働き方改革をドライブする「人を中心とした」セキュリティ設計

働き方改革をドライブする「人を中心とした」セキュリティ設計のアイキャッチ画像

はじめに

「働き方改革」を支援するIT」で述べた通り、働き方改革には企業や個人の意識改革とともに、ITによるサポートや対策が必要です。すなわち、働き方改革とは単なる精神論ではなく、モバイルワークが実現可能な環境を整える必要があるのです。その環境のベースとなるのがクラウド、具体的にはOffice 365です。クラウドの利点は、そこにアクセスする場所を問わないということです。企業ネットワーク内はもちろん、自宅や出張先であっても物理的にはアクセスが可能でモバイルワークが実現します。しかし、年間1000件以上の情報漏えい事件が発生していることから、7割以上の企業ではクラウドの活用に不安を持っています。そこで、第2回では、働き方改革をドライブするために求められるセキュリティ設計について解説します。

従来のセキュリティとActive Directory

伝統的なセキュリティの対策といえばFirewallでしょう。高い壁の中に企業のITを囲い込むことによって外部からの攻撃を跳ね返し、社内の重要なデータを保護します。そして、それらのデータにアクセスするユーザーをコントロールするために使用されるのが「認証基盤」です。さまざまな認証基盤(と呼ばれるもの)が氾濫していますが、もっとも有名なのがマイクロソフトのActive Directoryです。Active Directoryはユーザーを管理し、アクセスするユーザーを認証するだけでなく、ファイルサーバーなどへのアクセスを認可する機能も持っています。Active Directoryが登場したのが2000年です。このころはLDAP全盛の時代で、「LDAPによるユーザー情報の一元管理」に力点がありました。企業が社内に散在したさまざまなシステムにユーザーを同期(プロビジョニング)することで、どのシステムでも同じIDとパスワードが利用できることを目指していた時代です。Active Directoryもユーザーの一元的な格納庫としてLDAPを採用していますが、それだけでは企業システムの安全性を担保できません。そこで、認証プロトコルとしてKerberos(ケルベロス)を採用していました。これにより、1つの認証基盤によって全てのリソースへのアクセスをコントロールすることができるようになりました。しかし、伝統的なActive DirectoryはFirewallの内側で運用されることを想定されていました。このことは、Firewallの外からActive Directoryにアクセスしてユーザー認証やアクセスコントロールを行うことが容易ではないことを意味しています。インターネットはすでに普及していましたが、当時は「クラウド」という概念もなく、企業が業務システムでインターネットを積極的に活用する時代ではありませんでした。もちろん VPN(Virtual Private Network)は存在していましたし、それを使用して一時的に遠隔から業務システムにアクセスするといった手法は普及していましたが、VPNクライアントソフトウェア自身が高価であったことや、インストールできるクライアントに制限があったことから、万人向けのソリューションではありませんでした。

モバイルデバイスの登場

1995年にインターネットが日本国内で普及すると、モデムを内蔵し、公衆回線を経由してインターネットにアクセスが可能なPCが登場します。1995年から2000年にかけて、バッテリー容量の拡大とPCサイズの縮小化、軽量化が進み、こうしたデバイスが続々と市場に投入されます。まさに働き方改革の黎明期でした。ある程度の知識がある社員は、PCを外部に持ち出し、必要に応じて公衆電話などに接続してVPN経由で社内システムにアクセスすることができました。

2000年を過ぎると、インターネットへの接続のしやすさの向上やPDAの普及とともに「PCを持ち歩く」つまり「情報を持ち歩く」行為が一般化します。そして、ゲームをはじめとして多くの一般利用者がインターネット上に個人情報を登録し始めます。個人情報は閉じられた家庭内、企業内のコンピューターから、外に飛び出したのです。こうなると必然的に「漏洩」が目立つようになります。「個人情報漏えい」事件が広く報道されはじめるようになったのも2000年頃でしょう。また、車上荒らしなどによってPCが盗難されるといった事件の報道も目立つようになりました。

2008年には日本国内でもiPhoneが発売され、スマートデバイスによる情報の持ち運びとインターネットの活用がより簡単になりました。これまでPCで行っていた作業の一部、特に電子メールのやりとりは完全にPCと同等になり、添付ファイルも自由に編集し送受信できるようになると、これまで企業に与えられた携帯電話を使っていた多くの利用者が業務で個人のスマートデバイスを活用しはじめます。まさに利便性がコストを上回った瞬間です。携帯電話では電子メールの送受信程度は実現できていたものの、スマートフォンで社内PCと同等の機能が実現できるのであれば、たとえ個人の通信コストを消費してでもそちらを利用するになります。人は無意識に、より高い生産性を求めるものであるということです。これをIT Consumerization(ITの消費者化)と呼びます。

IT Consumerizationによって、企業側のIT部門は早急な対応に迫られました。このままでは間違いなく情報漏えいが急増するからです。ここでIT部門の方向性は2つ考えられます。1つは「現在の高い生産性を生かしつつ安全性を高める」こと。もう1つは「安全性を重視して完全に禁止する」こと。残念ながら多くの企業が後者を選択しました。理由は単純です。前者の方法がわからなかったことと、「ルール作りに命を懸ける人」が日本企業には多いからです。「責任を負いたくない」という表現のほうが正しいかもしれません。その結果、リスク回避のための個人デバイスでの業務禁止、PCの持ち出し禁止といったルールが一般化します。当然、生産性は低下します。出社しなければ仕事ができないというルールは、満員電車に揺られて8:40に出勤し朝礼を行うといった文化を持つ日本企業に、図らずも合致したのかもしれません。ITが生産性に寄与しないことを宣言してしまったわけですから、ITがコストセンターであると言われても反論することはできないでしょう。

情報は社内から社外へ

いくらIT部門が禁止したところで、便利なものは便利です。ルールを無視、または穴を見つけて多くの利用者がモバイルデバイスやインターネットを活用し続けました。スマートフォンだけでなくモバイルルーターも普及してインターネットへの接続性が格段に向上したこともあり、個人が活用するITと企業内のITは完全に乖離しました。

そんな中登場した「クラウド」は、モバイルデバイスを拒否し続けてきた企業にとって完全に得体のしれない存在でした。一方で、多くのソフトウェアベンダーがOffice 365のようなクラウド製品をリリースし始めます。使いたい機能がクラウドにしか存在しない、クラウドのほうがコスト的に安いといった状況に直面すると、IT部門もクラウドを企業システムとして導入せざるを得ません。どこからでもアクセス可能なクラウドのメリットを生かすには、同時にモバイルデバイスの導入も必須です。ここではじめてIT部門はFirewallの外側をいかにして守るかという大きな課題に直面するのです。

シングルサインオンの重要性

冒頭で解説した通り、Firewallの内側はActive Directoryによって守られていました。Active Directoryには企業システムの利用者と、そのパスワードが厳密に管理されています。言い方を変えれば、社内のActive Directoryで認証されないユーザーは社内リソースにアクセスできないということです。これは、IT部門にとって譲ることのできない大原則でしょう。企業は長年苦労して企業内の統合認証、シングルサインオンを進めてきたのです。この原則が崩れることは、周辺のさまざまな「ルール」にも大きな影響を及ぼします。

Active Directoryの最大の特徴は、ユーザーの認証を1回だけ行うという点です。ユーザーの初回アクセス(ログオン/サインイン)時にユーザー「認証」を行い、それ以降はリソースにアクセスするための「認可」のみを行います。これを一般的にシングルサインオン(SSO)と呼びます。誤解してはいけないのは、SSOとは「ユーザーに1度だけIDとパスワードを入力させる」仕組みではありません。中には、ユーザーが入力したIDとパスワードをキャッシュしておいて裏で何度も認証している、みせかけのSSOを実現している製品もあります。これはSSOとは呼びません。「1回だけ認証する」仕組みがSSOです。

Office 365の最大の特徴は、このSSOの原則を崩さないことです。Office 365はクラウド上にありながら、社内のActive Directoryで認証を行うことができます。認証されたユーザーがOffice 365のどの機能にアクセス可能であるか(認可)は、Office 365側で設定します。これによって、「認証と認可の分離」の原則が保たれます。

People-centric IT

技術的な詳しい解説はここでは省きますが、Office 365によって社内のActive Directoryの影響力を社外のデバイスやリソースに拡大することができます。クラウド時代のセキュリティ設計は一見複雑に見えますが、Active Directoryを中心に設計することで非常にシンプルに実装できます。これをPeople-centric ITと呼びます。People-centric ITを単純に表すと以下のような図になります。

認証の構造を、「ユーザー」「デバイス」「アプリケーション」「データ」の4つのレイヤーに分割し、それぞれで認証と認可を繰り返すというものです。はじめにユーザーを認証します。ここで使われるのはActive Directoryです。ユーザーが認証されたら、次はユーザーが使おうとしているデバイスを認証します。デバイスの認証という言葉は聞きなれないかもしれませんが、要は「デバイスを特定」するということです。ユーザーが使おうとしているデバイスが使って良いものか否かの判定を、デバイスの種類やデバイスの名前、デバイスの場所、デバイスの状態などから判断するのです。こうすることで、そのデバイスが企業から配布されたものなのか、個人のものなのか、ネットカフェのものなのかを判定することができます。もちろん、iPhoneなどActive Directoryドメインに参加できないスマートフォンも認証の対象です。これを行うのもActive Directoryです。そして、デバイス内で起動するアプリケーションも認証によって特定されます。シャドウITが問題になっていますが、これはアプリケーションの認証によって回避することができます。もちろん、これもOffice 365につながったActive Directoryとの連携によって行われます。さいごに、ここまで通過してきた利用者、デバイス、アプリケーションがデータにアクセスできることを確認して、データアクセスが可能になります。

Office 365 は、Active Directoryが提供するこれらの機能をフルに活用することができます。Office 365内の全ての機能が、Active Directoryの保護下にあります。

Office 365にはこのほかに、電子メールやその添付ファイル、OneDriveに保存されたデータを暗号化しアクセスコントロールする Information Protectionと呼ばれる機能が実装されています。この機能を使用すると、許可されたユーザーが許可されたデバイスから許可されたアプリケーションを使用したときだけデータを復号化し参照、編集することができます。Information Protectionでは、その他、印刷や保存、コピー&ペーストといった機能を制限することも可能です。

Office 365はActive Directoryとの緊密な連携により、ユーザーとデバイス、アプリケーションを厳密に識別することができます。そして、識別されたユーザー、デバイス、アプリケーションがデータに対して何を行えるかをコントロールすることができます。これは、Windowsだけでなく iPhoneやAndroidといったスマートフォンに対しても有効です。そして、その影響力は社内ネットワークからの利用だけでなく、インターネットからの利用においても有効です。

人を中心としたセキュリティ設計により、場所やデバイスを問わないアクセスコントロールが実現できるのです。