Compartilhar via

フレキシブル ワークスタイルを支えるセキュリティ (2) ~ マイクロソフト社員の場合

  • Artigo

前回のトピック「フレキシブル ワークスタイルを支えるセキュリティ (1) ~ 柔軟性と安全性は両立する」では、マイクロソフトが提唱する「フレキシブル ワークスタイル」の説明、そして実現を行うための阻害要因と安全に導入する方法、そしてそれを支えるテクノロジーについて解説をしました。今回は、実際にこれらのテクノロジーを日々実際に使っている日本マイクロソフト社員が、どのようにフレキシブル ワークスタイルを実施しながらセキュリティを確保しているのかについて、実例を見てみましょう。

日本マイクロソフトの社員の IT インフラに対するセキュリティは、主にスマートカード機能付き社員証と Active Directory ドメインへの参加によって保たれています。また、ノート PC と Windows Phone 7.5 を会社から支給されています。会社の IT インフラへのアクセスは、これらの会社支給のデバイスから行われるのが普通ですが、条件を満たせば個人で持ち込んだ PC やスマートフォンを利用することも可能です。

ソフトスキルでの対策

セキュリティを確保したワークスタイルを実現するには、まず必要な知識をひとりひとりが身に付けている必要があります。従業員が日本マイクロソフトで新規に働き始めるに当たっては、まずセキュリティやプライバシーを確保するために必要な知識を習得する必要があります。社内の必要なリソースにアクセスし続けるには、セキュリティ、プライバシー、コンプライアンスに関する知識をチェックするためのオンラインテストに定期的にパスする必要があります。日本マイクロソフトではプライバシーマークも取得していますので、この制度に準拠した運用を行うために必要なトレーニングと試験も定期的に実施しています。

インフラでの基本的な対策

従業員が社内のITインフラにアクセスするに当たっては、社内ドメインへの参加が必須になります。Outlook 経由のメール、ファイルサーバー、SharePoint サイトや無線 LAN へのアクセスなどは、すべて PC をドメインに参加させて、ドメインにある自分のアカウントを使ってログオンをして行う必要があります。その際、ネットワークアクセス保護 (NAP) によりセキュリティポリシーの強制適用が行われ、セキュリティを守るために必要な以下のような対策が行われます。

  • 複雑なパスワードとパスワード定期変更ルールの強制適用
  • Windows Update の強制適用と必須のセキュリティ更新プログラムの定期監視
  • Forefront Endpoint Protection の強制インストール
  • 構成管理ソフトウェアの強制インストール
  • BitLocker によるハードディスクの暗号化
  • 一定時間経過後の自動的なスクリーンロック

また、コミュニケーションや共同作業を行うためのソフトウェアとして、Microsoft Office 2010 のインストールも行います。これによりメールや予定を管理する Outlook、内線・外線電話とオンライン会議を使うために必須な Lync、そして共同作業や暗号化された機密情報も扱える Word、Excel、PowerPoint などの文書作成ソフトウェアが使えるようになります。ちなみに、機密情報については暗号化、転送禁止、保存禁止、印刷禁止などのポリシーを作成者/送信者が設定するInformation Rights Management (IRM) を利用することで不正に社外に持ち出されないようにコントロールしています。

尚、これらの構成は、通常は従業員が自分で意識して行うのではなく、PC を支給されたら有線 LAN でネットワークに接続し、ID とパスワードを入力すると OS、必要ソフトウェアを自動的にインストールする仕組み (System Center Configuration Manager, SCCM) によって行われます。SCCM では、OS の展開と構成作業の自動化ソフトウェア配布の自動化ユーザー PC のセキュリティレベルの統一IT資産管理などをリモートから一括して行うことができます。

個人PC については上記の条件を満たすようなスペックを持ち、構成するのであれば利用が許可されています。利用可能なデバイスについては、会社支給のデバイスかどうか (例: MAC アドレス等による制限) ではなく、ポリシーを満たせるかどうか、という視点から考えられているのがポイントです。

社外からアクセスする際の対策

社外から社内のITインフラにアクセスを行うには、Windows 7 Enterprise/Ultimate に搭載されている Direct Access を利用します。必要なツールは、社内ドメインへの参加時にインストールされます。個人 PC であれば、必要な OS の要件を満たしたうえで、一度社内でポリシーを満たすようにセットアップを行いイントラネットにアクセスできるようにしておきます。その上で、社外からのアクセス権限を持っている従業員は、BitLocker によるハードディスクの暗号化、および Direct Access のセットアップを行います。Direct Access のセットアップには社員証による認証が必須です。

Direct Access で社外から接続されている間、NAP によりセキュリティポリシーが満たされているかどうかがリアルタイムで判定されています。パスワード期限切れ、セキュリティ更新プログラムの未適用など条件を満たさないことが検出されると、即座にアクセスが制限されるような仕組みとなっています。

図1: ある公共ネットワークでアクセスが制限されたときの例

内線電話については、Direct Access でつながっていれば社外から PC に接続していても PC で着信することが可能です。または、あらかじめ携帯電話に転送したり同時着信するようにしておけば、社外からも音声通話を行うことができます。

また、社内 IT インフラにアクセスしなくても、エクストラネット用の SharePoint サイトも用意されており、こちらは ID とパスワードでログインが可能です。営業の汎用的な提案書など社外からのアクセスが重要でかつ機密度があまり高くない情報については、エクストラネットを使って情報共有しています。

社外からのメールのアクセスについては、主に Windows Phone を使います。Windows Phone を利用する際は社内インフラにアクセスするのと同じ ID とパスワードを入れると、サーバー設定を自動で読み込みメールの送受信ができるようになるのと同時に、PIN 入力の強制適用も行われます。また、Outlook Web App から自分のデバイス一覧を管理でき、万が一紛失したときはリモートワイプをかけてデータを抹消するなどの対策も可能です。iPhone など他社製のスマートフォンであっても、前述のようにポリシーを満たせるように ActiveSync に対応したものであれば同様に利用が可能です。Windows Phone であれば、IRM のかかった暗号化メールも特別な追加の設定なしで利用可能になります。

図2: Windows Phone で IRM を解読する仕組み

 

 

「私物解禁」「ポリシー強制適用による管理」による柔軟かつ安全なITインフラ管理

このように、従業員に基本的なセキュリティ教育を施しつつ、会社のインフラのしくみでポリシーが強制適用されるようにしておき、それを拒否すると必要なものが使えない状態にしておくことで、従業員は複雑な規則を覚えなくてもセキュリティが確保されたフレキシブル ワークスタイルを実施できます。フレキシブル ワークスタイルの実装にあたっては、従業員に意識をさせないインフラレベルでのセキュリティ確保をしておくことで、柔軟でかつ安全な運用を行うことが可能なのです。

記事