クラウドノーマル時代を見据えた、セキュリティ対策へ
昨今、企業ではクラウドサービスの利用が一般的になっています。一方で、オンプレミスなどの従来型のシステム環境と比べて、自社の責任範囲の把握、リスクマネジメント、セキュリティ対策の状態管理などが難しくなってきています。その結果、クラウド特有のリスクを見過ごしたことに起因するセキュリティ事故のニュースが後を絶ちません。
クラウドサービスを安全に利用するための鍵は、クラウド特有のリスクに対する網羅的な把握と対応です。具体的には、「サービスの適切な選定」に加えて、安全な使い方・セキュリティ設定ができているかを確認する「セキュリティ対策状況の定常的なモニタリング」を行うことが重要です。
NRIセキュアは、「クラウドファースト」「クラウドノーマル 」が前提のシステムや、新規検討中・利用中のクラウドサービスを対象にした、セキュリティ評価および対策の実行支援を提供しています。
新たにクラウドサービスを利用する際に、目的に応じたクラウドサービスの選定や、考慮すべきセキュリティ対策、クラウド利用にあたっての規程・ガイドライン策定について、専門家の観点からアドバイスします。
クラウドサービスの利用時に実施すべきセキュリティ対策を、網羅的に評価・分析することで、対象システムのセキュリティ対策や運用状況を可視化します。また、何らかの対応が必要な事項を検出した場合は、セキュリティ対策の立案や対応ロードマップの策定(オプション)も支援します。
クラウドの構想立案時には、セキュリティに関する様々な要件の考慮が必要となります。例えば、リモートワークの導入などにより社外からのアクセスが必要となった場合には、多要素認証やCASB(クラウドへのアクセスを可視化・制御するソリューション)を導入するなど、セキュリティをより強固にしておかなければなりません。
NRIセキュアは、20年以上にわたり、2000社を超える企業や官公庁の情報セキュリティ対策を支援してきました。オンプレミスやハイブリッドクラウド、マルチクラウドなどあらゆるシステム環境を熟知した豊富な経験とノウハウにより、目的に応じたクラウドサービスの選定や、クラウドだからこそ考慮すべきセキュリティ対策について、セキュリティ専門家がアドバイスします。
NRIセキュアが独自に開発した、クラウドサービスに対する評価項目を網羅した標準化フレームワーク「NRI Secure Framework for Cloud(NSF for Cloud)」を用いて対応策を提案します。このフレームワークは、国内および海外の主なセキュリティ対策基準やガイドラインなどの要求事項を、セキュリティの専門家が統合・具体化したものです。サイバー攻撃の傾向や脅威を踏まえた上で作成しており、継続的に更新しています。
NSF for Cloudで活用している代表的な外部基準
・NIST
SP 800-144「パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン」
SP 800-146「クラウドコンピューティングの概要と推奨事項」
・経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」
・ISO/IEC 27017「ISMSクラウドセキュリティ認証」 など
クラウドへのサイバー攻撃や、内部者によるクラウド環境上への不正ログインなど、ますます高まるセキュリティ上の脅威に対して、NSFの5つの切り口(Governance、Risk、Compliance、Physical、Technical)で、組織におけるセキュリティ脅威に対する予防的対策、発見的対策の状況を網羅的に評価します。
抽出されたリスクに対しては、リスクの顕在率や影響度などから優先度を決定することで、効果的なセキュリティ対策の実行を推進します。また、抽出されたセキュリティリスクに対し、具体的な対策に踏み込んだ提言と、会社の経営方針や事業戦略から打ち出したIT戦略とを整合させることで、中長期のロードマップ(3年程度の段階的な対策計画)を提示します。
クラウドの利用に伴い、従来とは異なる観点での対策をふまえた規程類の再整備が必要となります。また、インシデントが発生した場合には、従来の態勢では不十分な対応になってしまうおそれがあるため、インシデント対応態勢の再構築も求められます。さらには、クラウド向けに新たに導入したセキュリティツールについても、運用にあたって考慮すべきセキュリティ観点が存在します。
NRIセキュアでは、クラウド利用に関する規程類の整備支援やインシデント対応態勢の構築支援など、必要なセキュリティ対策の中長期計画(ロードマップ)を確実に遂行するためのサービスを幅広くご提供しています。セキュリティ対策の各種製品の導入プロジェクトをご支援することも可能です。
個別見積もり