セキュリティ課題解決支援について話せます
■背景
ネットワーク構築、インターネットサービス環境を提供する一環として、ユーザー企業様のネットワークセキュリティ施策が必要となり、予防、検知、事件や事故の進行モニタリングに必要な製品を扱ってきました。
常にセキュリティ事件、事故のリサーチを行い、原因と予防策、恒久対策のための方法を研究しています。
■話せること
■マネジメント
- ステークホルダーとの調整
経営層と現場との調整
- プロジェクト
導入計画、進捗管理、予算・リソース配分
- 教育・啓発活動
利用者向けトレーニング、セキュリティ文化の醸成
■分析・戦略
- リスクアセスメントと対策立案
SP800-30やISO 27005などのフレームワークに基づくリスク評価
- セキュリティポリシー策定・運用
組織の業務に即したルール設計と教育・啓発活動
- コンプライアンス対応
PCI DSS、GDPR、ISMSなどの規制・認証への理解と実装支援
■技術
- ネットワークセキュリティの知識
ファイアウォール、IDS/IPS、VPN、ゼロトラストなどの技術理解
- セキュリティ製品の評価・選定
要件定義、ベンダー比較、PoC(概念実証)の実施
- 脆弱性管理とパッチ運用
CVE情報の収集、リスク評価、修正計画の立案と実施
- クラウドセキュリティ
CSPM、CASB、IAMなどのクラウド特有のセキュリティ対策
- インシデント対応
CSIRTとの連携、SIEMやEDRの活用、ログ分析と初動対応教育
事例:
2020年頃、DDOS攻撃被害を機にセキュリティを整備する。
・システム構成と設定の整理
・社外セキュリティウィークポイントの抽出
・SIRT体制整備(セキュリティ専任1名採用)
・ITガバナンスとサイバーセキュリティ施策の統合
・ペネトレーションテスト検証
・セキュア設定、アプリ脆弱性の改修
【成果】ネットワーク、サーバーOS、ミドルウェア層のセキュア化、外部向けサービスのセキュア化、アプリセキュア化、社内データの厳格管理化を実現することが出来た。2023年春にシステムへの攻撃があったがリプレースしたIDS/IPS製品から収集したログの自動解析により攻撃初期段階に検出され、システム停止を回避し、2次攻撃を防ぐことが出来た。
プロフィール 詳細を見る
職歴
職歴:開示前
このエキスパートのトピック
-
セキュリティ課題解決支援について話せます
¥50,000~■背景 ネットワーク構築、インターネットサービス環境を提供する一環として、ユーザー企業様のネットワークセキュリティ施策が必要となり、予防、検知、事件や事故の進行モニタリングに必要な製品を扱ってきました。 常にセキュリティ事件、事故のリサーチを行い、原因と予防策、恒久対策のための方法を研究しています。 ■話せること ■マネジメント - ステークホルダーとの調整 経営層と現場との調整 - プロジェクト 導入計画、進捗管理、予算・リソース配分 - 教育・啓発活動 利用者向けトレーニング、セキュリティ文化の醸成 ■分析・戦略 - リスクアセスメントと対策立案 SP800-30やISO 27005などのフレームワークに基づくリスク評価 - セキュリティポリシー策定・運用 組織の業務に即したルール設計と教育・啓発活動 - コンプライアンス対応 PCI DSS、GDPR、ISMSなどの規制・認証への理解と実装支援 ■技術 - ネットワークセキュリティの知識 ファイアウォール、IDS/IPS、VPN、ゼロトラストなどの技術理解 - セキュリティ製品の評価・選定 要件定義、ベンダー比較、PoC(概念実証)の実施 - 脆弱性管理とパッチ運用 CVE情報の収集、リスク評価、修正計画の立案と実施 - クラウドセキュリティ CSPM、CASB、IAMなどのクラウド特有のセキュリティ対策 - インシデント対応 CSIRTとの連携、SIEMやEDRの活用、ログ分析と初動対応教育 事例: 2020年頃、DDOS攻撃被害を機にセキュリティを整備する。 ・システム構成と設定の整理 ・社外セキュリティウィークポイントの抽出 ・SIRT体制整備(セキュリティ専任1名採用) ・ITガバナンスとサイバーセキュリティ施策の統合 ・ペネトレーションテスト検証 ・セキュア設定、アプリ脆弱性の改修 【成果】ネットワーク、サーバーOS、ミドルウェア層のセキュア化、外部向けサービスのセキュア化、アプリセキュア化、社内データの厳格管理化を実現することが出来た。2023年春にシステムへの攻撃があったがリプレースしたIDS/IPS製品から収集したログの自動解析により攻撃初期段階に検出され、システム停止を回避し、2次攻撃を防ぐことが出来た。
-
情報セキュリティについて話せます
¥50,000~■背景 伊藤忠テクノソリューションズでアカウントSEをしていた2000年より上場企業のSOX対応機運が高まり、顧客向けにIT統制視点での施策提案を担当した際に製造業、小売業界向けに施策設計、システム設計、規定・ルール・マニュアル整備に携わり、企画から実装まで担当した。 その後、事業会社に転じた2社で同様の施策を本業の傍ら担当した。 ■話せること 情報セキュリティの企画から運用まで、企業規模、採算性、割ける人手を念頭に行える。
-
IT統制構築支援について話せます
¥50,000~■背景 事業会社向け情報システム開発、ネットワーク、セキュリティコンサルティングをしていました。 近年はIPO支援、ISMS認証取得、Pマーク取得、ITガバナンス構築支援を主に行っています。 ■話せること 情報セキュリティと企業上場に関して上流工程から下流工程まで過去17年に渡りかかわってきました。 ISMSについては、電装品商社、IT企業(いずれも東証一部上場)、電子部品商社、化学メーカー(いずれもIPO予定)の認証取得を事務局立ち上げ、情報資産棚卸、情報資産の特定、施策案、会社ごとの最適化、規定、手順、ルール策定、教育計画、資料作成を行いました。認証取得後は2社で内部監査、定期外部監査対応、不適合勧告に対する是正活動計画策定、指導に従事してきました。 個人情報保護法施行に伴うP-mark認証取得支援についてもISMS同様の活動を行い、2018年からはECサイト運営会社内で欧州顧客向け施策としてGDPRにも対応してきました。 IPOに向けたJ-SOX対応ではIT統制の主担当となり3社で以下の活動をしています。 IT環境整備計画策定、規定、ルール、手順書作成、販売・購買管理システムリプレースPMO担当、IT全社的統制を中心に、IT全般統制、IT業務処理統制体制確立を行っています。体制確立後は利用者に向けたセキュリティ教育計画策定、IPA他の市販資料を参考とした、サイバーセキュリティ教育を行い、事件、事故から組織を守る活動も行っています。 SIer、事業会社の経験を活かして情報セキュリティ対策や上場支援をとおして企業に貢献しています。