テレワークセキュリティ評価サービス

新型コロナウイルス感染症は我々の生活様式を大きく変えました。これまではオフィスで働くことが当たり前でしたが、感染拡大防止のためにテレワークが推奨され、企業は場所に依存しない働き方の実現にせまられました。テレワークはワークライフバランスや生産性向上など、様々なメリットにつながることも期待されています。

一方、テレワークの普及とともに、懸念されるのがセキュリティです。新型コロナウイルス感染症の感染が拡大し始めた時期から、サイバー攻撃の数は激増しています。サイバー攻撃者は常につけ入る隙を探しており、テレワークは恰好の標的となりました。テレワーク環境の安全性を担保するには、これまで主流だった境界防御の概念は不向きだからです。

以下(右図)のように、オフィスではファイアウォールやIDS/IPSを始めとするセキュリティ機器でインターネットの入口・出口を防御しています。しかし、VPNに接続せずにインターネットに接続してテレワークを行う場合、境界防御機能は生かさません。また、業務で使いたいデータやアプリケーションがクラウドへ移行し、境界防御の概念そのものが崩れてきています。つまり、それぞれの接続された端末、エンドポイントで守る必要が出てきました。

【図1:社内ネットワークの変化】

また、オフィス外で仕事をするがゆえのセキュリティ事故も多発しています。単純に業務データを保存したPCやタブレット等の置き忘れといったものから、BYOD(Bring Your Own Device、私物端末の業務利用)や従業員の自宅ネットワーク環境などにおいて、リスク管理が行き届かず、事故につながっています。

【図2:テレワークセキュリティの考え方】

出典:総務省「テレワークセキュリティ第4版」を参考に弊社にて作成

こうした状況を踏まえ、テレワーク環境におけるセキュリティのあるべき姿と現状を比較して評価していくのが本サービスです。BYODも含めたデバイス管理、エンドポイントセキュリティ、エンドツーエンド通信環境の暗号化とその強度、クラウドサービスを含めた認証制御など、何か一つでも欠ければセキュリティが損なわれます。
テレワークセキュリティ評価サービスでは、そのすべてを網羅的かつ総合的に評価し、改善点を明確にします。

このようなお客様におすすめします

以下のような課題を抱えているお客様におすすめします。

  • テレワークの仕組みを導入したものの、セキュリティ上の問題がないか不安がある
  • 現状のテレワーク環境でどこにセキュリティリスクがあるのか把握したい
  • 他社事例や現在のトレンドも踏まえ、どこまでセキュリティ環境を整えるべきか検討したい
  • ゼロトラストの構築に向けて、今後のロードマップを明らかにしたい

サービスの特長

米国国立標準技術研究所(NIST) が発行した「NIST SP800-207(ゼロトラストアーキテクチャ)」や総務省が策定した「テレワークセキュリティガイドライン」を踏まえ、ニュートンは以下のテレワークセキュリティモデルを考案しました。これを基に、お客様の規程類等のルール整備やセキュリティツールの導入・運用状況を評価します。また、エンドポイント診断等による実態調査等を行い、改善に向けた具体的な対策とロードマップを提示します。

【図3:ニュートンが考えるテレワークセキュリティモデル】

  1. 現状を可視化し、あるべき姿とのギャップを特定します
    「NIST CSF(サイバーセキュリティフレームワーク)」、「NIST SP800-207(ゼロトラストアーキテクチャ)」など様々なフレームワークと、弊社独自の知見を反映した評価基準に基づき、お客様のテレワーク環境について、「ルール・プロセス」「テクノロジー技術」「体制・スキル」の観点から過不足を可視化します。
  2. 勘所をおさえた短期間での評価が可能です
    テレワーク評価は範囲決めが重要です。テレワーク環境にも、脆弱性対応や認証・ログ管理など全社的なシステムに関わる範囲が含まれています。またBYODをどこまでコントールすべきかといった部分も悩みの種です。これらを整理し、テレワークで使うデバイス、インターネット接続GW、通信環境、各種クラウドサービスや社内システムへの認証制御、取り扱いデータといった一連の流れで評価することにより、抜け漏れを防ぎ、また効率的な評価を実現します。
  3. テレワークで使うデバイスの脆弱性を発見できます
    専用ツールを用いて、テレワークで使うデバイスを遠隔でスキャンし、脆弱性を発見します。セキュリティ事故を未然に防止し、潜在的なリスクを可視化できます。
  4. 可視化した課題に対し、中立的な立場で具体的な改善ロードマップを提示します
    独立系コンサルティングファームという強みを活かし、ベンダーに依存しない、最適なツール選定等も含めた改善案の提示が可能です。また、規程やマニュアルレベルでの修正ポイントや、他社事例や業界の慣例を踏まえたルール・プロセスの最適化、体制変更、社内教育に関する助言など、様々な観点から具体的な改善ロードマップを提示します。
  5. お客様のニーズに合わせて、柔軟な支援が可能です
    優先すべき課題や対象とすべき範囲(拠点やシステム等)、期間などについて、柔軟に対応します。ご要望をお聞かせください。

主な成果物(例)

最終報告書を含め、評価に用いた各種ツールや資料類を納品します。 以下は主な成果物です。

支援範囲と作業ステップ(例)

下図はテレワークセキュリティ評価サービスの一般的な流れです。 お客様のご要望によって支援範囲のカスタマイズも承ります。例えば、報告書作成や報告会の開催などが不要な場合には、導入・運用計画の策定までをご支援範囲にすることもできます。

事例

事例: 放送事業者
相談内容: コロナ禍においてテレワーク環境を本格的に導入し運用を開始した。この度、経営陣からセキュリティレベルについて確認するよう指示があった。現状の環境では、どの程度のリスクがあるのか、改善する場合は何を優先して対応すべきか、把握し必要な手を打ちたい。
実施内容: BYODを含むテレワークで使うデバイスからインターネット接続GW、通信環境、クラウド・業務環境、データまで、ニュートン考案のテレワークセキュリティモデルの観点から評価を行った。考えられる現実的なリスクシナリオを作成。リスクシナリオの発生可能性と影響度を踏まえ、対策の優先順位を明確にし、経営陣に次に打つべき対策をロードマップとして提示し理解を得た。今後、テレワーク環境のセキュリティを改善していくにあたり、投資も含めたゴールが明確になり、トップダウンで推進できる環境が整備できた。
      

 

サービス概要

テレワークセキュリティ評価サービス

対象企業 テレワークを実施、もしくは実施の検討をしているお客様
サービス概要 テレワーク環境に対し、「NIST SP800-207(ゼロトラストアーキテクチャ)」など様々なフレームワークのエッセンスを取り入れたニュートン考案のテレワークセキュリティモデルに基づき第三者目線で評価し、課題を可視化したうえで、具体的な改善ロードマップを提示するサービスです。
期間 応相談
価格 応相談
成果物 ・事前調査表
・インタビューシート
・テレワークセキュリティ評価シート
・テレワークセキュリティ評価結果報告書

お問い合わせ

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

動画アーカイブ

セミナー動画などをご覧いただけます。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる