見出し画像

ゼロトラストセキュリティツール(一部)導入の目的と解決策(正社員のみを対象とすることはできない)

大野隆司

修正履歴

・2023/12/16:初版。
・2024/01/19:修正履歴を追加。タイトル変更。

仮定

あくまで仮定の会社を想定して書いていますよ!!!
羅列したSaasは適当に選定して調べました。大体の会社で使っているものをカバーできたんじゃないかな?

今回防ぎたいこと

  • 単純パスワードの複数Saasへの使いまわしによって起こる悪意を持った部外者からの社内情報へのアクセスと情報漏えいを防ぐ

  • 退職者のシステムへのログインを防ぐ

  • 私物パソコンからの業務システムへのアクセスを防ぐ

今回の対応では防ぎきれないもの

  • 個人のGoogleアカウントやDropboxやEVERNOTEへのログインも防ぎたいが、これを防ぐためにはCASBが必要となる

  • 業務に関係の無いサイトへのアクセスも防ぎたいが、これを防ぐためにはSWG(CASBにこの機能を含むものもある)が必要となる

  • PCへのハッキング、メール等によるマルウェア攻撃なども防ぎたいが、これを防ぐためにはEDRが必要となる

ここに書けないこと

価格は書けない
私が勤めた会社の個別事情も書けない。ふわっと書いているところは察してくれ!

解決策

Idpとパスワードマネージャーの導入

Idp

  • 調べた製品はOkta、OneLogin、HENNGEである

    • おすすめはOktaである

    • 価格は高いが、導入事例が多くネットに様々な情報がある

    • めちゃ詳しいベンダーや代理店がブログで情報を公開している

  • 以下のことはいずれの製品でも可能

  • SSOにより会社が承認したシステムへの不正ログインを防ぐ

  • MFAによりIdp自体に本人しかログインできないようにする

  • 会社管理のPCであることを証明するクライアント証明書を導入することにより、私物パソコンからのログインを防ぐ

  • 正社員の退職者の場合はIdpを無効化することによりログインを防ぐことができる

パスワードマネージャー

  • 調べた製品はKeeperである

    • LastPassとBitwardenは業務で管理したことはあるがKeeperに比べて私は使いにくいと感じた

  • Idpが管理できるのはSaas側がSAMLを実装したものなのでそれ以外のSaasのパスワード管理をパスワードマネージャーで行う

  • OktaのSWAやOneLoginのフォーム認証などパスワードマネージャーっぽい機能はあるが、おまけみたいなものでパスワードマネージャーほど高機能に管理できない。

  • Idpの配下にKeeperを配置することにより、より安全にログインを管理できる

    • 業務委託はIdp配下ではなくKeeperをダイレクトに使ってもらう

  • 諸事情により共有アカウントを使っているところがあるが、共有アカウント利用者に退職者が出た場合、パスワードを変更しそれを皆に何らかの方法で通知や周知している。これをパスワードマネージャーのパスワード一斉変更機能により楽にすることが可能。退職者はURLとアカウントを知っているがパスワードが変更されているのでログインできない。

  • 業務委託のアカウントとパスワードはパスワードマネージャーで防ぐ算段です。Idpを業務委託にまで導入するのは費用がかかりすぎるためです。

質疑応答例

  • 質問:SSOだけの導入ではダメか?

    • 回答:SSOだけを導入すると私物パソコンから業務情報にアクセスできてしまう。

  • 質問:MFAも合わせて導入しないダメか?

    • 回答:ログインIDとパスワードだけのログインになってしまい、なりすましを防げない

  • 質問:クライアント証明書は不要ではないか?

    • 回答:クライアント証明書を導入しないと私物パソコンからのアクセスを防げない

      • ちなみにクライアント証明書はMDMを通じて業務PCに配布されるのでそれを私物PCにコピーされることはない。

  • 質問:Idpではなくパスワードマネージャーだけの導入ではダメか?

    • 回答:パスワードマネージャーにMFAやクライアント証明書の機能がないため、なりすましや私物PCからのログインを防げない。

解決を実現するための仕組み

  1. Idpの導入

    1. 正社員にSSOの導入

    2. 正社員にMFAの導入

    3. 正社員にIdpの配下にパスワードマネージャーの導入

    4. 業務委託にパスワードマネージャーの導入

  2. MDMの導入

    1. 会社管理PCをすべてMDM配下に置く

    2. クライアント証明書を配布

MDMを先に導入するのはアリ。

実装パターン

  • Idp

    • GoogleWorkspace(全プランでSAML利用可能)

      • 組織やグループにより正社員とそれ以外を分けれる

    • Microsoft365(全プランでWS-Federation利用可能)

    • Slack(ビジネスプランによりSAML利用可能の場合)

    • Notion(ビジネスプランによりSAML利用可能の場合)

    • Salesforce(全プランでSAML利用可能)

    • Zoom(ビジネスプランによりSAML利用可能の場合)

    • ジョブカン(全プランでSAML利用可能)

    • バクラク(セキュリティオプションを利用することによりSSO利用可能。)

    • Box(全プランでSAML利用可能)

    • Chatwork(全プランでSAML利用可能)

    • Dropbox(全プランでSAML利用可能)

    • Keeper(SAML)

      • Slack(プロプランにより非SAMLの場合)

      • Notion(プラスプランにより非SAMLの場合)

      • Zoom(ベーシック、プロプランにより非SAMLの場合)

      • バクラク(セキュリティオプション未契約により非SAMLの場合)

結論

IdpのSSO:必要
Idpのクライアント証明書:必要
パスワードマネージャー:必要
MDM:必要

パスワードマネージャーは正社員・業務委託の全従業員に必要だが、Idpは正社員だけでOK。
MDMも業務PC分だけでOK

IdpとパスワードマネージャーとMDMにした理由

色々な会社でゼロトラストセキュリティツール全体(Idp、パスワードマネージャー、MDM、EDR、CASB)を提案したが、まあ無理。
お金がかかりすぎる。
会社で起こっている問題に対しての解決策としてCASBが必要だとすると、CASBと連携するIdp、パスワードマネージャー、MDM、EDRの導入がまず必要になるが、ちょっとそのお金は出そうにない。
よほどお金のある会社か金融系スタートアップで情報漏洩絶対ダメとかでない限りは全額は難しい。
まずIdpとパスワードマネージャーとMDMを導入して、アカウントとIT機器の棚卸しを実施し、まずいですよねという材料を用意して次の段階に進めるとよいかなと思います。

飛び道具的な導入方法として

いきなりCASBだけを導入してみるのもありかなと思います。
その結果を見せるだけで経営は漏洩してるじゃんってわかるはずですから。
そうするとその後の導入もスムーズかもしれません。
CASBは高いですが、機密性の高い情報を扱っている社員にだけまず導入するということであれば無料のCASBがあるので、それから始めるという手があります。

以上

いいなと思ったら応援しよう!