週刊Slack情報局
リモートワーク化でITが直面している課題とは? 米Slack最高セキュリティ責任者らが座談会
「増え続けるシャドーIT」への対応と「生産性の向上」へのシフト
2021年2月10日 07:00
ビジネスコラボレーションツール「Slack」を提供する米Slack Technologies(以下、両方合わせてSlack)が1月28日、同社最高セキュリティ責任者のラーキン・ライダー氏、Okta Japan株式会社代表取締役社長の渡邉崇氏、Japan Digital Design株式会社CTOの楠正憲氏によるオンライン座談会を開催した。
この中でライダー氏は、同社がすでに導入しているデータセンターのロケーション選択やEKM(Enterprise Key Management:暗号化鍵の自社管理)などのセキュリティ向上の機能を紹介したほか、間もなくISMAP(Information system Security Management and Assessment Program:政府情報システムのためのセキュリティ評価制度、日本政府が求めるセキュリティ要件を満たしているクラウドサービスの評価制度)の認証を取得予定であることなどを説明した。
また、渡邉氏は「在宅勤務が始まったばかりの昨年の3月~9月はリモートにすることに主眼があったが、10月からは生産性を上げる、ITの負荷を下げるということに焦点が移行しつつある」と述べ、企業側のリモート環境も、構築から、リモートで生産性を上げる方向に変わりつつあることを指摘した。
楠氏は「リモート環境への急速な移行の中で、ITがカバーしきれていないシャドーITが積み上がっていっているというのが今の現状だ。組織を越えたオペレーションが増えている中で、それをサポートするIT基盤を整えていくことがITの大事な責務になってきている」と述べ、企業にとってはシャドーITを放置せずにきちんと把握しながら従業員のリモートワークをよりよくしていく環境を整えていくことが大事だとした。
リモートワーク化の進展、クラウドへの移行――大きく変わりつつある日本のIT環境、さまざまな脅威にも直面
今回の座談会は、初めにJapan Digital Designの楠氏、Okta Japanの渡邉崇氏、Slackのライダー氏の順で自己紹介とプレゼンが行なわれ、その後、Slack側が設定したテーマに基づいてそれぞれが説明するというかたちで進められた。
楠氏は、マイクロソフト、ヤフーなどを経てJapan Digital DesignのCTOに就任したITの専門家で、内閣官房の政府CIO補佐官や東京都のDXフェロー、福岡市の政策アドバイザー(ICT)、OpenIDファウンデーション・ジャパン代表理事、ISO/TC307国内委員会委員長なども務めている。
楠氏は「COVID-19の感染拡大により、ここ1年でITを巡る環境は大きく変わり、リモート会議なども当たり前になった。テレワークなどが始まったばかりのころはVPNの容量が足りないなどの問題があったし、以前は行政から問題があると指摘されたことがある「SoftEther」のようなVPNソフトウェアも行政で使われるようになるなど変わってきている」と述べ、COVID-19の感染拡大からITを巡る環境は大きく変わったと指摘した。
その上でITのセキュリティを巡る課題として「ドコモ口座の問題のようにこれまで顕在化していなかった、紙の手続きを電子化したことで問題が起こることなどが浮かび上がってきた。それらへの対策として多要素認証の導入がガイドラインとなった。その一方、当時大統領候補だったバイデン氏や元大統領のオバマ氏のアカウントが盗まれたが、Twitterの従業員がだまされたことが原因だと分かった。このように多要素にしたから安全というわけではない」と、昨年はさまざまな問題が発生し、常にセキュリティに対して注意を払っておく必要があると指摘した。
そしてこれから起こることとして「ワクチン接種に向けて不安につけ込んだ詐欺や、接種者の情報が狙われる危険、昨年後半から暗号資産の価値が上がっていることから攻撃側のインセンティブが上がっていること、さらには標的型攻撃などが激しくなると予想される」と述べ、そうした脅威に対処していくことが必要だと指摘した。
Okta Japanの渡邉氏は、自社のサービスである「Okta」について紹介した。渡邉氏によれば、Oktaは企業の従業員が利用する各種サービスなどにアクセスする際に一括して認証が行なえるサービスを提供しており、従業員がより安全に、かつ簡単にサービスにアクセスして利用することができるようになる。
すでに多くの企業では、従来のPCのローカルアプリケーションから、クラウドベースで提供されるサービスへと移行が進んでいる。Microsoft 365、Google Workspaceなどの生産性向上ツールや、Boxなどのクラウドストレージ、Salesforce.comなどのCRMといった、さまざまなサービスがクラウド経由で提供されており、従業員はそれぞれにアカウントを企業のITなどから発行してもらい、それぞれのサービスにログインする。
渡邉氏によればこうしたサービスに一括してログインできる(SSO=Single Sign On)などユーザーの使い勝手を向上させる仕組みのほか、企業IT側にとっては従業員が辞めたあとにアカウントの管理が楽になるなどのメリットがあると説明した。また、Oktaを利用しているユーザー企業の動向では、昨年最も成長したのがオンライン会議ソフトの「Zoom」であると明らかにした。
Slackが進めるセキュリティ対策――ISMAP認証の取得、EKM、データセンターのロケーション選択など
Slackのライダー氏は「Slackにとってセキュリティは非常に重要だ。さまざまな認証などを取得しているが、間もなくISMAP(Information system Security Management and Assessment Program:政府情報システムのためのセキュリティ評価制度、日本政府が求めるセキュリティ要件を満たしているクラウドサービスの評価制度)も取得する予定だ」と述べ、Slackが日本政府の定めたセキュリティ基準を満たすことにより、日本におけるセキュリティの基準を満たしたサービスを今後も提供していくと強調した。
また、すでにSlackが以前から提供しているEKM(Enterprise Key Management:大企業が自社で暗号化鍵を保持する仕組みのこと)や、データを国内のデータセンター(プライマリとして東京に、そしてバックアップとして大阪)に置けることオプションを提供していることなどに言及し、Slackがより高いセキュリティのためにさまざまな取り組みを行なっていることをアピールした。
焦点は「リモートワークの導入」から「生産性の向上」へ、その一方でITが捕捉できていない「シャドーIT」増加も
――それぞれの会社でどのようなセキュリティの取り組みを行っているか教えて欲しい。
[ライダー氏(Slack)]顧客がデータをどのデータセンターに置くかを選べるようになっている。日本のユーザーであれば東京や大阪を選ぶことができる。また、暗号化鍵を自分でコントロールする仕組みのEKMも導入しており、エンタープライズのニーズに応じたセキュリティを提供することができる。
また、昨年からは企業と企業が相互に自社のSlackを接続して利用することができる「Slack コネクト」の提供を開始している。企業がパートナー、カスタマー、ベンダーなどさまざまなレベルの企業と相互にやり取りをすることが可能になり、電子メールよりも高い安全性と効率の良いコラボレーションが可能になる。
そのほかにも、企業の認証マークの仕組みも用意しており、その企業が実在している企業であることを証明することができる。それによりフィッシング詐欺やソーシャルエンジニアリングなどの被害を防ぐことが可能になっている。
[渡邉氏(Okta Japan)]IT部門にとっては、従業員の増加とアプリケーションの増加が悩みになっており、ID管理の付加が高まっている。Oktaではリソースの割り当てや、アプリケーション、権限の割り当てをできるだけ自動化して効率よく行なう。また、人事異動や退職時などにIDの廃止などをやらずに情報漏えいの原因になってしまう。それをリモートで、IDの廃止をタイマーで自動で行なうなどが可能になる。
[楠氏(Japan Digital Design)]どうやってクラウドを使うかという段階になってきている。オンプレミスからクラウドへ移行し、シングルサインオンなどを使っているが、まだ自動化にはなっていない。これまでは電子メールの読み書きができて、Officeが使えればいいとなっていたが、新しいワークフローに対応する中で、従来はファイアウォールの中にいることで守っていくという考え方から、IP接続でも安全な接続ができるような考え方に転換していく必要がある。
――リモートワーク/テレワークなどの分散型の働き方の中でセキュリティ面での決定的な違いは何か?
[渡邉氏(Okta Japan)]決定的な違いは、ファイアウォールの内側、外側という境界線がなくなりつつあることだ。現在のサイバーアタックではクレデンシャルが奪われて侵入されるパターンが多く、ログイン時に簡単なパスワードにしておいたりすることで簡単に入られてしまう。ネットワークを境界線にすることは難しくなっているため、アクセスする人ごとに確実にIDを設定していくことが重要になる。
[ライダー氏(Slack)]従来はネットワークの中と外という考え方があったが、現在は従業員が必ずオフィスで働いているということではなくなっており、ファイアウィールに大きな意味はなくなっている。
そのため、従業員のIDを守ることが重要で、その信頼性を担保する仕組みが重要になる。具体的には従業員のノートPCをサイバーアタックから守り、エンドポイントプロテクションにフォーカスすることが重要だ。SlackではそのためにOktaのサービスを利用している。
[楠氏(Japan Digital Design)]これまではファイアウォールという境界によって守ってきたが、WFH(Work From Home:在宅勤務のこと)ではそれができなくなる。従来の仕組みでは建物に入って来られなければネットワークの中は守ることができたが、WFHではデバイスの管理が物理的に難しかったりするので、IDのライフサイクル管理がこれまでよりも重要になる。従来は出勤することを前提にさまさまな仕組みが作られており、デバイスの受け渡しや修理は出社を前提としていた。しかし、今後は私物端末や新しい端末などのデバイス管理のやり方もWFHに即したやり方にしていかなければならない。
――電子メールのフィッシング詐欺や連絡窓口など、電子メールとはどのように付き合っていけばいいか?
[楠氏(Japan Digital Design)]本心では電子メールを無くしたいと思っているが、今の段階ではそこまではできない。ただ、電子メールへの添付ファイルはできるだけ無くしたいと思っている。添付ファイルをクラウドストレージに置き換えるだけでも十分効果がある。
また、WFHでは、ITだけでなく、従業員のメンタルケアが重要になっている。それは電子メールにはあまり向いていない。たわいのない会話をどうやってITで実現していくか、Slack、ビジネスチャット、CRMなどを導入してシステマティックにやることが重要だと考えている。
[渡邉氏(Okta Japan)]まだ業務の自動化はそんなに多くない。何でも電子メールでというのが慣れなのかもしれないが、変わらない部分になっている。弊社ではどうしても社内の会議では英語ベースになってしまうので、週に1回は日本語だけでやるオンライン会議を入れるとか、メールに頼らない仕組みを取り入れている。
[ライダー氏(Slack)]従業員同士のコミュニケーションが大事だ。現時点では電子メールを廃止するのは難しいかもしれないが、弊社が提供しているSlack コネクトを活用していただければ、他社とのやり取りも含めてより安全で高効率なコミュニケーションが可能になる。
――日本では昨年の緊急事態宣言などでなし崩し的にリモートワーク/テレワークに向き合わざるを得なかった企業も少なくなった。そうした企業のWFHで苦労した点や今後向き合わないといけない課題を教えて欲しい。
[渡邉氏(Okta Japan)]リモートワークを実現しないといけないという意識が集中したのでできるようになった側面がある。ただ、生産性とのトレードオフを考えずに導入してしまった企業が多かったのは否定できない。使いやすさとセキュリティがトレードオフなので、何を優先するかというのを考えるのがポイントだと思う。昨年の3月~9月はリモートに主眼があった、10月からは生産性を上げる、ITの負荷を下げるということに焦点が移行しつつある。
[楠氏(Japan Digital Design)]現在進行形なので言いにくい部分もあるが、福岡県でコロナ患者のリストが漏えいするという事故があった。これに限らず、企業や役所などで急速にデジタル化を進める中で、こうしたことは起きうる事故だ。また、連絡手段がデジタルになった結果、LINEやFacebook Messenngerなどが組織内の連絡に使われている例も少なくない。福岡県の事例は氷山の一角で、シャドーITが積み上がっていっているというのが今の現状だ。組織を超えたオペレーションが増えている中で、それをサポートするIT基盤を整えていくことがITの大事な責務になってきていると言える。
一般企業でも利用が広がっているビジネスコミュニケーションツール「Slack」。Slack Technologiesの日本法人であるSlack Japanはこのツールのことを“ビジネスコラボレーションハブ”と表現しており、あらゆるコミュニケーションやツールを一元化するものと位置付けている。本連載「週刊Slack情報局」では、その新機能やアップデート内容、企業における導入事例、イベントレポートなど、Slackに関する情報をお届けする。