• シェア
• ツイート
• 

企業の働き方改革担当部門や情報セキュリティ担当部門の責任者、企業改革に向けたコンサルティングファームの方々に、「働き方改革と情報セキュリティ」をテーマにお話を伺いました。お伺いした内容をまとめた冊子データを本ページ下部よりダウンロードいただけます。

本コラムでは、働き方改革に不可欠なクラウドサービスの安全性について、日本ユニシスグループのユニアデックス株式会社様にインタビューした内容をご紹介します。

日本ユニシスグループであるユニアデックス株式会社は、ICTインフラの企画、設計、構築から運用、保守までをマルチベンダー、ワンストップで一貫して提供可能な専門企業です。コンプライアンスを維持しながら、安全にクラウドサービスを利用するためのソリューション提供にも注力されています。そこで、働き方改革に不可欠なクラウドサービスの安全性について伺いました。

―　御社には働き方改革に不可欠なクラウドサービスの安全性などについて、技術的な面でのお話を伺いたいのですが、まず、クラウドサービスやモビリティが、これほど普及した理由についてどのようにお考えでしょうか。

岩竹：　10年ほど前は、社外にデータを預けるクラウドサービスを不安視する声もありましたが、AmazonのAWSやMicrosoftのAzureなどが、安さや利便性に加え、セキュリティ対策についてもしっかり説明するようになり、クラウドにデータを預けても安心だという認識が広がってきました。

クラウドに対するセキュリティ面での心配が低減されたので、どんどん使われるようになり、次の段階としてクラウドアプリケーションも使われるようになってきました。

岩竹：　クラウドサービス利用時のセキュリティですが、いままでの対策は社内ネットワークとインターネットの境界で、ファイアウォールやフィルタリング、アンチウィルスやサンドボックスなどが採用されていました。ですがクラウドサービスを導入すると、各人がインターネットにアクセスする頻度が上がるほか、同時に多くのセッションが張られるので、ゲートウェイを通るトラフィックが非常に増加します。そのため、境界に配置したセキュリティ製品が負荷に耐えられなくなるという問題が発生してしまいます。

モビリティに関して言うと、会社以外の場所からクラウドを利用すると、一度社内のネットワークにアクセスして、そこからまたインターネットに出ていく、という煩わしい状態になります。社内のネットワークに入ることなく直接クラウドを利用できるようにして、ユーザの使いやすさを向上させたいという要求はあるのですが、どこからでもクラウドを使用できるようになると、ゲートウェイで行っていたセキュリティ対策ができなくなってしまいます。

―　セキュリティと利便性を保ったまま、クラウドサービスを利用する方法はないのでしょうか。

岩竹：　セキュリティソリューションもクラウド化したものがあり、これを使用すれば、社内のネットワークを介さなくていいので、ゲートウェイにトラフィックが集中しません。オンプレミスで言うところの、プロキシやファイアウォール、VPNをクラウド化したもので、代表的なものにZscalerというものがあります。社外のネットワークからクラウドや社内アプリに接続するとき、クラウドサービスであるZscalerを介すことで、社内ネットワークに一度入ることなく、安全に接続できます。

岩竹：　またクラウドサービスでは、IDとパスワードが漏洩すると容易に成りすまされてしまうので、認証によるセキュリティ対策が重要になります。安全性が高いサービスは、セキュリティ対策をしっかりしているのですが、さほど対策をしていないサービスからパスワードが漏洩すると、非常に危険です。

そこで、IDaaS（ID as a Service）の必要性が出てきます。代表的なものにOktaというものがありますが、利用者は予めOktaと信頼関係を結んでおき、何かのクラウドサービスを利用する際、Oktaでパスワード照合して署名を貰うことでログインできるという仕組みです。この仕組みを実現するためにSAML（Security Assertion Markup Language）というプロトコルがあり、仕組みを提供する認証のサービスがIDaaSです。

Oktaは、社内から接続するとActive Directoryでパスワードを照合して認証するのですが、社外から接続すると、認証をもう1つ追加する機能を持っています。たとえば、スマートフォンにプッシュ通知が送信されて、それをOKとすると認証が通るなど。スマートフォンを持っているということで二要素認証になります。認証が通れば署名を貰え、その署名を持っていればクラウドサービスにログインできるという仕組みです。

各クラウドサービスでパスワードが要らなくなると、パスワードアタックというリスクがなくなるので、SAML対応しているクラウドサービスを使うことが、常識になり始めています。

―　たくさんのクラウドサービスがあると思うのですが、どのクラウドが安心して使用できるかを判断する方法はあるのでしょうか。

岩竹：　それを調べるのがCASB（Cloud Access Security Broker）の役割になります。代表的なものとして、マカフィーのMVISION Cloudがあります。MVISION Cloudでは約3万のクラウドサービスに対して、何が提供されていて、どんなセキュリティ対策がされているかなど、会社の信用情報も含めて調査し数値化して評価できるような仕組みを持っています。

新たにクラウドを使用するとき、情報システム部に申請するというルールがどこの会社にもあると思うのですが、申請されたクラウドサービスが安全かどうかは、申請する人はもちろん、情報システム部でも調べ切れません。

このとき、CASBのデータベースを利用すると、クラウドサービスを評価することがとても容易にできます。CASBで何点以上のサービスならば利用を許可するかは、会社ごとのセキュリティポリシーで運用するようになると思いますが、これからも増え続けるクラウドサービスの利用を申請するときにも、活用できるのではないでしょうか。

あとは、利用状況の可視化もCASBの機能の1つです。プロキシとファイアウォールからログを取得して、CASBのデータベースと照合すると、従業員が使用しているクラウドサービスの安全性や、どれくらいクラウドサービスを使っているかを分析できます。そうすると、危険なサイトを使っていないかのチェックができますし、大量のデータをアップロードしていないかもチェックできます。

デバイスを社外に持ち出すと、アクセス制限のフィルタが関係なくなり、自由にコンテンツをアップロードしたり、ダウンロードしたりできてしまいます。それを防ぐのは、先ほどのZscalerですし、どのクラウドサービスの利用を禁止するのかはCASBが可視化してくれます。

―　すべてクラウドで実装されると、企業が考えるべきセキュリティ対策はどうなるのでしょうか。

岩竹：　自社でWebサイトを開いているのであれば、WAFやDDoS対策、脆弱性診断などは必要です。将来完全にクラウド化して、マルウェアがさまようネットワークがなくなると、今までとは違うセキュリティが必要になってくるでしょうね。

ですが、アカウントを奪取されてクラウドにアクセスされると、やはりデータは漏洩します。セキュリティの境界が認証だと言われるのはそれが理由です。認証が通っている状態でマルウェアに感染すると、クラウドに容易にアクセスできてしまいますしね。

―　認証はどのように変わっていくのでしょうか。

岩竹：　FIDO（Fast IDentity Online）という、一言で言うとパスワードレス認証の標準化規格があり、これには大きくU2F（Universal 2nd Factor）とUAF（Universal Authentication Framework）という方式があります。Yubikeyが代表例で、たとえばUSBトークンのような認証器をWebサービスに登録すると公開鍵暗号基盤の鍵ペアが生成され、公開鍵がサービスに渡ります。

U2FはPINによる記憶認証の結果を、認証器に保存されている秘密鍵で署名しサービスに渡すことで認証器を所持しているという所持認証が加わり、二要素認証の仕組みができます。
UAFはパスワードやPINのような記憶認証ではなく、生体認証を使います。生体認証がデバイス側で通ると署名が生成されます。

岩竹：　U2FもUAFも、認証器と本人の間で認証し、その結果を暗号化してサービスに送信するので、パスワードが流出することはありません。U2Fは少なくともPINを入力するので、パスワードがなくなった感じがしないのですが、UAFは生体認証なので、パスワードのような概念がなくなります。

FIDOではその仕組みや概念ができ、FIDO 2ではメジャーブラウザがそれに対応しました。それまではChromeしか対応していなかったのですが、他のブラウザも対応するようになったので、普及期に入るのではないでしょうか。

OktaもFIDOに対応した認証を持っているので、そうなるとパスワードの存在はなくなり、SAMLの仕組みでアプリケーションにパスワードを置かなくなりますので、完全パスワードレスの技術的体制は整いました。あとは、普及していくだけです。技術が開発されてから普及するまで今までは10年くらいかかっていますが、今後はもっと早いスピードで普及するのではないでしょうか。

本ページに掲載している対談の他、以下の企業の方々に、働き方改革の進め方や、実践されている施策、考え方、テレワーク、また、モバイルワークに不可欠なクラウド技術の最新動向などについてお話を伺い、冊子にまとめました。

TALK! about SECURITY

働き方改革と情報セキュリティ

セキュリティ対談

大日本印刷株式会社　×　日本ユニシス株式会社
日本ユニシスの働き方改革は、「風土改革」に向けた取り組みの一つ

セキュリティインタビュー

ユニアデックス株式会社
「完全クラウド化」のための技術的体制は、すでに整っている

株式会社ジェーエムエーシステムズ
成長しつづけるために一人ひとりが変化する、そのために「ツール」を活用する

サイバートラスト株式会社
テレワークから始まった働き方改革、失敗を重ねてたどり着く「新発想」のイノベーション

ケンブリッジ・テクノロジー・パートナーズ株式会社
社員全員で議論を尽くした「理想のオフィス」で、働きがいをさらに高める

冊子のPDFをダウンロード(3MB)（ダウンロードします）

• シェア
• ツイート
• 

人気の記事

• 働き方改革と情報セキュリティ(1)「風土改革」に向けた取り組み

  

• 2018年上半期　診断結果にみる情報セキュリティの現状(1)
  Webアプリケーション診断

  

• スタートは「名ばかりCSIRT」でいい。重要なのは、どう進化させるか。

  

• 未知の攻撃にも対応できる「即戦力となるCSIRT人材」を育成する。

  

• 対応プロセスの「ロボット化」、「バーチャル人材」の投入
  インシデント対応業務の効率化で人材不足を補う。

  

• 【セキュリティ対談】サイバー攻撃の脅威にどう立ち向かうか（前編）

  

• DNPがセキュリティに
  取り組む理由
• ユニアデックス株式会社
  「企業がクラウドを安全に利用するために」(別ウィンドウで開く)
• 資料請求などお気軽に
  お問合わせください(ID別ウィンドウで開く)