ここ数年、情報漏洩に関するニュースが後を絶ちません。一度、事故/事件が起きてしまうと、企業は当然のことながら信用は無くしますし、また事態を収束するのにお金もかかります。結構な額(↓)です。
Title: 個人情報漏洩は2357件、1事故あたり想定損害賠償額は9313万円
URL: http://www.security-next.com/50233
システム側での対応についてもおもしろい記事(↓)がありました。
Title: ベネッセ事件に学ぶ、内部犯行に気付けない「3つの盲点」
URL: http://members.techtarget.itmedia.co.jp/tt/members/1410/29/news03.html
----------------<抜粋1>----------------
特に七戸氏が重要だと強調するのは、アクセス制御の先に求められる「情報制御」のアプローチだ。「どのような情報がどのくらいの量、どこに存在し、どのように操作されたのか、どう動いているかを追跡する必要がある。情報制御は、穴をふさいで情報漏えいのリスクがある経路を絞るための仕組みではなく、情報漏えいに速やかに「気付く」ための仕組みだ」(同)。
----------------<抜粋2>----------------
この情報制御を実現するツールが、「DLP(Data Loss Prevention)」と呼ばれるセキュリティ製品だ。個人情報やクレジットカード番号といった特定のパターンに沿った文字列や、データベースに格納された顧客情報などの構造化データ、あるいは企業秘密に関わる非構造化データの種類、量、行き先などをモニタリングする。もしデータの動きが、業務上本来あるべき流れと異なる場合、例えばあまりに大量件数の顧客情報がダウンロードされたり、「機密」扱いの文書がメールで外部に送信されたりする場合にはアラートを発して、詳細な調査を促す仕組みだ。
-------------------------------------------
DLPツールについては記事内にある専用製品もありますし、最近ではコミュニケーションツールに機能として組み込まれているものもあります。主要な製品ではマイクロソフトのExchange ServerやSharePointがありますね。
Title: データ損失防止
URL: http://technet.microsoft.com/ja-jp/library/jj150527(v=exchg.150).aspx
Title: サイトに保存された機密データを確認するために SharePoint Online で DLP を使用する
URL: http://technet.microsoft.com/ja-jp/library/dn798914.aspx
----------------<抜粋3>----------------
現に、情報処理推進機構(IPA)が2012年7月にまとめた「組織内部者の不正行為によるインシデント調査」によると、一般社員が「内部不正への気持ちが低下する理由」として挙げた対策は、「社内システムの操作の証拠が残ること」が54.2%で最も多く、次に「顧客情報などの重要な情報にアクセスした人が監視されること」が37.5%に上った。不正や内部犯行を後押しさせない環境作りに、これらの対策が有効であることが分かる。
-------------------------------------------
これもおもしろいですね。確かに悪いことをしようとしている時に「お前本当にいいのか?見てるぞ。」みたいな監視メッセージが出たらビビるでしょうね。
2014年12月25日木曜日
企業SNS
私は今、『WORK SHIFT』という2025年を予見する書籍を読んでいますが、その中で企業においてもソーシャルネットワークが流行するであろう記述があります。実際に企業で使用している事例に関するニュースなどにもありますが、よく言われるメリットは下記のようなことでしょうか。
●地域/立場を超えたコミュニケーションの活発化
●幅広い情報収集が可能
ただ、まだ 『こう使えば必ず効果が出る!』 というような具体的な方法はあまりなく、実際に使いながら当たりをつける、というようなフェーズのような気がします。私自身も自社内にSNSがありますが、正直なところ、まだメールのグループ機能を使ってしまいます。使い慣れたメールよりもSNSのほうがハードルが高く感じられてしまうのです…。あまりよくないですね。きっと。
利用促進に当たっては、よく、『ガッチリとしたルールを作らずに自由にやる』 というようなことが言われることが多いですが、個人的にはある程度、コミュニケーションをSNSに向かせていくためのルール作り(=強制力を伴うもの)は必要なのではと思います。
なお、個人的には以下のようなことにSNSを使用する意義を感じています。
●閉じたところで行われているやり取りを必要としている人って絶対にいる。
●やり取りされたコミュニケーションが社内にナレッジとして蓄積される。
●くだらない会話の中に何かのきっかけがあることも意外に多い。
Title: ビジネスで効果を出せるソーシャルメディア活用の極意
URL: http://techtarget.itmedia.co.jp/tt/news/1403/18/news03.html
-------------<抜粋1>------------
ソーシャルメディアには今後、エンタープライズ市場において明るい未来が待っているようだ。米IDCは、世界のエンタープライズ向けソーシャルソフトウェア市場の売り上げは2012年の10億ドルから2017年には27億ドルに拡大すると予想している。
-------------<抜粋2>------------
同氏によれば、ソーシャルメディアは「社内およびパートナー企業とのつながりを作り、コラボレーションを促し、共同でイノベーションを起こせるチャンス」として関心を集めているという。「大きな組織に入社してくる若手社員は日常生活のコミュニケーションにソーシャルツールを使っているので、社内のコミュニケーションにも同じようなツールを使えるのは重要なことだ」と、トムソン氏は語る。
----------------------------------
●地域/立場を超えたコミュニケーションの活発化
●幅広い情報収集が可能
ただ、まだ 『こう使えば必ず効果が出る!』 というような具体的な方法はあまりなく、実際に使いながら当たりをつける、というようなフェーズのような気がします。私自身も自社内にSNSがありますが、正直なところ、まだメールのグループ機能を使ってしまいます。使い慣れたメールよりもSNSのほうがハードルが高く感じられてしまうのです…。あまりよくないですね。きっと。
利用促進に当たっては、よく、『ガッチリとしたルールを作らずに自由にやる』 というようなことが言われることが多いですが、個人的にはある程度、コミュニケーションをSNSに向かせていくためのルール作り(=強制力を伴うもの)は必要なのではと思います。
なお、個人的には以下のようなことにSNSを使用する意義を感じています。
●閉じたところで行われているやり取りを必要としている人って絶対にいる。
●やり取りされたコミュニケーションが社内にナレッジとして蓄積される。
●くだらない会話の中に何かのきっかけがあることも意外に多い。
Title: ビジネスで効果を出せるソーシャルメディア活用の極意
URL: http://techtarget.itmedia.co.jp/tt/news/1403/18/news03.html
-------------<抜粋1>------------
ソーシャルメディアには今後、エンタープライズ市場において明るい未来が待っているようだ。米IDCは、世界のエンタープライズ向けソーシャルソフトウェア市場の売り上げは2012年の10億ドルから2017年には27億ドルに拡大すると予想している。
-------------<抜粋2>------------
同氏によれば、ソーシャルメディアは「社内およびパートナー企業とのつながりを作り、コラボレーションを促し、共同でイノベーションを起こせるチャンス」として関心を集めているという。「大きな組織に入社してくる若手社員は日常生活のコミュニケーションにソーシャルツールを使っているので、社内のコミュニケーションにも同じようなツールを使えるのは重要なことだ」と、トムソン氏は語る。
----------------------------------
Googleの多要素認証
クラウドサービスが急速な勢いで普及していますが、セキュリティに関して強い懸念を持たれるお客様は多いです。デバイス認証など、ユーザーIDとパスワード以外の認証を必要とするようなソリューションはたくさんありますが、クライアントアプリケーションまでを識別して制御をかけるというのはなかなか難しいのが実情ですね。また、多要素認証の2つ目の認証として電話/スマホを使用するソリューションもありますが、エンドユーザーはログインのたびに操作しないといけないということで、なかなか実運用としては考えられないというお客様もいらっしゃいます。
そういう意味では基本的にはブラウザベース(特にChrome)でサービスを提供しているGoogleはその部分に特化して多要素認証対応を実装すればOK、かつ、下記のソリューションならエンドユーザーの負荷も抑えられるので、かなりリーズナブルに見えました。
Title: GoogleのFIDO U2Fセキュリティキー対応で認証技術はどう変わる?
URL: http://techtarget.itmedia.co.jp/tt/news/1412/17/news01.html
-------------<抜粋>------------
パスワードを入力するのではなく、ユーザーは自分のPCのUSBポートにセキュリティキーを差し込み、Google Chromeに表示されるプロンプトをタップするだけだ。
----------------------------------
そういう意味では基本的にはブラウザベース(特にChrome)でサービスを提供しているGoogleはその部分に特化して多要素認証対応を実装すればOK、かつ、下記のソリューションならエンドユーザーの負荷も抑えられるので、かなりリーズナブルに見えました。
Title: GoogleのFIDO U2Fセキュリティキー対応で認証技術はどう変わる?
URL: http://techtarget.itmedia.co.jp/tt/news/1412/17/news01.html
-------------<抜粋>------------
パスワードを入力するのではなく、ユーザーは自分のPCのUSBポートにセキュリティキーを差し込み、Google Chromeに表示されるプロンプトをタップするだけだ。
----------------------------------
2014年3月5日水曜日
Office 365 "ソフトマッチ"
はじめはOffice 365をクラウドIDで運用していたが、途中からディレクトリ同期を使用したアカウント管理に切り替えたいというリクエストを時々聞きます。
このような場合に、当然、ユーザーがそれまで使用していたアカウントはOffice 365側にあるわけで、ディレクトリ同期を実施した際にはうまいこと社内のActive Directoryアカウントと紐づいてくれないと困ることになります。
そのための方法が "ソフトマッチ" になります。
詳細は下記のサイトに情報があります。
簡単にまとめると…
・紐づけはSMTPアドレスをもとに行う。
・Active Directory側でユーザーのプロパティの「電子メールアドレス」に入力してあげる。
注意事項としては上記のサイトにある下記の記載になるかと思います。
--------------<抜粋>------------
SMTP 一致は、Microsoft Exchange Online 電子メール アドレスを持つユーザー アカウントでのみ実行可能です。
-----------------------------------
SharePoint Onlineのみを使用しているというお客様についてはこの方法が使えないということになりますね…。(あんまりいないのかもしれないけど。)
2014年2月18日火曜日
Office 365のデバイス認証
よく "会社支給のスマートフォンからのみOffice 365にアクセスさせたい" という要望を聞く機会があります。
昔からExchange OnlineではActiveSyncの管理機能を使用して、実現することができていました。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2012/04/22/mobile-device-management-using-exchange-online.aspx
これがWindows Server 2012 R2のDevice Registration Serviceという機能を使用することでより柔軟な管理ができるようになっています。
http://blogs.technet.com/b/junichia/archive/2013/11/14/3610844.aspx
あらかじめ使用するデバイスに対して、証明書を配布しておき、Active Directoryに登録しておくことで、Office 365へのアクセス可否を操作する機能です。
下記のサイトを見ると、スマートフォンからADFSサーバーにアクセスすることでActive Directoryに登録を行う、というようなイメージなので、会社端末についてはこれらの作業を行った後で、ユーザーに配布するオペレーションになりそうですね。
(証明書に関してはすでにスマートフォンに含まれているようなサードパーティ製のものを使用すればユーザー作業は不要なのかな…?)
http://sophiakunii.wordpress.com/2013/09/18/windows-server-2012-r2%e3%82%92%e4%bd%bf%e3%81%a3%e3%81%a6ios%e3%81%a0%e3%81%91%e3%81%8coffice365%e3%81%ab%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%81%a7%e3%81%8d%e3%82%8b%e3%82%88%e3%81%86%e3%81%ab/
昔からExchange OnlineではActiveSyncの管理機能を使用して、実現することができていました。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2012/04/22/mobile-device-management-using-exchange-online.aspx
これがWindows Server 2012 R2のDevice Registration Serviceという機能を使用することでより柔軟な管理ができるようになっています。
http://blogs.technet.com/b/junichia/archive/2013/11/14/3610844.aspx
あらかじめ使用するデバイスに対して、証明書を配布しておき、Active Directoryに登録しておくことで、Office 365へのアクセス可否を操作する機能です。
下記のサイトを見ると、スマートフォンからADFSサーバーにアクセスすることでActive Directoryに登録を行う、というようなイメージなので、会社端末についてはこれらの作業を行った後で、ユーザーに配布するオペレーションになりそうですね。
(証明書に関してはすでにスマートフォンに含まれているようなサードパーティ製のものを使用すればユーザー作業は不要なのかな…?)
http://sophiakunii.wordpress.com/2013/09/18/windows-server-2012-r2%e3%82%92%e4%bd%bf%e3%81%a3%e3%81%a6ios%e3%81%a0%e3%81%91%e3%81%8coffice365%e3%81%ab%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%81%a7%e3%81%8d%e3%82%8b%e3%82%88%e3%81%86%e3%81%ab/
Office 365の多要素認証機能
Office 365の多要素認証機能がアップデートされました。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
少し前に実装された機能ですが、どのあたりがアップデートされたのかというと…
【これまで】
・管理者に対してしかできなかった。しかも有料だった。
・ADFSによりSSOを実装している構成では使用できなかった。
【これから】
・エンドユーザーも使用可能になった。
・しかも無料になった。(Exchange Onlineなど各製品のライセンスがあればOK)
・ADFSによりSSOを実装している構成で使用できるようになった。(↓)
http://blogs.office.com/2014/02/10/multi-factor-authentication-for-office-365/
多要素認証とはそもそも、自分のOffice 365のIDとパスワードを入力して、サービスにログインしようとした際に、さらにもう一回別の認証を聞かれる、というものです。
この「別の認証」というのは以下のようなものになります。
【Office 365多要素認証の方法】
1. 携帯電話に電話がかかってくる
自分の(登録している)携帯電話がなるので、出てから1回シャープ記号を押すとログインできる。
携帯電話がない場合には会社とかの電話でもOK。
2. ユーザーの携帯電話へのテキスト コードが送られる
自分の(登録している)携帯電話に 6 桁の数字のコードを含むテキストメッセージが送信されるので、このコードをOffice 365ポータルで入力するとログインできる。
3. スマートフォン用の専用アプリに通知が送信される
スマートフォンのアプリをインストールしておくと、そこに通知が送信され、それに応答するとログインできる。
(Windows Phone、iPhone、Android の各種デバイスに対応)
4. スマートフォン用の専用アプリにワンタイム コードが表示される
No.3と同じアプリで6 桁の数字のコードが表示されるので、それをポータルで入力するとログインできる。
この多要素認証機能の実装方法ですが、大きく分けて以下の2パターンがあります。
【Office 365多要素認証の実装方法】
(1) Multi-Factor Authentication for Office 365
こちらはOffice 365ポータル上だけで設定が可能なものになります。
上述のサイトではこちらに関する設定方法が記載されています。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
(2) Windows Azure Multi-Factor Authentication
こちらは他のアプリケーションとの連携を考慮したい場合など、(1) の機能だけでは実現できない要件がある場合に使用するもののようです。
具体的な設定方法や、(1) との機能差異については下記のTechNetにまとめられています。
http://technet.microsoft.com/en-us/library/dn383636.aspx
クラウドはいろいろセキュリティについて議論されることが多いので、もしかするとこのあたりの設定は今度主流になってくるかもしれません。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
少し前に実装された機能ですが、どのあたりがアップデートされたのかというと…
【これまで】
・管理者に対してしかできなかった。しかも有料だった。
・ADFSによりSSOを実装している構成では使用できなかった。
【これから】
・エンドユーザーも使用可能になった。
・しかも無料になった。(Exchange Onlineなど各製品のライセンスがあればOK)
・ADFSによりSSOを実装している構成で使用できるようになった。(↓)
http://blogs.office.com/2014/02/10/multi-factor-authentication-for-office-365/
多要素認証とはそもそも、自分のOffice 365のIDとパスワードを入力して、サービスにログインしようとした際に、さらにもう一回別の認証を聞かれる、というものです。
この「別の認証」というのは以下のようなものになります。
【Office 365多要素認証の方法】
1. 携帯電話に電話がかかってくる
自分の(登録している)携帯電話がなるので、出てから1回シャープ記号を押すとログインできる。
携帯電話がない場合には会社とかの電話でもOK。
2. ユーザーの携帯電話へのテキスト コードが送られる
自分の(登録している)携帯電話に 6 桁の数字のコードを含むテキストメッセージが送信されるので、このコードをOffice 365ポータルで入力するとログインできる。
3. スマートフォン用の専用アプリに通知が送信される
スマートフォンのアプリをインストールしておくと、そこに通知が送信され、それに応答するとログインできる。
(Windows Phone、iPhone、Android の各種デバイスに対応)
4. スマートフォン用の専用アプリにワンタイム コードが表示される
No.3と同じアプリで6 桁の数字のコードが表示されるので、それをポータルで入力するとログインできる。
この多要素認証機能の実装方法ですが、大きく分けて以下の2パターンがあります。
【Office 365多要素認証の実装方法】
(1) Multi-Factor Authentication for Office 365
こちらはOffice 365ポータル上だけで設定が可能なものになります。
上述のサイトではこちらに関する設定方法が記載されています。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
(2) Windows Azure Multi-Factor Authentication
こちらは他のアプリケーションとの連携を考慮したい場合など、(1) の機能だけでは実現できない要件がある場合に使用するもののようです。
具体的な設定方法や、(1) との機能差異については下記のTechNetにまとめられています。
http://technet.microsoft.com/en-us/library/dn383636.aspx
クラウドはいろいろセキュリティについて議論されることが多いので、もしかするとこのあたりの設定は今度主流になってくるかもしれません。
登録:
投稿 (Atom)