logmi・ログミーTech

エンジニア向け勉強会の書き起こしメディア

混乱覚悟で「セキュリティ対策」は大胆に 情報システム担当者らが実体験を語る

混乱覚悟で「セキュリティ対策」は大胆に 情報システム担当者らが実体験を語る

2018年6月15日、ユナイトアンドグロウ株式会社にて、「情シスラボ #8 ~社員全員が情シス担当者の会社によるセキュリティ勉強会~」が開催されました。「情シス(=情報システム)担当者のためのナレッジ共有」を主な目的とし、社内外の情シス担当者同士の交流の場となっています。本パートでは、セキュリティ対策に関するパネルトークとして、5つのお題をもとに、さまざまな企業の具体的な導入事例を紹介しました。

(提供:ユナイトアンドグロウ株式会社)

シリーズ
情シスラボ #8 ~社員が全員情シス担当者の会社によるセキュリティ勉強会~ > パネルトーク
2018年6月15日のログ
スピーカー
ユナイトアンドグロウ株式会社 サトシ 氏
ユナイトアンドグロウ株式会社 ナオキ 氏
ユナイトアンドグロウ株式会社 タカシ 氏

【モデレーター】
ユナイトアンドグロウ株式会社 じみー 氏

情報システムの専門家による5つのパネルトーク

じみー氏(以下、じみー) 続いてパネルトークのコーナーに入りたいと思います。パネラーのみなさんは前のテーブルのほうにお座りになってもらえますか。サトシさん、ナオキさん、タカシさんでお願いします。 IMG_8119 (全員着席) 今日登壇いただく3名をご紹介させていただきます。左からサトシさん、ナオキさん、タカシさんですね。今回、事例を持ってきてもらった会社の規模が、サトシさんが1,000人以上の比較的大きめな会社。ナオキさんは50人から1,000人くらいの、いわゆるユナイトアンドグロウがターゲットとしている層全般。タカシさんは100名くらいまでの規模の会社の事例を持って来ていただきました。 パネルトークのお題なんですけれども、こちらの5つになっております。セキュリティに関する他社事例紹介、この1年で行ったセキュリティの対策、今抱えているセキュリティの課題、社内コミュニケーションツールのハンドリング、そしてクラウド化したときの話ですね。 今日はこの5つのうち、それぞれみなさんの得意な話ということで、お一人2テーマくらいずつ、だいたい5分くらいずつ話してもらいます。よろしくお願いします。 さっそく、セキュリティに関する他社事例紹介ということで、サトシさんから1つ目の話をしていただければと思います。 サトシ氏(以下、サトシ) サトシです。よろしくお願いします。 IMG_8281 参加者一同 よろしくお願いします。

次世代型アンチウィルスの強み

サトシ 私、前々職で某アンチウイルスベンダーにいたということで、レガシーなセキュリティの部分に対して、非常に強みを持っているエンジニアです。 昔はけっこうウイルス自体がファイルとして存在していて、それに対してアンチウイルスが、パターンファイルというデータベースで、ウイルスかどうかを判別して、チェックするのが一般的なやり方でした。 最近のウイルスですと、ファイル化せずに、レジストリなどから直接メモリなどに書き込んで、ファイルの実態がないような状態でウイルスが実行されて感染してしまうケースが非常に多くなっています。 とくに、ランサムウェアであるとか新しい新種のウイルスに関しては、パターンファイルのアンチウイルスは、モノがあってはじめてデータベースに登録されて、それが検知されるという流れになりますので、どうしても新種のウイルスに対してはアンチウイルスは弱いという弱点があります。 最近市場によく出ている、次世代型アンチウイルスと言われるものがあるんですけれども、こちらはパターンファイルによらない、インターネットに接続していなくてもウイルスを検知できるという強みを持ったアンチウイルスになります。 こちらは例えば、今流行りのAIとかで、ウイルスみたいな挙動をするものに対してウイルスチェックをしたりですとか。イメージ的には、直訳すると砂場となるんですけれども、サンドボックスと言われる場所で仮想OSを立てて、その中でファイルを実際に実行してみて、ウイルスかどうかをチェックするものが流行っています。 たまたま今、私がサポートさせていただいている会社で、製品は違うんですけれども、そういった次世代型のアンチウイルスを通常のアンチウイルスにプラスして入れられるというケースが非常に多くなっているというのが今の現状でございます。

従来型のアンチウィルスはそろそろ限界?

私の古巣を悪く言うわけではないんですけれども、従来型のアンチウイルスはそろそろ限界にきているのではないかと。ただ、みなさんもどうしても次世代型のものというのはちょっと値段が張ってしまうので、なかなか導入に二の足を踏まれるケースというのは多いかと思います。 そういった部分で、従来のものだけではなく、プラスアルファでセキュリティを考えていただければと思います。 じみー ありがとうございます。サトシさんに今の話で質問がある方とかいらっしゃいますか? 私からしょうもない質問をしてもいいですか? 従来のものプラス新しいものを入れるということで、パソコンの使い勝手はどうなるのでしょう? サトシ 従来のアンチウイルスは、エンジンとパターンファイルで動いているので、エンジンを動かすときに、データベースを読むのにCPUのメモリを非常に使ってしまいます。 それが次世代型の場合ですと、例えばサンドボックスの場合は、同じネットワーク上にその場所を用意して、そこで(ファイルを)実行させて確認するので、ローカルの端末に対しての負荷は圧倒的に少なくできるというかたちになります。 逆に言うと、通常のアンチウイルスのサポートが切れてしまったようなちょっと古いOSとかも、もちろんセキュリティパッチの問題があるのでそこは更新していただくのが前提ですけれども(笑)。そういった次世代のアンチウィルスを使うことによって、軽量に使っていただくことができます。 ただ1点弱点があって、次世代型のものに関してはやはりまだ挙動が安定してないというか、非常にセンシティブな動きをしてしまうところがちょっと問題になるかと思います。 じみー わかりました。サトシさん、ありがとうございます。 (会場拍手)

あれもこれも自由な状態から、すべて禁止に

じみー では同じく他社事例をナオキさんのほうからお願いします。 ナオキ氏(以下、ナオキ) ナオキと申します。UG(ユナイトアンドグロウ)に入ってもう十数年経ちます。先ほど紹介がありましたけれども、僕は比較的ちょっぴり大きめだったり小さめだったりする会社を担当しています。 IMG_8296 今回は、その中でもガッツリ大きい会社のときの話で、今はウイルス系とかセキュリティの話でしたけど、僕はセキュリティと言ったら、LanScopeとかSKYSEAとか、あのへんを導入した話をさせていただきたいと思っています。 僕が最初UGに入社したとき、比較的規模の大きいBtoCサービスを展開している企業でご支援していました。そのときに1番最初にやったのが「セキュリティツールを入れましょう」と、当時の先方の担当者さんとともに、導入に関わることになりました。 製品はすでに選定されていたので、それを運用するためにポリシーを作りましょう、というお話だったんですけれども、会社の方針として、いったんガチガチにポリシーを固めてみましょうということになり、当時の担当者さんと自分で導入しました。ユーザーの混乱や生産性が落ちるのは覚悟の上で、あえてやってみました。 個人情報をたくさん扱っているのですが、当時はまだセキュリティとかぜんぜん整っていない会社で、ユーザーさんがけっこう自由にしていたところに、いきなりその(セキュリティ)ツールを入れることになって、がんじがらめにしてしまったんですよね。

セキュリティ対策は大胆な実施もあり?

例えばポリシーの話ですけど、モバイルPCを自由に使ってよかったのを全部禁止に。あとは、USBメモリやハードディスクなどの外部メディアも繋ぎ放題、データ出し放題という状態だったんですけれども、それも全部禁止。 あとはWebのフィルタリングも導入したので、Webもなんでも見放題だったのが、ニュースすら見れない、ホワイトリストっぽく必要なものだけを見るというかたちにしてしまって、ほとんど禁止というような状態でした。 ただ、そんなのじゃ業務ができないので、例外的に申請を受け付けて、許可していきましょうというようなスタイルを取ってたんですけれども、誰からもいっさいそういった申請も来なかったんです。だからちょっと不便になったり困ったりはしてたんだと思うんですけど、業務は回っていたんだと思います。ただ、文句はいわれましたけどね。 (会場笑) じみー あるあるですね(笑)。 ナオキ 100パーセントフリーな状態から、10パーセントくらいしか利用ができないような状態になってしまいました。それによって発生する現場からのクレームは二人で覚悟して受け入れよう、って話していたのですが、入れた直後に一緒にやっていた担当者さんが辞めちゃったんですよね。これには焦りましたね(笑) (会場笑) 別の担当者さんが来た時も変えずにそのままスライドでやっていって、プラスでやったことは、たぶんこの中にも聞いたことある人がいると思うんですけど、一般社員が残業抑止のために「18時になったら(パソコンを)シャットダウンしましょう」とか。 そこは業務につながるので、15時くらいになったら申請がめちゃくちゃ来たっていうことはありましたけれども。そういうツールの構築とか運用とかをずっとやっていました。ユーザーの利便性を落とさずにセキュリティも担保するのはバランスがむずかしいな、と5年間やってきて学びました。そういう話でした。

セキュリティポリシーの設定の難しさ

会社の方針のもとに一旦ガチガチにはしましたが緩めるところは緩めたり、というのを実態に合わせてやっていきました。例えば、Webフィルタリングだけは緩和しつつ、外部メディアの書き込み禁止も1人許可し、2人許可しというので、だんだん広がっていったという経緯でした。 僕が関わっていたのは5年前までで、今どうなってるか知りませんけれども。当時は極端なやり方に戸惑いもありましたが、おかげでセキュリティ事故もなく、こういうのもやり方のひとつなのかな、と離れてみて感じています。以上です。 (会場拍手) じみー ありがとうございます。なにか質問のある方? ナオキ この中にも(当時を)知ってる人がいるんで(笑)。 じみー ポリシーの設定は難しいと思うんですよね。どういう観点か。担当者が変わったら変わっちゃうというのもあると思いますし、時代によって変わったりすることもありますよね。 ナオキ 時代によってブラッシュアップしていくんだったらいいんですけど、あまりコロコロ変えてしまうのは問題かなって。 じみー 時代によって変わるといえば、パスワードの定期的な変更なども、いつの間にか変えてはいけないものに変わったりしてますからね。そこらへんも情報(収集)に注力していかないといけないのかなと思います。ありがとうございます。

医療系クライアントのセキュリティ対策

じみー 続いて、タカシさんにこの2点を10分で発表していただきます。よろしくお願いします。 タカシ氏(以下、タカシ) お願いいたします。タカシと申します。ユナイトアンドグロウは8年目になりまして。入ったときは20代終わりごろだったんですけれども、気づけばもう40近いと。非常に悲しいし、周りの方も歳とったなと思います(笑)。 IMG_8321 (会場笑) この1年で行ったセキュリティの対策というところで、私は今自分で稼働している会社を3社持っているんですが、それぞれ少しずつ対策をやってます。 まず1社目が医療系の会社です。私が1年半前くらいに担当となったときは、だいたい40~50名くらいだったんですけれども、今は従業員が増えて、100人くらいになっております。 もともと東京に病院がある会社なんですけれども、この5月に大阪にも病院ができ、どんどん人が増えていってる会社です。 私が入るまでは、マネージャーの方がずっとITの面倒を見ていたという感じだったんですが、もう業務が回らなくなったということで、正式にユナイトアンドグロウに依頼が来ました。 ウイルス対策ソフトがもともとトレンドマイクロのウイルスバスタークラウドという、いわゆる会社で使うようなものではなくて、個人で使うものでした。1ライセンス買うと、3台まで使うことができるというライセンスでした。 個人版なので、なにも管理ができないんですね。どの端末にどのバージョンが入って、ちゃんとパターンファイルが当たっているのかとか、ウイルスをどれくらい検知しているのかというのがまったくわからない状態だったんです。

電子カルテなどの個人情報を流出させないための対策

それをSymantecにするか、ESETにするかという2択だったんですが、私のほうでESETを選択して、ESET Endpoint Protectionというものを導入しています。もちろん管理サーバーを立てて、どのパソコンがどのくらい検知しているかを確認できるようにしたというのが、まず1点になります。 これは人によって意見がバラバラだと思うんですけれども、僕はウイルスバスターはけっこう重いと思っていまして。「パソコンの動作もわりと軽くなるのでこっちにしましょう」という提案をして、今はちょうど切り替えの時期になっております。 もう1つが、同じ会社で、最近関西に病院がもう1個できたというところで、UTM(Unified Threat Management/総合脅威管理)を新しく導入しています。 病院なので電子カルテなどがありまして、個人情報もけっこう満載な会社なので、外からはすでにあるファイアウォールで対応できるとして、念のため、内側からも出ていかないような仕組みにしましょうというところで、UTMを導入しております。 あとセキュリティとはちょっと違うかもしれないんですけれども、AD(Active Directory)管理がまったくされておらず、ワークグループ管理になっていました。ユーザーもそれぞれのパソコンでの管理でした。 これもADを導入しまして、先ほどの(ナオキさんの)話じゃないですけれども、ポリシーを立てて対応するようにしています。というのが概ねこの医療系の会社で行った内容になります。

海外からの怪しい英文メール

もう1社が保険の会社様です。こちらは社員さんが20名くらいの会社で、パソコンの台数も同じくらいの会社です。こちらの会社は保険の業務をやられているというところで、海外の方とのメールのやり取りがほとんどで、メールによるトラブルが割と多かったんですね。 例えば、英文の怪しいメールが飛んで来て、これが本当の会社なのか乗っ取られているのかよくわからないというのが割とありまして(笑)。たいがいそこに添付ファイルがくっついているケースでした(笑)。また本文にURLが貼ってあって、「これクリックしてください」というのがたくさんあるんですね。 この会社の主なリスクがメール起因によるものというところで、もともとOffice365を使ってましたので、Office365のExchange OnlineのATP機能を入れてあげました。 これがなにをしてくれるかと言うと、まず送られてきた添付ファイルをシステムが一度チェックしてくれる。チェックが通ったものに関しては開くことができて、チェックがダメだったものはシステム管理者宛に飛んでくると(笑)。 (会場笑) もちろんメールの本文は会社にはちゃんと届くので、それが正規の会社なのかを判断していただいて、開くかどうかを確認する。「本当にこれ、大丈夫ですか?」と。そのような体制を作りました。

重要な情報が埋もれがちな状況をどうするか

あとはURLも、怪しいサイトには1回クリックしただけでは飛ばずに、1回警告画面が出るようにしています。これもまだまだ入れたばかりですので、これから運用していくかたちになります。 ここまでがセキュリティの対策です。今抱えている課題としては、最初の医療系の会社に関しては、院内の業務だけではなくて、お宅に訪問して診察をしたりだとかそういう会社ですので、ノートPCの持ち出しが必須になっていました。そのノートPCのセキュリティ対策をどうするか。 先ほどの横河さんのお話じゃないですけども、けっこうノートPCのローカルにデータが満載なので(笑)。ノートPCを紛失したときにどうするかとか、データをどう扱うかというのを今後しっかりやっていかなきゃいけないと。 あとはコミュニケーションツールを使っていまして。LINEのようなものですけれども、それの企業版を使っています。けっこう頻繁にやり取りされているようで、重要な情報が埋もれてしまっているような状態になっています。 その埋もれてきてしまう情報をどこかに退避させるなり、コミュニケーションツールはコミュニケーションを取るだけのツールにしていただいて、保管するべき情報はまた別のところに貯めていきましょうという動きをこれから取ろうかと考えております あとは業務アプリケーションで、Googleのアプリケーションとかいろんなものを使っているので、これを統合しようか、今どうしようかなと思っています。以上です。 じみー (発表時間)ぴったり。ありがとうございます。 (会場拍手) じみー 次のテーマのコミュニケーションツールにわざとやってくれた感じですか? タカシ まあ、そうです(笑)。

社内コミュニケーションツールの課題

じみー ありがとうございます(笑)。続いては社内コミュニケーションツールのハンドリングということで、けっこう悩ましい問題だと思うんですけど。サトシさんのほうからお願いします。 サトシ やはり社員の方の数がどんどん多くなってくると、社員同士のコミュニケーションがなかなか取りづらいといった問題が出てきます。今、いろいろな社内コミュニケーションツールが出ていて、ご利用もいただいているかと思います。 ただ、こういったコミュニケーションツールなんですけれども、だいたいがクラウドサービスというかたちになっています。サービスを中断してしまったり、トラブルがあったときにけっこう取り返しのつかないようなことがあったり。このツールが使えないことで、社内が大混乱したりということが発生しがちなのかなというのが1つあるかと思います。 働き方改革じゃないですけれども、この社内コミュニケーションツールが、ご自宅にいても使えてしまったりすると、いつ休みなのかよくわからないような状態で、仕事が常に回ってきてしまうといったところも問題になります。 逆に、社外で社内の情報を自由に取れるということは情報漏洩の危険性もあります。誰がいつログインをして、どういったことをしているのかというのをきちんとログに取って、いつでも確認できるようにしておくことが1つ重要なポイントになるのではないかと思っております。 クラウド型でないオンプレミス型のものもあるにはあると思うんですけれども。そうすると、今度はサーバーの保守期であったりとか。まあ、良し悪しというところにはなってしまうと思うので、そこの部分を今どうしようかなと悩んでいるところです。 あとログという部分でもやはり、いつ誰が何をやったかというところは非常に重要なポイントになってくると思います。そこに関しても、例えばキーワードで引っかけたり、添付ファイルがあるかどうかをチェックしていただくことで、社外への情報漏洩というのもだいぶ防げるのではないかと考えております。 じみー ありがとうございます。 (会場拍手)

コミュニケーションツールのハンドリング

じみー なにか質問ある方いらっしゃいます? ちなみに今お話しいただいたのは、1,000名様以上の大きい会社の話ですか? サトシ ではないです。 じみー そうではないんですね。コミュニケーションツールを1本に絞るのもすごく難しくて、複数のものが部署ごとに走っちゃったりとか。 サトシ そうすると、使い方がまたバラバラになって管理が面倒くさくなってしまうと。エンドユーザーさんにもそれを強いてしまうというところで非常に問題だと。 じみー そこらへん難しいですね。なにかありますか? コミュニケーションツールのハンドリング。なさそうですか? (会場挙手) じみー あ、ぜひ! 質問者1 サービス名ではどういうツールが多いですか? サトシ そうですね。LINEのビジネス版を使われていたりとか。Office365のYammerとかですね。最近だとSlackなどを使われている会社は多いです。 じみー やっぱり社内にエンジニアのチームがある会社さんなんかはSlackの利用率が高い気がしますよね。会社の公式がHangoutみたいなものになってるんだけど、開発チームだけはSlackでバンバンやり取りされてるみたいなこともあるのかなと思います(笑)。 サトシ あとWorkplaceとか。 じみー あ、そうですね。弊社の場合Workplaceですね。このハンドリングも今後の課題になるんじゃないかなと思います。ありがとうございます。

「クラウド化したいな」から5年が経過

じみー では続いてナオキさんに、クラウド化したときの話をお願いします。 ナオキ 実はタイトルがちょっと違って、「クラウド化……しかけた話」(笑)。 (会場笑) じみー すみません(笑)。ぜひそれでお願いします。 ナオキ 正確に言うと、部分的にクラウド化しましたという話なんですけど。前に5年くらい行ってた会社がいるんですけど、5年間ずっとクラウド化の検討をやってたんですよ。 (会場笑) じみー 5年間も。 ナオキ 「クラウド化したいな」って担当者さんから言われるんだけど、「ちょっと検討しようか」って。たぶん最初の4年はポーズだったと、僕は今は確信してるんですけど。うちのほかのスタッフでも関わった人がいっぱいるので、100人月くらい使ってるんじゃないかなという感覚でした。 なんでクラウド化が前に進んだのかと言うと、先方の担当者さんが代わったことが要因の一つかなと。 (会場笑)

ようやくクラウド化に踏み切れた理由

ナオキ さっきとちょっと似たような話なんですけど(笑)。ちょっと事情があって、その会社は個人情報を目一杯抱えている会社さんなので、それをクラウド化するとか、データの保存場所をデータセンターにするのかクラウドにするのかだけでもやっぱり一大事です。 なので、先方の会社からもセキュリティ面は厳しい目で見られていて、監査とかも毎週毎週来られているような状態でした。クラウド化とか、(情報を)外に持ち出すことに関して、もともと非常に(高い)ハードルを持っている会社でした。 けれども、このご時世、クラウド化しないとまずいなと感じてましたし、BtoBのビジネスをやっている会社で現状クラウド化しているというのはそんなに聞かないですし。 やってる会社も、どこか片目をつぶってやってるというのもあると思うので。そういうハードルをどう一歩踏み出すかは、担当役員が交代して方針が変更になったことが1番大きかったです。 なんでそう言えるのかと言うと、「もし仮にダメだと言ってる人がいたら、自分が説得するから」みたいなことを言ってくれたんですよね。そういう一歩踏み出すような、後押ししてくれるような一言を言ってもらったおかげで「じゃあ具体的にやろうよ」と。 自分も含めてですけど、やっぱり周りを巻き込んで仕事ができるようになったというのが1番大きくて。あとは関わる人も、自分はインフラの担当でしたけれども、アプリケーション側とかシステムの管理・保守をしてくれる方も巻き込んで具体的な話ができたので、そういった部分でクラウドの推進ができました。 部分的にと言いましたけれども、開発系の環境だけはクラウド化しまして、AWSとIIJのクラウドに持ってきました。

一部クラウド化したメリット

いろんな開発案件が動いていましたので、ほかの開発会社さん、ニアショアとか、もう1ヶ所ありましたけど、そういった外部から接続できるような共通のクラウド基盤を持って開発することによって、そこのインフラも全部僕が面倒見て、常にサーバーを作ったり消したりということをやってましたけど。 やっぱりそういったことは、オンプレに置くよりは、スピード感が上がったなと実感しました。ただサーバーを中で作ってるだけなので、中に置いてるか外に置いてるかだけで、たいした違いはないなとは自分では思ってましたけど。でも、ライセンスの費用とかの部分に関しては相当変わったなと思いましたので、(良かったの)かなぁと思ってます(笑)。 (会場笑) ナオキ あんまりないですけれども。こんな感じです。 じみー 一部クラウド化できたときの話ですね。 ナオキ 一部クラウド化して、今絶賛しかかり中という。 じみー あ、まだ動いてるんですね。 ナオキ 実は100台近くサーバーがあるので、やっぱりすぐには持っていけないよというような感じですね。 じみー わかりました。ありがとうございます。 (会場拍手)

  
この話をシェアしよう!
シェア ツイート はてブ
混乱覚悟で「セキュリティ対策」は大胆に 情報システム担当者らが実体験を語る

話題のログ

編集部のオススメ

人気ログランキング

TOPへ戻る