フィルタ

クラウドセキュリティー対策

June 25, 2024

Microsoft Intuneとは?IntuneとAzure Active Directoryでデバイスを管理しセキュリティを高めよう
Microsoft Intuneとは何か Microsoft Intuneとは、どのようなツールなのでしょうか。まずはIntuneについて解説します。 デバイスを管理するためのツール Microsoft Intuneは、主にPCやスマホなどデバイスを管理するためのツールです。汎用OSであるWindowsや一般業務アプリであるOfficeをリリースしているMicrosoft社が手掛けています。 Intune導入の背景 何故、今Intuneの導入が必要なのでしょうか。Intune導入の背景を見ていきましょう。 業務が柔軟的になった 一つは、以前に比べて業務が柔軟的になったことが挙げられます。ITテクノロジーを駆使することで社内だけでなく社外からでもモバイル端末を通し、社内のシステムにアクセスができるようになりました。 それにより利便性や生産性は大きく向上しますが、反面セキュリティリスクを抱えることにもなります。そこでIntuneによりシステムにアクセスするモバイル端末を適切に管理し、セキュリティを担保するわけです。 テレワークが一般的になった もう一つは、テレワークが一般的になったことが挙げられます。従来のワークスタイルは決まった時間にオフィスに出社し、業務時間が終了したら退勤するというものでした。 そういったオフィスメインの業務スタイルにもメリットがありますが、通勤による疲労や災害リスクなどのデメリットも生じます。テレワークに移行すればそういったデメリットは避けられますが、今度は「さまざまな環境から社内のシステムにアクセスが試みられる」といった状況が発生します。 社内ネットワークの内部に全ての端末があれば、さまざまな面で管理がしやすくなります。しかし、テレワークのように外部からのアクセスがメインになれば、各デバイスがポリシーに準拠しているかどうかを判別する必要が生じます。 Intuneによりモバイル端末を管理することで、その辺りを見極めることができます。 Azure Active Directoryと条件付きアクセス Azure Active Directoryは、クラウドベースのユーザやアクセス管理ためのサービスです。 Azure Active Directoryは、Intuneと同じくMicrosoft社が手掛けています。 Azure Active Directory には、様々な条件でアプリケーションへのアクセスを制御する条件付きアクセスという機能がります。 条件はIPアドレス、所属するグループ、ユーザー、デバイスなど複数の条件を組み合わせることができ、条件に満たないユーザからのクラウドに対するアクセスをブロックすることができます。 Azure Active Directoryはクラウドのアクセス管理するためのツール Azure Active DirectoryとIntuneの大きな違いは、Azure Active Directoryが主にクラウドのアクセス管理するためのツールである点です。 対して、Intuneはデバイスを管理するためのツールです。Intuneで端末を社内のポリシーに準拠させることができます。 現代ではクラウド環境で業務が完結することは少ないため、条件付きアクセスの条件にポリシーに準拠したデバイスのみとすることで、外からのクラウドのアクセスに対するセキュリティを強固にすることができます。 Azure ADが名称を変更Microsoft Entra IDへ Microsoft Entra製品との連携をしやすくするために、2023年10月からAzure ADの名称がMicrosoft Entra IDに変更しています。 セキュリティで保護された全てのアクセスエクスペリエンスを、ユーザーにとってわかりやすくシンプルにするというMicrosoftの取り組みの一つとしての変更です。 現在Azure ADのサービスを使用している場合は、サービスが中断されることなく、全ての機能を引き続き使用できます。使用していくにあたり、ユーザーによる新たな設定は必要ありません。 IntuneのMDM(モバイルデバイス管理)とMAM(モバイルアプリケーション管理) Microsoft […]

#Intune #MicroSoft
クラウドセキュリティー対策

January 12, 2024

情報漏洩対策はオンライン時代の要。対策が必要な背景やリスク、具体的手法を解説
情報漏洩対策が必要な時代背景 情報漏洩対策が必要な時代背景としては、下記のようなものが挙げられます。 オンラインでやり取りする情報量の増大 現代ではテクノロジーの進化により、オンラインで業務が行われる機会も増えました。オンラインで業務を行うことができればさまざまなメリットが生じますが、反面デメリットも発生します。 その一つに「情報漏洩リスク」が挙げられるでしょう。業務がオフラインで完結するからといって必ずしも情報漏洩リスクがゼロになるわけではありませんが、オンラインでは情報が漏洩する経路が増すことになります。 業務をオンライン化すればするほど、適切な情報漏洩対策を行う必要が高まるわけです。 モバイル端末の普及 業務にモバイル端末を利用している企業も多いかもしれません。軽くて高機能なモバイル端末を活用すれば業務の柔軟性が高まりますが、さまざまな場所やデバイスからのアクセスをシステムが適切に処理する必要が生じます。 不適切なデバイスからのアクセスを許可してしまうと、第三者による攻撃を受け情報が流出してしまう可能性があります。また、デバイス側でもセキュアでない通信を利用して社内システムと通信した場合、内容を第三者に盗み見られてしまうことも考えられます。 モバイル端末が普及しさまざまな環境からのアクセスが増えたことにより、適切な情報漏洩対策の必要性が高まっています。 テレワークなど、業務スタイルの柔軟性 一昔前は定刻にオフィスに出社し、そこで一日の業務を完遂するのが主流でした。しかし時代は変化し、テレワークなど柔軟な業務スタイルも浸透したのではないでしょうか。 テレワークの良し悪しを単純に論ずることはできませんが、オフィスで完結するスタイルに比べるとセキュリティ面に一層気を配る必要があるでしょう。モバイルの業務活用と同じく、テレワークにおいては「誰がどのような環境からアクセスを試みるか」が不明確になります。 仮に誰かが不適切な端末や通信回線を通じてアクセスしてきたとしても、社内のデータを保護する必要があります。 情報が漏洩するとどんなリスクがある? では次に、情報漏洩が発生するとどのようなリスクが生じるかを見ていきましょう。情報が漏洩してしまうと、下記のような懸念が発生します。 自社だけでなく関係者や取引先にも迷惑がかかる 情報漏洩が発生すると自社に損害が生じますが、関係者や取引先にまで迷惑がかかってしまう可能性があります。事業の推進が自社のみで完結するケースは少なく、通常は多様な関係者や取引先を巻き込んで行います。 自社のデータが流出することで、彼らに被害が及ぶ可能性もあるでしょう。顧客情報が流出したら顧客に迷惑をかけてしまいますし、コラボしているプロジェクトの機密データが流出してしまうと相手先企業にも損害を与えてしまいます。 適切な情報漏洩対策を講じることは、自社のみでなく関係者や取引先を守ることにもなります。 自社の社会的評価が落ちる 外部に公開すべきでない情報が漏洩してしまうと、自社の社会的な評価が大きく低下する恐れがあります。関係者や取引先に迷惑をかけてしまうと以後関係性を保てなくなるかもしれませんし、世間から「あの会社の情報管理は信用できない」と思われてしまうかもしれません。 情報管理への信用が低下すると、顧客がスムーズに情報を渡してくれなくなる可能性があります。BtoCのようなビジネスであれば、顧客が個人情報の入力や決済の登録を躊躇してしまうことも考えられます。 加えて、社会からの信用が落ちることで株価が下がり、資金調達に問題が生じる可能性もあるでしょう。そうならないためにも、情報漏洩対策に徹底して取り組む必要があるわけです。 最悪、データや情報がロックされてしまうことも 情報漏洩の他に、近年セキュリティ被害で増えているのが「データの改ざん」です。悪意ある第三者がランサムウェアと呼ばれるウイルスをユーザに送りつけ、「データが暗号化されてしまい利用不可になる」といった被害が発生しています。 データが暗号化されてしまうと、それらを使って業務を行うことができなくなります。解除するには攻撃者の意向に沿う(多くの場合は身代金を支払う)必要が生じ、少なくない打撃を受ける羽目になるでしょう。 そのような事態に陥らないためにも、日頃からセキュリティに気を配る必要があります。 具体的な情報漏洩対策 それでは、続いて具体的な情報漏洩対策をいくつかご紹介します。どのような対策を講じるかは自社のセキュリティや業務特性と相談し、総合的に決める必要があります。 情報へのアクセスを制限する 一つ目は、情報やデータへのアクセスを制限することです。システムにアクセスできる要件を厳しくすればするほど攻撃者が情報を盗みづらくなり、情報やデータを保護しやすくなります。 ただし、システムへのアクセスを制限すればするほど業務上の利便性は低下する傾向があります。たとえば、システムに登録されているデバイスからのみアクセスを許可している場合、突発的な事態が発生し登録外のデバイスからアクセスを試みてもブロックされることになるでしょう。 セキュリティと利便性を両立するためにも、適切なポリシーを設ける必要があります。 データやシステムをクラウドに移行する データやシステムをクラウドに移行することで、情報漏洩対策にもなります。システムやツールには大きく分けて「オンプレミス」と「クラウド」の二つの導入形態があります。 オンプレミスはシステムを走らせる機器やストレージを自社もしくはベンダーが購入し、社内で管理する運用形態です。対して、クラウドはシステムやツールを提供しているサービス会社側がサーバーを用意しており、そこにアクセスしてシステムやツールを利用するといった形です。 クラウドの利点としては、主に下記のようなものが挙げられるでしょう。 情報漏洩対策の観点から見ると、アップデートやバグフィクスがサービス提供会社側で行われ、ユーザーは常に最新のソフトウェアを使えることが挙げられます。また、ソフトやデータを保管するサーバーはサービス提供会社側により強固なセキュリティ管理がなされていることも対策の一つとして考えられるでしょう。 端末やアクセス経路を管理する システムにアクセスする端末やアクセス経路を適切に管理することで、情報漏洩対策に繋がります。望ましくない端末からのアクセスはできる限りブロックするのが望ましいですし、信頼できる端末でもセキュアでない通信回線からアクセスするのは好ましくありません。 また、モバイル端末を業務活用している場合、紛失による情報漏洩リスクも考えられます。高機能で軽量なモバイル端末は非常に便利ですが、そこには業務にまつわる情報が集約されているため、紛失した場合は拾得者に情報が筒抜けになってしまう恐れがあります。 適切なツールを導入し、デバイスの信頼性を保つことが大事です。 シャドーITを防ぐ シャドーITを防ぐことで、情報漏洩リスクを下げられます。シャドーITとは、従業員が会社の了解を取らずに自己判断で機器やサービスを使用し業務に活用する行為です。 シャドーITを行ったからといって、直ちに組織のセキュリティレベルが低下するとは限りません。大半のハードウェアやアプリはセキュリティに問題が生じないよう設計および開発されているからです。 しかし、使い方によっては情報が盗み見られ、全世界に公開されてしまう可能性があります。企業側が管理しておけば防げた事故を防げなくなってしまう、それがシャドーITにおける問題として挙げられるでしょう。 情報の持ち出しを禁止する 社外への情報の持ち出しを禁止することで、情報漏洩を防ぐ効果が見込めます。社内の情報を外部に持ち出すルートとしては、主に などが考えられます。これらを全て禁止して一切の情報を漏らさないようにすればセキュリティは向上しますが、反面業務の利便性は低下してしまうでしょう。 何を制限し何を許容するかを総合的に判断する必要があります。 OSやアプリケーションを最新に保つ 業務に使用しているOSやアプリケーションを最新に保つことで、情報漏洩リスクを下げることができます。つい後回しにしがちかもしれませんが、アップデートには機能追加だけでなくセキュリティの強化が含まれていることもあります。 特に、致命的なセキュリティの欠陥が修正されているような場合、可能な限り早期にアップデートすることをおすすめします。サービス提供会社から送られてくる情報にはしっかりと目を通し、システムやデバイスを安全に保ちましょう。 情報漏洩対策のポイント […]

#情報漏洩対策
クラウドセキュリティー対策

June 8, 2024

テレワーク導入における課題やテレワーク導入を成功させるポイントについて解説!
テレワークにおける課題とは まずは企業が直面するテレワークにおける課題とはどのようなものがあるかご紹介します。  コミュニケーション課題 テレワークでは、オフィスであれば簡単に行えるコミュニケーションが取りづらいといった課題があります。  直接会って会話をすることができないため、オフィスであればすぐに聞ける質問などもチャットなどを使う必要があり、気軽にコミュニケーションを取ることが難しくなります。  また、要件を伝える際にも、チャットなどを使用して文字で伝える場合、正しいニュアンスが伝わりづらい場合もあります。  その結果、チーム内での情報共有やコミュニケーションが上手く行われず、生産性の低下や社員のモチベーション低下に繋がってしまう恐れがあります。  テレワーク環境の構築やルール決めにおける課題 テレワークを導入する場合、テレワーク環境を整える必要があります。  まずは、PC、Wi-Fi、机、椅子など仕事をする上で必要な物を揃えなければいけません。  既にそういったテレワークに必要な物や環境が整っている方もいればそうでない方もいると思います。  テレワーク環境を整える際に企業がどこまで負担するのかについても決めなければなりません。  また、テレワーク時にweb会議などを行う際はどういったツールを使うのかについてや、どのような形で報連相を行うのかなどのルールについても決める必要があります。  必要に応じては、システムやツールの導入も検討する必要があるでしょう。  テレワーク環境の構築・整備もテレワーク導入における大きな課題の一つです。  セキュリティにおける課題 テレワークでは、社内外から社内システムにアクセスする事が増えるため、情報漏洩のリスクが高まります。  オンライン上でデータのやりとりなどを行う場合は、少なからずセキュリティリスクが伴います。  安全ではない回線で通信を行うことで、通信内容が傍受されてしまったり、アクセスIDやパスワードの漏洩によって情報が流失してしまったりする可能性もあります。  セキュリティ対策はテレワークを行う上で、非常に重要な課題です。  セキュリティ対策に詳しくない場合、セキュリティ対策に詳しいITベンダーに対策を依頼するのも一つの方法でしょう。 業種や職種による課題 テレワークは業種や職種によって導入が難しい場合があります。  製造業、サービス業、建築業、医療・福祉関係などは、現場や対面での接客や作業が必須のためそもそもテレワークを導入することが難しいです。  一方、IT業界などはテレワークを導入しやすい業界です。  しかし、IT業界と言ってもさまざまな職種があります。  エンジニアやデザイナー、事務職などはパソコンがあれば作業ができるので最もテレワークに向いている職種と言えるでしょう。  しかし、営業職などは営業や商談のために出社しなければいけないケースも多く、テレワークを導入するのが難しい場合もあります。  また、エンジニアやデザイナーなどは成果物があるのでテレワークでも仕事の評価をしやすい部分がありますが、営業職の場合、こういった明確な成果物がない場合もあるので評価しづらい点もテレワーク導入が難しい点として挙げられます。  このように業種や職種によっても、テレワークの導入に様々な課題があります。  会社の中でも職種によってテレワークを導入している部署とそうでない部署が出てくることで、社員によっては不公平感を感じて不満が出てくるケースも考えられます。  企業や部署によって、ルールを定め社員に理解を求めることが必要です。  テレワークにおける課題の解決策 ルールの策定と徹底 テレワークではテレワークルールの策定とそれを徹底することが重要です。  テレワークの場合、社員の勤務状況や業務状況を可視化することが難しくなります。  またコミュニケーションロスなどで情報共有が上手くいかなくなるケースもあります。  そういった事前に想定されるリスクを解消するためにルールを決めることが重要です。  例えば、その日の業務内容を可視化するために部署やチームのメンバーでの朝の報告会を実施したり、コミュニケーションロスを無くすために定期的に部下と1 on 1のWEBミーティングを行ったりするなどの対策が有効でしょう。  部署や業種によってどのようなルールをどこまで細かく決めるかなどは変わってくると思います。  テレワークを導入する場合は、事前にしっかりとしたルールを策定し、そのルールに基づいて業務を行うことで、テレワークで起こりうるリスクを解消できるでしょう。 セキュリティルールの徹底と社員教育 テレワークを実施する上でまず懸念されるのが、セキュリティリスクです。  セキュリティリスクとは、情報漏えいやデータの不正使用などで損害や影響が発生する危険性のことです。  テレワークで例えば社内サーバーにアクセスする場合、様々な場所からインターネット回線を通してアクセスすることになります。  暗号化されていない通信手段からアクセスした場合などに、通信内容を傍受されてしまう危険性もあります。  安全な通信を行うために社内サーバーにアクセスする場合は、VPNを利用するなどの対策が必要です。  また、社員のセキュリティに関する知識が乏しい場合もリスクになり得ます。  セキュリティリスクを減らすためにも、必要最低限のセキュリティ教育を行うことが大切です。 ペーパーレスや電子印鑑の利用 ペーパーレスや電子印鑑を活用することもテレワークにおいては重要です。  テレワークを導入しても、書類提出や印鑑を押すために結局出社しなければいけないことがあります。  こういった状況にならないためにも、紙の書類でのやりとりをPDFファイルでのやりとりに変更するなどの対策が必要です。  […]
クラウドセキュリティー対策

June 8, 2024

テレワークするならセキュリティ管理が重要。セキュリティ対策のポイントとは?
テレワークとセキュリティの関係 まず最初に、テレワークとセキュリティの関係性について解説します。  セキュリティリスクとは「情報漏えいやデータの不正使用などで損害や影響が発生する危険性」のこと 「テレワークする際のセキュリティが心配」という声もよく聞きますが、そもそもセキュリティリスクとは何なのでしょうか。リスクというからには何かしらの危険があることは想像できますが、セキュリティリスクがあると一体どのような点に問題が生じるのでしょうか。 セキュリティリスクを一言で表現すると、「情報漏えいやデータの不正使用などで損害や影響が発生する危険性」です。情報が漏えいして謝罪会見を開いた企業もありますし、データの不正使用で金銭的損害を被った企業もニュースなどで耳にする機会があるでしょう。  情報漏えいにもデータの不正使用にも企業に対する賠償責任が生じますが、加えて社会的信用の失墜といったペナルティも見逃せません。セキュリティリスクをゼロにすることはできませんが、可能な限り対策を行い、リスクそのものを減少させることが求められています。  オンラインで情報共有を行うと基本的にセキュリティリスクは高まる テレワークを行う際には、オンライン上でさまざまな情報やデータをやり取りする必要があります。情報をオンラインでやり取りする場合、離れた位置にある端末からインターネット回線を通じて会社のサーバー等にアクセスすることになるため、原則的にセキュリティリスクが増します。  アクセスIDやパスワードを第三者が取得すればサーバーにアクセスできてしまうため、中にあるファイルの閲覧が可能になるでしょう。また、セキュリティが確保されてない回線を使って通信している場合、第三者によって通信内容を盗み見されてしまう恐れもあります。 オフラインだからといってセキュリティリスクが皆無なわけではない では、オフラインで情報をやり取りすればセキュリティリスクは皆無になるでしょうか。残念ながらそういうわけではなく、オンラインにおけるセキュリティリスクはなくなるものの、オフラインに存在するセキュリティリスクを無視することはできません。  情報やデータは、インターネット回線を通じてのみ漏えいするわけではありません。USBメモリなどの小型ストレージを使えばどこにでも持ち運べますし、従業員が貸与されているスマホを紛失してしまうといったケースも考えられるでしょう。 セキュリティリスクの一例 それでは、次に具体的なセキュリティリスクの一例をご紹介します。機密情報が漏えいする経路は多岐に渡るため限定的な例ではありますが、イメージを掴んで頂けると幸いです。  オンラインにまつわるセキュリティリスク例 オンラインにまつわるセキュリティリスクには、下記のようなものがあります。 メールに添付された不明なファイルを開いてしまった 不振なメールに添付されているファイルを開いてしまうことで、攻撃対象になってしまう可能性があります。この手法の厄介なところは企業や組織内にいる誰かがファイルを開いただけで、ネットワーク全体から情報を盗み出すことが可能な点です。  メールの発信元をしっかりと確認したり、不用意にファイルを開いたりリンクをクリックしないようにしましょう。  暗号化されてない回線を使ってテレワークをしてしまった  暗号化されていない回線を使いテレワークを行うことで、セキュリティリスクが増大します。自宅や会社では基本的に暗号化された通信が行われていますが、たとえば無料WiFiスポットなどからインターネットに接続する場合は暗号化されていないこともあります。  暗号化されていないまま情報のやり取りを行ってしまうと、第三者により盗み見られ情報漏えいに繋がる恐れがあります。 オフラインでのセキュリティリスク例  では、次にオフラインでのセキュリティリスクの例をご紹介します。セキュリティリスクはオンラインだけでなくオフラインにも生じるため、広範囲な対策が必要です。  関係者が持ち帰った書類やストレージから流出 テレワークを行う場合、会社から自宅に書類やストレージを持ち帰ることもあるかもしれません。持ち帰った書類やストレージの管理を怠り、第三者が見てしまうことで情報漏えいの恐れが生じます。  テレワークにおけるデータや書類の扱いについては、事前にしっかりとルールを設けておきましょう。 関係者間の会話を盗み聞きされてしまった 公共交通機関や喫茶店など、関係者同士で仕事の話をするケースもあるかと思います。公の場所で話した会話を第三者が耳にすることで、情報が漏れてしまう恐れもあるでしょう。  外でまったく仕事の話をしないというのは難しいため、TPOを弁えて会話の内容を考えましょう。 セキュリティにまつわる悩みを解決するには? では、次にセキュリティに関する悩みをどのように解決するべきかを解説します。セキュリティは常にいたちごっこが続いているためリスクを完全になくすことはできませんが、適切な対策を講じることで減少させることは可能です。  セキュリティについて学ぶ セキュリティリスクを減らすためにも、セキュリティについて学んでおきましょう。上述したような「なぜオンラインになるとセキュリティリスクが上がるのか」や「具体的なセキュリティリスクとは何か」といった基礎を学ぶことで、自社に合ったセキュリティ施策が思い浮かぶかもしれません。  また、攻撃者の立場になって考えることも有効です。攻撃者は、基本的にセキュリティの弱いところを狙って多重に攻撃を仕掛けてくることが予想されるでしょう。  「どの部分のセキュリティが甘いのか」を判断し潰すことで、セキュリティレベルの向上が見込めます。  合わせて、社内にセキュリティリスクの啓蒙を行うきっかけにもなります。  プロに相談する セキュリティを学ぶことでリスクを減少させることができますが、ITセキュリティ分野は専門的な理論も多く、本格的に学ぶ場合は相応のリソースがかかるのが難点です。その場合は、ITセキュリティに詳しいプロに相談することで、時間や労力を大きく節約できるでしょう。  自社に合ってない施策や間違った施策をしてしまうと、逆にリスクを上げてしまうことにもなりかねません。自分達で学ぶことも大事ですが、それのみに依存せず他人(プロ)に意見を仰ぐ柔軟性も大事です。  業務システムを導入する 業務システムを導入することで、下記のようなメリットが得られます。 業務効率化に繋がる 業務システムを導入すれば、既存業務の効率化に繋がるでしょう。「業務効率化」は今や必須課題とも言える項目ですが、システムの導入なしでは成り立たない部分があります。 業務システムは主に といった点で効率化を図ってくれます。 業務を自動化することで、生産性の向上に加え人手を他に回すことが可能です。また、ITシステムは常にデータを数字として保持するため、判断が自ずと定量的になり客観的根拠や再現性を担保できます。 他にも業務が可視化され分かりやすくなったり、気軽なコミュニケーション促進にも繋がるでしょう。 定量的な判断ができる 業務システムを導入することで、今までは個人の勘や経験に頼っていたファクターを定量的に判断できるようになります。システムを導入すると、さまざまなものを数値として記録・分析できるようになるからです。 定量的な判断ができるメリットとしては、下記のようなものが挙げられるでしょう。 定量化することで、判断に客観的根拠をもたせることができます。数値というデータを元にした判断には説得力があり再現性も高まるため、誰かに判断の有用性を理解してもらうのにも役立ちます。 また、暗黙知を形式知化し伝達を容易にしたり、業務の可視化を促して効率化を図ることもできるでしょう。 業務知識やノウハウを集約できる 業務システムを活用することで、業務知識やノウハウを社内に集約させることができます。従来は業務に関する知識やノウハウが個人に集約されていたことも多く、特定の担当者がいないと業務が回らないような事態もあったかもしれません。 […]

Contact

ITのお悩みを解消いたします! まずはお気軽にお問い合わせください。

お問合せフォームへ
Contact

担当者に今すぐ質問する

簡単な情報入力でBizwind担当者が
お電話にて回答いたします!

すぐに電話で質問
日時指定で折り返し

以下の内容をご記入・送信ください。
確認次第お電話を差し上げます。

    以下の内容をご記入・送信ください。
    確認次第お電話を差し上げます。