NRIセキュア、企業の実態に合わせたゼロトラストを支援する「ゼロトラスト成熟度評価サービス」を提供開始

NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は、企業の実態に合わせてゼロトラストの目標策定から実行までを支援する「ゼロトラスト成熟度評価サービス（以下、本サービス）」の提供を、本日開始します。

◆ゼロトラスト導入後に企業が抱える課題

クラウドサービスの活用やテレワークの利用等によって、サイバー攻撃の攻撃対象領域（アタックサーフェス）が拡大する近年、「ゼロトラストセキュリティ」[i]の概念に沿った対策を導入する動きが企業で広がっています。しかしながら、サイバー攻撃が大規模かつ巧妙となり、また、政府などからゼロトラストに関するガイドラインが新たに施行されたことなどをきっかけに、導入した企業は従来の対策や計画を見直す必要性に迫られています。

ゼロトラストは、事業特性や経営戦略、セキュリティポリシー、既存のITインフラ環境、職員の知見や運用体制、IT予算などによってどこまで対策を行うべきかの最適解が異なり、統制すべき範囲やレベルが変わります。現在の達成状況や講じるべき対策が把握できず目標設定や計画の見直しができない、ゼロトラストを導入したが機能を活用しきれていない、対策コストや体制に過不足が生じている、といった課題を抱える企業が増えています。

◆「ゼロトラスト成熟度評価サービス」の概要と特長

以上の課題を解決するために、本サービスではNRIセキュアのコンサルタントが、米国サイバーセキュリティ・社会基盤安全保障庁（CISA）[ii]の「ゼロトラスト成熟度モデル」[iii]に沿って、5つの領域である「アイデンティティ（認証）」、「デバイス」、「ネットワーク」、「アプリケーション・ワークロード」、「データ」と、3つの横断機能として「可視化と分析」、「自動化と統合」、「ガバナンス」ごとに、企業のゼロトラストの達成度合いを評価します（評価定義は「ご参考」を参照）。そのうえで、対象企業にとってあるべき目標の設定と対策を検討し、目標達成に向けたロードマップを策定します。

図1：本サービスの評価結果の例

本サービスの主な特長は、以下の2点です。

１．現状の対策状況を目指すべき姿と合わせて可視化

専門家によるヒアリングにより、セキュリティ領域ごとに現状の対策状況を可視化します。加えて、国内外のガイドラインや中期経営計画などを利用し、企業が目指すべきスコアも目標として設定します。

２．実行性の高い対策案とロードマップの策定を支援

上記で設定した目標を達成するため、経営層からセキュリティ担当者それぞれに対して実行性の高い対策を策定します。定量評価の結果や関連するリスクなどを考慮して対策の優先度を設定し、企業独自のロードマップの策定も支援します。

本サービスの詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/zerotrustｰmaturityｰassessment

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] ゼロトラストセキュリティ：社内外のネットワーク環境における、従来の「境界」の概念を拡張し、守るべき情報資産にアクセスするものはすべて信用せずに検証することで、情報資産への脅威を防ぐという、サイバーセキュリティの考え方です。

[ii] CISA (Cybersecurity and Infrastructure Security Agency)：米国の行政機関のひとつであり、国土安全保障省の外局として運用されています。詳細については、次のWebサイトをご参照ください。https://www.cisa.gov/

[iii] ゼロトラスト成熟度モデル：米国の政府機関がゼロトラストアーキテクチャへ移行する際のロードマップであり、5つの柱と3つの横断機能を持ち、従来型から最適化までの段階的な実装例を示しています。詳細については、次のWebサイトをご参照ください。
https://www.cisa.gov/zero-trust-maturity-model

◆ご参考

図2：ゼロトラスト成熟度モデルの定義