グループウェアのセキュリティ対策が不十分では、機密情報が外部に流出し、企業としての信用失墜や市場における優位性の低下などにつながります。グループウェアの入れ替えを検討しているのなら、この機会にセキュリティも見直してみましょう。本記事では、グループウェアのセキュリティ対策や注意すべきポイントを解説します。
グループウェアのセキュリティ対策でチェックすべき6つのポイント
現在、主流となっているグループウェアはオンラインで利用できるクラウド型です。クラウド型グループウェアの導入や移行においては、アクセス制限、多要素認証、データセンターのセキュリティ体制などをチェックしなくてはなりません。
1. アクセス制限
アクセス制限ができないグループウェアでは、誰でも自由にアクセスできてしまい、セキュリティリスクを招きます。役職ごとにアクセスできる情報を変えられるか、細かくアクセス権限を付与できるか、といった部分をチェックしておきましょう。
グループウェアによって、アクセス制限機能に違いがあるため注意が必要です。たとえば、個々の従業員へアクセス権限を付与できるものもあれば、役職や部署にあわせて権限を一括付与できるものもあります。
2. 多要素認証
多要素認証では、ログインの際に複数の認証要素を用います。パスワードを入力するのみ、といった単要素認証に比べセキュリティレベルを大幅に強化でき、不正アクセスやなりすましなどのリスクを回避できます。
多要素認証では、知識情報と生体情報、所持情報の3要素をうまく組み合わせるのが特徴です。知識情報にはパスワードや自分だけが答えられる秘密の質問などが該当し、生体情報には指紋や声紋、網膜認証、所持情報にはスマートフォンやハードウェアトークン、ICカードなどが該当します。
多くのグループウェアではこれらの機能は追加オプションとして提供されています。
3. 監査ログ/監視ログ
監査ログは、外部からのサイバー攻撃や不正アクセスなどを受けた際、速やかに検知する仕組みです。問題が発生した際に確実な証拠となるため、これらの機能が実装されているかどうかは重要です。
監査ログ機能は、外部からの攻撃に有効なだけでなく、内部不正の防止にも有効です。社内のユーザーがどのような行動をしているのか、不正を働いていないか、理由なく機密情報へアクセスしていないか、といったことをチェックできます。
怪しい行動をする従業員をいち早く把握できるため、情報漏えいをはじめとした組織に不利益をもたらす行為を食いとめられます。
4. メール制御
メールの利用に起因した情報漏えいは少なくありません。機密情報の誤送信などのヒューマンエラーにより情報が外部へ流出してしまうおそれがあります。
このような事態を回避するには、メール制御の機能が必須です。受信メールへのセキュリティ対策としてはウイルス対策ソフトが有効ですが、送信メールによる情報漏えい防止は別途適切な対策をしなくてはなりません。
クラウド型グループウェアのセキュリティ強化ソリューションのなかには、誤送信対策を強化できるサービスもあります。これについては、のちほど詳しく解説します。
5. モバイルセキュリティ
スマートフォンやタブレット端末、ノートPCなどを紛失した結果、情報が外部へ流出することも珍しくありません。デバイスのなかを覗かれてしまい、機密情報が流出するケースです。
このような事態を避けるために、モバイル端末の紛失や盗難による情報漏えいリスクへも備えておかねばなりません。たとえば、紛失した端末に保管されている情報を、遠隔で消去できる機能があれば安心です。また、対象端末にリモートでロックをかけ、誰にも操作できないようにする機能もあるとなお安心できます。
6. データセンター(運営会社)のセキュリティ体制
データセンターのセキュリティが強固であるほど、安心して利用できます。災害やサイバー攻撃、システム障害などに対して適切な対策ができていないと通常通りの運営ができなくなるおそれがあるため、必ずチェックしましょう。
緊急時にデータをどのようにバックアップするのかも確認が必要です。データを安全にバックアップできる体制が整っていなければ、大切なデータが消失してしまうかもしれません。サービス事業者の公式HPなどで、具体的にどのようなセキュリティ体制を整備しているのか確認が必要です。
グループウェアのシステム移行時に注意したい点
グループウェアのシステム移行時に注意すべきことについて解説します。既存機能やデータを利用できるか、必要な機能が備わっているか、移行サポートの有無、追加セキュリティ対策の必要性の四つです。
1. 既存の機能やデータが利用可能か
既存のシステムに実装されていた機能を、新たなグループウェアで使えるかどうか確認しましょう。ほとんど使わない、優先順位の低い機能であればまだしも、どうしても使いたい機能が移行先で使えないとなると問題です。まったく同じ機能でなくても、同等、もしくは相当する機能を実装しているかどうかの確認をしておかねばなりません。
既存のデータを利用できるかどうかも確認しましょう。もし、新たなシステムで既存データが利用できないとなれば、通常業務に大きな支障をきたすおそれがあります。
2. 必要な機能が備わっているか
グループウェア選びにおいて重要なのは、自社が求める必要な機能を備えているかどうかです。実装している機能が多い=優れたグループウェアではありません。数多くの機能を実装していたとしても、使いこなせれば意味がなく宝の持ち腐れになってしまいます。
サービスの仕様をチェックし、自社の課題解決や目的の達成に必要な機能が実装されているか確認しましょう。また、システムの導入実績に目を通し、どのような業界で成果をあげているのか、どの程度の規模の企業に適しているのかなどを確認することも大切です。
3. 移行サポートはあるか
グループウェアを移行するとなると、機能やデータを新たなシステムへと移さねばならず、時間と手間がかかります。スムーズに移行を済ませたいのであれば、グループウェアのベンダーが移行サポートを提供しているかどうかを確認しておきましょう。
移行サポートを行っているメーカーやベンダーであれば、時間をかけずにスムーズに移行できます。メーカーのなかには、移行手続きを代行してくれるところもあります。具体的にどのようなサポートが受けられるのか、サポートを利用する際に費用が発生するのかなどをチェックし、そのうえで移行するかどうかを決めましょう。
4. 追加のセキュリティ対策が必要か
グループウェアによって、デフォルトで備わっているセキュリティ機能や水準は異なります。もし、実装されているセキュリティ対策で不十分であれば、そのまま利用するのはセキュリティリスクが高まるため、適切な追加対策が求められます。
追加でセキュリティ対策が必要となれば、その分の費用が発生するため注意が必要です。どの程度の追加セキュリティ対策をするかによっても、必要となる費用が大きく変化します。
グループウェアのセキュリティはHENNGE Oneで強化
「HENNGE One」は、さまざまなクラウドサービスの安全な運用を可能とするセキュリティソリューションです。シングルサインオンによって200以上のクラウドサービスへ安全にアクセスでき、適切なアクセス制限と高度なメールセキュリティを実現します。
HENNGE Oneの認証基盤を使えば、グループウェアを移行しても従業員にIDやパスワードの変更を求めずに済みます。そのため、スムーズにグループウェアを移行可能です。
また、最近ではグループウェアとメールサーバーを分けて管理されるケースも多くメールのみExchange OnlineやGmailを利用するといった例も増えています。HENNGE Oneを構成する「E-Mail Security Edition」はこれらのクラウドメールサーバーに対応した高度なメールセキュリティであり、誤送信対策としても有効です。こうしたメールセキュリティソリューションは、実際に大手企業でも活用されています。
まとめ
グループウェアを移行する際には、セキュリティ機能にアクセス制限や多要素認証、監査ログなどが実装されているかどうかをチェックしましょう。また、既存のデータや機能を使えるか、移行サポートはあるかといった部分も確認しなくてはなりません。デフォルトで実装されているセキュリティ対策が不十分であれば、適切な追加対策も求められます。
