企業間コラボレーションのススメ：第2回（1/3 ページ）

第1回では企業間コラボレーションを行う際に考えるべき点と、「サイボウズ コラボレックス」の概要について解説した。今回はITmedia編集部とのやりとりを例に挙げながら、セキュリティ面および各機能の詳細について見ていこう。

[石原 悠（サイボウズ），ITmedia]

ASPで最も気になることは？

第1回の記事では企業間コラボレーションを行う際に考えるべき点と、「サイボウズ コラボレックス」の概要について解説しました。今回はITmedia編集部とのやりとりを例に挙げながら、セキュリティ面および各機能の詳細についてみていきます。

　ASPを利用するにあたっては、「コスト」、「契約条件」、「セキュリティ」といった点を考慮するものですが、まず一番気になるセキュリティについてみてみます。セキュリティというと、ウイルス・バックドア・盗み見・データ改ざん・情報漏洩などのキーワードを想像される方もいるかと思いますが、それらは「セキュリティの要件」が満たされていないために表面的な症状として現れているものです。

「セキュリティの要件」とは何か？

　セキュリティを考える上では、「C.I.A」と言われる3大要件があります。これは、機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の頭文字を取ってそれを並べたもので、それぞれ次のように定義できます。

• 機密性：アクセス権を持つ者だけが、確実に情報へアクセスできること
• 完全性：情報および処理方法が正確および完全であることを保護すること
• 可用性：許可されたユーザーが、必要なときに確実に情報へアクセスできること

セキュリティの3大要件「C.I.A」

　これら3大要件のうち、どれか１つでも満たされていない場合にはセキュアな状態であるとはいえません。これらの3大要件が、「コラボレックス」のアプリケーション機能・システム運用・システム監視によって、どのように満たされているかみてみます。

機密性

　まず、機密性についてです。ASP型のサービスのため、できれば第3者が不用意にアクセスできないような仕組みづくりが根底に求められます。

　「コラボレックス」のアクセスURLは暗号化アルゴリズムを利用して生成されており、第3者から類推されづらくなっています。また、ロボット型検索エンジンのクロールで発見されないようになっているため、検索エンジンを使って探しても見つかりません。

　ログイン認証はアカウント認証方式を採用しており、独自データベースに暗号化して保存、Webブラウザのオートコンプリートを強制解除することで、アカウント名の漏洩を防いでいます。また、役割（ロール）と所属グループによって機能レベルおよび情報の参照レベルのアクセスコントロールを実現しており、各ユーザーの扱える情報に制限を加えることができます。

　信頼性と機密性を持ったASPサービスを提供するため、サイボウズ社内ではシステム環境やデータの取り扱いなどを規定したセキュリティポリシーを設定し、その規定に則って運用されています。当然ながらサイボウズ社内メンバーおよび運用管理委託先メンバーはメンテナンス作業以外ではユーザーのデータに一切アクセスすることはなく、また、すべての作業についてもログのレポート化などを義務づけています。

完全性

　コラボレックスの運用環境ではポートスキャンやDoS攻撃など、外部からの攻撃によるシステムの異常動作を防げるシステム構成を取っています。一例を挙げると、HTTPおよびHTTPS以外の不要なサーバポートはすべて塞いであり、ファイアウオールなどのネットワーク機器も多重化しています。

　アクセス可能なIPアドレスを制限することも可能で、特定の環境下からでないと利用できないようにしたり、アクセスURLが漏洩した場合にアクセス制限を行うことができます。

　そのほか、データの完全性を高めるために独自データベースのミラーリングを行っており、データ破損が発生した場合には直前のデータまで戻すことができます。また、ハードウエア障害など万が一の事態に備えてシステムの自動バックアップを実施しています。

可用性

　コラボレックスは、24時間365日サーバが稼動しており、システム管理者が登録したユーザーのみアクセスできます。

　また、不要になったユーザーアカウントの削除・利用の一時停止はシステム管理者が随時行うことが可能で、退社したユーザーなどによる情報漏洩を防ぐことができます。なお、システム管理機能はロールベースとなっているので、複数のユーザーにシステムの管理機能を所持させることも可能です。

---

　これら、3大要件が満たされていることで、インターネット上であっても安心して情報のやりとりを行うことができるのです。また、「コラボレックス」では、安全な環境を提供しているだけでなく、サイボウズ社がもっとも得意とする「誰にでも使いやすいユーザーインタフェース」を提供します。次のページでは、この部分について説明します。