初めに
ABEJAアドベントカレンダー2024 4日目のブログを担当します、情シス所属の久米です。 入社して5ヶ月目ではありますが、私目線で見える範囲のABEJAを語りたいと思います。
今回は、私たちが実践しているセキュリティ対策についてのご紹介です。 私が入社する前からすでに実践されている構成ですが、外から来た身としてはすごく面白い構成と感じた内容を書いていきます。
変わりゆくセキュリティ環境
「セキュリティと利便性は相反する」
よく聞かれる言葉ですし、反論は難しいキーワードだと感じます。 私たちはどちらかを犠牲にするのかという考え方をするより、最新のセキュリティ技術を適切に組み合わせることで、その両立ができないかをテーマにしています。
現代企業が直面する課題
- クラウドサービスの急増
- リモートワークの一般化
- 多様なデバイスの利用
- 新種の脅威の出現
- シャドーITの課題
これらの課題に対して、私たちはどのように取り組んでいるのかを順を追って説明します。
セキュリティアーキテクチャの全体像
1. ID・認証基盤(Microsoft Entra ID)
クラウドサービスの増加に伴い、統合的なID管理と柔軟なアクセス制御が不可欠と考えています。 Microsoft Entra IDの採用により、これらの課題に対応しています。
主な機能と設定:
- 条件付きアクセスポリシー
- 多要素認証(MFA)の適用
- デバイス状態の評価
- アクセス権限の動的制御
運用上のポイント:
デバイスの状態を含む複数の条件を組み合わせたアクセス制御を実現しています。 すべてのユーザーにMFAを必須としながらも、準拠デバイスからのアクセス時は利便性を考慮した設定としています。
個人的推しポイント:
そもそも推す必要もないくらい一般的なものですが、今のリモートアクセス環境を支える大事な要素です。
管理者側として助かるのは、各SaaSとの連携の際にSAML認証やSCIMなどあっち行ったりこっち行ったりな作業がありますが、その手順がほぼ用意されているところですね。 割と英語ベースの仕組みが多いので、手順があるだけで非常に助かります。
利用者には不便をかけている場合もありますが、条件付きアクセス(Intuneとの連携)も素晴らしいですね。 クラウドサービスの利用が主流の今、VPNを介した通信も必須ではありませんしレスポンスの問題も出てきますしね。 アカウント自体の利用制限をこのように実現できることで、アクセス環境に縛られない考え方も今ならではかな、と感じています。
MFAもいくつか利用経験がありますが、Microsoftのもあったのか、、、と転職してきて知りました。 今まで利用してきた製品は割とワンアクションで承認されるところを、画面に表示されたキーワードをMFAデバイス側で入力する仕組みです。(設定次第かもですが)人によっては無意識に承認してしまう問題があるかもしれないところ、それを回避できる有効な手段だと感じました。
2. マルチプラットフォーム対応のエンドポイント管理
多様化する端末環境に対応するため、OSごとに最適化された管理ツールを採用しています。 これにより、それぞれのプラットフォームの特性を活かした管理を実現しています。
主な機能と設定:
Windows環境(Intune):
- OS バージョンの最低要件設定
- BitLockerによるディスク暗号化の強制
- スクリーンロックポリシー
- セキュリティパッチの適用状況監視
Mac環境(Jamf Pro):
- FileVaultによるディスク暗号化の強制
- システム設定の一元管理
- アプリケーションの展開制御
- セキュリティアップデートの管理
運用上のポイント:
それぞれのOSに最適化された管理ツールを使用することで、効率的な運用を実現しています。 また、それぞれに連携が可能で一部の統制をIntuneに任せるなど分担も可能です。 設定ファイルの送り込みやインベントリ回収、そのデータを別の仕組みで収集するなど、端末管理においては必要不可欠な仕組みですね。
3. EDR(Microsoft Defender for Endpoint)
高度化するセキュリティ脅威に対応するため、統合的なエンドポイント保護を導入しています。 プラットフォームに依存しない一元的な管理を実現しています。
主な機能と設定:
- リアルタイム保護
- ネットワーク保護
- 攻撃表面の縮小
- デバイス動作の監視
運用上のポイント:
OSの種類に関わらず統一的な管理を実現することで、 セキュリティインシデントの検知から対応までを一元的に行うことができています。 特に、クラウドベースの管理により、リモートワーク環境下でも 一貫した保護を提供できています。
4. CASB(Microsoft Defender for Cloud Apps)
増加するクラウドサービスの利用に対して、可視化と制御を実現するために導入しています。 シャドーITの課題にも対応しています。
主な機能と設定:
- シャドーIT の発見と管理
- データ損失防止(DLP)
- アクセスポリシーの適用
- クラウドサービスのリスク評価
運用上のポイント:
クラウドサービスの利用状況を可視化することで、業務に必要なアプリケーションの把握や、データの流れを正確に追跡できるようになりました。 これにより、効果的なセキュリティ対策の立案が可能となっています。
5. SASE(Netskope)
場所を問わない安全なアクセスを実現するため、ネットワークとセキュリティを統合したアーキテクチャを採用しています。
主な機能と設定:
- Webアクセスの保護
- クラウドサービスへの接続制御
- トラフィックの可視化
- セキュアなリモートアクセス
運用上のポイント:
リモートワーク環境下でも社内と同等のセキュリティレベルを 維持できるようになりました。また、すべてのトラフィック情報を 保持することで、インシデント発生時の調査も容易になっています。
苦労話を。。。
一番の課題となったのは、端末配布後に導入を進めたことかと感じます。 SASEに関しては通信の制御も含んでしまうため、導入前にできていたことができない、といった事象が多々発生するものです。 事前に小規模でテストを実施した上で、導入対象を広げていくと言うよくあるやり方になりました。
また、利用サービスによっては固定IPが必要になったりということもあります。これにおいてはSASEのサービスではなくProxyを活用した経路を用意して実現するなどして、コストに見合った構成にしている部分もあります。
導入後もちらほら問い合わせは続いていますが、コミュニケーションで使っているSlackのワークフロー機能も活用し、固定IP設定の依頼や問い合わせなどを取りまとめるようにしています。
こういった導入後のフォローもできる体制を組めていることが、導入作業を進める後押しになっているのかもしれません。
クラウドサービスの管理方針
「全てのサービスに同じ制限をかける」のではなく、サービスの重要度に応じて管理レベルを変えています。
例えば:
- 社内コミュニケーションツール → Critical SaaS として厳格に管理
- 部門固有の業務効率化ツール → Non-Critical SaaS として柔軟に管理
この方針により、セキュリティと利便性のバランスをとるように設計しています。
個人的推しポイント:
SaaSに関しては、膨大な数があり正直なところ全てを管理することはできないと考えています。 そこをちゃんと割り切った上で、区別することは非常に大事なことだと思います。
そうなると管理外のSaaSは自由に使っていいのか?と言う話もありますが、そこはCASBやSASEによる利用状況の把握と通信の可視化といった観点で統制をかけています。 そのため、利用者はあまり意識することなくご利用いただけているのではないかと感じています。
※SaaSの業務利用に関しては、内部でセキュリティチェックを事前にしているため、なんでも使えるわけではないですが。。。
Critical SaaS
対象:Google Workspace、Notion、Slack、Salesforce など
アクセス要件:
- 準拠デバイスからのみアクセス可能
- MFA必須
- ログイン履歴の保存
- データ転送の制御
Non-Critical SaaS
Critical SaaS 以外
管理方針:
- 基本的なセキュリティ要件の確認
- 利用状況の把握
- 必要に応じたアクセス制御
それぞれのアカウントライフサイクル管理:
SaaSアカウントの管理ツールを導入し、効率的なライセンス管理を目指しています。
- 利用状況の可視化
- 未使用アカウントの検出
- コストの最適化
今後の展望
検討中の取り組み
- Attack Surface Management
外部から見た自社の攻撃対象領域を継続的に評価し、新たな脆弱性の早期発見を目指します。
- AIセキュリティの活用
異常検知の精度向上や、インシデント対応の自動化にAI技術の活用を検討しています。
まとめ
完璧なセキュリティは存在しませんが、適切な対策の組み合わせと継続的な改善により、リスクを最小限に抑えることが可能と考えます。 日々、新しい技術が更新されていますので、それに乗り遅れない環境づくりを心がけなければと、少しプレッシャーもございますが。。。
セキュリティ対策の成功は、情報システム部門の取り組みだけでなく、利用者の皆様のご理解とご協力があってこそと考えています。日頃からのご協力に、非常に感謝しています。
今後も新しい技術の導入を控えています。社内一丸となってのセキュリティ対策を実践していきます!
We Are Hiring!
ABEJAは、テクノロジーの社会実装に取り組んでいます。 技術はもちろん、技術をどのようにして社会やビジネスに組み込んでいくかを考えるのが好きな方は、下記採用ページからエントリーください! (新卒の方やインターンシップのエントリーもお待ちしております!)
特に下記ポジションの募集を強化しています!ぜひ御覧ください!
プラットフォームグループ:シニアソフトウェアエンジニア | 株式会社ABEJA