CISOaaS
ログイン

Currently in Development — 新規ユーザー登録は受け付けておりません

Cyber Risk Governance

サイバーリスクを、
可視化する

情報セキュリティ経済学とリスク分析で導く、
最適なセキュリティ戦略。

CISOaaS は、貴組織のセキュリティ態勢を AI がヒアリングし、現状リスクの分析・評価から投資対効果の算出まで、 CISO の意思決定を一気通貫で支援するサイバーリスクガバナンスプラットフォームです。

ログイン詳しく見る
4
フレームワーク
4
リスクフェーズ
505
評価項目
Issues

こんな課題はありませんか?

多くの企業が直面するセキュリティ管理の3つの壁

01

セキュリティ投資の根拠が不明確

経営層への報告で「なぜこの金額が必要か」を定量的に説明できず、根拠の乏しい資料のまま予算獲得交渉が難航している。

02

リスクの全体像が見えない

個別のセキュリティ製品は導入しているが、攻撃チェーン全体でどの工程が弱いかを把握できず、防御の抜け漏れが生じている。

03

CISOリソースの不足

専任のCISOを置く余裕はないが、セキュリティガバナンス体制の構築は急務であり、判断と実行を担う責任者が不在となっている。

Features

リスクの可視化から投資判断まで、
ワンストップで

アセスメントからレポート生成まで、CISOに必要な機能を網羅

AI

AIヒアリング

AIが対話形式でセキュリティ対策の実施状況をヒアリング。結果は専門コンサルタントがレビュー・承認し、評価の正確性を担保します。

Analysis

攻撃チェーンに基づいたリスク分析

Entry / Detection / Propagation / Impact の4フェーズで攻撃経路を分析。多層防御の弱点を可視化。

Threat

ランサムウェア対策成熟度の可視化

侵入・横展開・実行・検知・影響緩和・復旧の6フェーズで対策カバー率を自動集計。経営層が一目で弱点を把握できる専用ダッシュボード。

Coverage

最新の脅威領域を網羅したソリューションマップ

EDR/XDR・ZTNA・SASE・CNAPP・Threat Intel・DevSecOps・API Security 等、10カテゴリ 66 サブカテゴリで構成される包括的なソリューションマップで、対策状況を網羅的に可視化。

Operations

リスク項目の対応管理

ACRA分析で生成された各リスクを「未対応/対応中/解決済/受容」のステータスで追跡。担当者割当・期限・コメントで対応状況を一元管理し、改善サイクルを確実に回せます。

Finance

ROIの自動算出

学術的に裏付けされた経済モデルで最適投資額を算出。JNSA被害額データ活用の日本企業向け分析。

Report

CISOレポートの自動生成

経営層向けセキュリティレポートをPDFで自動生成。リスクサマリー、投資提案、改善ロードマップを含む。

Continuity

過去評価を踏まえた継続的アセスメント

同一フレームワークの前回アセスメント結果を AI ヒアリングが自動参照。前回課題の解決状況を確認し、重複質問を抑制。改善サイクルの進捗を経時で可視化します。

Enterprise

グループ企業におけるサイバーリスクの統合管理

マルチテナント構成で各子会社のセキュリティ状況を一元管理。完全なデータ分離を実現。

Framework Coverage

4つのフレームワーク。
異なる立ち位置で補完し合う。

技術コントロールの具体性とマネジメントの網羅性で、各フレームワークの位置づけを可視化。 目的・規模・取引先要件に応じて最適な評価軸を選べます。

ISO 27001:2022
93 管理策
ISMS国際規格・組織的管理を網羅
マネジメント82
技術22
NIST CSF 2.0
106 サブカテゴリー
6機能で経営〜運用を包括
マネジメント76
技術70
SCS
経産省セキュリティ対策評価制度
153 評価基準
日本国内制度・取引先要件対応
マネジメント52
技術42
CIS Controls
v8.1.2
153 セーフガード
攻撃データ起点の実装ベストプラクティス
マネジメント22
技術80

各フレームワークの特性をもとに当社が独自に位置づけたもので、規格本来の優劣を示すものではありません。

Deliverables

経営層に届く、
データドリブンなレポート

アセスメント結果からROI分析まで、意思決定に必要な情報を自動生成

ES
Executive Summary
A
82.5
/ 100 SCORE
+5.2
CIS Controls 充足率
IG1
91%
IG2
78%
IG3
65%
リスク分布
2
Critical
5
High
8
Medium
3
Low
NIST CSF カバレッジ
ID
PR
DE
RS
RC
GV
ランサムウェア対策カバー率
要対策 2フェーズ
68%
20/29 導入
侵入
横展開
実行
検知
緩和
復旧
ROI
ROI Analysis
¥1,247万
年間予想損失額
¥459万
推奨投資上限
+125%
投資対効果
7件
未対応リスク
損失内訳
ランサムウェア
¥374万
情報漏洩
¥312万
不正アクセス
¥249万
その他
¥312万
投資優先度 TOP3
対策ROSI
EDR 導入+340%
MFA 全社展開+220%
SIEM 構築+180%
自動生成 PDF レポート
CISOaaS Report
セキュリティ
評価報告書
2026年度 セキュリティ評価
CIS / NIST CSF / ISO 27001 対応
Executive Summary
A82.5
Economic Analysis
ALE
GL
ROSI
Risk
Gordon-Loeb Model
Methodology

学術的根拠に基づく
セキュリティ投資判断

AC

ACRA — 攻撃チェーンリスク分析

Attack Chain Risk Assessment

従来のリスク評価は「影響度 × 発生確率」で算出しますが、 発生確率の推定は極めて主観的で根拠が曖昧という課題がありました。

ACRAは、この課題を解決するために開発された独自の手法です。 攻撃の「侵入から被害発生まで」を4フェーズに分解し、攻撃チェーン上の位置攻撃容易化度補完制御の有無からベースリスクを算出。 さらに実装状況に応じて段階的にリスクを軽減します。

各フェーズはMITRE ATT&CKフレームワークの14戦術にマッピングされており、 国際的な脅威分類との整合性を確保しています。

Approach Comparison
従来手法
影響度 × 発生確率

発生確率の推定が主観的。
根拠を説明しにくい。

ACRA
攻撃チェーン位置 × 容易化度 × 補完制御
→ ベースリスク → 実装状況で段階軽減

客観的指標で定量評価。MITRE ATT&CK準拠。

Attack Chain Phases
Entry(侵入)
ARO×1.5
フィッシング
脆弱性悪用
認証突破

Initial Access, Execution, Persistence

Detection(検知)
ARO×1.5
ログ監視
アラート
インシデント対応

Defense Evasion, Discovery

Propagation(拡散)
ARO×1.0
権限昇格
横展開
認証情報窃取

Privilege Escalation, Lateral Movement

Impact(影響)
ARO×1.0
データ漏洩
ランサムウェア
システム破壊

Exfiltration, Impact

MITRE ATT&CK Framework にマッピング

段階的リスク軽減

セキュリティ対策の実装状況に応じてリスクレベルが段階的に低減されます。 同一フェーズの他の対策が機能している場合、補完制御としてさらにリスクを軽減します。

未実施
Critical
部分的実施
High
十分実施
Medium
完全実施
リスクなし
補完制御

同一攻撃フェーズ内の他のセーフガードが十分に実施されている場合、 対象セーフガードのリスクがさらに1段階軽減されます。

GL

Gordon-Loeb 最適投資モデル

情報セキュリティ経済学の Gordon-Loeb (2002) 理論に基づき、 セキュリティ投資の最適上限額を算出。過剰投資も投資不足も防ぎます。

Optimal Investment Formula

IALE/e
I = 投資額ALE = 年間喪失額e = 2.718...
投資不足
適正範囲
過剰投資

JNSA被害額調査データ(2024年版)活用

Workflow

5ステップで始める
データドリブンなセキュリティ管理

01ASSESS

ヒアリング

AIとの対話でセキュリティ対策の実施状況を評価

02REVIEW

コンサルタントレビュー

専門コンサルタントがAI評価結果を検証・承認

03ANALYZE

リスク分析

ACRA 4フェーズモデルで攻撃チェーンリスクを定量化

04OPTIMIZE

投資最適化

経済モデルで最適な投資配分を算出

05REPORT

レポート

経営層向けCISOレポートを自動生成

Frameworks

対応セキュリティ評価フレームワーク

国際標準と国内制度を横断的に評価。ISMS 認証取得、経営層向け態勢評価、経産省制度準拠まで、目的に応じてフレームワークを選択できます。

対応中

CIS Controls

v8.1.2

企業のサイバーセキュリティ対策を優先度順に整理した実践的なベンチマーク

Center for Internet Security (CIS)153 項目
対応中

NIST CSF

2.0

米国NISTが策定したサイバーセキュリティのリスク管理フレームワーク

National Institute of Standards and Technology (NIST)106 項目
対応中

ISO 27001

2022

情報セキュリティマネジメントシステム(ISMS)の国際規格

International Organization for Standardization (ISO/IEC)93 項目
対応中

サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)

2026-03-27

経済産業省・IPA が策定したサイバーセキュリティ対策評価制度(★3 / ★4)

経済産業省 / 独立行政法人情報処理推進機構(IPA)153 項目
Coming Soon

サイバーセキュリティ経営ガイドライン

Ver 3.0

経営者向けにサイバーセキュリティ対策の重要 10 項目を示すガイドライン。上場企業・上場準備企業の経営層向け対応として準備中。

経済産業省対応予定
Pricing

あらゆる企業規模に対応

現在開発中のため、料金は正式リリース時に確定します。

STANDARD

スタンダード

中小企業向け

リリース時公開
  • 基本アセスメント(CIS IG1 / NIST CSF / ISO 27001 / SCS評価制度 ★3)
  • CIS Controls v8.1 / NIST CSF 2.0 / ISO 27001:2022 / SCS評価制度(2026年3月27日版) 対応
  • 基本リスク分析
  • 基本レポート
  • シングルテナント
  • メールサポート
正式リリース時に詳細を公開予定
PROFESSIONAL推奨

プロフェッショナル

中堅企業向け

リリース時公開
  • 標準アセスメント(CIS IG2 / NIST CSF / ISO 27001 / SCS評価制度 ★4)
  • CIS Controls v8.1 / NIST CSF 2.0 / ISO 27001:2022 / SCS評価制度(2026年3月27日版) 対応
  • ACRA 詳細リスク分析
  • ランサムウェア対策成熟度ダッシュボード
  • Gordon-Loeb ROI 分析
  • 詳細レポート + 改善提案
  • 最大5テナント
  • 優先サポート
正式リリース時に詳細を公開予定
ENTERPRISE

エンタープライズ

大企業・グループ向け

お問い合わせ
  • 包括アセスメント(CIS IG3 / NIST CSF / ISO 27001 / SCS評価制度 ★4)
  • CIS Controls v8.1 / NIST CSF 2.0 / ISO 27001:2022 / SCS評価制度(2026年3月27日版) 対応
  • 全機能利用可能
  • カスタム ROI 分析
  • 完全版レポート
  • 無制限テナント
  • 専任サポート
正式リリース時に詳細を公開予定