貴社のサイバーセキュリティに関する方針、戦略、目標、アクションプランを達成していくために必要な体制や経営資源を確保し、Plan-Do-Check-ActつまりPDCAサイクルを回し、継続的改善を進めることを支援します。情報セキュリティマネジメントシステムを既に運用している場合、サイバーセキュリティの取り組みと整合し、かつ重複がないよう確認し、必要に応じて改善していく必要があります。また、クラウドサービスの利用増加、リモートワークの普及、サイバー攻撃の高度化などの背景から、ゼロトラストセキュリティとの統合が必要です。

プロジェクトマネジメント

クロスファンクショナル（全社または複数事業部横断）プロジェクトを推進する際、プロジェクトの進捗状況やプロジェクト毎の課題を把握し、その課題解決を支援するような人材が必要となります。企業によっては、プロジェクトマネジメントに関するスキルや能力を持つ人材が不足していることがあります。貴社にそのような人材不足のお悩みがあれば、弊社コンサルタントをプロジェクトマネージャーとして活用することが可能です。

チェンジマネジメント

サイバーセキュリティ、特にゼロトラストセキュリティへの取り組みは従来の概念や手法から大きな変革を伴います。チェンジマネジメントの手法やプロセスを実行し、チャンピオンを任命することにより、ゼロトラストセキュリティへの変革やその重要性について、貴社従業員をはじめ関連するステークホルダーが理解を深め、その変革に適応することができるよう支援します。

アウトソーシング

企業によっては、社内にサイバーセキュリティに関する専門知識や業務経験を持つ人材が不足していることがあります。貴社にそのような人材不足のお悩みがあれば、弊社コンサルタントを業務要員として活用することが可能です。

教育訓練・コミュニケーション

サイバーセキュリティは日々進化、高度化しており、経営者、従業員、関連会社、取引先・調達先への継続的な教育訓練やコミュニケーションが必要となってきます。貴社において教育訓練やコミュニケーションの準備や実施に時間がとれないお悩みがあれば、弊社コンサルタントを業務要員または業務支援として活用することが可能です。

情報開示・広報活動

企業は、株主の利益だけでなく、従業員、顧客、取引先、地域社会、環境など、あらゆるステークホルダーの利益に配慮して持続可能な事業活動を行うことが求められています。サイバーセキュリティへの取り組みにおいてもステークホルダーからの関心は年々高まっており、信頼性・透明性のある情報開示や平時または緊急時の広報活動を支援します。

サイバーセキュリティ経営ガイドライン　経営者が認識すべき3原則

原則1

経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要

原則2

サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要

原則3

平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

サイバーセキュリティ経営ガイドライン　重要10項目

サイバーセキュリティ経営ガイドライン重要10項目とISO/IEC27001要求事項との関連性

サイバーセキュリティにおける主な脅威と対策例

今後の流れ

お問い合わせ

本ページ下部からお気軽にお問い合わせください。

ヒアリング

対面又はオンラインにて、課題やスケジュール、その他ご希望などを広くヒアリングさせて頂きます。

お見積り

ヒアリングさせて頂いた内容を元にお見積りをさせて頂きます。

ご契約

お見積りにご納得頂けましたら、ご契約をさせて頂きます。

業務開始

業務を開始いたします。