昨今、Microsoft Officeに代表されるオフィススイートはもちろんのこと、連絡ツール、メール、画像、さらには単純なメモ書きまで、クラウド上で保管するのは当然、という風潮になっています。

その背景には多種多彩なWEBサービスの登場があります。
90年代においては、ローカル環境でフリーソフトを使ってどうにか対応していたことも、WEBサービスによって、インターネットにさえつながれば対応ができるようになりました。
企業においても、業務の効率化には欠かせないものとなっています。

一方、中小企業のシステム/セキュリティ担当者としてWEBサービス利用時に気にかけてほしいのが、セキュリティ対策の問題です。

システム担当として、「このサービスを使用したいんだけど…」と聞かれた際には、どう答えるのが最適なのでしょうか?

今回はそのような時に使えるテンプレートの雛形を用意しました。
業務のスピードアップを実現するかもしれないWEBサービスの導入にぜひ役立ててください。

WEBサービスを使用するうえでの懸念点

WEBサービスの大きな種類として
・ブラウザ等を経由したデータ編集
・クラウドでのデータ保管・共有
・ユーザ間コミュニケーション(SNSなど)
などが挙げられます。

これらのサービスの大きなメリットは「インターネットにつながっていればどこでも作業できる」という点です。
しかし、業務で使用する場合は、常に頭に置いておかなければならないポイントがあります。

それは、インターネット上にデータが存在している、ということです。

十分なリテラシー教育がなされなかった結果として、WEBサービスに利用していたIDとパスワードが流出、結果として個人情報などのデータが第三者に漏洩してしまった事故・事例は、SecurityBaseでも紹介している通り、枚挙にいとまがありません。

そういった事態をさけるために、そもそも外部のWEBサービスの利用を禁じている企業も数多くあります。

また、企業の規模が大きくなると、WEBサービスの管理の重要性は増していきます。
その重要性に気づいたタイミングで、適切な管理をするために利用しているWEBサービスを列挙してみたら、システム担当者の予想を超える量の様々なWEBサービスにデータが保管されており手に負えなかった…という声も少なくありません。

・どこにどのようなデータをおいているのか
・どのように認証しているのか
・何のために使用しているのか
・そのWEBサービスは本当に利用する必要があるのか

これらのポイントをしっかり把握せずにWEBサービスの使用を許可してしまうと、問題が発生した際に、調査や追跡、改善策等の策定に大きな労力が必要となってしまいます。

場合によっては、システム担当者が許可を出した責任を問われることもありえるでしょう。

WEBサービスを使用するうえでチェックすべき観点

とはいえ「WEBサービス一切禁止」としてしまえば、業務の効率化を妨げ、社員からも不満が出ることでしょう。

気をつけなければならないのは『WEBサービスの使用方法をマニュアル化すること』『マニュアルを徹底させること』です。

そのためには、使用を検討しているサービスに対して、利用しても問題ないかチェックをする必要があります。

この時のポイントは
A:ログインに関するポイント
B:保管する情報に関するポイント
C:過去の事象に関するポイント
の3つがメインです。

どのポイントをとっても、セキュリティ上のトラブルを避けるために重要なものですので、十分に調査しましょう。

WEBサービスを利用するうえでのチェックリスト

A:ログインに関するポイント

  • IDの作成時に入力する情報が必要最低限である
  • IDの作成時に2段階認証がある
  • ログイン時に2段階を設定できる
  • ログインを複数回失敗した際にロックがかかる
  • パスワードを忘れた際の手順が適切である
  • IDを忘れた際の手順が適切である

具体的にどのような状態が「適切である」かと言うと、「いかにWEBサービス上の画面だけで完結しないか」ということに尽きます。

わかりやすい例として、パスワードを忘れた時のために設定できる「秘密の質問」などが挙げられます。
パスワードを再設定したいIDを入力した後に、その画面のまま秘密の質問に答えるページに飛ぶ、といった設計がよく見受けられますが、例えば、
(1)登録されているメールアドレス宛に秘密の質問の解答ページを送信し、
(2)メールに記載されたURLからページを開き、
(3)回答を入力する。
こういったような、一度サービスから離れるような設計のほうが、より適切であると言えます。

また、パスワードの再発行においては、パスワードがそのままメールに書かれているのもNGです。
もちろん、同じ画面上に仮パスワードが表示されるのも同様で、再発行のための画面を新しくメールで送信する手順が適切です。

B:保管する情報に関するポイント

  • https通信である
  • 各データのアドレスがあてずっぽうで推測できるものではない(もしくは割り当てられていない)
  • サービスに必要不可欠なもの以外は個人情報ページに置けない/書かせない
  • GDPRに関する項目がしっかりと記載されている
  • 課金情報がある場合、その情報をマスクしている (もしくはサービス側で保管せず、決済業者で対応している)

保管する情報はWEBサービスによってまちまちであり、上記に挙げたのは最低限のポイントです。

課金情報などは法律によってルールが決まっており、WEBサービス業者だけで対応するのはかなり困難となっていますので、万全の対策をしているか確認するのは良いポイントでしょう。
また、GDPRは個人情報に関するWEBサービス側の考え方を測る試金石でもあります。しっかりとサポートしているサービスは評価に値するでしょう。

C:過去の事象に関するポイント

  • 過去のプレスリリースが保管されている
  • 障害情報がしっかりと掲載されている
  • 過去にセキュリティインシデントを発生させていない
  • 発生させている場合、詳しい報告書が存在している

過去の事象は主に「現行のWEBサービスの安定性にどれくらい向き合っているか」という評価の尺度です。
障害がひっきりなしに起こるようでは問題外ですが、そうした情報をしっかりと掲出しているかどうかで、サービス提供元の信頼性を測ることができます。

WEBサービスを使用するうえでのチェックリスト運用フロー

ここまでに挙げたチェック項目はあくまで最低限のもので、すべて○か×で評価できる、わかりやすいフォーマットです。
チェックに際しては「導入の申請をした当人」「セキュリティ担当者である自分自身」が同じチェックを実施し、評価をしましょう。

またもちろん、自社で策定しているセキュリティ基準に則した評価の実施も重要です。
両方のチェックを経た上で導入の是非を判断するべきでしょう。

特に新入社員が入る時期などは事前の教育が間に合わず、勝手にWEBサービスを使用してしまったということも見受けられます。
ルールが形骸化しないよう、十分に体制を整えておく必要があります。

まとめ ~WEBサービスは正しく怖がり、確実な業務の効率化につなげましょう~

ここまで、どちらかというとWEBサービスに対して不安になるようなお話をしてきましたが、セキュリティにおいて重要なのは「正しく怖がる」ことです。

問題点がないか確認し、メリットとデメリットを評価した上で正しく向きあうのがセキュリティ担当者のあるべき姿だと言えます。
また、デメリットとなる点は、場合によってはセキュリティソフトによって対応ができることもあるので、あわせて検討すると良いでしょう。

業務の効率化を目指し、セキュリティ担当者として正しく評価ができるようになることが大切です。
そのためのチェックポイントは見逃さず、着実にチェックするようにしてください。