自由で快適なセキュア環境を求めて

はじめに

はじめまして。ビットバンクで情報システムを担当していますJosephです。

弊社では、さまざまなセキュリティ対策を実施しています。
今回はその一部の例を紹介させていただきたいと思います。

下記の事例は、基本的なセキュリティ対策に加えて、さらにそれらを強化するための施策になります。

  • アカウント管理の厳密化
  • 高度マルウェア攻撃への対策
  • 勝手利用のクラウドサービスの洗い出し

それぞれをどのように推進してきたかを説明します!

アカウント管理の厳密化

近年、自社でサーバを構築して基幹システム等をオンプレミスで管理する会社は少なくなりつつあります。
弊社でも、自社にサーバは1台もありません。ほとんどの業務にてクラウドサービスを使用しています。

複数のクラウドサービスを使用していると、各サービス毎でアカウント管理が必要になります。
また、従業員の入退社が発生する度に、それぞれのクラウドサービスにアカウントの追加/削除を行うことが必要になります。
もしアカウントの削除漏れが発生すると、クラウドサービスの性質上、退社後の従業員がクラウドサービスにアクセスできてしまいます。

また、クラウドサービスは常にブルートフォース等の攻撃にさらされています。
そのためMFAを採用することが望ましいのですが、クラウドサービスによっては、対応していないものもあります。

そこで、 IdP(Identity Provider) を導入することにしました。

IdPとは、 SAML認証で認証情報をクラウドサービス側に提供するもの です。
5年くらい前までは1,2社ほどでしたが、今では複数の企業がIdPを提供しています。

過去の弊社ブログでも、MFAを実現するためのRADIUSサーバとして、OneLoginの導入事例を解説しています。

AWS SSOを使ってSingle Sign-On環境を手に入れよう!

弊社では、OneLoginを会社全体のアカウント管理用のIdPとして採用することにしました。
構成としてはフロントをOneLogin、バックにADを置くことにしました。
なぜADかというと、弊社ではAWS WorkSpacesを導入しているので(過去記事)、ADが必須要件になるためです。

OneLoginの良いところのひとつとして、各クラウドサービスへのProvisioning機能が挙げられます。
たとえばAD側でアカウント操作を実施すると、アカウントの追加/削除の情報がすぐに連携されます。
そのため、AD上のアカウントを削除した時点で、主要な業務にて使用しているクラウドサービスへのログインはできなくなるしくみになっています。

しかしながら、導入においては苦労がありました。
すでに業務で使用しているクラウドサービスとSAML連携やログイン連携などさせるには、検証につぐ検証となります。
重要なデータを削除してしまわないように、細心の注意を払って動作検証を実施し、クラウドサービスをすべて巻き取っていきました。

高度マルウェア攻撃への対策

弊社ではもともと、従来型のエンドポイントセキュリティ対策システムは導入しておりました。

しかし、今後発見される可能性のある未知のウィルス等に対しては、既存のエンドポイントのセキュリティ対策システムでは防ぎきれないことも考えられます。

そこで近年登場した EDR を導入することにしました。
EDRとは、Endpoint Detection and Responseの略で、 脅威を検知し対応を支援するもの です。

要するに、防ぎきれないウィルス等をすばやく検知し、感染後の対応を迅速に行うシステムとなります。

もちろん既存のセキュリティ対策システムも、感染を防止するために重要なシステムとなります。
EDRを追加で導入することにより、セキュリティ環境をより強化することにしました。

日々進化する未知のウィルス等に対して、万が一感染等が発生しても、迅速に対応することで被害の拡大を防ぐための重要なシステムとなります。

勝手利用のクラウドサービスの洗い出し

世の中には便利なクラウドサービスが無数にあり、これらを利用して業務効率を上げるのはとても良いことです。

しかしサービスによってはセキュリティが脆弱なものもあり、疑わしいサービスに業務データを保存することで情報漏えいのリスクが発生します。

そのため従業員が業務で利用しているクラウドシステムを把握し、セキュリティ上問題ないか確認する必要があります。
そこで、あまり聞き慣れない方もいると思いますが、数年前に登場したいわゆるシャドーITを撲滅するシステム CASB(キャスビー) を導入することにしました。

CASBにて、クラウドサービスの利用状況を監視します。
それぞれにおいて利用上問題がないかを確認し、問題ないサービスであれば正式導入とし、システム管理者が把握していない状態をなくすことでセキュリティ強化を実現します。

CASB製品も複数あり、まだ弊社では製品選定段階ではあります。
製品によっては、DLP機能がアドインしているものもありますので、個人情報など重要なデータが漏洩する前に手前でガードすることも可能です。

最後に。。

弊社では上記のシステム導入の実施・計画を行っており、運用の効率化とセキュリティ強化を常に念頭において業務を進めています。

なにより従業員が、 セキュリティを意識することなく円滑に業務を実施できるセキュア環境の構築 を目指したいと思っています。

「セキュリティ強化」と「自由な環境」では、どうしてもトレードオフが発生し自由度が軽減されがちです。

CASBなどの新しいサービスも登場していますので、積極的に採用を検討し、理想の環境構築のソリューションを見つけて自由度を上げていければと思っています。

Author image
About Joseph
expand_less