テレワークセキュリティ評価コンサルティングサービス
新型コロナウイルス感染症は我々の生活様式を大きく変えました。これまではオフィスで働くことが当たり前でしたが、感染拡大防止のためにテレワークが推奨され、企業は場所に依存しない働き方の実現にせまられました。テレワークはワークライフバランスや生産性向上など、様々なメリットにつながることも期待されています。
一方、テレワークの普及とともに、懸念されるのがセキュリティです。新型コロナウイルス感染症の感染が拡大し始めた時期から、サイバー攻撃の数は激増しています。サイバー攻撃者は常につけ入る隙を探しており、テレワークは恰好の標的となりました。テレワーク環境の安全性を担保するには、これまで主流だった境界防御の概念は不向きだからです。
以下(右図)のように、オフィスではファイアウォールやIDS/IPSを始めとするセキュリティ機器でインターネットの入口・出口を防御しています。しかし、VPNに接続せずにインターネットに接続してテレワークを行う場合、境界防御機能は生かさません。また、業務で使いたいデータやアプリケーションがクラウドへ移行し、境界防御の概念そのものが崩れてきています。つまり、それぞれの接続された端末、エンドポイントで守る必要が出てきました。
【図1:社内ネットワークの変化】
また、オフィス外で仕事をするがゆえのセキュリティ事故も多発しています。単純に業務データを保存したPCやタブレット等の置き忘れといったものから、BYOD(Bring Your Own Device、私物端末の業務利用)や従業員の自宅ネットワーク環境などにおいて、リスク管理が行き届かず、事故につながっています。
【図2:テレワークセキュリティの考え方】
こうした状況を踏まえ、テレワーク環境におけるセキュリティのあるべき姿と現状を比較して評価していくのが本サービスです。BYODも含めたデバイス管理、エンドポイントセキュリティ、エンドツーエンド通信環境の暗号化とその強度、クラウドサービスを含めた認証制御など、何か一つでも欠ければセキュリティが損なわれます。
テレワークセキュリティ評価コンサルティングサービスでは、そのすべてを網羅的かつ総合的に評価し、改善点を明確にします。
このようなお客様におすすめします
以下のような課題を抱えているお客様におすすめします。
- テレワークの仕組みを導入したものの、セキュリティ上の問題がないか不安がある
- 現状のテレワーク環境でどこにセキュリティリスクがあるのか把握したい
- 他社事例や現在のトレンドも踏まえ、どこまでセキュリティ環境を整えるべきか検討したい
- ゼロトラストの構築に向けて、今後のロードマップを明らかにしたい
サービスの特長
米国国立標準技術研究所(NIST) が発行した「NIST SP800-207(ゼロトラストアーキテクチャ)」や総務省が策定した「テレワークセキュリティガイドライン」を踏まえ、ニュートンは以下のテレワークセキュリティモデルを考案しました。これを基に、お客様の規程類等のルール整備やセキュリティツールの導入・運用状況を評価します。また、エンドポイント診断等による実態調査等を行い、改善に向けた具体的な対策とロードマップを提示します。
- 1. 現状を可視化し、あるべき姿とのギャップを特定します
- 「NIST CSF(サイバーセキュリティフレームワーク)」、「NIST SP800-207(ゼロトラストアーキテクチャ)」など様々なフレームワークと、弊社独自の知見を反映した評価基準に基づき、お客様のテレワーク環境について、「ルール・プロセス」「テクノロジー技術」「体制・スキル」の観点から過不足を可視化します。
- 2. 勘所をおさえた短期間での評価が可能です
- テレワーク評価は範囲決めが重要です。テレワーク環境にも、脆弱性対応や認証・ログ管理など全社的なシステムに関わる範囲が含まれています。またBYODをどこまでコントールすべきかといった部分も悩みの種です。これらを整理し、テレワークで使うデバイス、インターネット接続GW、通信環境、各種クラウドサービスや社内システムへの認証制御、取り扱いデータといった一連の流れで評価することにより、抜け漏れを防ぎ、また効率的な評価を実現します。
- 3. テレワークで使うデバイスの脆弱性を発見できます
- 専用ツールを用いて、テレワークで使うデバイスを遠隔でスキャンし、脆弱性を発見します。セキュリティ事故を未然に防止し、潜在的なリスクを可視化できます。
- 4. 可視化した課題に対し、中立的な立場で具体的な改善ロードマップを提示します
- 独立系コンサルティングファームという強みを活かし、ベンダーに依存しない、最適なツール選定等も含めた改善案の提示が可能です。また、規程やマニュアルレベルでの修正ポイントや、他社事例や業界の慣例を踏まえたルール・プロセスの最適化、体制変更、社内教育に関する助言など、様々な観点から具体的な改善ロードマップを提示します。
- 5. お客様のニーズに合わせて、柔軟な支援が可能です
- 優先すべき課題や対象とすべき範囲(拠点やシステム等)、期間などについて、柔軟に対応します。ご要望をお聞かせください。
主な成果物(例)
最終報告書を含め、評価に用いた各種ツールや資料類を納品します。 以下は主な成果物です。
支援範囲と作業ステップ(例)
事例