アドバイザリー

スレット・エクスポージャー・マネジメント

新しい脆弱性管理サービス
近年、サイバー攻撃に対する企業の関心が高まっており、多くの企業でサイバー攻撃対策のためのツール導入や、定期的な標的型メール訓練を実施する等、各種対策を実施しています。ただ、その対策はビジネスにとって本当に有効なものなのでしょうか?

スレット・エクスポージャー・マネジメントとは

「怪しいメールは開かないように」との標的型メール訓練が盛んですが、巧妙に送られたメールは誰かが開いてしまいます。そのため、標的型メール攻撃などのサイバー脅威に対抗するためには、訓練だけではなく、サイバー脅威が狙うIT機器やネットワークに散在する弱点、いわゆる脆弱性に蓋をすることが重要です。この脆弱性を適切に管理し、サイバー脅威への対応能力を格段に高めるものがスレット・エクスポージャー・マネジメント(以下「TEM」 という。)です。

IT部門だけの問題ではない今日のサイバー脅威対策

脆弱性は日々発生し続けています。そのため、IT部門による局所的な対策では、脆弱性に対して適切に蓋をすることが出来なくなってきています。サイバー脅威の侵入を防ぐためには、脆弱性がビジネスに及ぼす影響を測定し、組織にとって真にリスクが高い脆弱性に対して、適切に蓋をする必要があります。

しかしながら、多くの組織ではIT部門の優先順位に基づいた対策を行っており、経営層はこの状況が組織のニーズを十分に満たしていないと考えています。

88%が、自社の情報セキュリティ機能は組織のニーズを満たしていないと回答

経営層が弱点を掌握できるライフサイクル管理の必要性

組織のニーズを満たすためには、組織全体でTEMのライフサイクルを構築する必要があります。これは、脆弱性診断ツール等セキュリティ製品の導入だけでなく、組織全体でガバナンスを構築し、ライフサイクルが適切に運用されているか監視し、経営層へ報告する仕組みを構築する必要があります。

本サービスは、EY独自開発のフレームワークに基づき、貴社のマネジメントプロセスに組込む形でTEMにおけるPDCAサイクルの構築をご支援します。

  多くの企業で実施している対策 EYが構築するマネジメントシステム
ガバナンス 部分的であり、場当たり的 ライフサイクルを確立
関係する部門 IT部門 組織全体
経営層の関与 報告されていない 報告を受け意思決定を行う

EYが提供するTEMサービスの特長

リスクマネジメントの知見、組織に散在する脆弱性情報を統合するノウハウ、そしてEY独自の成熟度モデルに基づくメソドロジーを活用し、クライアントのニーズに合ったTEMのライフサイクルを構築します。

1. ビジネスインパクトを考慮したリスク評価指標の構築

1. ビジネスインパクトを考慮したリスク評価指標の構築

2. ビジネスインパクトが可視化されたオンタイムのダッシュボードによる迅速な意思決定の実現

2. ビジネスインパクトが可視化されたオンタイムのダッシュボードによる迅速な意思決定の実現

3. オーバースペックを回避し、自社のニーズを満たす段階的な計画の策定

3. オーバースペックを回避し、自社のニーズを満たす段階的な計画の策定

ご支援内容

TEMに関する包括的なサービスを提供いたします。

脆弱性管理に関する包括的なサービスを提供いたします
EY- Download 脆弱性管理サービスのご案内

新しい脆弱性管理サービス
スレット・エクスポージャー・マネジメントのご案内

Download