テレワークを継続するにあたりセキュリティ診断サービスを実施
事例企業: X 社
事例カテゴリ:法令準拠ネットワークセキュリティワークスタイル・働き方改革
目的: 第三者視点による診断を通じてテレワーク時の安全性を確認
導入前の課題
2020 年、新型コロナウイルスの蔓延により、企業のテレワーク対応が大きく加速した。
出張先から企業リソースにアクセスできるよう整備をすすめていた企業にとっては大きなハードルは少ないが、一方で今回初めてこうしたリモート対応を実施する企業にとっては、VPN やクラウド化などハード面はもちろん、端末の運用やポリシーの設定、ルールの策定といったソフト面がおろそかになり、結果、情報漏洩をはじめとした重大なインシデントにつながるといったことも危惧されている。
X 社は常日頃から情報セキュリティに対しては先進的に取り組んできており、テレワークを実施する上での問題は特にない認識だったが、今回は X 社が全従業員に対してテレワークを推奨している中で、テレワーク環境の安全性に本当に問題がないか、第三者視点による診断を通じて現在の状態を可視化することにした。
導入の目的・解決手段
X 社は今回、サイバートラストと DNP が共同で提供しているサービス「テレワーク向けセキュリティ診断サービス」を実施することにした。
テレワーク向けセキュリティ診断サービスは、テレワークを導入またはこれから検討する企業に対して、企業の重要情報(顧客情報、技術情報等)が漏洩するリスクを「診断シート」によって可視化し、診断結果に基づき情報漏洩を防止するためのセキュリティ対策を提案するサービスだ。
今回 X 社は、総務省「テレワークセキュリティガイドライン」約 50 項目のチェック内容に準拠した「フル診断コース」の実施を選択した。
テレワーク向けセキュリティ診断サービスでは、大きく分けて2つの作業が実施される。一つは診断を受ける X 社が「チェックシート」に回答する作業、もう一つは「情報資産の見える化」をする作業だ。
現状把握:社内ルールや情報資産の状況を客観的に把握
チェックシートでは設問を通じて、「社内の運用ルールが十分に整備されているか」、「端末(デバイス)や記憶装置が十分に管理されているか、盗難・紛失に備えられているか」、「なりすまし・不正アクセスなどに対して十分な対処ができているか」、「攻撃メールやランサムウェアなどに対して従業員や運用が正しく備えられているか」などを総合的に確認した。
リスクの見える化:情報資産に漏洩や盗聴などのリスクがどの程度あるのか洗い出し
続いて情報資産台帳を作成した。情報資産台帳とは、テレワークで業務を行うにあたり、オフィスや自宅など、どこに何の情報資産がどのような形で管理されているか、それぞれの情報資産が企業のポリシーに基づいて、機密性・完全性・可能性において適切に運用されているかを確認するものだ。
また、上記台帳に記された情報資産がオフィスのどの位置にあり、どのように情報資産へのアクセスを制限しているか等をゾーニングマップとして作成し、「見える化」する。ゾーニングマップは、情報資産の配置・管理状況を図示するものであり、自宅への持ち帰りを含め、運用・管理状態の把握の手段のひとつとして有効だ。
上記のような作業を通じて、X 社の現状をセキュリティコンサルタントの元に集め、コンサルタントが客観評価を行い、最終的にレポートを提出した。
導入効果
X 社は今回のテレワーク診断を通じ、「テレワーク業務を実行する観点で各資産の運用・管理状態について確認した結果、ISMS および総務省ガイドラインの要求事項に準拠したセキュアなテレワーク環境が実現されていました」という客観評価を得ることができた。
一部、Mac 端末等の脆弱性対策が十分でないことが顕在化したため、こちらは見直しの契機となった。
それ以外では、重大なリスクは検出されず、ルールに基づいた運用管理が実施されている事が確認できた。