ISMS-A02-D03適用範囲関連資料の「ネットワーク図」に関して質問です。
1,弊社全事業所がこのネットワーク図の範囲は社内のみですか。
弊社ではSaas商品を運営しているが、このSaas商品はレンタルサーバー(AWS)を利用しています。AWSみたいな社外のネットワークをネットワーク図に反映する必要がありますか。
2,緊急事態宣言対象期間のみ、VPN使用で在宅勤務を導入しています。
在宅勤務で各社員宅のネットワークをネットワーク図に反映する必要がありますか。
ご質問の件、基本、以下のURLと同じ考え方になるかと思います。
(参考)
フロア図と同じ考え方で、ネットワークでつながっているということは、例えばフロアとフロアの間にドアがあるということなので、そこを自由に行き来ができるのかどうかや、もともとつながっていない別のネットワークグループなのかを把握することで、それぞれに応じた対策を講ずる、という考えです。
ネットワーク図は、情報の経路を把握するものであるため、繋がっている場所が特定できるのであれば、記載の必要があり、それに応じた対策を講じる必要があると思います。
よって、1.につきましては、社内ネットワークの出入口から何処・何に繋がっているかは明示する必要があるかと思います。
なお、2.については、審査員にもよりますが、在宅勤務(各社員宅)のネットワークまではネットワーク図に反映する必要は無いかと思います。
ご参考ください。
※参考まで
「従来の境界防御型セキュリティだけではもはや限界?」
ネットワークにおけるセキュリティ対策を考える際、従来の「境界防御型のアプローチ」では、ファイアウォールなどでネットワークに境界を作り、境界の外部を危険な状態、内部を安全な状態と見なすことで、セキュリティを確保する手法がメインとなっていました。
これは、社内ネットワークの入り口で脅威が入り込むことを一元的にチェックできるため、管理性が高いという特徴もありました。
しかし、業務システムのクラウドシフトやテレワークの普及によって、従来の「境界防御モデル」では万全なセキュリティ維持が困難になってきており、先述のファイアウォールで分けていた「社内」「社外」という境界も曖昧となり、境界にフォーカスしたセキュリティ対策では対応できなくなっています。
そこで、注目され始めたのが「ゼロトラストモデル」という、「信頼せず攻撃されることを前提とする」という考え方に基づいた、セキュリティアプローチです。
例えば、社外からモバイルデバイスを使って社内システムやアプリケーションにアクセスする場合、従来では、「VPNに接続するためのID/パスワード認証」だけで社内システムやアプリケーションの利用が可能でしたが、ゼロトラストモデルでは、「アクセスしてきたデバイスが社内承認済みか」「デバイスには最新のセキュリティ対策ソフトウェアがインストールされているか」「ID/パスワードは正規のユーザーが利用しているか」「利用しているクラウドサービスに脆弱性がないか」などといった点も確認することで、一定以上のセキュリティレベルを保持したデバイス以外は信頼せず、アクセス制御が行います。
いわば、「利用者(ユーザー・ID・パスワード)もデバイスもネットワークもアプリケーションも信頼しない」という考えに基づくセキュリティコンセプトといえます。
