クマひよ工房

セキュリティ運用・保守サービス

概要

ウェブサイトやECサイトに低コストで効果的なセキュリティ対策を導入します

詳細

一般的にセキュリティ対策は非常にお金がかかります。しかし、中小企業ではコストパフォーマンスを考えた場合に、あまり必要でない対策もあります。このサービスでは「中小企業向けに必要最低限のコンパクトなセキュリティ設計」を行うことで、低コストでサイトやサーバのセキュリティレベルの向上を行います。

  • 月額15万(税抜)からはじめられます。一般的にセキュリティエンジニアを雇うと月額50〜70万の人件費となります。給与査定などの人事マネジメントもする必要はありません。
  • 10年以上、営業から顧客窓口、要件定義からプログラミングまで、アプリケーション開発の全ての工程を一人で行ってきた経験と知識があります。それはそのままセキュリティ対策にも活かすことができます。
  • 別途お見積もりにはなりますが、規模の大きなものでなければ、セキュリティ対策以外のアプリケーション開発も可能です。こちらはご相談前提のものとなりますが、ちょっとしたお困りごとにも対応が可能となっております。

※ 私の時間をフルコミットするサービスではございません。毎月の時間の上限を決めており、その中で対策などを行っていくサービスとなっております。

※ 基本的には年単位でのご契約ですが、ご契約開始から半年間は1ヶ月ごとのご契約となります。

なぜセキュリティ対策が必要か?

比較的規模の大きいサイバー攻撃を受けたケースの内、中小企業が47%を占めており、大企業だけがターゲットとなっているわけではありません。

業種別にみると製造業や情報通信業、卸売・小売業が全体の50%ほどを占めており、これらの業種は比較的ターゲットになりやすいと言えます。

サイバー攻撃の件数自体も年々着実に増え続けていて、ランサムウェア感染やウェブサイトからの情報漏洩が割合としては多くなっています。

サイバー攻撃による平均被害額は、ランサムウェア感染だと2386万円、ウェブサイトからの情報漏洩で3843万円と高額。

調査に協力した回答の数がそこまで多くないことから、実際はもっと高額になると考えられています。

また、実際には金額だけでなく、企業の信頼失墜からの顧客や従業員離れなど、様々な影響が及ぶことになります。

こうしたことから、中小企業といえどもセキュリティ対策が不要とは言えず、少なくとも必要最低限のセキュリティ運用・保守は行っておく必要があります。

※ 調査期間: 2017年〜2022年6月 (JNSA日本ネットワークセキュリティ協会より)

セキュリティ運用・保守の流れ

1. まずはセキュリティリスクの認識を共有します。セキュリティの運用や保守は私だけでなく経営者や従業員のみなさま、組織一体となった連携・協力が必要です。そのため、なぜセキュリティ対策が必要なのかを予めご理解頂き、積極的な取り組みができるよう意思疎通を行います。

2. 情報セキュリティの基本方針を決めます。これは組織として情報というものを大切に考え、一丸となってその保護に取り組んでいくという姿勢を内外に表明するようなものです。

3. リスク管理体制を構築します。セキュリティリスクには様々あり、その対策も様々です。業種や組織の大きさ、リソースの有無によってどういった対策を行うかを選別していきます。X.1060 (Framework for the creation and operation of a cyber defence centre)という国際標準としても勧告されるに至ったフレームワークを利用し、私からは「中小企業向けに必要最低限のセキュリティ対策に絞ったコンパクトなリスク管理体制」を提案させて頂きます。

4. 守るべき資産をピックアップします。事業によって重要な資産とそうでない資産があります。それらをピックアップして選別していきます。

5. リスクに対応するための仕組みを構築します。CIS(Center for Internet Security)コントロールズと呼ばれる国際的に認知された基準を採用し、重要な資産を守るための仕組みを具体的に構築していきます。例えばECシステムが重要であれば、そのシステムを動かすためのサーバやECシステムを含むアプリケーションなどが対象となります。

価格の不安も、セキュリティの不安も、これ一つで解決

6. 緊急対応体制を整備します。万が一、悪意のある攻撃が成功してしまった場合にどういった形で対応を行うか、その体制を整えます。セキュリティ対策はたとえ全ての対策をしていてもゼロデイ攻撃など防ぐのが非常に難しいものがあったり、そもそも人やお金などのリソースの都合上、対策を取捨選別しているケースでは、対策していなかったところからの攻撃が成功してしまうこともあります。そのため、セキュリティ対策では100%防ぐことが重要なのではなく、発生した際にいかに被害を最小限に留めるかという点が重要です。そのための一環として緊急対応体制を日頃から整えておくことが必要です。

7. セキュリティに関する最新情報の収集や共有をします。悪意のある攻撃は日々進化しており、状況も常に変わり続けています。最近ではAIによる攻撃も発生しています。こうした最新のセキュリティ情報を収集し続け、常にどのような攻撃が発生しているかを把握することで、私を含め、経営者や従業員のみなさまのセキュリティ意識を高く持ち続けていきます。

※ これらの業務は1度行えば終わりではありません。それぞれの業務を継続して実施・改善していくことでセキュリティを向上していくことになり、それがセキュリティの運用・保守となります。