こんにちは、大石です。

当社は、2012年12月3日付けで情報セキュリティマネジメントシステム(ISO /IEC 27001:2005/JIS Q 27001:2006)の認証を取得いたしました。※適用範囲は東京本社となります

2012年は、当社がコミットしているクラウド(Amazon Web Services)において重要な機能拡張が多数あり、これらが後押しする形で、企業の情報システムのクラウド移行や、災害対策拠点としての利用という案件が爆発的に増えました。こうした流れに伴い、クラウド事業者に対するセキュリティ要求だけでなく、構築や運用を委託する当社のようなクラウドインテグレーターに対するセキュリティ要求も確実に高まっていると実感しています。私たちは、こうしたお客様の要求にお応えし、安心してAWSの導入をお任せ頂けるよう、ISO27001(ISMS)を取得してより高度なセキュリティ、コンプライアンス要求にお応えできるような体制を整えました。

ここまでは非常に一般的な「よくある話」ですが、私たちがISMS認証を取得したことにはもう一つ大きな意味があります。それはこれだけクラウド化が進んだ環境でも、ISMS認証が取れる!ということです。

 

私たちの会社にはサーバーが2台しかありません。

1台はActiveDirectory のドメインコントローラー
もう1台は社内IP電話用のAsteriskサーバー

この2台です。

 

そしてこの2台、移行の目処は立ちつつあります。

ADについては、既にOneLoginを使ってシングルサインオンを実現しているので、ID統合のみに使うのであればAWS側に移行しても問題在りません。端末もMacが増えているので、グループポリシー適用のためにADを使うよりも、そうした端末ポリシーの適用は、スマートフォンも含めてポリシーが適用できるMDM側で実施する方向に倒しています(事例はこちら)。

Asteriskについては、SIPサーバーを社内におかなくても手元のスマートフォンを内線子機として利用できるサービスが提供されていますので、そうしたサービスへの移行を進めているところです。

 

そして、この2台のサーバーが無くなると、何が起こるか・・・?

 

社内LANが無くなるのです!

 

今までLANというものは、「社員からのアクセスであるかどうかを識別する簡便な手法」として、一定の役割を果たしてきました。「同じセグメントからのアクセスである」ことは「社員からのアクセスである」とみなしても良いと考えられてきたわけです。

ところが、無線LANやVPN、リモートアクセスといったテクノロジによって「論理的なLANの拡張」が行われた結果、「社内LANとインターネットを出入り口できっちり分ける」という従来の線引きが非常に難しくなってきています。

また、スマートフォンやタブレットなど、個人向けにつくられた製品やサービスを業務に使いたいという要求の増加に伴い、これらが社内LANで取得した情報のキャッシュを持ったまま社外・自宅に持って帰られてしまう事態が生まれており、ネットワーク境界だけでLAN/インターネットを分断することの意味も薄れつつあります

 

私たちは、社内LANとインターネットとを区別するのではなく、クラウドを利用してネット上に仮想のワークスペースを作り、それを場所を問わず使えるようにするという方針でセキュリティと業務の両立を図りました。

具体的には、

  • 社内のファイルは(法人版Dropboxともいえる)Box
  • メールやカレンダーはGoogle Apps
  • 社内外のカジュアルなメッセージングはYammerChatWork
  • 営業活動に必要な業務はSalesforce
  • 開発に必要なリソース(開発サーバー、Redmine、Jenkinsなど)はAWS
  • リポジトリはGitHub
  • 端末のセキュリティ確保(MDM)にはサイバネット社のサービス
  • これらを束ねるシングルサインオンのサービスとしてOneLogin

それぞれ利用して、上記の目標を達成しています。

全てのサービスがSSL通信を利用するので、経路上の盗聴などは発生せず、またパスワード管理はシングルサインオンを利用して高いセキュリティを確保。万一端末を無くしたりした場合でもリモートワイプで情報を削除したり、管理者からパスワードを変更してクラウド上の情報にアクセスできなくすることで、迅速に防御できるようにしています。

これまで社内LANが「ベルリンの壁」よろしく社内外を隔てる壁として機能していたことは認めますが、今の時代にあっては、逆に社内LANといういい加減な認証機構が残っていることによって「iPhoneを社内に持ち込んではいけない」とか「PCを持ち出してはいけない」などという時代錯誤なルールができてしまうと考えています。

ところが、現実問題として情報漏洩の約8割は社内から起きている(セコムトラストシステムズ社調べ)ことを考えると、「LANだから信用できる」という盲信は事実と反していると言わざるを得ません。

私たちは、LANによる信頼を一切排除することで、逆に「どこにいてもセキュリティレベルが一定以上保てる」ことを実現し、これによってスマートフォンやノートPCのBYOD、リモートオフィス、社外へのPC持ち出し(このエントリもスタバでドヤ顔をしながら書いています!)といった、モダンな運用とセキュリティをバランスさせることに成功しました。実際、セキュリティレベルの高さと運用のエレガントさにISMSの審査員から感嘆の声が聞かれたほどです。

私たち自身がクラウドを戦略的に、かつ徹底的に使い込むことで、これまで両立が難しいと思われていた、高いセキュリティレベル、運用負荷の軽減、新しいワークスタイルへの対応といった目標の達成に、一定の答えを出せたと自負しています。

 

クラウドの導入効果というと、どうしても「オフバランス」や「ピークアクセス」などの目立つポイントに目が向きがちですが、私たちのISMS認証取得でおわかりの通り、セキュリティレベルの向上やワークスタイル変革といった、現代の要求にも適しているということが伝われば望外の喜びです。