週刊Slack情報局
Slackが提供する「エンタープライズレベルのセキュリティ」とは
「Slack Tour Japan Online」レポート
2020年12月2日 08:00
Slack Japan株式会社は、新しい働き方とデジタル変革に関する日本独自開催の年次イベント「Slack Tour Japan Online」を11月12日にオンラインで開催した。キーノートや各種講演のほか、参加者同士の交流スペース、講演者とのQ&Aコーナー、スポンサーEXPOなども開催された。
本稿では、Slack EnterpriseGirdのセキュリティ機能や、Slack自身のセキュリティへの取り組みを紹介したセッション「Slackで実現するエンタープライズレベルのセキュリティ」の模様をレポートする。
セッション冒頭で、Slack Japanの林優氏(ソリューションズエンジニアリング部シニアソリューションズエンジニア)が、新型コロナウイルス感染症の影響によりクラウドへのシフトが加速している一方で、サイバーセキュリティのリスクも増加傾向であるとデータを紹介。「この状況を解決できるのがSlack。エンタープライズ企業でもチームがセキュアにつながって仕事ができる」と語った。
フィンテック企業が考える、Slackに求められるセキュリティの「基準」と「対策」
Slack EnterpriseGirdのセキュリティ機能を活用する導入企業の例として、SBIセキュリティ・ソリューションズ株式会社(SBI Security Solutions)の中居憲久氏(SENIOR MANAGER)が登場して事例を語った。
SBI Security Solutionsは、SBIホールディングス傘下のフィンテック企業で、CEOにはLinuxカーネル開発コミュニティでも知名度があるFernando Luis Vázquez Cao氏が就いている。海外の従業員が多いことから、コミュニケーションの課題もあったが、Slackである程度解消したという。
中居氏は、フィンテックでの開発ではセキュリティを担保しつつ開発スピードを上げる必要があると説明。ほとんどのシステムがAWSで動いていることや、スクラム開発、Slackでコミュニケーションをとりながらの共同開発などを紹介した。
そこで求められるセキュリティ基準として、FISC安全対策基準や、クレジットカード業界ののPCI DSSのほか、ヨーロッパの決済サービス標準のPSD2を紹介。「日本にはAPIの基準がないので、PSD2に準拠していくのではないかと思っている」と中居氏は語った。
主にSlackについて求められるセキュリティ対策として挙げられたのは4つ。ゼロトラストネットワーク、G Suite(Google Workspace)をIDaaSとした認証認可の一元管理、ワークスペース分割でのACL制御、ワークスペースごとの管理譲渡だ。
具体的にSlack EnterpriseGirdに求めた機能としては、まず、SCIM(System for Cross-Domains Identity Management)のユーザー管理による認証認可がある。同時に自社ドメインのメールアドレスで作られる野良ワークスペースの削除も挙げられた
また、SBI Security Solutionsでは複数のワークスペースを利用しており、セキュリティのレベルをワークスペースごとに設定する管理機能も必要とした。「カード情報を扱うところはレベルを上げる。一方で、必要ないところに厳しすぎるレベルを設定するとコミュニケーションの阻害になる」と中居氏。
協力会社も含めた行動情報の収集のeDiscovery機能も利用している。各ユーザーのSlackでの行動情報をを、入退出情報などと同じくBigQueryに流し込んで一元的にとれるようにしており、それにより情報漏えいなどの行動の抑制につなげる。
ファイル添付関連の抑制機能も挙げられた。まず、モバイルアプリのダウンロード抑制制御。「24時間待機する場合があり、電車や車などにいることがある。電話だとすぐに出られないことがあるし、詳細な情報は分からないため、Slackのモバイルアプリを利用している」と中居氏。そのため、Slack EnterpriseGirdのファイルのダウンロードを禁止できる機能を利用しているという。
またアップロード側としても、プロジェクトのポリシーによってはファイルを添付した投稿を検出して抑制することもしているとのことだった。
Slackが提供するセキュリティの「コンプライアンス」「オペレーション」「機能」
続いてSlack側のセキュリティへの取り組みについて、林氏が、コンプライアンス、オペレーション、機能に分けて紹介した。
まずコンプライアンス対応としては、ISO27001、ISO27017、ISO27018などの主な認定から、米政府のFedRAMPや米国医療機関のHIPAAのような業界や地域ごとの標準まで対応していることを紹介。そのほか、データを日本国内に完結することも可能な機能も紹介した。
オペレーションとしては、通信経路からデータ保管まで暗号化していることを説明。扱うオペレーションの人も、多要素認証の強制や四半期ごとの見直しなどの厳格なアクセスコントロールがなされている。オペレーションはログがとられていて、そのログは一部担当者しかアクセスできない。さらに外部組織によるペネトレーションテストを定期的に実施しているという。そのほか、サービス状況をWebで公開していることも紹介された。
ユーザーが利用するセキュリティ機能については、さまざまなものが紹介された。
まずはアクセスコントロールについて。認証・ID管理では、SAMLベースのシングルサインオンによって自社などの認証基盤を利用でき、管理性や認証強化が可能となっている。そのほか、強制セッションクリアなどの機能もある。
また、デバイス管理では、モバイル端末のEMM(Enterprise Mobility Management)との連携や、ファイルダウンロードやメッセージのコピー禁止が可能であること、Slackクライアントの最小バージョンを強制する機能などが紹介された。
暗号化では、ユーザー企業が管理する鍵で暗号化・復号することが可能なEKM(Enterprise Key Management)の機能が紹介された。現在対応しているのはAWSのKMS(Key Management Service)だという。
Slack EKMについてはデモ動画も流された。デモでは、Slack上に不適切な投稿があったときに、AWSのKMSから該当する鍵を無効にすることで、メッセージが表示されなくなるところが実演された。
ログの監査では、Splunk App for Slackが紹介された。Slackの操作ログをSplunkに取り込むことで、利用状況や不審な操作などを可視化し分析できるという。
情報漏えいリスクのある投稿を監視・削除する機能としては、サードパーティのDLP(Data Loss Prevention:データ損失防止)ツールとの連携が紹介された。
DLP連携についてもデモ動画が流された。定義したポリシーに反する投稿を検知して事前に設定したアクションを実行するというもの。例としては、マイナンバー(と思われる形式の数字)を監視し、投稿されると、即座に警告メッセージに書き変えるところが実演された。
「情報障壁機能」などを今後リリース予定、Microsoft IntuneのMAMとの連携も
林氏は最後に、今後リリース予定のセキュリティ機能についても紹介した。
まずは、情報障壁機能。特定ユーザー間のやり取りを禁止する機能で、例えばトレーディング部門とM&A部門などの間を隔離して利益相反を防ぐのに使う。
社外とコミュニケーションするSlackコネクトでは、自動承認の機能が予定されている。事前に接続を許可する組織を登録することで、その組織からの承認を省き、管理者が毎回承認する作業を減らすものだ。
3つめはMicrosoft IntuneのMAM(Mobile Application Management)機能との連携。BYOD端末を紛失してMicrosoft Intuneからリモートワイプするときに、Slackクライアントのデータの消去に対応する。この機能は今年中のリリースを予定していると林氏はコメントした。
一般企業でも利用が広がっているビジネスコミュニケーションツール「Slack」。Slack Technologiesの日本法人であるSlack Japanはこのツールのことを“ビジネスコラボレーションハブ”と表現しており、あらゆるコミュニケーションやツールを一元化するものと位置付けている。本連載「週刊Slack情報局」では、その新機能やアップデート内容、企業における導入事例、イベントレポートなど、Slackに関する情報をお届けする。