トータルネットワークセキュリティサービス　NetProtect（ネットプロテクト）

トータルなセキュリティサービスによりサイバー攻撃から保護

※ 各サービス概要説明へリンク
「春から社内情報システムのセキュリティ管理者に。でも、一体何から始めればいいのだろう...？」まずは右の「資料請求・お問い合わせ」をクリック!!

概要 / 特徴

概要/特徴

「NetProtect」は、セキュリティ診断、セキュリティ監視、セキュリティ監査、セキュリティコンサルティング、セキュアネットワーク設計・構築、セキュリティ情報提供、ウィルス対策、内部情報漏洩対策等のセキュリティ全般をカバーするサービスからなるトータルネットワークセキュリティサービスです。

※ 本ページに記載されております製品、サービス名または固有名詞は、各社の商標または登録商標です。

セキュリティ診断
セキュリティ監視
セキュリティ監査
セキュリティコンサルティング
セキュアネットワーク設計構築
セキュリティ情報提供
内部情報漏洩対策(Smart Leak Protect)

仕様 / 詳細

セキュリティ診断

WebサーバやMailサーバ等の各機器や、Webアプリケーションに対して擬似アタックを行い、現状の脆弱点などセキュリティレベルを検査します。検査結果は独自の分りやすいレポートにまとめ、報告会を実施します。さらに、お客様にて対策後、脆弱点が改善されたかの再確認まで実施します。

プラットフォームセキュリティ診断

Simpleプラン
ツールを利用し、短期間で脆弱性を検査します。費用をおさえて、短期間で実施したい場合にお勧めです。
Advancedプラン
ツールを利用した診断に加え、独自のツールやスクリプト、さらには専門家の手作業による検査/分析により、脆弱性を検査します。複数ツールの診断結果を統合/照合し、範囲/精度を向上させます。

Webセキュリティ診断

シンプルプラン
企業の公式サイトや、PRページなど、ログインのないシンプルなサイトにお勧めのプランです。ツールをメインに実施するため、費用を押さえて実施することができます。
プレミアムプラン
個人情報を扱うサイトや、管理用ページなど、ログイン機能を要する機密な情報を扱うサイトにお勧めのプランです。20年以上にわたる、弊社Webセキュリティ診断経験を生かして、ツールとセキュリティ技術者の手作業を掛け合わせて、様々な検査項目を実施します。

PAGETOP

セキュリティ監視

お客様のネットワーク/ホストにセキュリティ監視システム（IDS）を設置し、インターネット経由、あるいは内部ネットワーク経由の不正アクセスをリモートから24時間365日監視します。

監視種別

ネットワーク監視
ネットワークを流れるデータを監視することにより不正アクセスをリアルタイムに検知し、必要に応じて遮断します。
ホスト監視
ホスト上のログやプロセス等を監視することにより、不正アクセスをリアルタイムに検知し、必要に応じて遮断します。

サービス内容

監視システムの構築と高精度チューニング
監視システム（IDS/IPS）の設計・構築、およびお客様環境に最適な監視項目のチューニングを行います。
お客様スタイルに合わせた柔軟な監視運用支援体制
弊社センタによる24Hリモート監視から、お客様運用のバックアップ支援に至るまで柔軟に対応します。また、SOC（セキュリティ・オペレーション・センタ）の立ち上げや運用についても支援します。
専門スタッフによるログ解析と不正アクセス状況の報告
DS/ISPが出力する解析結果のみならず、システムの特性、過去の履歴、世の中のトレンド等を加味し、経験豊富な専門スタッフにより解析を実施。より精度の高い解析結果を報告します。

監視システム構成例

参考）SOCサービスの詳細はこちら　→　「ICT-24セキュリティオペレーションサービス」

PAGETOP

セキュリティ監査

サーバのセキュリティが破壊されているかどうかを技術的に監査します。セキュリティ基準等の遵守状況やパッチ適用状況など、セキュリティ確保のための設定がなされているか調査します。

特徴

サーバにログインし、内部からセキュリティ確保のための設定やセキュリティパッチ等が適切に実施されているかを検査します。
独自スクリプト、および専門家の手作業により、ベンダ推奨値やOSに対応したきめ細かなシステム監査を行います。
結果は、必須/推奨の項目判定とレーダチャート等による適合度表示など分かり易いレポートで報告します。

監査方法

サーバセグメントに監査用ノートPCを接続し、対象のサーバにリモートログインしてセキュリティ監査を実施します。

セキュリティ監査
このような状況にならないように調査

PAGETOP

セキュリティコンサルティング

ISO27001認証取得支援サービス

ISMS（情報セキュリティマネジメントシステム）構築支援
ISO27001認証取得を目的とし、ISO27001認証基準で要求するリスクアセスメント及び文書化されたISMS構築において、お客様のご要望に応じたメニュープランを作成しISMSの構築をご支援いたします。
ISMS（情報セキュリティマネジメントシステム）運用支援
構築したISMSが確実かつ有効に実施されることを目的としISMS周知研修、内部監査、マネジメントレビュー、認証審査対応、予防処置・是正処置等、 ISMSの運用及び認証審査に欠かせない全ての工程において、お客様ご要望に応じたメニュープランを作成しISMSの運用をご支援いたします。

プライバシーマーク取得支援

個人情報保護方針の策定支援から運用／教育、内部監査、見直しを含め、コンプライアンスプログラムの構築を支援し、プライバシーマークの取得を支援いたします。

個人情報保護法対策支援

個人情報保護法、担当省庁ガイドラインを踏まえ、個人情報保護方針、規定類の策定、あるいは改訂を支援します。

情報セキュリティ監査支援サービス

情報セキュリティ管理のベストプラクティス集であるISO/IEC 17799：2005や、情報セキュリティ管理基準（経済産業省）、地方公共団体情報セキュリティ管理基準（総務省）をベースにした情報セキュリティ監査、お客様で作成した既存文書をベースにした、情報セキュリティ内部監査をご支援いたします。
詳しくはこちら

PAGETOP

セキュアネットワーク設計構築

セキュリティポリシーやセキュリティ診断監査等の結果に基づいて、セキュアなネットワークを設計・構築します。

サーバの要塞化

ファイアウォールを突破された場合や、内部からの不正アクセスを防ぐために、OSやアプリケーションの脆弱要因を排除し、サーバ自体のセキュリティレベルを高めます。

ネットワークのセキュア化

ファイアウォール/ルータのパケットフィルタリングの設計
IPsec/VPN等を用いた通信の暗号化

要塞化サーバ

PAGETOP

セキュリティ情報提供

お客様のご利用機器等に合わせた最新のセキュリティ情報をメールにてご提供します。

サービス内容

CERT/Bugtraq/ベンダ等の主要サイトから情報収集
入手した複数の情報を基に、弊社でユーザの使用環境に影響のある情報を厳選、加工・編集し、メールにて配信（1日1回、該当情報がある場合のみ）
脆弱性情報、利用アプリケーションのバージョンアップ情報等
ご提供情報を週1回サマリ情報として配信

メールサンプル

PAGETOP

内部情報漏洩対策(Smart Leak Protect)

内部情報漏洩の監視ポイント

ネットワークから個人PC（デスクトップ/ノートPC）等に至る全ての情報漏洩ポイントを、システム的に監視・防御します。

外部出力操作（印刷、外部メディアへの書き出し）
アプリケーションの利用
未登録PCのネットワーク接続
メール送信
ファイル暗号化
ユーザの特異挙動

支援内容

弊社独自のノウハウにより、お客様環境への導入を支援致します。

社内規定を考慮したポリシー設計
システム構築

詳しくはこちら

※ 本ページに記載されております製品、サービス名または固有名詞は、各社の商標または登録商標です。
※ 本製品の仕様は予告なく変更することがあります。

適用例 / 導入事例

導入事例

「iPad対応した新・販売支援システムのセキュリティ診断に、NTT-ATの《NetProtect》を活用！」
フォルクスワーゲン・ファイナンシャル・サービス・ジャパン株式会社様

PDFダウンロード

「私達の様々な要望に対し、柔軟で的を絞った提案をいただけたのが決め手です」

フォルクスワーゲン・ファイナンシャル・サービス・ジャパン株式会社（VFJ）は、ドイツVolkswagen Financial Services AGの100％出資会社だ。日本におけるフォルクスワーゲングループのファイナンス会社として、アウディ・ベントレー・ランボルギーニ・フォルクスワーゲンを購入するお客様へファイナンスプログラムを提供する。IT＆マーケティング企業をめざして挑戦を続ける同社では、全国の正規販売店向けの中核となる販売支援システムを全面刷新。そのセキュリティを高めるためにNTT-ATの『NetProtect』サービスを選択した”想い”を伺った。

独自の先進システムにタブレットを導入

IT部では、安生氏が率いる販売店向け販売支援システム「EVAS」（イーバス）を提供するチームのほか、請求書発行などバックオフィスの基幹業務、PC サポートなどを担当するチームで構成される。福元氏はEVASアプリケーションの運用・開発を、清水氏はネットワークのインフラを担当している。

安生：EVASは2005年にスタートしました。フォルクスワーゲンとアウディの販売サポートシステムの略語です。導入当時はEVAS経由のローンのお申込みは10％にも満たなかったのが約2年前に90％を超え、今では99.9％に達します。ここ数年で販売店網の全てをカバーする仕組みへと大きく成長してきました。

急速に利用率が高まった販売支援システムだが、意外にも現場はつい最近まで紙の世界だった。

安生：店舗でクルマを購入された際のローンのお申込みは手書きによる紙とFAXの世界で、とても時代遅れでした。ITでオンライン化して改善していかなければと感じていました。
数あるファイナンス会社から当社を利用していただくには魅力あるシステムなどで囲い込んでいく必要があります。販売店だけでなくインポーターと呼ばれるフォルクスワーゲングループジャパン、アウディジャパンの声もお聞きしてより良いシステムにしなければ、という想いが常にあり、それを仕組みへと反映する役割を担っています。

福元：今回のEVASリニューアルのプロジェクトは元々稼働していたPC版と並行してiPadに対応することが大きな目的の１つでした。Flashで作成していたコンテンツがiPadでは動かないため、新たなWebアプリケーションの開発が必要になりました。他にも機能や見栄えなど全面的に刷新しました。

広がるビジネス、セキュリティが課題に

EVASでは、ローンの審査に関わるセンシティブな個人情報がやりとりされる。これまでセキュリティ確保はどのように？

安生：今までは外部から遮断されたネットワーク（NW）で運用していました。でも、タブレット時代を迎え、接客もiPadを活用するのが当たり前。ところが、iPadを閉じたNW上で動かすのは逆にハードルが高く、店頭でiPadを使うにはインターネットが必須でした。そこで、インフラを整備するとともにiPad用コンテンツを作り、新しいインフラ上で稼働させることにしました。
しかしそれには「セキュリティ」という大きな課題があり、時間をかけて徹底的に検討しました。入り口で不正侵入を防ぐIPSを導入し監視運用体制を構築したり、事前に許可したiPadだけが接続できる証明書認証システムの導入、さらには構築時にもセキュリティ対策を施した上で、2013年1月に新・EVASシステムをサービス開始しました。

システム拡張の過程でセキュリティを切り離すことはできない。インターネット接続で新たな対策が必要となったEVASだが、iPad効果は大きかった。

安生：利用率の数字以上に、iPadでもできることへの反響がすごいですね。
私達のビジネスでは販売店の営業担当が一次的なお客様です。EVASの利用を強制できない代わりに「こういう仕組みもありますよ」と広めていくのが全国各地にいるエリアマネージャーの仕事の１つです。EVASの効果的な使い方など提案することで、当社のファイナンスの利用促進に役立っています。

福元：クルマを買うお客様がローンを希望された場面で、どの会社のローンを提案するかは販売店の営業担当次第。その時、できるだけ当社を選んで提案してもらえることをめざしています。

安生：当社なら後々まで安心して利用しやすいというメリットがある。単に金利の低さで競うのではなく、プラスαのプレミアムな付加価値で選んでいただくことを重視しています。

販売店の営業担当者の心の中で一番に位置づけてもらう。これもまたブランドのひとつの形だ。

福元：手元で最終的な見積もりデータが出力されるのでそのままお客様に見せることができます。以前は一旦バックオフィスに戻ってPCに入力し、プリントした見積書を持ってきたり、ノートPCの画面をぐるっと回してお客様に向けたり、ひどい時は手書きだったり…。高級車を購入するのにそれではがっかりしますよね。

安生：タブレットをささっと操作して見せる方が格段にスマートです。洒落た店舗でiPad片手に商談されたら、その気になりますよね。

福元：当社のローンをお使いいただくとご契約後のサポートも万全で、お客様の管理などもトータルで実現でき、一連の流れが最もスムーズにつながるという効果もあります。

安生：たとえばローン満了を迎えるお客様へ連絡する時機を教えてくれるなど、便利なマーケティングツールにもなります。ローン申込み端末というより、クルマを買ってから次に乗り換えるまでのライフサイクルをカバーします。

先進のサービスを支えるEVASに万全のセキュリティ対策を施すことで、販売店の営業担当とクルマを購入するお客様の双方にとって安心につながる。

診断サービスの決め手は「柔軟な提案」

福元：販売店にどんどん利用していただくためにはリリース後も要望を取りこみ進化し続けていかなければなりません。セキュリティ面のキャッチアップも不可欠です。アプリを一部改修したら不具合が生じた、新機能を追加したら攻撃を受けた、といった問題が起きないよう、機能だけでなくセキュリティの向上にも継続的に取り組んでいます。

安生：リニューアルしたシステムはドイツ本社の承認も得て、ひとまず安心でした。でもそれは作った開発パートナー自身が大丈夫と言っている状態で、本当に安心かどうかは他人の目から見ない限りわからないので、第三者の確認が必要です。セキュリティ診断のできるベンダーを探していた時、NTT-ATの診断サービスを知りました。他に数社に声をかけ、お話を聞いた上で決めました。

福元：セキュリティ診断は過去に別件で利用経験がありました。今回も複数社を比較しましたが、今回対象のシステムはiPadでの利用が前提なので、それをいかに診断するか？という進め方が大きなポイントでした。診断方法のアイデアや柔軟性、オンサイトで診断していただけるかどうか…。

清水：今回はアプリケーション的な視点のチェックとNWを外部からチェックするという２つを依頼しました。ただ、当社のNWを強固にしていたのと、証明書をPCに配布していないので外からPCで接続するリモート診断は難しいということで、アプリケーションについては当社にお越しいただき、内側からの診断となりました。
私達としてもオンサイトでないと診断できないのでは？と考えていましたが、当社のポリシーで社外からのPC持ち込みは禁止されているため、それにも柔軟にご対応いただけたのはNTT-ATだけです。

丁寧な事前調査で生まれた信頼感

福元：私達の様々な要望に対して、柔軟性はもちろんのこと、的を絞って診断するというご提案をいただけた点が、NTT-ATを選んだ決め手です。見積もり前の調査に何度も足を運んでいただき、じっくり時間をかけてよく診られた上での提案だったので信頼度は高いですよね。事前にきっちり調べてくれたので安心してお任せしました。

EVASは背後で様々なシステムと連携し、アクション数が多い。画面遷移図やリンク数だけでは、動作するプログラムや脆弱性になり得る箇所が見えない場合があり、真に診断すべき部分は実際に動かしてみないとわからない。とはいえ、営業段階で手間をかけず、見た目の感触からアクション数を見積もるベンダーも多い。当然、見積もりも作業計画も精度は低くなるため、提案時点で費用やスケジュール感が合っているかの確認が重要になる。

福元：やはり価格も重要です。事前調査分が大きく上乗せされることもなく、社内で承認を得られる範囲の金額をご提示いただけて、結果的に、コストも含めてNTT-ATが一番でした。

清水：できるだけ早く実施したいという時間的な制約があったので、いくつかの対象や項目のうち今回はどれを行うかという取捨選択ができた点もよかったです。画面遷移のアクションを全て対象にすると作業量が膨み金額に反映するため、「この部分は重なるから次回でいいのでは？」と親身になって提案いただき、判断しやすかったです。

福元：やるべき部分とやっても効果が薄い部分の選択肢をいただき、インパクトのある部分に絞れたのが、工数と時間の削減につながりました。

診断対象のシステムが１社で開発されたことも幸いした。同じような作りの箇所が２つあったら片方を診断すればもう一方にも同様の対策が応用できる。予算内に収めるための工夫のひとつだ。
こうして、診断作業はNWセキュリティをNTT-AT社内からリモートで実施、Webアプリケーションは担当者が現場に赴いて行われた。

福元：我々と意見を交わしながら診断していただきました。また、DoS攻撃に対する診断も夜間に行っていただいたので、何かあった時のために私と清水で立ち会いました。

清水：診断中に何かあるかなと思っていましたが、何事もなく終わって。軽いものが数件だけで、危惧していた穴は見つかりませんでした。

実際、診断担当者も「こんな優秀なサイトは見たことがない」と口を揃えるほど強固なシステムだった。

診断して終わり、ではないのがセキュリティ

報告会にはシステム開発ベンダーも同席、ディスカッション形式で行われた。報告書は危険度をHigh/Midium/Low/Informationの４段階で示し、詳しい説明や対策方法が添えられ、「具体的にどう対策すればいいの？」との疑問に答える。

福元：危険度が高いと判定された脆弱性についてはその月のうちに対策を終え、最も危険度の低い問題も対応を完了したところです。

ここまで徹底する企業は少ないが、直接の攻撃だけでなく間接的な不正利用の可能性があるため対策を打っておく方が安心だ。ここにも同社のセキュリティへの意識の高さがうかがえる。

安生：報告会では丁寧な説明で、特別に英語版で報告書サマリーも用意していただきました。その２週間後にドイツから監査がきて、セキュリティ対策について質問されましたが、胸を張って資料を見せることができました。親会社は世界的に名が知られ、我々も攻撃を受けることがあるかも…と心配は尽きません。今回の診断でセキュリティ専門家からの指摘に沿って対策をとったことで一安心ですが、技術が進歩すると、今は穴がなくても将来また新たな対策をしなければならないでしょうね。

福元：NTT-ATの皆さんが相当な時間を割いてしっかり診てくださっていることは目に見えてわかりました。今後も我々のセキュリティパートナーとして、定期的にお願いしたいと思っています。