企業にとってますます重要になってきたセキュリティ対策に向け、これまでにないサービスが登場したと聞いたので、さっそく取材してみた。果たしてどんなものか。
日本初の経営層向けセキュリティ監査サービス
CIBOKガイド本を手にするNIインテリジェントイニシアティブの西野弘取締役会長
「企業におけるセキュリティ対策は、ITでなく経営視点で取り組むべきだ」――。こう訴えるのは、NIインテリジェントイニシアティブ(NI3)の西野弘取締役会長だ。「セキュリティ対策といえばITツールによる防御や駆除といった話ばかりになりがちだが、経営視点で言えば被害を出さずに会社として信頼されることが最も重要だ」というのが、その根拠である。そんな経営視点のセキュリティ対策を講じることができる新サービスをNI3が2018年1月に提供開始した。
「C3(シーキューブ)」と呼ぶ新サービスは、企業においてIT主導のセキュリティ対策から経営主導のサイバーリスクマネジメントへ転換し、今後のサイバーセキュリティ対策の意思決定を支援する日本で初めての経営層向けセキュリティ対策状況監査サービスだという。
内容は、セキュリティ対策の実態を可視化する「C-Audit」、米国国立標準技術研究所(NIST)基準によるアセスメントを行う「CREATe」、組織の成熟度や個人のケイパビリティなどを判断する「CVT」からなり、「サイバーセキュリティ対策を3次元で診断する」(西野氏)としている。(図参照)
これにより、企業が保持する全てのIT資産に対するセキュリティ監査を実施。経営視点でのレポートを半期に一度まとめ、経営層として取るべき対応策を明確化するという。価格は年間1000万円(税別)。
図:経営層向けセキュリティ対策状況監査サービス「C3」の概要
(出典:NIインテリジェントイニシアティブの資料)