フィルタ

Key Word

キーワード検索

Category

カテゴリー検索

Tag

タグ検索

Business Efficiency

January 3, 2024

Microsoft 365 でペーパーレス化に取り組もう!
Microsoft 365 でペーパーレス化に取り組もう! 課題 その1 資料の保存場所や共有の仕組みがない いざペーパーレス化しようと思っても、資料を保存しておく場所も、資料共有の仕組みも整備されていない。 打ち合わせでは、いつも紙に印刷した会議資料を持っていかざるをえない。 Microsoft 365を使った解決策 OneDriveやTeams を使って資料を 共有しやすい環境を整備できます。 個人用クラウドストレージの OneDrive では、デスクトップのローカルフォルダとの同期設定により、ローカルフォルダへのファイル保存や編集を行う感覚そのままでクラウド上にも資料を保存・編集できますし、他者との共有も、共有URLをコピぺするだけで可能となります。 また、Teams は、プロジェクトやチーム間でのファイルの共有や共同編集にも最適です。一度Teams 上でシェアされたファイルは、即座にそのチーム間で共有されるので共同編集も可能になります。 課題 その2 クラウドサービスのセキュリティに不安があるので紙の方が安全では? 情報セキュリティの観点から、クラウドサービスを使うのが不安だと感じている。 クラウドだとどこからでも社内のドキュメントにアクセスできるようになってしまうし、それがきっかけで社外にドキュメントを持ち出されはしないか? あるいは不正にサインインされたりするのではないか?など、対策を考えるくらいなら紙のままでも良いような気がする。 Microsoft 365を使った解決策 セキュリティを向上する豊富な機で、クラウドサービスに対する不安を一気に払拭できます 機密情報などが含まれるファイルの暗号化、閲覧・編集の制限、コピー・画面ショットの取得・メール転送の禁止などファイルの操作許可レベルの設定や、いつ・どこで・誰がそのドキュメントを利用したかを追跡することも可能です。 このようにMicrosoft 365は、さまざまなセキュリティ対策の機能をご用意していますし、SLAも99.9%保証しています。 また、サーバーも国内2箇所に設置しお互いが冗長化されているため、有事の際も安心してご利用いただけます。 課題 その3 従業員のITリテラシーやスキルの不足 情報セキュリティの観点から、クラウドサービスを使うのが不安だと感じている。 資料のダウンロード一つ取っても、やり方を直接教えなければならない社員が多いなど、ペーパーレスに取り組むには従業員のITリテラシーやスキルの不足が不安だ。 それに活用方法を教えるための勉強会で会議室に人を集めるのも大変なので、なかなかペーパーレスに踏み切れない…。 Microsoft 365を使った解決策 Teams を使ったライブ配信で、ITリテラシーやスキルの育成が可能 Teams を使ったストリーミング配信を使えば、社内勉強会や研修を簡単に行うことができます。 通常のweb会議とは異なり、録画しながら配信する仕組みとなっているので、視聴者はライブで視聴することも、後から録画を見直すこともできるのでとても便利です。
#Microsoft 365 #クラウドサービス #セキュリティ #ペーパーレス #資料共有
Business Efficiency

January 3, 2024

リモートワークでも作業効率を上げる方法とは?
リモートワークでも作業効率を上げる方法とは? Microsoft 365 でリモートワークでも作業効率を上げる方法 相手の状況がわからないため、連絡をためらってしまって仕事が進まない。 Outlookで予定表の共有を行うことで全員の予定がわかります。 Teamsでも自分の現状をステータスメッセージに表示できるので、 相手の状況を把握できてリモートワークでも連絡が取りやすいです。 質問があっても、チャットだといちいちタイプするのに時間がかかるため相手に連絡す    るのをためらってしまう。 Teamsであれば、グループでの通話・会議はもちろんチャットからも 個別で通話を行うことができます。ビデオ・電話のみどちらも選べるので、 相手に伝わりやすい方法で気軽に連絡を取ることができます。 リモート会議だと、相手に本当に伝わっているのかが不安になる。 Teamsであれば、ビデオオフの時でもリアクション機能があるので、 「いいね」を送ったり「手を挙げる」など、意見や理解度を簡単に伝える ことができます。 会議中に積極的にリアクションを送るように周知しておくと良いでしょう。
#Teams #リモートワーク #作業効率化
Business Efficiency

January 3, 2024

Power Apps ローコードで業務アプリを作成!
Power Apps でローコードで業務アプリを作成! エンジニアがいないけど、業務アプリケーションを作りたい。 Power Apps は Excel や Power Point のような操作性で誰でも簡単に業務アプリケーションを作成することができます。作成しながら動作確認やテストも行えるので業務アプリケーションが数日から数週間で利用できます。 PCだけでなくモバイルでも使える業務アプリケーションを作りたい。 Power Apps は PC やモバイルなど複数の画面サイズに対応しています。 「キャンバス」と「モデル駆動型」の 2 種類のアプリが用意されていて、これらを組み合わせることで生産性を高める業務アプリケーションの作成が可能です。 業務改善の一環として、まずは簡易的なWebサイトを作りたい。 デフォルトで用意されている機能を組み合わせて、ローコードで感覚的な操作で社内外のユーザーへ公開可能な Web サイトを簡単に作成できます。アンケート機能や会員向け専用ページ機能もあるので、一般向けページと会員向けページを組み合せたサイトも作成できます。
#Powerapps #ローコードツール #業務アプリ #自動化
Business Efficiency

January 3, 2024

Power Automate で業務フローを簡単に自動化
Power Automate で業務フローを簡単に自動化 単純作業や人為的なミスを減らしたい。 Power Automate なら、例えば「メールの添付ファイルを手動でドライブに保存する」という作業を「自動的に OneDrive for Business に保存できる」など、 煩わしい作業を解消し、本来注力すべき業務に集中できるようになります。 ワークフローや業務プロセスを自動化したい。 Power Automate では予め用意されたパーツを組み合わせてワークフローや業務プロセスを自動化できます。ドラッグ&ドロップだけでワークフローを作成できたり、分岐・並列処理・ループなどが必要な業務プロセスにも対応可能です。 他のシステムとも連携して業務プロセスを改善したい。 Power Automate には、さまざまなクラウドサービスやデータベースやWeb API とデータ連携ができる500種以上ものコネクタが予め標準で用意されているのでサービスやデータを横断するような業務プロセスを自動化できます。
#powerautomate #ローコードツール #業務フロー #自動化
クラウドセキュリティー対策

January 3, 2024

不正アクセス対策を怠ると情報得漏えいのリスクが高まる。適切な対策やシステムのメリットについてご紹介
不正アクセス対策が必要な背景 まずは、不正アクセス対策が必要な背景を解説します。 業務のオンライン化やリモート化 テクノロジーの進化やワークスタイルの変化にともない、業務のオンライン化やリモート化が進んでいます。業務をオンラインに移行すれば業務効率化に繋がりますし、業務をリモート化すればワークスタイルの柔軟性を得られるでしょう。 しかし、重要な情報をオンラインで管理する場合、セキュリティを強化する必要があります。極端な話をすると、オンラインにアップロードした情報は同じオンラインに繋がっている端末から閲覧することができるため、セキュリティを強化してアクセス制限を行う必要があるわけです。 正しいセキュリティを施すことができない場合、機密情報の漏洩といったリスクが生じるでしょう。 情報やデータの多様化、複雑化 情報やデータの多用化、複雑化により、不正アクセス対策が求められている側面があります。現代はテクノロジーの進歩にともない、従来では難しかったさまざまな情報を取得できるようになりました。 多くの細かな情報をビジネスに活用すれば、顧客ニーズの細分化や適切なアプローチに繋がります。情報やデータが顧客の真に求めていることを教えてくれるからです。 その分、データの取り扱いには厳重な注意を払う必要があります。顧客の個人情報やサービスの利用履歴、購入歴などが漏洩すると、プライバシーの侵害および具体的な損失が発生する恐れがあるでしょう。 ビジネスのグローバル化 ビジネスや経済のグローバル化により、世界と繋がっていることを想定して物事を進める必要性が生じました。グローバル経済下では「人」「モノ」「資金」「情報」といった重要なファクターが、世界中でやり取りされることになります。 それだけに、どこかから情報が漏洩してしまうと、数珠つながりに被害が拡大してしまう恐れがあります。昔のように「自社と一次取引先のみが被害に合う」という事態(それももちろん問題ですが)では済まない可能性があるため、より情報やデータの取り扱いに注意しなければならないわけです。 不正アクセスによる具体的な被害 では次に、不正アクセスによる具体的な被害を見ていきましょう。不正アクセス対策を適切に行わないことで、下記のようなリスクが生じる恐れがあります。 機密情報の漏洩 不正アクセスにより、機密情報の漏洩リスクが考えられます。適切な対策を行わず機密情報が漏れてしまった場合、自社だけでなく取引先や顧客にも大きな迷惑をかけてしまう可能性が考えられます。 顧客から預かっている情報には、顧客のプライバシーが記載されていることも多いのではないでしょうか。そういったものが流出してしまうと、顧客の氏名や住所、購買履歴といった情報が見知らぬ第三者に漏れてしまうことにもなりかねません。 取引先や顧客に迷惑をかけないためにも、しっかりとセキュリティを強化する必要があります。 社会的信用の失墜 社内の情報管理に対し不正アクセスを許してしまうと、自社の社会的信用が失墜してしまう恐れもあります。情報漏洩による顧客や取引先への悪影響は前述の通りですが、社会全体からも「この会社は情報管理のレベルが低い」とみなされてしまうでしょう。 そうなると、新たな顧客や取引先を開拓するのが難しくなるケースも考えられます。顧客や取引先が自社に情報を預けてくれるのは「この会社なら情報をしっかりと保護してくれる」という信頼があるからではないでしょうか。 そこに不信感が生じると、事業がスムーズに進まなくなる恐れがあります。 金銭的損失 不正アクセスによる直接的な被害は信用の失墜などが多いですが、場合によっては金銭的損失が発生するケースもあります。例としては、下記のようなものが挙げられるでしょう。 自社のサーバーやクラウドが不正アクセスに合いデータが消失してしまった場合、復旧に費用がかかるケースが考えられます。また、不正アクセスによりデータが攻撃者にロックされてしまった場合、解除に身代金を要求されることもあります。 その場合にどういう対応をするのかは状況によって変わりますが、いずれにせよ本業外の部分で余計な手間を取られてしまいます。 不正アクセスを防ぐにはどんな対策が有効か それでは、次に不正アクセスを防ぐための手段について、いくつか解説します。 デバイスやネットワークを適切に設定する デバイスやネットワークを適切に設定することで、不正アクセス防止効果が見込めます。デバイスやネットワークの設定ミスで意図していない脆弱性が発生し、そこから侵入されるというケースもありえるでしょう。 どのように設定すればベストかはケースバイケースですが、ポイントは「セキュリティと利便性のバランスを考える」ことです。一般的に、システムをセキュアにすればするほど利便性は低下する傾向があります。 あまりに利便性が低下してしまうと、業務に支障が出る可能性もあるかもしれません。反対に、利便性を追求しすぎてセキュリティが甘くなってしまうのも本末転倒です。 自社の業務特性やニーズを鑑み、適切な設定を施しましょう。 業務に利用する端末を管理する 業務に利用する端末をしっかりと管理することで、不正アクセスのリスクを軽減できます。業務のIT化やオンライン化が進んだことで、さまざまな端末が業務活用されるようになりました。 従来のような業務端末が全て社内ネットワーク下にある場合、厳密な端末管理は必要なかったかもしれません。しかし、現代では社外からインターネットを通して社内のシステムにアクセスする機会も多くなったため、端末管理の必要性が高まりました。 ネットワークセキュリティは、そこに接続するデバイスも含めて考えることが大事です。ある端末に脆弱性が生じていると、他がいくらセキュアでも不正アクセスの温床になってしまいます。 業務に利用する端末をあらかじめ登録し管理することで、ネットワーク全体をセキュアに保つことができます。 社員のリテラシーを向上させる 従業員のリテラシーを向上させることで、不正アクセス対策に繋がります。不正アクセスが行われる経路にはさまざまなものがありますが、中には「従業員の手を通じて」というケースも考えられます。 もちろん、従業員自身が悪意を持って攻撃者を手助けするわけではありません。フィッシングメールを通して不正なプログラムを実行させたり、脆弱性のあるデバイスやアプリを通して不正アクセスを試みるなどの例が挙げられます。 他にも「機密情報が保存されているデバイスを紛失した」といったオフラインのヒューマンエラーも考えられるでしょう。実際に情報を取り扱うのは従業員自身なので、システム面だけでなく、彼らのリテラシーを向上させる必要があるわけです。 適切なアクセス制限を行う 適切なアクセス制限を行うことで、不正アクセス対策に繋がります。アクセス制限とは「どのアクセスを通してどれをブロックするか」といったポリシーを定めることです。 原則的には「信頼できないアクセスは全てブロックする」になるでしょう。ただし、信頼のラインを強めに引けば引くほど業務の利便性が低下することになるため、バランスが大事です。 適切な端末管理を行っている場合、例えば「登録されている端末が信頼できる通信網を利用している場合のみ通す」などの設定が考えられます。 トラストレスな仕組みを構築する トラストレスな仕組みを構築することで、不正アクセスを防ぐ効果が見込めるでしょう。トラストレスとは「双方の信用を必要としない仕組み」のことであり、トラストレスなシステムを構築できれば「信頼できようができまいが物事が正常に進行する」といった状況を作れます。 一例としては、エスクローやブロックチェーンの仕組みなどが挙げられます。エスクローは一方があらかじめ第三者に規定の金額を支払い、条件が完了次第相手方に規定の金額が支払われる仕組みです。 厳密に言うと第三者への信頼が必要ですが、取引を行う双方間はトラストレスです。セキュリティに関しても同様の仕組みを構築できれば、仮に悪意のある人間がいたとしても脆弱性の発生を防げます。 セキュリティソフトを導入する トラストレスな仕組みを構築するには、セキュリティソフトの導入がポイントです。高性能なセキュリティソフトを各デバイスにインストールすれば、自動的に脆弱性が発生するリスクを軽減してくれるでしょう。 セキュリティソフトにはそれぞれ特色があるため、自社のニーズを明確にした上で製品の選定を行う必要があります。セキュリティの強さや更新頻度の高さ、搭載機能、運用のしやすさといった観点を踏まえ、総合的に判断することが大事です。 セキュリティシステム導入のメリット […]
クラウドセキュリティー対策

January 3, 2024

社内端末管理を行えばセキュリティ強化に繋がる。セキュリティ向上ポイントやシステムについて解説
社内端末管理が必要な理由 まずは、社内端末管理が必要な理由について解説します。 業務にITが必須の時代 現代では、業務へのIT活用が必須の時代となりました。ITを全く業務に取り入れていない企業はゼロとは言いませんが、非常に珍しいかもしれません。 なぜ各企業は業務にITを取り入れるのでしょうか。さまざまな理由がありますが、大きなものとしては「業務効率化」が挙げられます。 ITによる作業自動化や情報共有を行うことで、業務を大幅に効率化させることが可能です。効率化したワークフローを活用している企業はそうでない企業と比べ、多くの面で有利になります。 さまざまなデバイスからのアクセスを想定 ITを業務活用する場合、システムの中核となるサーバーにはさまざまなデバイスからのアクセスが想定されます。現代ではPCに加えスマホやタブレットといった端末が利用されることも多く、PCに比べると主に場所的な柔軟性を高めることができるでしょう。 しかし、利便性を向上させることでセキュリティリスクが生じてしまうケースもあります。多くの人がさまざまな環境からアクセスしてくることで、今までにはなかったような脆弱性が生まれる恐れがあるからです。 社内端末管理を適切に行うことで、柔軟性を担保しながらセキュアな業務遂行が可能になります。 場合によってはBYODを許可することも 業務に利用する端末は原則的に会社が保有するものになりますが、場合によってはBYOD(Bring Your Own Device)を許可することもあるかもしれません。BYODは「自身のデバイス持ち込み」という意味を持つ言葉であり、従業員がプライベートで使用している端末をそのまま業務に活用するやり方です。 BYODの利点としては「新たにデバイスを購入する必要がないことによるコスト減」が挙げられます。反面、デメリットとして「セキュリティリスクが増大する」点が考えられるでしょう。 プライベートで活用されているデバイスには、私的に使うアプリや設定がインストールされています。そこに脆弱性が生じるとBYOD端末を通じてサーバーに不正アクセスが行われたり、端末に保存している機密情報が漏洩する恐れがあります。 BYODを行う際は、より厳密な端末管理を行う必要があるわけです。 適切な端末管理をしないとどうなる? 適切な端末管理を行わない場合はどうなるのでしょうか。端末管理の不備によるリスクをもう少し詳しく見ていきましょう。 セキュリティリスクが高まる 一つ目の懸念は、セキュリティリスクの増大です。社内端末管理を行わない場合、従業員が利用しているデバイスはそれぞれの従業員が管理することになります。 端末利用による適切なルールが設けられていない場合、シャドーITやバージョンアップデートの遅延といったリスクが考えられるでしょう。シャドーITとは、会社に許可を得ず自己判断でアプリなどをインストールし業務活用することです。 世の中にはさまざまなアプリが開発リリースされており、全てが完全にセキュアなわけではありません。脆弱性を持つアプリを業務に利用することで、そこから情報が漏洩してしまうリスクが発生します。 また、OSやアプリのバージョンアップデートを適切に行わない場合も、脆弱性が生じる恐れがあるでしょう。 IT利用の統制がとれなくなる 社内端末管理を正しく行わないと、IT利用の統制がとれなくなる恐れがあります。そもそも「IT利用の統制」とは、一体どのような概念でしょうか。 現代において、業務に活用しているサーバーは場所やデバイスなど、多種多少な条件下でのアクセスが想定されます。それら全てに完全に対応できればよいのですが、門戸を広くすればするほどセキュリティリスクが向上するのも事実でしょう。 リスクを避けるために、ある程度デバイスの種類や設定を絞りこむことは有効な手段です。そのためにも社内端末管理を適切に行う必要があり、それが難しい場合はセキュリティか利便性のどちらかを選ぶことになります。 業務が滞る 社内端末管理が正しく行われない場合、業務が滞ってしまう可能性も考えられます。「端末管理が杜撰なため脆弱性が発生し情報漏洩」というのは最悪のケースですが、それ以外にも、下記のようなものが挙げられるでしょう。 ITを業務活用する大きな理由の一つに「業務効率化」があります。ITを活用することで逆に手間が増えてしまうのであれば(かつそれが利点を超えるのであれば)、何のためにITを導入したのかが不明確になってしまいます。 社内端末管理のセキュリティ向上ポイント では次に、社内端末管理におけるセキュリティ向上ポイントを解説します。 原則的に専用の業務用端末を活用する 業務に活用する端末は、原則的に会社の管理下にある専用のものを利用しましょう。BYODを許可するケースもありますが、端末管理の難易度が上昇するため、業務用と私用は分けた方が無難です。 業務用端末を活用するメリットとしては、下記のようなものが挙げられます。 業務用端末として会社が用意し設定した端末を活用することで、IT全般の管理統制が容易になります。管理統制が容易になれば「(ITを通して)今何が起きてるのか」を把握しやすくなり、さまざまなリスクの排除に繋がるでしょう。 業務に利用する端末は全て登録し管理する 原則的に、業務に利用する端末は全て登録し管理することをおすすめします。どのように管理するかはケースバイケースになりますが、例としては下記のようなものが挙げられます。 全ての端末でOSやアプリの統制を図り、登録されていない端末からのアクセスをブロックすることで、全体的なセキュリティを強化できます。 なるべく個人によるアップデートやインストールを行わない なるべく端末利用者個人によるアップデートやインストールを行わないことで、セキュリティ強化に繋がります。端末の利用者個人が管理者に許可を得ず勝手にアプリなどをインストールし業務活用することを「シャドーIT」と呼びますが、一般的にシャドーITが増えれば増えるほどセキュリティに問題が生じやすくなります。 シャドーITを行ったからといって、直ちにリスクが発現するわけではありません。しかし、アプリそのものに脆弱性がなくとも利用者の設定ミスなどから情報が漏れてしまう可能性もあるため、一律不可にした方が無難でしょう。 ただし、完全に禁止してしまうと業務に支障が出るケースも考えられます。その場合は、利便性とセキュリティを比較し、自社にとってベストなバランスを模索する必要があります。 信頼できるデバイス以外からのアクセスを制限する 信頼できるデバイス以外からのアクセスをブロックすることで、端末に由来する脆弱性を排除することが可能です。あらゆる端末からのアクセスを許可すればするほど業務の利便性は向上しますが、セキュリティは悪化します。 逆に、信頼できる端末からのみアクセスを許可すると、いざという時に柔軟性が損なわれてしまうでしょう。たとえば、下記のような例が考えられます。 これらを許可するか否かは、自社のセキュリティポリシーによって定まります。全て許可しない方がセキュリティ保護に繋がりますが、そのせいで機会損失などが発生する場合は考えた方がよいかもしれません。 リテラシー教育を行う 従業員にリテラシー教育を行うことで、セキュリティの向上に繋がります。情報セキュリティはITシステムの脆弱性に起因することもありますが、単純なヒューマンエラーによるところも大きいのが事実です。 ヒューマンエラーに起因する例として、下記のようなものが挙げられるでしょう。 どれもセキュリティに対する基本的な知識があれば防げる事態です。ヒューマンエラーを完全にゼロにすることはできませんが、リテラシーを高めることにより確率の低下は見込めるでしょう。 端末管理システムを活用する 専用の端末管理システムを活用することで、セキュリティを担保しながらデバイスの柔軟な業務活用が可能になります。端末管理を手作業でやるという選択肢もありますが、さまざまな業務をIT化することにより効率がアップするのと同様、端末管理も専用のシステムを導入した方が効率化を促せます。 […]
クラウドセキュリティー対策

January 25, 2024

クラウドセキュリティの必要性とは?導入成功のためのポイントや注意点を解説
現代においてクラウドはなくてはならないものになりました。クラウドを活用することで業務の利便性を大きく向上させられる反面、セキュリティリスクが増してしまう可能性もあります。 この記事では、クラウドセキュリティの必要性やリスク、対策や具体的なリスクケースなどを解説します。クラウドに対する理解を深め、情報やデータの保護に努めましょう。 クラウドセキュリティを考える必要性 なぜ今クラウドセキュリティの重要性が高まっているのでしょうか。まずは、クラウドセキュリティの必要性について解説します。 クラウドコンピューティングの利用が増大している 現在では、従来のようなオンプレミス型ではなく、クラウドコンピューティングの利用が進んでいます。業務システムには大きく分けて「オンプレミス」と「クラウド」の二種類の利用形態が存在します。 オンプレミス形態は、ソフトウェアを走らせたり、データを保管する機器を自前で調達し、管理運用を自社内で行う形式です。対して、クラウドはベンダーが管理しているサーバーでソフトウェアやデータを保管し、ユーザーはそこにアクセスしてシステムを利用するやり方です。 クラウドのメリットとしては、下記のようなものが挙げられます。 クラウド最大の利点としては、サーバーやストレージ機器を購入する必要がないことによるコスト減が挙げられるでしょう。システムの導入や運用にはそれなりのコストがかかりますが、クラウドを利用すれば比較的安価ですみます。 また、アップデートやメンテナンス、各種セキュリティ設定をベンダーが自動的に行なってくれるのもメリットです。オンプレミスの場合、その辺りも自分達でまかなう必要が生じます。 クラウドは便利な反面、リスクもある クラウドにはさまざまなメリットがありますが、反面デメリットやリスクも存在します。一例としては、下記のようなものが挙げられるでしょう。 クラウドシステムを利用する場合、運用を自社で100%コントロールすることはできません。ソフトウェアやデータは基本的にベンダー管理下のサーバーに保管されることになるからです。 そのため、サーバー領域のセキュリティはベンダー側で管理することになりますが、アクセス経路などの部分はユーザーが管理するのが一般的です。どのような通信網を使い、どのようなデバイスでアクセスするか、をしっかりと管理することが求められます。 クラウドセキュリティを確保しないと安全に業務を進められない クラウドに限らず、セキュリティの重要性は日に日に増しています。業務がオンラインに移行したことにより、今までには考えられなかった脆弱性が生まれるようになり、そこから被害や損失が発生しやすくなりました。 「じゃあITやクラウドを使わなければいいのでは?」と思う人もいるかもしれません。しかし、今やITやクラウドを使わず業務を進めるのは大変難しい状況です。 従来にはなかったようなリスクを抱えるのは事実ですが、それにも増して利便性や生産性の向上が見込めます。極端な話、同業他社がITやクラウドを活用して生産性を上げているのに自社だけが使っていない場合、シェアを根こそぎ奪われてしまう可能性も考えられます。 ITやクラウドが必要である以上、セキュリティを担保して業務に臨む必要があるわけです。 クラウドセキュリティの対象となるサービス クラウド環境で発生するセキュリティリスクへの対策であるクラウドセキュリティは、どのようなサービスをセキュリティ対象としているのでしょうか。 クラウドサービスには、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)、Oracle Cloud Infrastructure(OCI)など、知名度の高いサービスを含め、様々なものがあります。 こちらでは、クライドセキュリティの対象となるサービスについて解説いたします。 クラウドセキュリティはサービスごとに特徴や目的が異なるため、事前に導入の目的を明確にして、適切なサービスを選択してみてください。 オンプレミス まず初めに、オンプレミス型のセキュリティ対策についてご紹介いたします。オンプレミスとは、クラウドセキュリティの登場以前に主流だったシステムの利用形態です。 オンプレミスでは、パソコンやサーバなどの端末やネットワークといった環境を、自社で所有し運用します。サーバやネットワークの管理や責任の範囲が社内と社外で明確に分かれているため、自社で一貫したセキュリティ対策を実施できるというメリットがあります。 ただし、オンプレミスの場合は社内にネットワーク環境を構築する必要があるため、広いスペースを占用する必要があったり、導入や運営の費用負担が大きいという懸念点があります。 オフィススペースを圧迫することなく、また拡張性や費用面の自由度が高いクラウドサービスは、今後も需要が高まっていくことが予想されます。 IaaS IaaSとは、ネットワークやサーバ、ストレージ機能などのインフラを、インターネット経由で提供するサービスです。IaaSでは、自社でサーバーなどのハードウェアをもたずにインターネット経由で必要な時に必要なだけサーバーやストレージ、ネットワークリソースを利用することができます。 機能の購入にかかるコストを抑えつつ、メモリ容量やストレージなどを自由に設定して環境を構築することができるので、自社の特性に合わせた環境構築を行いたいとお考えの方におすすめです。 IaaSの運用は基本的に自社で行わなければならないため、各々でセキュリティ対策を行う必要性があります。具体的には、Webアプリケーション・ミドルウェア・OSのセキュリティ対策に取り組まなければなりません。 クラウドセキュリティの利用と合わせて、利用側も独自のセキュリティ対策に取り組むことで、セキュリティリスクの発生を予防することができます。 PaaS PaaSとは、クラウドにあるプラットフォームが利用できるサービスです。大規模なデータセンターに、アプリケーションを稼動するためのネットワーク、サーバシステム、OSやミドルウェアなどのプラットフォームが用意され、企業ユーザがそのプラットフォーム上で開発を行うことができます。 PaaSを活用すると、アプリケーションの稼働基盤を構築・運用する手間を削減できます。 利用側はデータからアプリケーションまでに領域に対するセキュリティ対策を実施する必要があります。アプリケーションに潜む脆弱性にいち早く気付くには、脆弱性診断の実施が有効です。 また、サイバー攻撃に対する予防策としては、セキュリティ対策ソフトの導入がおすすめです。 SaaS SaaSとは、クラウドにあるソフトウェアを利用できるサービスです。アカウントをもっていれば、インターネット経由でどこからでもアクセスすることができます。 SaaSを活用することで、チーム間のファイルやデータを共有した利用が可能となります。ソフトウェアのバージョンアップがサービス提供者側で更新されるのも特徴の一つです。 SaaSにおけるアプリケーションの防御からサービス運用までは、サービスプロバイダがセキュリティの責任を負います。利用側はデータやコンテンツに対してセキュリティ対策を行う必要があります。 また、利用側がアクセス権限をきちんと管理することも重要です。 クラウドセキュリティを導入するメリット・デメリット 次に、クラウドセキュリティを導入するメリット・デメリットについて解説いたします。 クラウドサービスの導入を検討している場合は、ぜひ参考にしてみてください。 クラウドセキュリティを利用するメリット […]
クラウドセキュリティー対策

January 3, 2024

メールにはいくつかのセキュリティーリスクがある。具体的なリスクや対策について解説
メールセキュリティーとは? まずはメールセキュリティーとは何なのかについて解説します。 メールセキュリティーとは、ビジネス等で使用するメールを脅威から防御するセキュリティー対策のことを指します。外部から届くメールや、不審なURLや添付ファイルなど、メールが晒されている脅威は様々です。 特に近年は、フィッシング詐欺やビジネスメールを装った不正メールなど、その手口は巧妙化しています。 代表的なメールを利用したサイバー攻撃としては「フィッシングメール」「スパムメール」「標的型攻撃メール」などが挙げられます。これらの攻撃の被害に遭った場合、情報漏えいなどのリスクが生じることが考えられます。 会社で当然のように使用するメールを介して、個人情報や企業機密などの重要な情報が漏えいすることを防ぐためにも、企業はメールセキュリティーを徹底する必要があるのです。 メールにはどんなセキュリティーリスクがある? メールを利用することでどのようなリスクが生じるのでしょうか。まずは、メールのセキュリティーリスクについて解説します。 通常の送受信のみであればそれほどのリスクはない 通常の送受信のみであれば、それほどのリスクはありません。あくまで文字情報のみのやり取りに限定され、それだけでデバイスやネットワークに攻撃を行うのは難しいからです。 ただし、文字情報を用いた情報漏洩のリスクはあります。たとえば「信頼できる組織や人を騙ったメールが届いたので、情報を記載し返信してしまった」などの例が挙げられるでしょう。 攻撃者が必ずしもプログラム的な攻撃を仕掛けてくるとは限りません。「求める情報を得る」のが彼らの目的だからです。 URLや添付ファイルに注意 文章内にURLが記載された添付ファイルを送られている場合には注意が必要です。悪意のあるサイトに誘導するURLを踏んでしまい攻撃のためのファイルを開いてしまうと、大きなリスクが発生します。 詳しくは後述しますが、こちらは主に悪意のあるプログラムをベースとした攻撃になります。防ぐには、プログラムを実行しないことが大事です。 通常の脅威の他に、誤送信などのリスクもある メールを利用するリスクとして、誤送信なども挙げられます。メールは遠く離れた相手に瞬時にメッセージを送れる便利なサービスですが、送信先のメールアドレスを間違えると正しい相手に届きません。 存在しないメールアドレスであれば情報はどこにも送られず、漏洩する可能性は低いでしょう。しかし、万一想定していない第三者に送ってしまった場合、そこから情報が漏れてしまう恐れがあります。 防ぐには「メールアドレスをしっかりと確認する」「タイピングではなくアドレス帳から送信する」などの工夫が有効です。 セキュリティーリスクを放置するとどうなる? 次に、セキュリティーリスクを放置するとどうなるかを考えてみましょう。リスクを放置したからといって直ちに被害が発生するわけではありませんが、常に危険をはらむことになります。 情報が漏洩し関係者に迷惑がかかる可能性がある セキュリティーリスクを放置し情報が漏洩してしまった場合、自社だけでなく関係者に迷惑がかかってしまう恐れがあります。情報漏洩による自社の損失は言うまでもありませんが、顧客情報が流出した場合は顧客に、取引先の情報が流出した場合は取引先に被害を与えてしまいます。 そのような脅威を誰かに与えてしまった場合、サービスや製品が利用されなくなり、取引を切られてしまう可能性もあるでしょう。自社だけでなく、関係者を守るためにもセキュリティに気を配る必要があります。 自社の競争優位性が失われる可能性がある セキュリティーリスクを放置し具体的な被害が発生することで、自社の競争優位性が失われてしまう可能性があります。サイバーアタックを受けて損失が発生してしまうと、自社の社会的評価が下がるからです。 社会的評価が下がってしまうことで自社に対する信頼が揺らぎ、取引に必要な情報を委ねてくれなるなどの損失が考えられるでしょう。ビジネスがオンラインに移行している現代において、ITセキュリティーに気を配るのは必須と言って過言ではありません。 最悪、データやシステムがロックされてしまうことも セキュリティーリスクを放置することで、最悪データやシステムがロックされてしまう可能性もあります。データやシステムが攻撃者の手によってロックされてしまったら、それらを使って業務を遂行することができなくなります。 攻撃者は何のためにデータやシステムを暗号化するのでしょうか。それは主に「自身の要求を通すため」です。 分かりやすいのが「データやシステムのロックを解除してほしければ言われた額を支払え」といったものです。攻撃側の動機として「攻撃を行うことで自身に何らかの利益が発生する」が挙げられます。 逆に言うと「彼らの利益の源泉に成りえるものは何か?」を考えることでセキュリティーリスクを潰すことができるかもしれません。 メールを利用した具体的な攻撃手法 続いて、メールを利用した具体的な攻撃手法をいくつかご紹介します。これらが全てではありませんが、攻撃方法の一種として覚えておきましょう。 マルウェア マルウェアとは、悪意をもって作成されたソフトウェアやコードのことです。メールにおけるマルウェアの感染経路としては、下記のようなものが考えられます。 添付ファイルやURLをベースにした攻撃は比較的対処が容易(添付ファイルやURLを開かない)ですが、問題はHTML形式で送られるメールです。HTMLは主にWebサイトを作成する目的で使われる言語なので、通常のテキストに比べてできることが非常に多いです。 場合によっては「HTMLメールを受信しない」ことも視野に入れましょう。 フィッシング フィッシングとは、信頼できる誰かの名前を偽り、悪意ある電子メールを送ることで特定のサイトに誘導し、情報を盗み出す行為です。たとえば、下記のようなものが挙げられるでしょう。 「銀行」や「有名なECサイト」を騙り偽のサイトに誘導し、そこで情報を入力し送信させる手法です。防ぐには「送信元を今一度確認する」「指定URLではなく公式サイトから確認する」などが考えられるでしょう。 標的型攻撃 標的型攻撃は、まず標的対象の組織を定め、その周辺を調査しあらゆる手段を講じて攻撃を試みる手法です。メールに限定して話をすると、主な手段は「ウイルスに感染するためのメールを(継続して)送る」というものが挙げられます。 攻撃方法自体はマルウェアと大差ないかもしれませんが、問題は相手側の情報収集性や継続性です。標的型攻撃が行われる場合、攻撃者は組織やそこに属する個人について情報収集し、可能な限り効果的な形で攻撃を行います。 万人を対象としたランダム的なマルウェアとは異なり、特定の対象にフォーカスした分信用されやすいわけです。標的型攻撃を防ぐのは非常に難しいですが、高品質なセキュリティシステムを導入し包括的に情報を保護するなどが対策として挙げられるでしょう。 近年のメールにおける主な脅威とは メールへのサイバー攻撃の多くは、様々な技術と組み合わせて、他の攻撃と同時に実行されます。例えば、スパムメールにフィッシングURLが添付された場合は、使用しているアカウントが乗っ取られてしまうこともあります。 このような被害を防ぐためには、サイバー攻撃の性質と特性を理解して、適切な対策を講じることが重要です。 そこでこちらでは、近年のメールにおける驚異について紹介します。 ウイルス感染を広める「Emotet」 「Emotet」は、不正なメールに添付される不正なファイルを介して拡散されるウイルスです。Emotetに感染すると、メールアカウントやメールデータが剽窃され、他のウイルスに二次感染してしまう場合があります。 Emotetの感染を利用した攻撃は非常に狡猾で、正規のメールへの返信を装った手口が多いです。 攻撃者はターゲットの情報を抜き取り、実在の相手の氏名、メールアドレス、メールの内容を使用して、あたかも普通のビジネスメールかのように装って、ウイルスを送りつけるのです。 Emotetの恐ろしい点は、感染者からさらに情報を抜き取り、被害を拡大させることも可能なことです。社内で誰かが感染すると、次々に機密情報が抜き取られてしまうことも考えられます。 情報漏えいのリスクを予防するためにも、徹底的な対策が必要です。 […]
クラウドセキュリティー対策

April 22, 2024

Microsoft Intuneとは?IntuneとAzure Active Directoryでデバイスを管理しセキュリティを高めよう
Microsoft Intuneとは何か Microsoft Intuneとは、どのようなツールなのでしょうか。まずはIntuneについて解説します。 デバイスを管理するためのツール Microsoft Intuneは、主にPCやスマホなどデバイスを管理するためのツールです。汎用OSであるWindowsや一般業務アプリであるOfficeをリリースしているMicrosoft社が手掛けています。 Intune導入の背景 何故、今Intuneの導入が必要なのでしょうか。Intune導入の背景を見ていきましょう。 業務が柔軟的になった 一つは、以前に比べて業務が柔軟的になったことが挙げられます。ITテクノロジーを駆使することで社内だけでなく社外からでもモバイル端末を通し、社内のシステムにアクセスができるようになりました。 それにより利便性や生産性は大きく向上しますが、反面セキュリティリスクを抱えることにもなります。そこでIntuneによりシステムにアクセスするモバイル端末を適切に管理し、セキュリティを担保するわけです。 テレワークが一般的になった もう一つは、テレワークが一般的になったことが挙げられます。従来のワークスタイルは決まった時間にオフィスに出社し、業務時間が終了したら退勤するというものでした。 そういったオフィスメインの業務スタイルにもメリットがありますが、通勤による疲労や災害リスクなどのデメリットも生じます。テレワークに移行すればそういったデメリットは避けられますが、今度は「さまざまな環境から社内のシステムにアクセスが試みられる」といった状況が発生します。 社内ネットワークの内部に全ての端末があれば、さまざまな面で管理がしやすくなります。しかし、テレワークのように外部からのアクセスがメインになれば、各デバイスがポリシーに準拠しているかどうかを判別する必要が生じます。 Intuneによりモバイル端末を管理することで、その辺りを見極めることができます。 Azure Active Directoryと条件付きアクセス Azure Active Directoryは、クラウドベースのユーザやアクセス管理ためのサービスです。 Azure Active Directoryは、Intuneと同じくMicrosoft社が手掛けています。 Azure Active Directory には、様々な条件でアプリケーションへのアクセスを制御する条件付きアクセスという機能がります。 条件はIPアドレス、所属するグループ、ユーザー、デバイスなど複数の条件を組み合わせることができ、条件に満たないユーザからのクラウドに対するアクセスをブロックすることができます。 Azure Active Directoryはクラウドのアクセス管理するためのツール Azure Active DirectoryとIntuneの大きな違いは、Azure Active Directoryが主にクラウドのアクセス管理するためのツールである点です。 対して、Intuneはデバイスを管理するためのツールです。Intuneで端末を社内のポリシーに準拠させることができます。 現代ではクラウド環境で業務が完結することは少ないため、条件付きアクセスの条件にポリシーに準拠したデバイスのみとすることで、外からのクラウドのアクセスに対するセキュリティを強固にすることができます。 Azure ADが名称を変更Microsoft Entra IDへ Microsoft Entra製品との連携をしやすくするために、2023年10月からAzure ADの名称がMicrosoft Entra IDに変更しています。 セキュリティで保護された全てのアクセスエクスペリエンスを、ユーザーにとってわかりやすくシンプルにするというMicrosoftの取り組みの一つとしての変更です。 現在Azure ADのサービスを使用している場合は、サービスが中断されることなく、全ての機能を引き続き使用できます。使用していくにあたり、ユーザーによる新たな設定は必要ありません。 IntuneのMDM(モバイルデバイス管理)とMAM(モバイルアプリケーション管理) Microsoft […]
#Intune #MicroSoft
クラウドセキュリティー対策

January 12, 2024

情報漏洩対策はオンライン時代の要。対策が必要な背景やリスク、具体的手法を解説
情報漏洩対策が必要な時代背景 情報漏洩対策が必要な時代背景としては、下記のようなものが挙げられます。 オンラインでやり取りする情報量の増大 現代ではテクノロジーの進化により、オンラインで業務が行われる機会も増えました。オンラインで業務を行うことができればさまざまなメリットが生じますが、反面デメリットも発生します。 その一つに「情報漏洩リスク」が挙げられるでしょう。業務がオフラインで完結するからといって必ずしも情報漏洩リスクがゼロになるわけではありませんが、オンラインでは情報が漏洩する経路が増すことになります。 業務をオンライン化すればするほど、適切な情報漏洩対策を行う必要が高まるわけです。 モバイル端末の普及 業務にモバイル端末を利用している企業も多いかもしれません。軽くて高機能なモバイル端末を活用すれば業務の柔軟性が高まりますが、さまざまな場所やデバイスからのアクセスをシステムが適切に処理する必要が生じます。 不適切なデバイスからのアクセスを許可してしまうと、第三者による攻撃を受け情報が流出してしまう可能性があります。また、デバイス側でもセキュアでない通信を利用して社内システムと通信した場合、内容を第三者に盗み見られてしまうことも考えられます。 モバイル端末が普及しさまざまな環境からのアクセスが増えたことにより、適切な情報漏洩対策の必要性が高まっています。 テレワークなど、業務スタイルの柔軟性 一昔前は定刻にオフィスに出社し、そこで一日の業務を完遂するのが主流でした。しかし時代は変化し、テレワークなど柔軟な業務スタイルも浸透したのではないでしょうか。 テレワークの良し悪しを単純に論ずることはできませんが、オフィスで完結するスタイルに比べるとセキュリティ面に一層気を配る必要があるでしょう。モバイルの業務活用と同じく、テレワークにおいては「誰がどのような環境からアクセスを試みるか」が不明確になります。 仮に誰かが不適切な端末や通信回線を通じてアクセスしてきたとしても、社内のデータを保護する必要があります。 情報が漏洩するとどんなリスクがある? では次に、情報漏洩が発生するとどのようなリスクが生じるかを見ていきましょう。情報が漏洩してしまうと、下記のような懸念が発生します。 自社だけでなく関係者や取引先にも迷惑がかかる 情報漏洩が発生すると自社に損害が生じますが、関係者や取引先にまで迷惑がかかってしまう可能性があります。事業の推進が自社のみで完結するケースは少なく、通常は多様な関係者や取引先を巻き込んで行います。 自社のデータが流出することで、彼らに被害が及ぶ可能性もあるでしょう。顧客情報が流出したら顧客に迷惑をかけてしまいますし、コラボしているプロジェクトの機密データが流出してしまうと相手先企業にも損害を与えてしまいます。 適切な情報漏洩対策を講じることは、自社のみでなく関係者や取引先を守ることにもなります。 自社の社会的評価が落ちる 外部に公開すべきでない情報が漏洩してしまうと、自社の社会的な評価が大きく低下する恐れがあります。関係者や取引先に迷惑をかけてしまうと以後関係性を保てなくなるかもしれませんし、世間から「あの会社の情報管理は信用できない」と思われてしまうかもしれません。 情報管理への信用が低下すると、顧客がスムーズに情報を渡してくれなくなる可能性があります。BtoCのようなビジネスであれば、顧客が個人情報の入力や決済の登録を躊躇してしまうことも考えられます。 加えて、社会からの信用が落ちることで株価が下がり、資金調達に問題が生じる可能性もあるでしょう。そうならないためにも、情報漏洩対策に徹底して取り組む必要があるわけです。 最悪、データや情報がロックされてしまうことも 情報漏洩の他に、近年セキュリティ被害で増えているのが「データの改ざん」です。悪意ある第三者がランサムウェアと呼ばれるウイルスをユーザに送りつけ、「データが暗号化されてしまい利用不可になる」といった被害が発生しています。 データが暗号化されてしまうと、それらを使って業務を行うことができなくなります。解除するには攻撃者の意向に沿う(多くの場合は身代金を支払う)必要が生じ、少なくない打撃を受ける羽目になるでしょう。 そのような事態に陥らないためにも、日頃からセキュリティに気を配る必要があります。 具体的な情報漏洩対策 それでは、続いて具体的な情報漏洩対策をいくつかご紹介します。どのような対策を講じるかは自社のセキュリティや業務特性と相談し、総合的に決める必要があります。 情報へのアクセスを制限する 一つ目は、情報やデータへのアクセスを制限することです。システムにアクセスできる要件を厳しくすればするほど攻撃者が情報を盗みづらくなり、情報やデータを保護しやすくなります。 ただし、システムへのアクセスを制限すればするほど業務上の利便性は低下する傾向があります。たとえば、システムに登録されているデバイスからのみアクセスを許可している場合、突発的な事態が発生し登録外のデバイスからアクセスを試みてもブロックされることになるでしょう。 セキュリティと利便性を両立するためにも、適切なポリシーを設ける必要があります。 データやシステムをクラウドに移行する データやシステムをクラウドに移行することで、情報漏洩対策にもなります。システムやツールには大きく分けて「オンプレミス」と「クラウド」の二つの導入形態があります。 オンプレミスはシステムを走らせる機器やストレージを自社もしくはベンダーが購入し、社内で管理する運用形態です。対して、クラウドはシステムやツールを提供しているサービス会社側がサーバーを用意しており、そこにアクセスしてシステムやツールを利用するといった形です。 クラウドの利点としては、主に下記のようなものが挙げられるでしょう。 情報漏洩対策の観点から見ると、アップデートやバグフィクスがサービス提供会社側で行われ、ユーザーは常に最新のソフトウェアを使えることが挙げられます。また、ソフトやデータを保管するサーバーはサービス提供会社側により強固なセキュリティ管理がなされていることも対策の一つとして考えられるでしょう。 端末やアクセス経路を管理する システムにアクセスする端末やアクセス経路を適切に管理することで、情報漏洩対策に繋がります。望ましくない端末からのアクセスはできる限りブロックするのが望ましいですし、信頼できる端末でもセキュアでない通信回線からアクセスするのは好ましくありません。 また、モバイル端末を業務活用している場合、紛失による情報漏洩リスクも考えられます。高機能で軽量なモバイル端末は非常に便利ですが、そこには業務にまつわる情報が集約されているため、紛失した場合は拾得者に情報が筒抜けになってしまう恐れがあります。 適切なツールを導入し、デバイスの信頼性を保つことが大事です。 シャドーITを防ぐ シャドーITを防ぐことで、情報漏洩リスクを下げられます。シャドーITとは、従業員が会社の了解を取らずに自己判断で機器やサービスを使用し業務に活用する行為です。 シャドーITを行ったからといって、直ちに組織のセキュリティレベルが低下するとは限りません。大半のハードウェアやアプリはセキュリティに問題が生じないよう設計および開発されているからです。 しかし、使い方によっては情報が盗み見られ、全世界に公開されてしまう可能性があります。企業側が管理しておけば防げた事故を防げなくなってしまう、それがシャドーITにおける問題として挙げられるでしょう。 情報の持ち出しを禁止する 社外への情報の持ち出しを禁止することで、情報漏洩を防ぐ効果が見込めます。社内の情報を外部に持ち出すルートとしては、主に などが考えられます。これらを全て禁止して一切の情報を漏らさないようにすればセキュリティは向上しますが、反面業務の利便性は低下してしまうでしょう。 何を制限し何を許容するかを総合的に判断する必要があります。 OSやアプリケーションを最新に保つ 業務に使用しているOSやアプリケーションを最新に保つことで、情報漏洩リスクを下げることができます。つい後回しにしがちかもしれませんが、アップデートには機能追加だけでなくセキュリティの強化が含まれていることもあります。 特に、致命的なセキュリティの欠陥が修正されているような場合、可能な限り早期にアップデートすることをおすすめします。サービス提供会社から送られてくる情報にはしっかりと目を通し、システムやデバイスを安全に保ちましょう。 情報漏洩対策のポイント […]
#情報漏洩対策
Ranking

ランキング

Business Efficiency

January 12, 2024

SharePointとは?SharePointの機能や使い方を徹底解説!
営業/マーケティング支援

January 12, 2024

Microsoft Dynamics 365とは?その概要を分かりやすく徹底解説!
Business Efficiency

January 3, 2024

仕事の時短を実現する!エンジニアが教える圧倒的な仕事時短術!

Microsoft Power Apps活用方法のご紹介

資料をダウンロード

Microsoft Teamsの活用方法と導入成功事例

資料をダウンロード