グループウェアと言えば、大企業や中小企業を問わず主流となってきているのが“クラウド型”です。インフラ調達や運用・管理が不要なことや、場所と時間を選ばずシステムへアクセスできる環境などが多くの企業で受け入れられています。
「クラウドファースト(クラウドを優先的に検討すること)」という言葉があるように、今後グループウェアを導入したり、リプレースしたりするケースではクラウド型を検討している企業が多いのではないでしょうか?
そしてクラウド型グループウェアを導入するにあたり気になる点の一つに“セキュリティ”がありますね。データを社内で蓄積・管理するのではなく、ベンダーが保有するデータセンターに預けるわけですから、不安を隠しきれなくても致し方ないでしょう。
そこで重要になるのが、グループウェア選定時にしっかりとセキュリティ要件を確認し、この情報も含め製品を選ぶことです。しかし、セキュリティ専門家がいない企業ではどの点に着目すればいいのか?
戸惑ってしまう方も多いと思うので、今回はクラウド型グループウェアを選ぶ上で重要なセキュリティ要件を9つのポイントで紹介していきます。
データセンターは国内にあり、データの所在を明確にしているか?
クラウド型グループウェアにおけるデータ管理は、ベンダー保有もしくはクラウドプラットフォームを活用したデータセンターにて管理されることになります。ここで気になるのが「データセンターはどこにあるのか?」ではないでしょうか。
企業のセキュリティポリシーによってはデータを国外に出すことができないことも多いので、事前に確認が必要です。例えば国内ベンダーでもデータ管理のために海外のクラウドプラットフォームを活用していれば、セキュリティポリシーに反することになります。
また、国内にデータセンターがある場合も「どこに?どのように?」データ保管されているかの確認が欠かせません。
データセンターのセキュリティ対策は万全か?
データセンターが国内のあるのは当然のこと、施設やシステム自体のセキュリティもしっかりとポイントとして押さえておきましょう。例えば、近年巧妙化するサイバー攻撃に対し多層防御を敷いていることは必須条件です。何枚にも張り巡らされた防御壁により不正進級をブロックします。マルウェア対策やファイアウォールなど、一般的なセキュリティに関しても最新技術を駆使しているか確認を怠らないでください。
そして日本企業が最も懸念しているのが、自然災害の対策ではないでしょうか?数年~数十年以内で必ず大型地震がくると言われている時代なので、BCP(事業継続計画)対策は誰もが気になる点かと思います。
設備自体の耐震性や災害時の対策は取れているか?また、万が一災害によりサーバ障害を起こした際もシステム稼働を継続する対策は取れているか?などを確認しておきましょう。
グローバルスタンダードに準拠している製品か?
セキュリティ専門のいない企業がクラウド型グループウェアを選ぶとき、注目して欲しいのがグローバルスタンダード(国際標準)です。ISO27001を始め、グローバルスタンダードに準拠しているということはセキュリティ要件がある一定の水準に達しているという意味でもあり、一つの判断材料として活用することができます。ちなみにクラウド型グループウェアにおける主なグローバルスタンダードは以下の通りです。
- IOS27001(情報セキュリティマネジメント)
- ISO27018(情報セキュリティ第三者認証)
- FISMA(米国情報管理法)
- HIPAA BAA(提携事業者契約)
- EUモデル条項(標準契約条項)
- CSA(クラウドセキュリティアライアンス)
ただし、あくまで一つの評価ポイントなので、これらのグローバルスタンダードに準拠しているからと言って他の選定ポイントを疎かにしていいわけではありません。
海外法に対してどのような姿勢を見せているか?
海外では「政府機関の要請で社内データをすべて開示しなければならない」という法律が存在します。特に有名なのがテロ対策として施行された「米パトリオット法(愛国者法)」ですね。過去にこのパトリオット方が発動した事例も少なくないため、海外に本拠を構えているベンダーでは注意すべきポイントです。
しかも、海外に本拠があれば例えデータセンターが日本にあったとしても適用されるので、なおのこと注意しなければなりません。そこで重要なのが「ベンダーの海外法に対する姿勢」です。
政府機関の要請に対し、すぐデータを開示してしまうようでは、ユーザーの信頼を欠く行為だと言えます。万が一、パトリオット法などの法律が発動した際は、どのような姿勢を貫くのかにも着目しましょう。
多要素認証で不正アクセスをブロックできるか?
多要素認証とはIDとパスワード以外にも認証方法を用いて、なりすましなどの不正アクセスをブロックする機能です。近年ネット上の様々なサービスで「アカウント乗っ取り事件」が発生しており、インターネット経由でシステムを利用するクラウド型グループウェアも他人事ではありません。
また、攻撃者からすればIDやパスワードを解析するくらいさほど手間でもないのです。そこでやはり多要素認証が欠かせません。
例えば、通常のIDとパスワード入力に加え、ワンタイムパスワード(アクセスの都度発行されるパスワード)があればセキュリティ性をグンと向上させることができます。社内情報をしっかりと保護するのであれば、外すことのできないポイントでしょう。
監査ログ機能があり、ユーザーの行動を監視できるか?
昨今起きている情報流出事件の約8割は内部犯行・過失によるものだとされています。つまり、セキュリティリスクは外部だけでなく内部の方が多く潜んでいると言ってもいいでしょう。
そこで重要なのが監査ログ機能であり、アプリケーションごとにユーザーの行動を監視する必要があります。不正な行動をしていないか?また、機密情報へのアクセスをしていないか?などなど、ユーザーの行動を逐一管理することで内部犯行・過失による情報流出を未然に防ぐことが可能です。
また、セキュリティ専門家がいない企業ではセキュリティレポート機能なども必要となります。ユーザーが特定の行動を起こした際に自動でレポートしてくれるので、リアルタイムで不正行為をブロックすることができます。
機密情報を守るためアクセス権限の設定は可能か?
グループウェアでは組織内の情報がほとんど集約しているので、情報の種類によっては従業員にアクセス権限をかける必要があります。先にも述べたように情報流出の原因は8割が内部犯行・過失によるものなので、アクセス権限設定は必須と言えます。
また、グループウェア内には部署ごとのデータも保管されているため、他部署のファイルへはアクセスできないなどの設定も重要でしょう。
グループウェア内で提供されているアプリケーションごとにアクセス権限をかけられるかも大切なポイントです。
内部犯行・過失の玄関口となるメールを制御する機能はあるか?
内部犯行・過失による情報流出の玄関口とも言えるのがメールであり、メールによる情報流出を防止することはセキュリティ性を大幅に向上させます。
このためメール文内の情報をスキャンし、必要に応じて警告・許可認証・ブロックを行うなどの機能がなければいけません。特にメールでは大事には至らなかったとしても、取引先の信用を欠いてしまうことになります。
メール文内や添付ファイルなどをスキャンし、管理者が閲覧できる機能を持ち合わせているかにも注目です。
モバイルセキュリティ管理機能は備わっているか?
近年スマートフォンをビジネスに活用するケースが増えていますが、クラウド型グループウェアでも活用が目立ちます。インターネット環境さえあれば利用できるシステムなので、スマートフォーンを活用するとコミュニケーションがよりシームレスに回りますね。
こうした理由から、クラウド型グループウェア導入時に社用スマートフォンを検討している企業も多いでしょう。ただし、社用スマートフォンを導入するのであればよりセキュリティ要件は厳しくなります。
例えば、外出先のフリーWi-Fiに接続した際や、紛失したことで情報流出に繋がったケースが少なくありません。このため様々な観点からスマートフォンのセキュリティを強化することが重要です。
クラウド型グループウェアによっては社用スマートフォンの利用を想定し、モバイル管理機能を持つ製品があります。別アプリケーションとの連携が必要が場合がほとんどですが、社用スマートフォンを検討している企業では欠かせません。
事が起きてからでは遅い、事前のチェックが重要
情報流出などのセキュリティ事件が起きてからでは遅いため、事前の対策が何よりも重要です。そしてクラウド型グループウェアでできる最初のセキュリティ対策は、製品のセキュリティ要件をしっかりとチェックし選定することでしょう。
クラウド型グループウェアはベンダーが運用するシステムを利用するという性質上、セキュリティをベンダーに依存していると考えがちですが、実際にユーザー企業ができることは多くあります。特に内部犯行・過失への対策に関しては入念に行う必要があるでしょう。
まずは今回紹介したポイントに着目し、セキュリティ要件の整った製品を選んでください。その上でクラウド型グループウェアにおける自社のセキュリティルールを策定していきましょう。
ちなみにこちらでは、Microsoftが提供するクラウド型グループウェア「Office 365」のセキュリティ要件についてまとめています。
今回紹介したポイントと照らし合わせつつ、セキュリティ基準をクリアしているかを知る参考にして頂ければ幸いです。
