.jpg)
.jpg)
20年以上に渡りサイバーセキュリティサービスを提供
フランスに本社があるコンサルティングファームのCapgemini(キャップジェミニ)は、1967年に設立され、世界50か国以上に36万人を擁するグローバルカンパニーです。
Capgeminiのサイバーセキュリティサービスは、20年以上に渡り、製造業全般、自動車、金融保険、電気通信、航空、公共部門、医療、ITサービスなど、幅広い業界に実績があり、お客様との信頼関係を築き上げています。サービスを支えるサイバーセキュリティ要員は、欧州、インド他で5,000名もの優れた人材を擁し、また、搬送が難しい大型機器でもオンサイト(お客様先)でセキュリティ診断を実施できます。
これまでの実績と経験で培った高い技術とノウハウを活かしたサービスをご提供し、納期、コストも含めた非常に柔軟な対応で、 お客様のビジネス変革の推進力を加速します。
こんな課題・要望にお応えします
セキュリティ規制(CRA、RE指令など)の条項が難しくてよくわからない- セキュリティ規制の適用開始までに時間的余裕がなく、対応を効率的に進めたい
- 開発製品*1をセキュリティ専門家の第三者視点でテストし、脆弱性を洗い出したい
- 常に進化しているサイバー攻撃に対して、IT環境*2のセキュリティ対策が十分なのか、セキュリティ専門家にチェックして欲しい
- 他のセキュリティ事業者より提示された提案内容や見積価格は妥当か、比較したい
*1 車載機器、民生機器、産業制御機器など
*2 クラウド、ネットワーク装置、WEBアプリなど
CRA、RE指令などの規格対応コンサルティング
- ・規格に該当する製品の特定、分類
- ・規格要件と現状のギャップ分析
・対応ロードマップの策定 - ・認証取得に向けたドキュメント作成支援
- ・定期的な監督
評価レポート例
IoT機器、IT/OT環境向けセキュリティ診断
・IoT機器(車載ECU、産業制御装置など)の、ハードウェア、FW、OS、アプリケーションの全レイヤを対象とした診断
・IT/OT環境(クラウド、ネットワーク装置、Webアプリなど)を対象とした診断
ホワイトハッカーによる網羅的な診断
(ペネトレーションテスト)
CRA対応コンサルティング
<CRAとは>
欧州市場で販売されるデジタル製品*3に対してサイバーセキュリティ対策を義務付ける規制で、サイバーセキュリティリスクアセスメントの実施、サイバーセキュリティ要件への準拠、各種文書の作成、適合性評価(自己評価、認証取得または第三者評価)の実施、インシデント対応体制の構築と運用などが義務付けられています。
2026年9月より脆弱性報告義務、2027年12月に全面適用されます。
*3 ソフトウェアやハードウェアを含む他の製品やネットワークへ接続できるあらゆるデジタル製品が対象
<CRA対応の課題>
・CRAに対する自分達の理解が正しいか自信がない
・CRA要件と現状のギャップ分析が出来ない、または時間がかかりそう
・CRAの適用開始時期までの段取りを立てたいけれど、対策漏れが心配、
対応にかかる時間がわからない
・適合性評価を依頼したい
・各種文書のレビューや作成を手伝ってほしい
Capgeminiの経験豊富なコンサルタントが、お客様の疑問や課題の解決をお手伝いします。また、製品の適合性評価もセキュリティ診断の専門家が実施し、脆弱性が発見された場合には推奨対策案をご提示します。お客様の状況や予算などのご要望に沿ったご提案をいたします。
<CRA準拠の手順>
フェーズ0
条項の分析
CRAのワークショップ
CRA条項の特定と各役割へのマッピング
▼
フェーズ 1
初期評価
製品の属するクラスの特定
現在の体制とCRA要件との間のギャップの特定
ロードマップの策定
▼
フェーズ 2
リスク評価とセキュリティ強化
製品ライフサイクル全体にわたるサイバーセキュリティリスクの特定と軽減
脆弱性評価の実行
包括的なセキュリティポリシーの確立
▼
フェーズ 3
コンプライアンス・テストと検証
CRA規制への準拠を確保するためのコンプライアンステストと検証
ペネストレーションテスト
コンプライアンスレポートの作成
例えば、CRAをこれから調査するお客様の場合は、まずはフェーズ0でCRAを深く理解することができます。また、フェーズ1の初期評価を行うことにより、お客様の現状とCRA要件のギャップ分析結果から、その後の進め方(ロードマップ)を策定し、この先の提供サービスの取捨選択や優先順位付けの変更など、柔軟な対応が可能です。
フェーズを区切ったスモールスタートにより、費用負担を抑え、期待したアウトプットかを判断してから次のフェーズに進むことができます。
IoT機器向けセキュリティ診断(ペネトレーションテスト)
<ペネトレーションテストとは>
攻撃者の観点から診断対象機器に対して疑似攻撃を行い、侵入を試みることで、脆弱性の有無やセキュリティ耐性を確認するテストです。製品を市場出荷する前に実施することで、堅牢性の向上や万一による改修コストやブランドイメージ棄損など被害損失の削減が見込まれます。
<ペネトレーションテストの課題>
・取引先からペネトレーションテスト実施の通達があったが、経験・知見が
無く、何をすれば良いのか?
・開発製品に施したセキュリティ対策に問題はないのか?また対応は十分か?
・ある事業者より見積りを取得したが、はたして費用や内容は妥当なのか?
Capgeminiの経験豊富な専門家が、お客様の開発製品のセキュリティ対策・対応を第三者視点で確認し、脆弱性が発見された場合には、推奨対策案をご提示し、開発製品の堅牢性の向上をお手伝いします。また、お客様の予算や時期などのご要望に沿ったご提案をいたします
<ペネトレーションテストの実施ステップ>
初回ヒアリングから報告会まで、しっかり対応いたします。
診断対象仕様・
診断範囲の確認
お客様のご希望の実施時期や予算などのヒアリングおよび、対象機器に関する仕様(I/F、機能など)、ご提供頂ける情報(ブロック図、設計仕様、認証情報、ソースコードなど)等を確認させていただきます
▼
ペネトレーション
テストのご提案
ヒアリングや確認内容をもとに、お見積および提案書をご提出します。
<提案書の内容例>
テストの対象範囲、テスト内容、テスト項目、ご提供頂きたいもの(ユニット、周辺機材、数量など)、スケジュール、成果物
▼
契約締結
ご提案内容、契約条件、機密情報の取扱いなどの内容確認を頂き、問題なければ、ご契約手続きを行います
▼
診断プランの検討
受信した情報(設計仕様、セキュリティ コンセプトなど)を確認し、潜在的な弱点とセキュリティの脅威を特定。さらに、実行するテストプラン(スコープ、項目、手順など)も定義します
▼
診断実施
定義したテストプランに従い、ペネトレーションテストを実施します。診断期間中は進捗会(1-2週間に1回程度)にてテスト状況、発見された問題などご報告します
▼
レポート作成・報告会
テストの説明、調査結果(脆弱性)およびCVSSスコアリングと推奨事項などをレポートにまとめ、報告会にてご説明します
※レポートは英語または日本語でご提供
