ビジネスのあらゆる分野において、IT技術の活用が重要な鍵を握る時代となりました。DX時代は、IT に強くなることと、ビジネスの成功がダイレクトに直結しています。
高度化したデジタル技術をうまく活用することで、大きなビジネス上の成果を得ることができるわけです。一方で、パソコン時代とは異なる課題も増えています。2010年以降、クラウド、スマートフォン、タブレットが普及したことで、デジタル機器やデジタルサービスが多様化し、IT 技術を活用するためのノウハウも複雑多様化しました。
同時に業務の方も複雑多様化しており、実務にきめ細かく対応するための 個別最適 と、事業全体でのパフォーマンスを最大化するための 全体設計、課題解決の 全体最適 がますます重要になっています。
DX時代に経営者を支援するのが、課題解決(ソリューション)の構築・設計者(アーキテクト)となるソリューションアーキテクトです。DX時代の経営者には、ソリューションアーキテクト の支援がますます必要となってくるでしょう。
本稿では、IT業界で30年、IT技術者として多様な課題を解決してきたソリューションアーキテクトが、【ITに強くなるためのチェックリスト】として、5つのポイントについて解説します。
IT に強くなるためのチェックリスト
(1):セキュリティ
(2):バックアップ
(3):マスターデータ
(4):データ活用
(5):全体最適
【 ITに強くなるためのチェックリスト】第一回は「セキュリティ」について、解説していきます。
セキュリティのポイント
アカウントとネットワーク
まずは、セキュリティについて確認しておきましょう。セキュリティに不安をもったままでは、新しいことにチャレンジする意欲も湧いてこなくなってしまいます。
しかし、100%の安全、ゼロリスクを求めていれば、デジタル化に踏み出すことも出来ず、今後ますます不利なビジネスを強いられることになりかねません。鍵となるポイントを見極め、原理原則をおさえれば、IT 活用の歩みも進めやすくなります。
セキュリティを考えるときのポイントは、アカウントとネットワークの2つです。アカウントとネットワークから、セキュリティについてチェックしておきましょう。
アカウント管理で気をつけること
- パスワードは十分な長さを(16文字以上)
- パスワードは使い回さない
- 自動入力、保存場所を管理する
- 多要素認証を設定する
- 代替手段と復旧方法を確認しておく
パスワード
文字数は十分な長さを
パスワード管理について多様な考え方がありますが、推奨する方法と考え方を解説していきます。
まず、パスワードの文字数は出来るだけ、長いものにしましょう。文字数が長く文字種が多いほど、総当たり攻撃によって解析される可能性を低くすることが出来ます。16文字以上でアルファベットと数字、記号を混ぜることをお勧めします。
しかし、16文字以上の複雑なパスワードを暗唱することは容易でありません。一方で覚えられるように簡単な文字列をパスワードにしては、本末転倒です。
ここでポイントとなるのが、パスワード管理ソフトです。パスワード管理ソフトには、1password 、Dashlane 、パスワード生成ソフトには StrongPasswordなどがあります。
パスワードを使い回さない
あるサービスで利用している認証情報が漏洩した場合に、他のサービスにまで影響することがないように、パスワードは各サービス毎に個別のものを使うことも重要です。そのためにも、パスワードを自動生成し、管理するためのソフトウェアを利用することをお勧めします。
パスワード管理ソフトを使う場合の注意点は以下の通りです。
サービス側のサーバーにパスワードを保存する パスワード管理サービス を利用する場合、サーバー側がハッキングされたことがあるサービスも存在するので、事業者の選定および仕様に注意が必要です。
上述のStrongPasswordは パスワード生成ソフト です。自分の利用しているローカルのマシンでパスワードを自動で生成するだけの仕様ですので、漏洩のリスクはありませんが、StrongPassword自体はパスワードを記憶してくれるわけではありません。
自動入力、保存先を管理する
Webサービスを利用する上では、ブラウザにパスワードを生成させて記憶させておくことも出来ます。iOS/macOS であれば Safari、Android ではGoogle Chrome、Windows なら Mircorosoft Edge などのブラウザに認証情報が保存されることになります。
ブラウザにパスワードを記憶させておくと便利なのですが、Webサービスによっては、使える文字数や文字種が制限されている場合があり、iOS/macOS の Safari で自動生成する形式のパスワードに対応していないサイトがあります。
また、パスワードを変更する場合など、画面遷移中に問題があってパスワードの登録や変更に失敗すると、ブラウザに覚えさせたパスワードと更新後のパスワードが一致しなくなるトラブルが起こることがあります。
最近は「パスワードを忘れた場合」の復旧手順が用意されているサイトも増えてきましたが、復旧に手間どってしまう場合もありますので、注意が必要です。こうした要因を考えて、パスワード生成ソフト、パスワード管理ソフトを併用するなどして、パスワードのバックアップ をとっておくことも重要です。
いずれにしろ、スマホ、タブレット、パソコンのそれぞれの機器で、どのサービスを使って、どこにIDとパスワードを保存しておくか。どのアプリやサービスに、どの情報を保存しているのか、整理、確認しておくことも必要です。
定期的な変更は必要か
数十日毎にパスワードを変更するように求められるシステムがありますが、各サイト、サービス毎にパスワードを変更していれば、定期的な変更は必ずしも重要ではありません。パスワードを使い回していると、あるサービスで流出したパスワードが悪用されてしまう可能性があるので、パスワードを定期的に変更しましょう、と推奨されていたわけです。
定期的な変更を促されて、共通のパスワードを使い回していては本末転倒です。パスワードを複数のサイトで使い回さないことの方が重要です。さらには、後述する多要素認証を設定しておくことの方がさらに重要です。
ソフトウェアキーボード
ソフトウェアキーボードも日本の金融機関系サイトでは、あいかわらず、推奨されている傾向がありますが、あまり意味のない仕様です。ウィルス感染等で、キーボードの入力を感知するキーロガーという悪意のあるソフトを仕込まれてしまった場合の対策として、ソフトウェアキーボードが推奨されています。
しかし、そもそも論として、キーロガーを仕込まれるような状態を想定していることに違和感を覚えます。キーロガーが仕込まれるような可能性があるPCは絶対に使用してはいけません。
また、前述したように、パスワード管理ソフトやブラウザのパスワード自動入力を利用する場合は、キーボードからパスワードそのものを入力するわけではないので、キーロガーに補足されることもありません。
わたしの個人的な意見ですが、ソフトウェアキーボードの利用を強制しているサイトは、形式的な業務が多く、実質的な意義に関心がない、総じて時代遅れな会社が多いように思います。
多要素認証
2019年、デジタル決済会社がセキュリティ事故を起こした際の記者会見で、社長が二段階認証について回答出来なかったことがニュースになりました。当時かなり話題になりましたので二段階認証という言葉を知らない人は少ないと思いますが、実際に使っているアカウントについて設定出来ていない方もおられのではないでしょうか。
少なくとも重要なアカウントについては、二段階認証、多要素認証を設定しているか確認しておきましょう。また、
また、二段階認証には、元になるキーを共有して時間毎にパスワードを生成して利用するタイプ、認証アプリを利用するタイプ、メールやショートメールでワンタイムパスワードが送られてくるタイプなどがあります。
二段階認証は、言葉通り、二回の認証を意味します。パスワードを二回求められれば二段階認証と言えます。しかし、同じネットワーク構成で2回に分けただけでは、あまり意味がある対策となりません。
圧縮ファイルをメールに添付してパスワードを別送する方法も、同じネットワークとメールアドレスを使っている以上、盗聴されればすべて読まれてしまいます。
多要素認証は、異なるネットワークや技術による認証を組み合わせたものです。通常のパスワード入力の後、SMS(ショートメッセージ)等でワンタイムパスワードが送られてくる方法、事前にキーを共有しておき、時間の経過毎にパスワードを生成していく方法などがあります。
事前のキー共有によるパスワード生成タイプには、Google Authenticator 、Microsoft Authenticator、Twilio Authy などのアプリがあります。
ネットワークのポイント
フリーWiFiは使わない
アカウント管理と比較すればリスクは小さいと言えますが、利用しているネットワークの安全性も忘れてはいけません。特に外出先やテレワークでネット接続する場合、ホテルや商業施設で提供されている WiFi の利用は避けましょう。
接続が暗号化されていても暗号化キーを共有していることになるので、不特定多数のマシンが同じルーターに接続している無線LANネットワークは、盗聴や攻撃対象となるリスクが高くなります。外出先でネットワークに接続する場合は、
(1)モバイルルーターあるいはスマートフォンのテザリングを利用
(2)VPN (Virtual Private Network)で通信経路を暗号化
(3) ブラウザのアクセスは SSL (Security Sockets Layer)
で通信するようにしておきます。
VPNを適切に使用する
VPN には複数の意味と形態がありますので、どのような目的で利用するか、ネットワークの構成を確認しておきましょう。外出先から自社のネットワークに VPN 接続する形態は、自社のネットワークを防御するための負荷が大きいため、出来るだけ避けることをお勧めします。
VPN へのアクセス情報が漏洩したり、ハックされると、自社ネットワークに侵入されてしまうことになります。外出先から自社ネットワークに直接アクセスする形態は、ファイアウォールや UTM(Unified Threat Management:統合脅威管理)の管理負荷も大きくなりますし、よほど、業務上の必要性がない限りは、デメリットが大きいものと思います。
業務上のメリットを考慮した上で、社外からもアクセス可能とするデータを検討し、範囲を限定してクラウドストレージやクラウドサービスで活用する方法をお勧めします。
お勧めする方法は、データやアプリケーションを限定してクラウドのVPC(Virtual Private Cloud)ネットワークに VPN サーバーを立てて VPN 経由でアクセスする、SaaS(Software as Service)にサービスを構成するなどの方法です。いずれの場合も、 IP アドレスやクライアント証明書によるアクセス制限、ファイアウォールによって、セキュリティを確保しましょう。
まとめ
■ アカウント
□ パスワードを使い回していないか
□ 重要なアカウントについて、二段階認証・多要素認証を設定しているか
□ 大文字・小文字・数字・記号等を組み合わせ、複雑で十分な長さを持ったパスワードを使用しているか
□重要なアカウントについて、バックアップ・復旧方法・代替手段を把握しているか
■ ネットワーク
□ セキュリティに配慮された回線およびプロバイダを利用しているか
□ VPN の構成を理解して適切に利用しているか
□ ファイアウォール(クライアント証明書、IPアドレス等によるアクセス制限)を設定しているか
IT の進化は速く、最新情報を確認してアップデートしておくことも重要です。ENWITでは、常に多様なソフトや最新の手法を調査、検討しながら、その時点での最善の方法を検討して採用しています。各ソフトの使い方や設定が不安な方はご相談ください。
チェックリスト第二弾は、バックアップ・マスター管理です。