🔐

情シスチャレンジ2020

2020/12/21に公開

この記事はリアズ Advent Calendar 2020の20日目の記事です。
ちこくちこくー💥 🍞 🏃 💨

昨日はムラさんの1歳児に1年間ゆる〜く英語を教えてみた件でした。ムラ家の英語力パネェ。

強力なCIO COVID-19のもとで

Google Apps(当時)[1]、Slack、Confluenceなどその他SaaS導入を旗振っていた流れで情シス的な立ち位置もやっていたのですが、今年はCOVID-19の影響下で一気に在宅勤務の流れとなり、色々感じることもありましたので書いておきたいと思います。

今年やったことダイジェスト(情シス関係)

  • 1〜2月
    • MDM/IDaaS/CASBの機能・導入について色々なベンダー・リセラー様と打ち合わせ
  • 3〜4月
    • 在宅化によりVPN発行
    • Zoomも組織アカウントとして運用
    • 打ち合わせのオンライン化
    • オンラインGood&New
    • Amazon WorkspacesとClient VPN
  • 5〜6月
    • 社員総会オンライン化 (Google Meet)
    • MFA使用をさらに推進
    • 脅威とインシデント、リスクの分類を行い、施策を優先順位を決める。
  • 7〜9月
    • 社員総会、Zoomのウェビナーオプションに変更する
  • 10〜11月
    • Google WorkspaceをEnterpriseにアップグレード
    • ZoomをProプランからBusinessプランにアップグレード
  • 12月
    • シングル・サインオン化開始
    • Google WorkspaceのWindowsログインを採用開始

もともと管理面・業務面で非効率な部分があり、モダンなシステムを入れて改善したい気持ちがあり昨年末より、コーポレートIT、いわゆる情シスについて情報収集を進めておりました。たとえば機器をエクセル台帳で管理、入退職に応じて各サービスごとのアカウント管理、とくに所属する部門によって使うサービスが異なったり、従業員視点でもサービスごとに認証情報やMFAコードを入力しなければならない煩わしさなどに課題感を持っていました。

そこへCOVID-19が来て物事が一気に進みます。在宅勤務が可能な会社は在宅でという流れになり弊社でも4月より在宅勤務に。普段からG Suite Business(当時)[1:1]とSlackを全社使っており、Zoomもオフショア開発などで2017年から使っており比較的慣れているメンバーが多く機能要件としてはもとから可能な状態でした。がセキュリティ上、それだけは無理でVPNを用意しユーザー発行祭りをワッショイワッショイしておりました。[2]

この時にはラップトップを支給していないメンバーもいましたので、私物端末に業務データを扱わせるわけにもいかずAmazon WorkSpaces(VDI)環境を用意したりもしました。ランニングコストはお高いですが、貧弱なスペックのパソコンでもリモートマシンが強力であれば快適に業務ができるのは助かりました。

新たに強く感じた課題

  • ユーザー管理を一箇所から各SaaSへのアクセスなど機動的に付与していきたい。属性や文脈に応じた制御を行いたい。
  • IPアドレスでアクセス制限している部分があるけど、どこからでもセキュアにアクセス制御したい。令和なんだし。
  • 必要以上の制約を設けてオペレーションの障害物とならないようにしたい

おおむね何につけても懸念は安全性(セキュリティ)の担保になるので、問題を砕いて整理することにしました。ただ単に「セキュリティ」では範囲がデカ過ぎますしね。

脅威と脆弱性の分類
脅威と脆弱性の分類 表示幅が足りないので業務システム側だけ

まず発生因子を分類しました。つまり脅威と脆弱性です。「オフィス・業務システム」と「プロダクト」の2軸を作り、その上プロダクト側はアプリケーションの改修とAWSソリューションの活用が進んでいるので、業務システム側もさらに強化していく時と判断しました。

インシデント

次にどのような事象、つまりインシデントを想定すべきか。

  • なりすまし
  • 改ざん
  • データ・システムの破壊
  • 業務不能
  • 漏えい

この辺はどこの企業も似たりよったりになるでしょうか。

リスク

リスクはインシデントの結果によるどのような影響がでるか、その可能性になります。

  1. ブランド力低下・信用毀損
  2. ユーザ離れ・売上低下
  3. 損害賠償
  4. 事業停止
  5. 行政処分

株価下落の危機から自由でいられるのは強みですね。

SSOやっていき

上記課題感と施策重点からやることを決めて進めていってます。オープンな記事にすべてはかけないのですが、以前からやりたかったSSOも一環としてすすめることができました。AWSのマネジメントコンソールに毎日MFAコードを入力するのから解放されるだけでもストレス低減ですね!!!
自動化していきたい作業も多々あり、たとえばアカウントの発行依頼から作成は現在手動ですがワークフローからの自動作成にしていきたいところ。管理者権限アカウントを普段使いしなくて済むますしね。

越境もSaaSへの投資も得られるのは有り難い

私は本来事業部所属ですが提案すると任せてもらえるのも有り難いですし、必要性があればSaaS使用のOKも得ることができるのは有り難いですね。得難いことですので、信頼に応えていきます。

明日は

っていうか遅刻しているので今日21日目は、お誕生日の「おにぎり.com」さんが担当です。おめでとうございます!

余談

この記事は、Zenn CLI + Githubリポジトリ、VS Code + Markdown + テキスト校正くんの環境で書きました。体験として書きやすく、書いている間にサービス側が障害起きて投稿ボタン押したら全部消えた[3]ということもないので安心ですね。

脚注
  1. 1記事内で2回名称が変わっていてなかなかややこしい。 ↩︎ ↩︎

  2. この辺はこちらの記事でも書きました ↩︎

  3. アドベントカレンダー11日目に起きたとか起きてないとか。 ↩︎

Discussion