IPA独立行政法人情報処理推進機構の一般競争入札
「情報資産のリスクアセスメント」を受注/納入
~全独法から参照されるリスクアセスメントとセキュリティ対策セット~
2017年5月10日
株式会社アズジェント
(JASDAQ・コード番号4288)
セキュリティ及び運用管理ソリューションの提供を主業務とする
株式会社アズジェント(所在地:東京都中央区、代表取締役社長:杉本隆洋、
JASDAQ:4288、以下、アズジェント)は、独立行政法人通則法の改正による内部統制システムの構築や
昨今多発する政府機関に対するサイバー攻撃への対策として、本年度より独立行政法人(以下、独法)に
厳しく課せられる「ISO/IEC 27005※1ベースのリスクアセスメント(以下、リスクアセスメント)」
と「セキュリティ対策セットの設計」を、情報セキュリティに関する啓発や技術開発、調査研究を行う
独立行政法人情報処理推進機構(以下、IPA)に対して行いました。
なお、独法88法人の2017年度セキュリティ関連予算は、本年度の政府セキュリティ予算概算要求
150億円の、1/3超にあたると見込まれます。
【背景】
独立行政法人通則法及びサイバーセキュリティ基本法の改正を受け、従前に無いセキュリティ強化の
指示と罰則が全独法に課されます。これらの改正により各法人においては、リスクアセスメントにより脆弱性と
重要情報資産を明確化し、その結果と密接にリンクしたセキュリティ対策(製品/サービス)と運用を行うことが
義務付けられるという内容を含みます。
各独法から、セキュリティのリファレンス独法として常に参照されるIPAは、本通達の対応方法を
示すために、昨年8月に一般競争入札により「情報資産のリスクアセスメント」の調達を行い、弊社が受託しました。
IPAの「情報資産のリスクアセスメント」においては国際標準であるISO/IEC 27005に基づいた、
精緻なリスクアセスメントにより脆弱性と重要情報資産を明確化することが前提でした。そのうえで、
万が一の情報流出にそなえ、リスクシナリオに基づくSIEM※2相関分析ルールにより、
通信経路の自動遮断で情報流出を防ぐことに加えて、リスクアセスメントの結果と密接にリンクしたセキュリティ対策
(製品/サービス)設計と、運用設計が求められました。
【必要な要件】
1. ISO/IEC 27005に基づくリスクアセスメントの豊富な実績とノウハウ
2. リスクアセスメント結果から、リスクシナリオの策定ノウハウ
3. リスクシナリオから、SIEM相関分析ルールの設計
4. 相関分析ルールから、ファイアウォールによる自動遮断と復旧設計
5. 脆弱性とリンクした、セキュリティ対策(製品/サービス)の実績
6. SIEM及びSOC※3運用実績とノウハウ
【アズジェントのバックグランド】
1. 設立以来19年のGMITS~ISO/IEC 27005に基づくリスクアセスメントの豊富な実績とノウハウ
2. ISO/IEC 27000シリーズに準じたISMS※4の普及貢献から経済産業省局長賞の受賞
3. 自社SOCによるSIEM相関分析ルールの設計ノウハウ
4. SIEMと連携した、自動遮断設計方法の保有
5. セキュリティ製品の導入ポリシー設計ノウハウ
6. セキュリティ対策(製品/サービス)の実績
7. SIEM及びSOC運用実績とノウハウ
アズジェントでは本会計年度に上記の成果を、各独法へ向けて展開してまいります。
※1 国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で策定した情報セキュリティに おけるリスクマネジメントの国際規格。
※2 Security Information Event Managementの略。 様々なネットワーク機器、アプリケーションが出力するイベント情報を収集、一元管理し、脅威となる事象を把握する。
※3 Security Operation Centerの略。情報システムへの脅威の監視や分析などを行う専門組織。
※4 Information Security Management System(情報セキュリティマネジメントシステム)の略。
