カミナシの1人情シスが訴えたい！「セキュリティは文化」という話

​​こんにちは！
カミナシで1人情シスをしております小林です。
今日はタイトルの通り、「セキュリティって文化なんだよ」ってネタを書きたいと思います。
これは、前に書いたnoteの最後にある一文を、他社の情シスの方とお話しする中で拾っていただいたこともあり、ここをもう少し言語化しつつ、カミナシで取り組んでることについてお伝えできればと思いました。

この記事は、セキュリティ対策を取っているけど不安を感じている、セキュリティ教育をやっているはずなのに守られない、セキュリティのソリューションを入れたいけどその手前で躓いてる・・・というような企業の人たちに読んでもらえると嬉しいです。
そして、これは情シス担当だけじゃなくて、各部門のマネージャーやコーポレートの人たちにも知ってほしい内容です。
なお、本内容はセキュリティについて詳しくない方にもわかりやすく記載しておりますので、本当はちょっと違くない？という内容があるかもしれませんが、諸先輩方ご容赦くださいませ。

セキュリティを固くする方法

みなさん、セキュリティがガチガチのところで働いたことありますか？
実はセキュリティを単純に固くするだけであれば、お金をかけてセキュリティツールをガンガン導入して、身動きを制限する方法があります。

接続先サイトの制限

そういった職場に出会ったことある方も多いかもしれませんが、会社のPC（社内LAN）から転職サイトやアダルトサイトが見られないという制限だったり、見ることができる情報を限定的にするよう制限をかけます。

トラフィック等の監視

勤務中に個人アカウントでTwitterにアクセスしていないか、Facebookやっていないか、個人のGoogleアカウントに接続していないか、業務以外のサイトにアクセスしていないかを監視し、怪しければアラートが上がります。

アカウント付与の制限

入社時の付与は必要最低限のアカウント付与のみとし、追加で何かしらのアカウントが欲しい場合は申請が必要で、なおかつ承認制（判子リレー）が伴うもの。

パスワードポリシーでの制限

パスワードの文字数や文字種類を制限することで、難解なパスワードを設定させる方法。なかには、一定期間パスワードが変更されない場合はアラートを上げるシステムもあります。

就業場所の制限

リモートワークを禁止とすることで端末の持ち出しを制限することができます。
また、開発チームに関しては本番環境の操作は出社必須とすることで、サービスにおけるセキュリティを担保するケースもあります。

接続先ネットワークの制限

リモートワークはできるように整備したものの、社内VPNの利用が必須となり、家のインターネットから接続して仕事することはNGとするもの。
通常のインターネットからの接続速度や操作速度よりも体験が落ちることで不満を聞くことがありますネ。

ゼロトラスト

昨今では従業員・デバイス・ネットワークは何かしら間違いがある、誤りがある、信用できないとして、「何も信用しない」ことを起点にセキュリティを構築する手法がスタンダードになりつつあります。
さらにコロナ以降はリモートワークを主体とする企業も増えましたし、フルクラウドな企業も増え、この先のセキュリティ設計はゼロトラストが不可欠になると思います。
もちろん、カミナシでもゼロトラストでのセキュリティ構築を行っています。
リモートワークを主体とした時にできることとしては、下記のようなセキュリティ対策があります。

デバイスを信用しない

あってはならないことですが、各種の業務ツールにログインするPCが会社支給とは限りません。また、人間が操作するものになりますから、いつマルウェアに感染するかもわかりません。そのため各種サービスへのログイン経路やIDを制限したり、マルウェア感染への対策を取ります。

ネットワークを信用しない

家のネットワークが踏み台にされてる可能性もありますが、インターネットへの接続は許可し、その先において、ログイン経路の制限や接続先情報を検知してアラートを上げる仕組みを取り入れます。
ですが、これだけやればセキュリティは完璧なのかと言ったら、そうではありません。

できないこと

いくらゼロトラストを構築していたとしても、どうしても制御できないものがあります。

こんな例知りませんか？

カフェなどの飲食店でリモートワーク中、PCを開きっぱなしで画面ロックをしないままトイレに行き、他の人からPCの画面が丸見え状態・・・
電車の中でPCを開いて作業、メールの内容から取引先の企業名が丸見え、文末の署名から自社の社名が丸見え、本人の名前も丸見え。
つまり、人が信用できないという課題が大きく残ります。
人が信用できないリスクの大きな例としては、デバイスの紛失や盗難・盗み見・盗み聞き・覚えやすいパスワードの設定によるハッキング・パスワードのメモ・家族や知人とのアカウントの共有などがあります。

大事なこと

ツールで縛ったとしても、残る課題は沢山あります。物理で縛ったとしたら従業員満足度が下がるリスクすらあります。
そこで大事にしたいのは「文化づくり」だと私は考えています。
まずは空気づくりと、「これって当たり前だよね？」という文化の醸成です。

カミナシでやっていること

カミナシではデバイス管理ツールとしてJamfの導入、およびパスワードマネージャーとしてKeeperの導入を行いましたが、まだまだゼロトラスト構築の進捗では30%といったところです。
もちろん今後もツール導入は引き続き行いますが、やはり文化醸成も重点的にやっていきたいと考え、いくつかの施策を取り入れました。

すぐに変えたこと

カミナシではグループウェアとしてGoogleWorkspace、コミュニケーションツールとしてSlack、ナレッジ共有などのドキュメントツールとしてNotionを使っています。
そのため、ここのセキュリティをツール導入せずに固くすることから始めました。

GoogleWorkspaceの二要素認証設定の必須化

管理コンソールから、二要素認証をONにしていないメンバーを洗い出し、設定を依頼。未設定メンバーが0になるまでリマインドして設定してもらいます。

Slackログイン方法をSSOへ限定化

Slackのログイン方法がGogoleからのSSOになっていないメンバーを洗い出し、設定変更を依頼。変更していないメンバーが0になるまでリマインドして変更してもらいます。

Notionログイン時のドメインをカミナシドメインに限定化

ログイン時のメールアドレスをカミナシドメインのアドレスに限定しました。

入社オンボーディングで身につけてもらう

既存メンバーの対応が終わったら、オンボーディングプログラムへ組み込み、入社時にセキュリティ意識を高めてもらう方法へ変更しました。

二要素認証の設定

入社時にGoogleWorkspaceのアカウント設定をしていただくのですが、その時点で二要素認証をONにしてもらうところをオンボーディングに組み込んで、二要素認証の大事さを伝える。

パスワードポリシーの策定と運用

GoogleWorkspaceのパスワードおよび貸与端末のパスワード変更をオンボーディングに組み込み、カミナシでのパスワードポリシーを覚えてもらう。

SSOの推進（Googleアカウントを用いたシングルサインオンの推奨）

GoogleWorkspaceのアカウントセットアップが終わったところでGoogleアカウントを用いてSlackとNotionへログインしてもらう。

セキュリティ教育

カミナシではコーポレートチームによるオンボーディングプログラムとして、全社的に渡るツールの説明の他にも、カルチャーや各種ツールのポリシー、勤怠の付け方や福利厚生の説明とともに、わたくし小林による「コンプライアンス研修」と称した1時間超えの研修を受けていただいています（笑）
そこでは、パスワードポリシーの大事さや、SSOの必要性、業務外でも使えるセキュリティ知識についての説明を行い、メンバーのセキュリティへの意識を高められるような内容を頑張って組み込みました。
その他にも、定期的なセキュリティ研修を全社員を対象に行い、ちょっとの差で気付けたインシデント例や、人的ミスによるインシデント例などを題材にしています。

パスワードマネージャーによるパスワード管理の大事さ

パスワードマネージャーでのパスワード共有はさることながら、パスワードマネージャーを使うことでパスワードの乱数設定や、個々のパスワード管理におけるリテラシの向上にも言及できます。

セキュリティフィルターの貸与

リモートワークが中心となった働き方に合わせて、移動中や外出先で仕事をする機会も増えているため、カミナシではセキュリティフィルターを全社員へ配布しています。

一歩ずつ雰囲気から作る

現在の仕様では、AppleIDを作成しようとすると、メールアドレスの他に二要素認証としてSMSが届く電話番号の設定を求められます。
これはとても大事なことなのですが、全てのサービスにおいて、二要素認証が備わっているかといったらそうではありません。
この二要素認証を煩わしいと思う方も多くいると思います。
ですが、まずは社内の文化として二要素認証やSSOが大事であることを繰り返し唱えることで、従業員個人の価値観を変えていく。端末をオープンスペースに放置するリスクを唱える。
そうすることで、従業員が信用できないというリスクが大きく減らせると考えています。
そして、セキュリティリテラシーが高い従業員をマジョリティにしていくことで会社の文化を醸成し、やがては従業員のプライベートを含めた全体のセキュリティリテラシーを上げていくことが大事ではないかと考えています。
ツールで制約することは簡単ですが、リモートワークを取り入れ、働きやすい環境に向けてセキュリティ構築していくためには、文化情勢がかなり大きなウェイトを占めていると個人的には思っています。
小さなことの積み重ねですが、これからもリモートワークが安全に行えるよう色々な施策をやっていきたいと思います。

カミナシでは一緒に働く仲間を募集しております。
コーポレートIT領域においても募集をかけておりますので、ご興味がある方がいらっしゃいましたら、ぜひお声がけください。