コラム

業務ツール考察『徒然なるままに、、、』

グループウェアを選ぶ際のセキュリティ要件とは?

第32回 20年07月更新

鈴与シンワート企画部A氏

グループウェアという便利なシステムで日常の業務もスムーズになりました。しかし、たくさんの情報を管理するシステムゆえ、セキュリティ対策は万全でなければなりません。ここでは、グループウェアを選ぶ際のセキュリティ要件を考えてみましょう。

 

グループウェアを選ぶ際にセキュリティ対策が必要な理由とは?

グループウェアを選ぶ際にセキュリティ対策が必要になります。なぜなら膨大な情報を共有できるという便利なシステムに、情報漏洩などをもたらす危険性を含んでいるからです。

情報を操作する人数が増えれば、操作ミスによるデータ消失などの可能性は高まります。また閲覧可能な人数が増えると、外部への情報流出の可能性も高まります。内部の者によるミスや不正だけでなく、ハッカーという部外者からの攻撃に晒される危険性も意識する必要があるわけです。

従ってグループウェアを選ぶ際にはシステムの使い勝手や値段だけではなく、セキュリティ対策がきちんとなされているのかについても確認しておくことが重要だと言えます。

 

グループウェアの選定要件にアクセス権限設定が必須な理由とは?

セキュリティを考慮せずにグループウェアを使用すると思わぬトラブルが発生する可能性があります。

例えば、アクセス権についての配慮が無い場合、まったく関係のない部署の社員情報の参照、アップロードしたファイルの参照などできてしまうことがあります。

参照だけならまだしも、場合によってはこうした情報の変更、追加などが同意なくされてしまう恐れもあります。ワークフロー機能を持ったシステムであれば、稟議内容を誰もが閲覧できてしまう事態にもなりかねません。

こうした理由によりアクセス権限を明確にすることは極めて重要になります。アクセス権限を考えるうえで、まず会社の組織体系に気をつける必要があります。つまり、各人の所属部署はどこか、役職は何か、現在持ちうる権限は何か、といった点に着目します。それらが整理できたところで各人にアクセス権限を付与していきます。

 

グループウェアの選定要件に監査ログ機能が必須な理由とは?

グループウェア導入の際に、そのグループウェアに監査ログ機能があるかどうか確認することは非常に重要です。これには大きく2つの理由があります。

一点目は、ユーザーがどのような操作をしたのか、仮に不正な操作を行った場合、誰がどのような操作を行ったのかの履歴を追うためです。二点目は会社法の規定により外部監査を受ける必要がある場合の監査証跡となるためです。

一点目の操作履歴の確認に関しては、内部統制という観点から常に履歴を追うことができる状態にしておく必要があります。そして不正操作の疑いがある場合、すぐに履歴を追う必要があります。

二点目の外部監査ですが、監査ログが無ければそれ自体が指摘事項になってしまいます。履歴を追えないため、監査結果そのものも非常に悪くなってしまいます。

グループウェアの監査ログ機能に関しては、「いつ」「誰が(どのユーザーが)」「どの端末から」「どのアプリケーションに」「何をしたか」という情報を一括してロギングするものを選びましょう。

 

グループウェアの選定要件に多要素認証機能が必須な理由とは?

グループウェアを選定するうえで、多要素認証に対応しているかどうか確認することが重要です。特に、クラウド型グループウェアを導入している企業にとっては必須機能と言えます。

最近はクラウド型を利用する企業が増え、インターネット経由でグループウェアにアクセスすることが多くなっています。このような場合、なりすまし、盗聴によりユーザーID、パスワードの不正取得が容易に行われてしまいます。

万一、不正取得された場合でも、多要素認証であれば悪意のある第三者に不正利用される危険性は極端に低くなります。

多要素認証に関しては認証デバイスを用いる方法、スマホに乱数発生アプリをインストールする方法、乱数表が書かれたカードを使用する方法などさまざまな方法があります。

 

グループウェアのデータセンターのセキュリティで注意すべき点は?

グループウェアのデータセンターのセキュリティで注意すべき点は、データセンターの所在、セキュリティ対策、海外法への対応などです。

グループウェアのデータはベンダー所有または、クラウドプラットフォームを利用したデータセンターで管理されます。セキュリティポリシーによってはデータを国外に出せないので、データセンターの所在を確認しましょう。国内ベンダーであっても、海外のクラウドプラットフォームを利用していれば、データが国外に出てしまうので注意して下さい。

また、データセンターの施設やシステムのセキュリティも重要です。特にサイバー攻撃に対しては多層防御を取っていることが必須です。マルウェア対策やファイアウォールなどの一般的なセキュリティについても最新技術を使っているか確認が必要です。

また、海外ではテロ対策として施行された米パトリオット法のように、政府の要請により社内データを開示しなければならない法律が存在します。データセンターが日本にあっても、海外に本拠地があればこの法律が適用されるので、ベンダーがすぐにデータを開示してしまうのか、海外法に対する対応を確認する必要があります。

 

グループウェアを選ぶ際のセキュリティ要件について

グループウェアは極めて便利なツールですが、膨大な情報を蓄え、会社のほぼ全員がそれに触れることになります。そのため、データの消去などのミスだけでなく、外部からの攻撃に晒される可能性もあります。
アクセスが許されていない者が触れる心配もあるので、その権限設定は欠かせません。不正な操作防止や内部統制という理由で、監査ログ機能は必要です。
クラウド型ではIDやパスワードの不正取得の問題もあるので、多要素認証機能は不可欠です。またグループウェアのデータセンターについての配慮も見逃すことはできません。
グループウェアの導入を検討する場合、利便性やコストだけでなく、セキュリティ面での要件も満たしているかどうかもチェックしましょう。

著者プロフィール(鈴与シンワート企画部A氏)

2016年鈴与シンワート株式会社へ中途入社し、企画部に所属し、今年で4年目。
元々はアシスタント業務をしていたが、現在は宣伝広告・広報担当として自社サービス、IT業界のマーケットを勉強中です。
日々の学習成果をコラムに綴り連載予定!!
よろしくお願いします。

バックナンバー