>

社内システム統制情報

はじめに

当社は、様々なITサービスを活用し、情報システム部門へのコンサルティングサービス事業を行っています。会社はITを積極的に活用することで、事業や組織や会社を飛躍的に成長させることができるのは周知の事実ですが、多くの従業員が正しくITを使いこなすことは困難です。本来企業が行うべき事業に専念するために、意識せずともITを駆使できる環境を整備するのが理想的です。

当社のユーザー企業様へ多くの情報と選択肢をご用意し、戦略的にIT部門を設計し、会社を統制していくためには、当社自身がモデルケースとなるべき部分が少なからずあります。

ここでご紹介する当社の情報システムインフラは、現在の当社企業規模に見合ったものではなく、モデルとなるため積極的に利用している技術が多数盛り込まれています。

また、これはあくまで当社の現状であり、コンサルティングを行う上では、ここでは触れない技術も数多くあり、ここで紹介した範囲内でサービスを提供しているわけではないことをご理解下さい。

セキュリティ指針概要

SOC2やPCI DSSを含めた数多くの国際監査基準、加えてプライバシーに関わる独自の監査基準に適合させて設計、運用されています。事業の都合上、現時点では外部監査を設けて認証取得を行う必要性がないため、あくまでも自主的なものとなります。

従ってここでは、どの部分がどの監査に適合するかなどの具体的な表現は行いません。
これは、認証取得を行っていないからこそ、既存の監査基準に縛られる必要性がないため、将来発表される予定の監査内容や、変更点に対して、取捨選択を行いながら先行して適合しており、より実践的かつ効率的なインフラを実現しています。

従業員採用時の個人情報

面談や履歴書管理など、入社前にも個人のプライバシーを取り扱う機会があります。入社前に取得可能な情報は全てデジタルデータのみとし、物理への記録は行いません。面談時などに履歴書や経歴書などを持参された場合においても、スキャン保存などのデジタル化を行わずに、その場で返却もしくは破棄しています。

複数の当社社員が採用管理を行う場合があります。これらは全て社内システムで管理されますが、メールで個人情報が送られてくるケースもあります。システムはこのデータを自動的に特定し、観察します。利用されないことを判断すると、ロックします。従業員が不必要に社内システムへ個人情報を記録したとしても、システムがこれを検知し、ロックし、制御します。

従業員情報と従業員が取り扱う情報

雇用契約書を含む会社と従業員との契約には、全て電子署名を用いたデジタル署名によって行われます。また、雇用を行うために必要な個人情報は全てクラウド上で管理され、本人であってもむやみにそれらの情報を取り出すことができません。

当社のワークスタイルはフルリモートワークとしており、会社への出社を推奨していません。会社の物理拠点は、利用する道具のひとつとして提供されています。従業員同士のコミュニケーションは、クラウド上のPBX(電話)および各チャットツールやビデオチャットツールを経由して行われます。これら全てのデータは永久的に記録されており、解析され、監査が自動的に行われています。

物理セキュリティ

利用中の建物および部屋のセキュリティは、監視カメラ、専用のICカード及び物理キーによって担保されています。これらはWeWork社アークヒルズサウスタワーのセキュリティに準じます。

従って、当社によるコントロールが完全ではないため、オフィスに物理的な情報資産および、情報資産データへのアクセス権がありません。

ネットワーク

建物内にはWeWorkが提供するネットワークがあり、ここに別のネットワーク機器を設置することで分離し、暗号化し、利用できようにしています。また、このネットワークへのアクセス権はシステムから自動的に払い出されるよう設計されているため、従業員がオフィスにて必要な情報資産へのアクセスを検知すると、自動的にこのネットワークへ接続されるため、従業員がネットワークやパスワードを意識することはありません。

ただし、ネットワークによる制限を行っていないため、どんなネットワークであったとしても接続できます。暗号化処理がされていないネットワークに接続した場合にはこれを検知し、自動的に暗号化通信を行います。

当社の情報資産アクセスには、ネットワークによる制限がありません。危険なネットワークに接続したとしても、システムが自動的に保護します。

デバイス

当社が保有する情報資産へのアクセスについては、特定のハードウェアや特定のデバイスのみといった制限を設けていません。ただし、セキュリティ上問題のあるハードウェア、例えば、セキュリティパッチが適用されていない、OSのバージョンが古い、マルウェアに感染しているなどの状態を事前に検知し、接続可能である状態へ強制的に適合させてから接続させるよう設計されています。

個人で所有するコンピュータやスマートフォンを接続しても、個人環境に影響が出ないようユーザ環境を切り離してから会社のポリシーを適用させ、ログインさせるかどうかをシステムが自動的に判断しています。

パスワード

従業員が会社内でアカウントとパスワードを共有することはありません。全てのアカウントが独立して従業員に紐付いており、システムが許可判断を下すと、ログイン画面そのものが出てくることなくシステムへ参加出来るよう設計されており、各情報資産へアクセスする際に必要なログイン処理がありません。

ただし、パスワードとしてのデータが必要なケースが多々あるため、初期アカウント作成時にシステムがユーザーへ自動的に払い出したパスワードでログインを試みると、パスワード変更を求められるため、この時点で従業員がパスワードを作成します。

システムは従業員に対して、生体認証からチャレンジを行い、それらが物理的に不可能であったり、うまく動作できなかった場合に、パスワードを求めます。

パスワードの有効期限は無期限ですが、従業員が意図的にパスワードを変更することも可能です。パスワード変更は、当社が取り扱うサービスのどこから変更を行っても、全てのサービスに同期します。

多要素認証

従業員本人しか持ち得ない情報や、知り得ない一時的な情報を利用して認証を行います。情報資産へのアクセス時には、必ず多要素認証を求めるよう設計されています。

多要素認証の有効期限は無期限ですが、従業員が意図的に多要素認証のデバイスや方法を変更することが可能です。また、この多要素認証は一元管理されており、万が一従業員が多要素デバイスや手段を持ち得ない状況に陥ったとしても、一時的に一定時間バイパスしたり、一度だけ許可するなどのコントロールが可能です。

認証情報の一元管理

従業員のアクセスコントロールは統合認証システムによって一元管理されています。本人以外によるなりすまし利用や、パスワード漏洩時によるのっとりは、本人が意図的に行わない限りは不可能です。

アカウントを無効化した瞬間に、当該アカウントによる当社情報資産へのアクセスは、全てが遮断されます。

エンドポイントセキュリティ

オフラインの状態でも、従業員が作り出す情報資産を積極的に保護するため、オンラインを検知した直後に当該データは自動的に別のオンラインストレージに格納され、数多くの監査基準によってデータの状態を判断し、必要であれば制御します。万が一、ここに大量の個人情報やクレジットカード番号あるいや機密情報などが含まれていた場合、システムはこのデータの入手先を特定し、オフラインデータの居場所を特定し、バックアップを行ったオンラインストレージ上のデータを含めて、全てがアクセス禁止状態に変更されます。

社内のデータが、どの経路で取得され、どのソーシャルネットワークにアップロードされたのか、または、チャットツールなどに記載された文字列など、全てのデータと経路がシステムによって監視されており、危険であると判断された場合は、安全な手段を従業員に提示し、その方法へ自動的に遷移します。

従業員がモバイル端末で社内のデータにアクセスしていたことを想定し、このデバイスが盗難または紛失した場合にデータを保護するため、情報資産アクセス時のポリシーに強制的に端末の暗号化処理を加えており、この暗号化鍵も自動でシステムによって管理されます。

標的型攻撃については、オンライン側からのふるまい検知から開始し、デバイスでの挙動を見ながら重要な情報はマイクロOSに格納するなどして保護し、これらのログも全て自動的に記録され、提出可能なレポートが自動的に生成されるよう設計されています。

ログ

全てのアクセスログおよび操作ログが記録されます。保存期間は3ヶ月です。また、社内に接続したデバイスの詳細や、インストールされているアプリケーションなど、取得可能なものは全て取得しており、一元管理されています。

管理者操作ログ

特権ユーザ、管理者については、その操作ログが全て記録されており、悪意ある特権操作を抑制しています。保存期間は3ヶ月です。一部の特権操作はチャットツールなどで自動的に全ての従業員が確認可能な状態で発信されるよう設計されており、不必要な特権操作を抑制しています。

まとめ

当社においての理想的な環境を構築するために、当社の規模には見合わない仕組みが多く使われています。例えばSlack Enterprise GRIDのDiscovery APIをNetskopeで利用するであったり、IdPにOktaを利用するであったり、データガバナンスにDruvaを利用するであったり、通常は数百人から数万人のエンタープライズに向けて設計されているものをいくつか積極的に利用しています。つまり、そもそも小規模では購入すらできないか、必要以上のコストがかかるサービス利用が含まれています。

つまり、会社を実験台にしています。

本来必要のないはずのITリテラシー教育であったり、セキュリティ教育であったり、情報システム部門の人数拡充などを端的に行う事が事業のありかたなのではなくて、本来やるべき事業を行うために、ITは意識せずとも安全に使える状態で便利良く使うのが理想的です。

IT部門は、自社のデータ全てを掌握している強力な組織です。

企業ごとに重視する戦略や重要と考えるデータの価値が違う為、他社と全く同じ情報システムというものは存在しません。そして、事業やITは目まぐるしく変化しています。状況に応じた変化は、自社のITにも必要になります。

俊敏性を向上させ、積極的にITを取り込んでいくことで、ITから離れていく環境を作り上げるための、現時点での当社のありかたがこのシステムであるというだけで、この形にとらわれているわけではなく、変化に対応しやすいインフラである点に注目して頂ければ幸いです。