ITアセスメント&監査
ベンダーニュートラルなIT監査と優先順位付き改善ロードマップ——アジア太平洋全域で提供
Brocentは、中小企業向けプロジェクト監査からエンタープライズ向けセキュリティ・コンプライアンス・ガバナンスプログラムまで、構造化されたITアセスメントを提供します。ITユーザー20名未満向けのMicrosoft 365ベースラインレビュー、17サービスのフル監査カタログ、四半期・年次の定期パッケージなど、ニーズに応じた対応が可能です。リスク順位付けされた所見、管轄別コンプライアンス注記、実行可能な是正ロードマップを、香港、シンガポール、中国、インド、台湾、マレーシア、ベトナム、タイでお届けします。
対象企業
中小企業のベースラインからエンタープライズ監査プログラムまで
ITユーザー20名未満で、Microsoft 365およびハイブリッド環境の固定スコープ監査を、透明なUSD料金で実施したい中小企業。
セキュリティ、コンプライアンス、クラウド、ガバナンス、ベンダー監査を定められたサイクルで実施する必要がある大企業および規制対象業種。
複数のアジア太平洋市場に拠点を持ち、管轄別のPDPO、PDPA、PIPL、DPDP、ISO 27001ギャップ分析を含む統一レポートが必要な組織。
地域別提供
アジア太平洋全域でのコンプライアンス対応型監査提供
各エンゲージメントでは、所見をお客様の事業市場に関連するプライバシーおよびセキュリティフレームワークにマッピングします。Brocentの地域別ITサービスで、ローカル提供の背景をご確認ください。
PDPO
データ取扱い、アクセス制御、SFC対応ドキュメント
- ▸PDPOギャップ分析
- ▸特権アクセスレビュー
- ▸バックアップおよびDR対応状況
PDPA (PDPC)
PDPA対応オペレーションとM365ガバナンス
- ▸PDPAコンプライアンス監査
- ▸MFAおよびConditional Access
- ▸メールセキュリティ(SPF/DKIM/DMARC)
PIPL / MLPS 2.0
越境データ、M365中国テナント、MLPS整合
- ▸PIPLデータ所在地レビュー
- ▸MLPS 2.0ギャップ分析
- ▸クラウドリソースインベントリ
DPDP Act
データ保護コントロールとアクセスライフサイクル
- ▸DPDPコンプライアンスレビュー
- ▸JML権限監査
- ▸エンドポイントおよびバックアップカバレッジ
個人情報保護法
ローカルM365境界とコラボレーション権限
- ▸権限およびゲストアクセスレビュー
- ▸Teams/SharePoint監査
- ▸モバイルデバイスコントロール
PDPA 2010
中小企業および地域ハブ向け監査提供
- ▸PDPA 2010ギャップ分析
- ▸資産およびパッチレビュー
- ▸Wi-Fiおよびネットワークベースライン
政令13号
リモートディスカバリーとアジア太平洋NOC支援による提供
- ▸個人データ保護レビュー
- ▸アクセスおよびエンドポイント監査
- ▸バックアップ検証
PDPA 2019
バンコクおよび地域オフィス向け監査サポート
- ▸PDPA 2019整合
- ▸SaaS権限監査
- ▸インシデントレスポンスレビュー
中小企業プロジェクト監査
Microsoft 365およびハイブリッドIT監査スコープ
ITユーザー20名未満の組織向けの固定スコープ監査です。ID、アクセス、エンドポイント、資産、パッチ適用、バックアップ、ソフトウェアコントロール、モバイルセキュリティを網羅します。オプションのアドオンはディスカバリー段階でスコープを確定します。
ユーザーアカウントと認証
Microsoft 365およびハイブリッドディレクトリにおけるIDライフサイクルと認証強化。
- ▸Microsoft 365 / Azure ADおよびローカルアカウントのインベントリ
- ▸入社・退職・休眠アカウントのレビュー
- ▸MFA強制とパスワードポリシーの評価
- ▸特権アカウントおよびサービスアカウントの管理
- ▸SSOおよびConditional Accessポリシーのレビュー
アクセス権限と認可
コラボレーションプラットフォームにおける最小権限と職務分離のレビュー。
- ▸Microsoft 365、ファイル共有、アプリケーションにおけるRBAC
- ▸SharePoint、OneDrive、Teamsの権限監査
- ▸セキュリティグループおよび動的グループメンバーシップのレビュー
- ▸ゲストおよび外部ユーザーアクセス
- ▸重要業務における職務分離(SoD)
エンドポイントセキュリティとEDR
Microsoft Defender for EndpointおよびIntuneのコンプライアンス状況。
- ▸Defenderの展開および設定状況
- ▸EDRポリシー、ASR、エクスプロイト保護
- ▸Intuneデバイスコンプライアンスポリシー
- ▸アンチウイルスの有効性と更新状況
- ▸ファイアウォールおよびホストベース保護設定
IT資産管理
ハードウェア、ソフトウェア、クラウド資産の完全な可視性。
- ▸エンドポイント、サーバー、周辺機器のインベントリ
- ▸資産タグ付け、所有権、ライフサイクル追跡
- ▸AzureおよびMicrosoft 365ライセンスのインベントリ
- ▸ネットワークデバイスのインベントリ
- ▸資産廃棄および退役手順
セキュリティパッチと脆弱性管理
パッチ状況と脆弱性是正プロセスのレビュー。
- ▸Windows、macOS、アプリケーションのパッチ状況
- ▸Microsoft 365 / Azureパッチ管理
- ▸脆弱性スキャンおよび是正ワークフロー
- ▸パッチポリシーおよびスケジュールのレビュー
データバックアップとリカバリ
バックアップカバレッジ、テスト、ランサムウェア耐性。
- ▸OneDrive、Azure Backup、サードパーティバックアップのレビュー
- ▸バックアップ頻度、保持期間、リストアテスト
- ▸サーバー、エンドポイント、クラウド、メールのカバレッジ
- ▸DR/BCPおよびランサムウェア保護(不変性、エアギャップ)
承認済みソフトウェアとアプリケーションコントロール
ソフトウェア承認、シャドーIT、ライセンスコンプライアンス。
- ▸ソフトウェア承認プロセスおよびポリシー
- ▸承認済みアプリケーションのインベントリ
- ▸アプリケーションのホワイトリスト / ブラックリスト
- ▸シャドーITの発見
- ▸Microsoft 365およびソフトウェアライセンスコンプライアンス
モバイルデバイスセキュリティ
Intune MDM/MAMによる企業デバイスおよびBYODコントロール。
- ▸IntuneによるMDM/MAMポリシーのレビュー
- ▸企業所有およびBYOD登録コントロール
- ▸仕事用プロファイル分離とコンテナ化
- ▸リモートワイプ、暗号化、パスコード要件
- ▸モバイル脅威防御機能
ネットワークとメールセキュリティ
境界およびメッセージングコントロール(多くの場合アドオンとしてスコープ化)。
- ▸ネットワークセグメンテーションとWi-Fiセキュリティ
- ▸フィッシング対策とスプーフィング保護
- ▸DMARC / DKIM / SPF設定
- ▸Microsoft 365 Secure Scoreのレビュー
推奨アドオン——ディスカバリー段階でスコープを確定
セクション9の領域および追加のコンプライアンスフレームワークは、ComprehensiveまたはPremiumティアに含めることができます:
- ▸ネットワークセキュリティ(セグメンテーション、Wi-Fi、VPN)
- ▸メールセキュリティ(フィッシング対策、DMARC/DKIM/SPF)
- ▸クラウドセキュリティポスチャ(Microsoft 365 Secure Score)
- ▸ログ、モニタリング、SIEM機能
- ▸物理セキュリティおよびオフィスアクセスコントロール
- ▸セキュリティ意識向上トレーニングとフィッシングシミュレーション結果
- ▸インシデントレスポンス計画および過去のインシデントレビュー
- ▸PDPO、ISO 27001、GDPR、その他のコンプライアンスギャップ分析
中小企業プロジェクト料金
ITユーザー20名未満向け固定価格監査ティア
すべての価格はUSD表示です。工数見積もり:50〜80時間(シニアコンサルタント+サポート)、ドキュメント作成、ツールベーススキャン、インタビュー、レポート作成を含みます。
表示価格はITユーザー20名未満の中小企業エンゲージメント向けです。エンタープライズおよび定期プログラムは別途お見積もりします。
コア監査
USD 3,800
セクション1〜8——フルベースラインカバレッジ
- ✓ユーザーアカウント、アクセス、エンドポイント、資産
- ✓パッチ適用、バックアップ、ソフトウェアコントロール、モバイル
- ✓優先順位付きロードマップ付きの書面監査レポート
- ✓ITおよび経営チームとのデブリーフィングセッション
包括監査
USD 4,900 – 5,500
コア+主要セクション9アドオン
- ✓コア監査のすべて
- ✓Microsoft 365 Secure Scoreレビュー
- ✓メールセキュリティ(DMARC/DKIM/SPF)
- ✓基本的なネットワーク / Wi-Fiレビュー
- ✓インシデントレスポンス計画のレビュー
- ✓PDPO / ISO 27001ギャップ分析
プレミアム
USD 7,000+
フルスコープ+軽度の是正サポート
- ✓包括監査のすべて
- ✓合意に基づくセクション9のフルスコープ
- ✓監査後4〜8時間のコンサルティング
- ✓最優先事項の実装サポート
フル監査カタログ
7カテゴリ17の監査サービス
中小企業プロジェクトスコープを超えて、Brocentはエンタープライズグレードのセキュリティ、コンプライアンス、クラウド、ガバナンス、専門監査を提供します。各サービスには頻度、成果物、業種適合性が定義されています。
I — セキュリティ監査
1.情報セキュリティ監査
四半期ごと- エンドポイントセキュリティベースライン(EDR/アンチウイルス、ディスク暗号化、スクリーンセーバーポリシー)
- USBコントロールポリシー実行監査
- リモートアクセス / VPNセキュリティ監査
- MFAカバレッジ監査
- パスワードポリシーおよび共有アカウント監査
- オフィス機器セキュリティ(プリンター、Wi-Fi)
最適な業種: すべての業種。特に正式なセキュリティ要件を持つ組織
成果物: 監査レポート+是正推奨リスト
2.ペネトレーションテストと脆弱性評価
半年ごと / 年次- 外部および内部ペネトレーションテスト
- Webおよびモバイルアプリケーションテスト
- APIセキュリティテスト
- 脆弱性スキャンとリスク評価
- ソーシャルエンジニアリングテスト
最適な業種: インターネット、金融サービス、外部公開システム
成果物: ペネトレーションテストレポート+脆弱性是正計画
3.ログとアクティビティ監査
月次- ティア1:エンドポイントアクティビティログ(ログイン、USB、ファイルコピー、印刷)
- ティア2:データアクセスログ(共有、データベース、クラウドストレージ)
- ティア3:外部送信ログ(メール、Webアップロード、IM、公開リンク)
- ティア4:権限変更ログ(管理者、認可、ポリシー変更)
- 異常検知ルールの有効性とアラート対応の迅速性
- ログの完全性と改ざん防止検証
最適な業種: ファミリーオフィス、金融機関、法律事務所、コンサルティング会社
成果物: ログ監査レポート+異常行動分析レポート
II — コンプライアンス監査
4.コンプライアンス監査
年次 / 認証サイクル- PDPO(香港)——収集、保持、主体の権利、アウトソーシング
- ISO 27001情報セキュリティマネジメントシステム監査
- SOC 1 / SOC 2監査サポート
- GDPRコンプライアンス監査
- MLPS 2.0(中国)コンプライアンス監査
最適な業種: 香港企業、多国籍企業、金融・医療セクター
成果物: コンプライアンス監査レポート+ギャップ分析+是正ロードマップ
5.データ保護とプライバシー監査
半年ごと- データ分類およびグレーディングの実施
- データ暗号化ポリシーの実行
- データ外部送信チャネルコントロール
- 外部共有および公開リンク権限監査
- バックアップおよびリカバリ戦略監査
- データ破棄プロセス監査
最適な業種: 顧客データを処理するすべての企業
成果物: データ保護監査レポート+データマップ
III — 資産とインフラストラクチャ監査
6.IT資産監査
四半期ごと- フルライフサイクル監査(購入、構成、展開、廃棄、退役)
- 端末、ネットワーク機器、サーバー/ストレージ、ソフトウェアライセンス
- 資産タグ付けおよび所有権の検証
最適な業種: すべての企業。特に従業員50名以上の組織
成果物: 資産台帳+資産監査レポート+ライセンスコンプライアンスレポート
7.ネットワークとインフラストラクチャ監査
半年ごと- ファイアウォールルール監査と最適化
- ネットワークACLおよびトラフィックベースライン監査
- VPNリモートアクセスコントロール
- NAS/バックアップ戦略およびリカバリドリル検証
- ネットワーク機器構成監査
最適な業種: 複雑なネットワークアーキテクチャを持つ企業
成果物: ネットワーク監査レポート+トポロジー最適化提案
IV — クラウドプラットフォームとSaaS監査
8.クラウドプラットフォームセキュリティ監査
半年ごと- レイヤー1:アカウントライフサイクル(開設、割当、変更、無効化)
- レイヤー2:セキュリティベースライン(MFA、パスワードレス、パスワード基準)
- レイヤー3:リソース/コスト管理(分離、タグ付け、コスト追跡)
- レイヤー4:モニタリング/監査(異常検知、権限アラーム)
- レイヤー5:コンプライアンス/レポート(自動検知、レポートエクスポート)
- AWS / Azure / GCPおよび本番/テスト環境の分離
最適な業種: クラウドネイティブおよびSaaSヘビーユーザー
成果物: クラウドセキュリティ監査レポート+アーキテクチャ最適化提案
9.SaaSアプリケーション監査
四半期ごと- Microsoft 365およびGoogle Workspaceセキュリティ監査
- メールセキュリティ(SPF/DKIM/DMARC)
- フィッシング対策とスパム保護
- 共有権限、異常ログイン、外部共有監査
最適な業種: コラボレーションプラットフォームを使用するすべての企業
成果物: SaaSセキュリティ監査レポート+権限クリーンアップリスト
V — 人員と権限監査
10.JML権限監査(入社 / 異動 / 退職)
四半期ごと- 入社:アカウントプロビジョニングの迅速性と最小権限
- 異動:権限変更の迅速性と旧権限の回収
- 退職:無効化、全権限回収、デバイス返却
- SoDマトリックス監査、過剰権限管理、非アクティブアカウントのクリーンアップ
最適な業種: 人員流動率の高い企業
成果物: JML監査レポート+権限最適化提案
11.重要認証情報管理監査
半年ごと- クラウドインフラ認証情報(AWS root、ドメインレジストラ)
- 本番プラットフォームのスーパー管理者認証情報
- 暗号化キーとMFAリカバリコード
- HSMバックアップと暗号化ディスクリカバリキー
- 財務システム認証情報とブレークグラスアカウント
- デュアルコントロールと認証情報変更承認プロセス
最適な業種: 金融機関、ファミリーオフィス、テクノロジー企業
成果物: 重要認証情報監査レポート+管理プロセス最適化
VI — ガバナンスとプロセス監査
12.変更管理監査
四半期ごと- ITIL変更管理プロセスの実行
- 標準変更データベースのコンプライアンス
- CABの有効性、変更凍結、ロールバック計画、変更後レビュー
最適な業種: 変更の頻繁な複雑なIT環境
成果物: 変更管理監査レポート+プロセス最適化提案
13.リスク評価監査
四半期ごと- 5次元リスクマトリックス:ビジネス影響、セキュリティリスク、ロールバック複雑性、リソーススケジューリング、技術的実現可能性
- リスク分類の正確性と処置進捗の監査
最適な業種: すべての企業。特に高リスク業種
成果物: リスク評価レポート+リスク処置追跡リスト
14.インシデントレスポンス監査
四半期ごと- 7ステップIRプロセス:検知 → エスカレーション → 通知 → 修復 → 復旧 → レビュー → 改善
- アラーム対応の迅速性とRCAの品質
- インシデント後改善の実施監査
最適な業種: セキュリティインシデントの履歴がある企業
成果物: インシデントレスポンス監査レポート+緊急プロセス最適化
VII — 専門監査
15.ファイルとドキュメント監査
半年ごと- ファイルアクセス権限監査
- 機密ドキュメントの分類と保護
- ドキュメントバージョン管理と外部送信監査
- 電子ドキュメントの保持と破棄監査
最適な業種: 法律事務所、コンサルティング、デザイン、ドキュメント集約型企業
成果物: ドキュメント監査レポート+権限クリーンアップリスト
16.物理セキュリティ監査
年次- サーバールームアクセスコントロール監査
- CCTVカバレッジとコンプライアンス監査
- 映像保存とアクセス監査
- 機密ドキュメント保管環境のセキュリティ
最適な業種: サーバールームまたは機密エリアを持つ企業
成果物: 物理セキュリティ監査レポート+是正提案
17.ベンダーとサードパーティ監査
年次- ベンダーセキュリティバックグラウンド評価
- サードパーティアクセスセキュリティ監査
- SLA実行状況監査
- 越境データコンプライアンス監査
最適な業種: サードパーティサービスに大きく依存する企業
成果物: ベンダー監査レポート+リスクリスト
定期監査パッケージ
継続的な監査サイクル——パッケージA〜D
ベースラインアセスメント後、多くのお客様が月次、四半期、半年、年次の監査プログラムでBrocentを継続利用されます。各パッケージはカタログサービスを予測可能な提供リズムに組み合わせます。
月次監査パッケージ
月次- ▸ログおよび異常行動監査
- ▸アラート対応監査
- ▸月次マネジメントレポート
継続的なモニタリングが必要な企業
月次監査ブリーフィング+マネジメントダッシュボード
四半期監査パッケージ
四半期ごと- ▸人員権限(JML)監査
- ▸IT資産台帳監査
- ▸セキュリティリスク評価
- ▸四半期マネジメントレポート
ほとんどの企業の標準選択
四半期包括監査レポート+改善追跡シート
半年監査パッケージ
半年ごと- ▸ペネトレーションテスト
- ▸バックアップリカバリドリル
- ▸クラウドプラットフォームセキュリティ監査
- ▸半年包括レポート
中堅・大企業および高リスク業種
半年監査レポート+期間サマリー
年次監査パッケージ
年次- ▸コンプライアンス監査
- ▸SOC / ISO認証監査サポート
- ▸年次包括セキュリティ監査
- ▸年次サマリーと翌年計画
すべての企業——年次コンプライアンスおよびマネジメントレポート
年次監査ホワイトペーパー+翌年監査計画
お客様が受け取るもの
実行可能な構造化された所見
50〜80時間
典型的な中小企業プロジェクト工数
17
フルカタログの監査サービス
4
定期パッケージのサイクル
8
対応アジア太平洋市場
- ✓ツールベーススキャン(Microsoft Defender、Secure Score、脆弱性ツール)
- ✓ステークホルダーインタビューとドキュメントレビュー
- ✓エグゼクティブサマリー付きのリスク順位付け書面監査レポート
- ✓優先順位付き是正ロードマップ(クイックウィン+戦略的投資)
- ✓ITリーダーシップとのデブリーフィングセッションおよびオプションの監査後コンサルティング
進め方
構造化された監査プロセス——想定外なし
スコープ設定とアクセス
監査境界、アクセス要件、規制フレームワークを定義します。読み取り専用認証情報とツール展開計画に合意します。
ディスカバリーとインタビュー
自動ディスカバリー、ツールベーススキャン、IT、セキュリティ、ビジネスステークホルダーへの構造化インタビューを実施します。
分析と所見
所見をベストプラクティスおよび管轄別コンプライアンス要件に照らして分析します。ギャップをビジネス影響に基づいてリスク評価します。
レポートとロードマップ
優先順位付き改善ロードマップ付きのフル監査レポートを納品します。ITおよび経営チームとのデブリーフィングを実施します。
よくある質問
ITアセスメント&監査に関するよくある質問
複数のアジア太平洋国にまたがるIT環境を監査できますか? +
はい。Brocentは統一されたスコープとレポートを提供し、香港、シンガポール、中国、インド、台湾、マレーシア、ベトナム、タイについて管轄別のコンプライアンス注記を付与します。リモートディスカバリーと必要に応じたオンサイト作業を組み合わせ、地域サービスセンターで調整します。
中小企業プロジェクト監査とフルカタログの違いは何ですか? +
中小企業プロジェクト監査は固定価格のエンゲージメント(コアはUSD 3,800から)で、ITユーザー20名未満の組織向けに9つのベースラインドメインをカバーします。フルカタログはエンタープライズおよび規制対象プログラム向けの17の専門監査サービスを掲載しており、スコープ、頻度、環境の複雑さに基づいて見積もります。
定期パッケージはベースライン監査とどのように関連しますか? +
多くのお客様はベースラインの中小企業または包括監査から始め、継続的なガバナンスのためにパッケージB(四半期)またはパッケージD(年次)に移行します。パッケージAは継続的なログモニタリングに適しており、パッケージCは半年サイクルでペネトレーションテストとクラウド監査を追加します。
どのコンプライアンスフレームワークに照らして評価しますか? +
お客様の事業市場および業種要件に応じて、所見をPDPO(香港)、PDPA(シンガポール、マレーシア、タイ)、PIPLおよびMLPS 2.0(中国)、DPDP Act(インド)、ISO 27001、SOC 1/2、GDPR、CIS Controlsにマッピングします。
関連サービス
セキュリティとコンプライアンスプログラムを拡張
多くの監査所見は、マネージドサービス、ペネトレーションテスト、コンサルティングエンゲージメントへと自然に発展します。
IT環境の評価をお考えですか?
ユーザー数、事業市場、コンプライアンスの要因をお知らせください。適切な中小企業ティア、カタログサービス、または定期パッケージをご提案し、1営業日以内にご返答いたします。