ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

ISMS-A02-D03適用範囲関連資料の「ネットワーク図」に関して質問です。

更新日:2026/02/25 (公開日:2021/07/02)
ISMSサンプル文書集.  3,956 views
※本記事は、ISM Web store が作成・検証したものです。

1,弊社全事業所がこのネットワーク図の範囲は社内のみですか。
弊社ではSaas商品を運営しているが、このSaas商品はレンタルサーバー(AWS)を利用しています。AWSみたいな社外のネットワークをネットワーク図に反映する必要がありますか。

2,緊急事態宣言対象期間のみ、VPN使用で在宅勤務を導入しています。
在宅勤務で各社員宅のネットワークをネットワーク図に反映する必要がありますか。

ご質問の件、基本、以下のURLと同じ考え方になるかと思います。

【参考】適用範囲関連資料のフロア図およびネットワーク構成図の作成について || ISM Web store サポートブログ

フロア図と同じ考え方で、ネットワークでつながっているということは、例えばフロアとフロアの間にドアがあるということなので、そこを自由に行き来ができるのかどうかや、もともとつながっていない別のネットワークグループなのかを把握することで、それぞれに応じた対策を講ずる、という考えです。

ネットワーク図は、情報の経路を把握するものであるため、繋がっている場所が特定できるのであれば、記載の必要があり、それに応じた対策を講じる必要があると思います。

「1,弊社全事業所がこのネットワーク図の範囲は社内のみですか。」について

社内ネットワークの出入口から何処・何に繋がっているかは明示する必要があるかと思います。
単に「社外にあるから」と省略せず、図に含めるべき主な理由は以下の3点です。

  • 責任分解点の明確化(どこまでがAWS側の管理範囲かを区別)
  • 通信経路の可視化
  • セキュリティとコンプライアンス(データがどこに保存され、どう保護されているかを示す)

もし、自社のオフィスからAWSへ「専用線」や「VPN」を繋いで運用・保守している場合は、その接続経路も書いていくことで、運用者のアクセス権限がどう管理されているかが明確になります。

「2,緊急事態宣言対象期間のみ、VPN使用で在宅勤務を導入しています。」について

審査員にもよりますが、在宅勤務(各社員宅)のネットワークまではネットワーク図に反映する必要は無いかと思います。

ネットワーク図は、信頼できない外部ネットワークからどうやって安全に繋いでいるかを示すのがポイントとなります。
緊急事態でない場合は、社員の自宅は、むしろ「信頼できない外部ネットワーク」としての扱いになります。

なお、以下のような観点で、緊急事態でのリモートアクセス環境に関する描写を入れておいても良いかもしれません。

  • セキュリティの証明(インターネット経由だが、VPNで暗号化されているという事実の可視化)
  • トラブルシューティング(接続障害が起きた際、VPNゲートウェイがボトルネックなのか、インターネット回線なのかを切り分ける判断材料にする)

描画する場合は、社員宅を1つずつ書くのではなく、「リモートワーク」や「テレワーク」などといったもので表現すると良いでしょう。

※参考まで

「従来の境界防御型セキュリティだけではもはや限界?」

ネットワークにおけるセキュリティ対策を考える際、従来の「境界防御型のアプローチ」では、ファイアウォールなどでネットワークに境界を作り、境界の外部を危険な状態、内部を安全な状態と見なすことで、セキュリティを確保する手法がメインとなっていました。

これは、社内ネットワークの入り口で脅威が入り込むことを一元的にチェックできるため、管理性が高いという特徴もありました。

しかし、業務システムのクラウドシフトやテレワークの普及によって、従来の「境界防御モデル」では万全なセキュリティ維持が困難になってきており、先述のファイアウォールで分けていた「社内」「社外」という境界も曖昧となり、境界にフォーカスしたセキュリティ対策では対応できなくなっています。

そこで、注目され始めたのが「ゼロトラストモデル」という、「信頼せず攻撃されることを前提とする」という考え方に基づいた、セキュリティアプローチです。

例えば、社外からモバイルデバイスを使って社内システムやアプリケーションにアクセスする場合、従来では、「VPNに接続するためのID/パスワード認証」だけで社内システムやアプリケーションの利用が可能でしたが、ゼロトラストモデルでは、「アクセスしてきたデバイスが社内承認済みか」「デバイスには最新のセキュリティ対策ソフトウェアがインストールされているか」「ID/パスワードは正規のユーザーが利用しているか」「利用しているクラウドサービスに脆弱性がないか」などといった点も確認することで、一定以上のセキュリティレベルを保持したデバイス以外は信頼せず、アクセス制御が行います。

いわば、「利用者(ユーザー・ID・パスワード)もデバイスもネットワークもアプリケーションも信頼しない」という考えに基づくセキュリティコンセプトといえます。

ISM Web store

執筆・監修:ISM Web store サポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。

ISMSサンプル文書集

文書づくりにお困りなら『ISMSサンプル文書集』

ISMSサンプル文書集は、既にISMS文書を作成されている方や書籍などを参考に独自で作成される方にでも参考になる、ISMS(ISO27001)認証取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。

PRISM Web store

詳しくはこちら

Store

ISMS認証取得支援パッケージ

ISMSの認証取得を支援するパッケージ。

詳しくはこちら

ISMSサンプル文書集

ISMS(ISO27001)のサンプル文書集。

詳しくはこちら

ISMS社員教育用テキスト

ISMSの社員教育用テキスト集。

詳しくはこちら

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら