米セキュアワークス日本法人のSecureWorks Japanは2017年12月6日、サイバーセキュリティのリスク評価サービスを始めると発表した。米国立標準技術研究所(NIST)が定めた重要インフラのサイバーセキュリティに関するフレームワークと、米インターネット・セキュリティ・センター(CIS)がまとめた実践的セキュリティ対策のガイドラインを活用する。ジェフ・モルツ・ジェネラル・マネージャーは「法令や規則を守っているかを判定するのではなく、より高いセキュリティ水準を達成するためのサービス」と説明する。

従来の情報セキュリティ評価サービスでは対象としていなかったリスクを評価する
従来の情報セキュリティ評価サービスでは対象としていなかったリスクを評価する
[画像のクリックで拡大表示]

 サイバーセキュリティの問題が起こり得ることを前提に事前のセキュリティ対策ができているかや、問題が発生したときの備えができているかを評価する。顧客企業が網羅的なリスク管理を求めている場合はNISTのフレームワーク、具体的な対策に関する評価を求めている場合はCISのガイドラインを選択する。聞き取りなどで現状を調査してリスクを分析し、報告書を作成する。プロジェクトの開始から報告書の作成までの期間は10~12週間程度。

 価格はNISTのフレームワークを利用する場合が480万円、CISのガイドラインを利用する場合が250万円。評価結果に基づく改善策の選定や中長期的なロードマップの策定をオプションで行う。サイバーセキュリティの問題に対応するための訓練サービスを提供してきたセキュアワークスは、この3年間で国内の顧客が数社から数百社に拡大したという。より顧客層が広いリスク評価サービスで顧客のさらなる拡大を目指す。