理想のポリシーと現実のシステムの「ギャップ」を診断、GSX

グローバルセキュリティエキスパート（GSX）は、企業が定めたセキュリティポリシーと実際のシステムとのギャップを診断するサービスの提供を開始した。

[ITmedia]

　グローバルセキュリティエキスパート（GSX）は7月19日より、企業が定めたセキュリティポリシーや規定と、実際のシステムとのギャップを診断する「デザイン＆インテグレーション・システム診断サービス」の提供を開始した。

　このサービスでは、企業が個々に定めたポリシーや個人情報保護やISMS、プライバシーマーク、内部統制や政府基準などの「マネジメント」と、実際に企業に導入されているハードウェアやソフトウェア、ネットワークなどの「システム」の両面をチェックするもの。GSXによるインタビュー調査を通じて、ITシステムの構成や設定、運用にポリシーがどの程度反映され、浸透しているかを診断し、ポリシーが空文化していないかを確認する。

　「システムのほうが前から存在しており、後からポリシーが作成されたというケースも少なくはない。このサービスを通じて、あるべき姿と現実のギャップを把握できるようにする」（同社）

　結果は、脆弱性の深刻さや優先順位、改善／対策案などとともに報告される。GSXでは、理想と現実のギャップを把握し、定期的なチェックと改善を重ねて両者を一体化することによって、情報セキュリティガバナンスの構築につなげることができるとしている。

　GSXではサービス開始と同時に、診断対象を2システムに絞り、約3週間でインタビュー項目の作成から調査、報告書の作成までを行う「D＆I システム診断サービス クイック・パック」も併せて提供する。クイックパックの価格は約150万円から。