「平成生まれのハッカー社長」が考える、働き方改革に潜む“脆弱性”とは？（2/4 ページ）

[タンクフル，ITmedia]

会場の参加者にも現状を聞いてみたところ……

　プレゼンテーションツールで会場の参加者にアンケートを取ったところ、社内で1つのIDを使い回している人は半数以上に上った。他にも社内のルールとして、「90日に一度パスワードを変更させる」システムや「メールの添付ファイルを暗号化ZIPで送付して、そのパスワードを別メールで送る」というルールを採用している企業もあるかもしれない。しかし、これだけでは不十分だという。

　例えば、添付ファイルを暗号化ZIPで送ると、メールの検疫をスルーされるリスクが生まれてしまう。暗号化ZIPのおかげで、導入しているセキュリティ製品が一度も機能していなかった……という可能性もあるのだ。

「社内で1つのIDを使い回しているか」というテーマで来場者にアンケートを取ったところ、半数以上の人が「はい」と答えた

ゲヒルンでは、リモートワークをどう行っている？

　それでは、ゲヒルンではどのようにリモートワークを行っているのだろうか。いつでもリモートワークができるようにしているゲヒルンでは、オフィスがあるものの、「天気が悪いと誰もオフィスにいないこともある」（石森氏）という。

　全ての社員がPGP（Pretty Good Privacy）技術を用いた公開鍵、秘密鍵を持っており、ファイルサーバに機密情報を保存する際には、PGPで暗号化している。秘密鍵の管理には、各社員が5000円程度から購入可能なハードウェアキーを持って運用しているそうだが「マイナンバ―カードにも秘密鍵が格納されているため、それで暗号化や認証を行える」と石森氏は考えているようだ。

　「社内システム」のほとんどは、インターネット上の公開サーバ上で動いているという。タイムカードシステムや脆弱性診断レポート支援システム、防災情報管理システムなど、業務に直接関わるものも動いており、同社独自のGehirn IDやGoogle IDでアクセス管理を行っているそうだ。

　こうした施策は、何もゲヒルンだけのものではなく、世界中の企業で、アクセス制御点をネットワーク境界から、個々の端末やユーザーに移すトレンドがあるとのことで、「Googleもこれによってモバイルワークを実現している」（石森氏）という。

　ゲヒルンでは、クライアントなどの外部の人間にも、社内ファイル共有システムにアクセスできるIDを発行している。IDで識別してセキュリティ要件を満たすことで、ネットワークの境界防御を使わない仕組みを整えているのだ。リモートワークを実現するためには、まず社内ネットワークを見直すこと――。「インフラ部門が適切な管理を行えれば、最新のセキュリティ要件を満たせる」と石森氏は強調する。

ゲヒルンだけの取り組みではなく、GoogleではCloud IAP（ID-Aware Proxy）を使用してアクセス制御を行っている