Web/モバイル
アプリ/APIの設計・実装を多角的に検査。リスクを定量化し是正へ。
- 基準: ASVS / OWASP Top 10
- Auth/Session/権限/入力検証
- API(REST/GraphQL)検査
サービス
攻めと守りを一気通貫。診断・運用・設計・教育まで、成果が出るところまで伴走します。
脆弱性診断・ペネトレーションテスト
ネットワーク/社内
外部/内部からの侵入を想定し、露出面と脆弱点を洗出し。
- 攻撃面可視化/露出資産棚卸し
- 設定/パッチ/権限の健全性
- 横展開リスク評価
クラウド構成レビュー
AWS/GCP/Azureのベストプラクティス準拠チェック。
- ID/鍵管理・最小権限
- ネットワーク分離/監査ログ
- CICD/イメージ/アーティファクト
進め方 / 成果物
- 範囲定義(対象/前提/禁止事項)
- 診断実施(自動+手動)
- レポート(リスク/再現手順/是正案/優先度)
- 是正支援(再診断/ガイド)
SOC/監視運用 & インシデント対応
24/365 監視・検知
EDR/SIEM/ログ基盤で検知精度を最適化。誤検知を低減。
- ユースケース/検知ルール設計
- 可視化ダッシュボード
- 月次/四半期レポート
初動〜封じ込め
IRプレイブックに沿って一次対応を迅速化。MTTR短縮。
- 隔離/遮断/証跡保全
- エスカレーション/連絡手順
- 再発防止アクション
演習・評価
Tabletop/レッドチームで運用を強化。弱点を計画的に是正。
- MITRE ATT&CK マッピング
- IR演習/BCP連携
- 成熟度評価/ロードマップ
提供物
- 検知ルール/Runbook/連絡体制図
- 月次レポート(傾向/提言/KPI)
- 演習レポート(課題/是正計画)
ゼロトラスト設計/導入
現状評価
人・端末・アプリ・データの観点でギャップを可視化。
- ID基盤/認証強度/権限棚卸し
- 端末管理/コンプライアンス
- ネット/境界/セグメント
PoC/段階展開
影響小→大の順に展開。現場の生産性を落とさず移行。
- ZTNA/SASE/IDaaS 連携
- マイクロセグメンテーション
- 例外管理/例外期限化
運用定着
運用ルールと自動化を整備し“元に戻らない”仕組みへ。
- ポリシー/手順/教育
- ダッシュボード/監査証跡
- 継続評価/PDCA
セキュア開発(DevSecOps)
パイプライン統合
SAST/DAST/IAST/依存関係チェックをCIに統合。
- ブロッカー基準/ゲート設計
- 誤検知チューニング
- SBOM/サプライチェーン
設計/コードレビュー
スレット/権限/データ設計のレビューで再発を予防。
- 脅威モデリング
- 権限/RBAC/監査ログ
- 暗号/鍵・秘密管理
リリース/運用
セキュリティ観点のGo/No-Goとロールバックを明確化。
- リリース判定基準
- 監視/アラート/対応
- ポストモーテム文化
コンプライアンス / GRC
ISMS/SOC2 対応
方針/規程/手順/記録まで一式を整備。現実的に運用できる形に。
- 適用範囲/リスクアセスメント
- 内部監査/是正/マネジメントレビュー
- 証跡テンプレ/運用サポート
プライバシー/法令
個人情報/ログ/データ越境などの実務を標準化。
- データ分類/保持/削除
- 委託/契約/点検
- 監査対応/問合せフロー
ベンダーリスク
仕入れ・SaaS・委託先の評価とモニタリング。
- 評価票/SLA/BCP
- 稼働後モニタリング
- 退出/データ返却手順
教育・演習
役割別トレーニング
経営/情シス/開発/CS向けの実務直結カリキュラム。
- フィッシング/認証/権限
- ログの見方/初動対応
- 安全な開発手引き
Tabletop 演習
想定インシデントの机上演習で連携と意思決定を強化。
- シナリオ/役割/判断基準
- 経営報告/広報連携
- 改善アクション策定
啓発・定着
小テストや演習で“形骸化しないセキュリティ”を定着。
- 社内キャンペーン
- 受講・成績トラッキング
- 年次計画/効果測定
進め方
- アセスメント:現状把握・範囲/優先度の合意
- PoC/設計:小さく試し、運用に耐える設計へ
- 段階導入:影響小→大で展開、例外は期限管理
- 運用/改善:指標/KPIで可視化し継続改善
※守秘義務のため公開事例は限定公開。詳細はお問い合わせください。