数少ない日本勢として「ちょうどいい」セキュリティ対策を追求する「HENNGE One」：クラウド製品を利用する企業に最低限必要なセキュリティ対策とは？

情報システム部門は必要なセキュリティ対策を全て導入したい。一方、経営陣にとっては事業継続に必要な最小限の投資にとどめたい。両者に折り合いがつく「ちょうどいい」セキュリティ対策とは。近年、次々と機能アップデートを仕掛けるHENNGE Oneのプロダクトマネジャーに話を聞いた。

[PR／ITmedia]

PR

　ランサムウェアをはじめとしたサイバー攻撃は激しくなる一方だ。企業におけるセキュリティ対策の重要性自体はようやく認知されつつある。サプライチェーンを狙った攻撃は活発化しており、対応を後回しにするとビジネス上不利になるリスクがある。

　しかしリソースが限られている企業では万全なセキュリティ対策を講じようとしてもノウハウが不足し、費用面からも事実上、困難だ。また、「自社にとって本当に必要なセキュリティ対策は何か」という問いに答えようとしてお手本とすべき他社を探しても、秘匿を基本とする企業が多く、状況がよく見えない。危険な状況に陥る前に企業がまずやるべき対策とは何だろうか。

クラウドサービスの普及で生まれた“弊害” ID／パスワードをどう管理するか

　コロナ禍を経て働く環境は大きく変化した。それにつれて、求められるセキュリティの在り方も大きく変わってきた。HENNGEの宮口 まりこ氏（Product Planning & Research Division）は、近年の状況を踏まえて次のように語る。

HENNGEの宮口 まりこ氏

　「テレワークなどの働き方の変化が一因となって、クラウドサービスが広く普及しました。『どこでもすぐに使える』『継続的にアップデートされる』『サービス間の連携が柔軟』『政府が利活用を推奨している』といった背景も拡大を後押ししています。最近は出社回帰の風潮もありますが、こうした“クラウド化”の流れは継続するでしょう。それに伴った課題もあります。クラウドサービスは非常に便利ですが、利用数を増やせば増やすほど、ID／パスワードの管理が複雑になってしまうのです」

　宮口氏はIDaaS（IDentity as a Service）の導入によってこの課題を解決できると言う。

　「最近のサイバー攻撃では、クラウドサービスなどのID／パスワードを窃取し、正規のユーザーに“なりすまして”ログインするケースが増えています。こうしたサイバーリスクに対処するにはID／パスワードの適切な管理に加えてユーザーの権限に応じたアクセス制御を取り入れる必要があります」（宮口氏）

　コロナ禍では、とにかく社外から業務情報にアクセスできるようにしようとして急ごしらえで環境を整えた企業も多かった。これが一段落した現在、企業の働き方やセキュリティポリシーにのっとった環境をあらためて実現したいという機運が高まっている。クラウドサービスの“利便性確保”と“セキュリティ強化”を両立させるという意味でも、IDaaSを用いたID／パスワード管理は有効な手段だと言える。

HENNGEの谷岡 なつみ氏

　そしてもう一つ、忘れてはいけないのがメールセキュリティだ。HENNGEの谷岡 なつみ氏（Product Planning & Research Division）は「メールはまだまだビジネスに必要不可欠です。悪意のあるなしにかかわらず、機密情報を組織外に送信してしまわないようメール送信時には細心の注意を払う必要がありますし、ランサムウェアを含むマルウェア感染の初期経路の多くがメール経由だということを踏まえると、受信した悪意のあるメールからどのように身を守るのかを考えることも重要です」と語る。

　パスワード付きZIPファイルをメールに添付して送り、ZIPファイルを展開するためのパスワードを別送する、いわゆる「PPAP」からの脱却にも対応しなければならない。HENNGEの調査によると、47.4％の企業がPPAP廃止に向かっていると回答したが、依然として25.3％の企業はPPAPの送信を許可しているという。

ID管理とメールセキュリティを同時にカバーするには

　ウイルス対策ソフトや最新アップデートの適用などはセキュリティ対策の常識とされてきた。だが、振り返って考えてみればほとんど全ての企業でID／パスワードと電子メールを利用する。そのためサイバー攻撃を仕掛ける側も社内の情報への入り口として狙っている。

　これらの対策を講じたい企業のために、HENNGEは「HENNGE One」を提供している。HENNGE OneはID管理とメールセキュリティという2つのセキュリティ領域をカバーできるクラウドサービスだ。「セキュリティは重要だが、まずは最低限必要なセキュリティ対策を実施したい」「多くの製品を導入して管理が複雑化することは避けたい」という企業に適したサービスだという。

　HENNGE Oneには2つのエディションがある。一つは「Microsoft 365」「Google Workspace」「Box」など複数のクラウドサービスのID／パスワード統合とアクセス制御による不正アクセス対策を実現する「IdP Edition」。もう一つは脱PPAP対策や標的型攻撃対策、メール誤送信／監査対応など、幅広いメールセキュリティ機能を搭載する「E-Mail Security Edition」だ。

HENNGE Oneのサービスイメージ（提供：HENNGE）

　IdP Editionの特徴はサービスのアップデート頻度が高いことだ。ここ1年は1週間に1度のペースで新機能の追加や機能改善を続けている。

1週間に1度のペースで新機能の追加や機能改善を継続（提供：HENNGE）

　IdP Editionは、IDaaS機能「HENNGE Access Control」のAPI公開と新たな管理UI「Modern View」の提供というメジャーアップデートを2023年に実施した。

　HENNGE Access ControlのAPIを使ったシステムを構築することで、別のシステム／サービスとIdP Editionの機能を連携させて活用できる。例えば、従業員が入社したとき、人事部が人事サービスに従業員情報を登録したタイミングで、API経由でワークフローを実行して、その従業員に必要なアクセスコントロールのアカウントを自動的に発行することが可能だ。また、その手続きのログ取得や出力まで自動化することもできる。このようにAPIを活用することで、柔軟にIDライフサイクル周辺のフローを自動化できる。

　Modern Viewは直感的で誰にでも分かりやすいUIを目指した設計で、セキュリティ専任エンジニアでなくても使いやすいという。部分一致検索やより詳しい説明の表示といった細かな改善と、あるとうれしい新機能の追加を重ねて、分かりやすさと使いやすさを両立する強化を実現した。特に、CSV形式を経由せずに管理画面内でデバイス証明書の発行が完結できるようになった点は、顧客からのフィードバックが特に良かったという。

　E-Mail Security Editionもアップデートされた。脱PPAPを実現する「HENNGE Secure Download」機能とBoxを連携させる「HENNGE Secure Download for Box」機能を2023年6月にリリースした。

　HENNGE Secure Downloadはメールから添付ファイルを切り離し、代わりにダウンロードサイトのURLを記載したPDFファイルを添付する機能だ。受信者はPDFファイル中のURLにアクセスすることで添付ファイルをダウンロードできる。

　HENNGE Secure Download for Boxを使うと、ファイルのアップロード先をBoxのファイルサーバに変更できるため、Box利用企業はファイルを一元管理できるようになる。これまでBoxを使って自力で脱PPAPの対策をしていた企業は、HENNGE Secure Download for BoxによってBox関連の操作やパスワード設定漏れを懸念することなく、直感的にファイルを添付するだけで済むようになった。

　その他、ファイル転送機能「HENNGE Secure Transfer」のUIなどを刷新し、モダン化を実現した。ここ最近のファイル大容量化に合わせて、最大2GBまでの転送を可能にした。セキュリティに関しても、ダウンロードできるユーザーを指定できる機能を追加し、特定のドメインや特定のユーザーしかダウンロードできないようにした。これによって、リンクとパスワードが流出してもファイルが盗まれる可能性を低減できる。

今後も続々と予定されている新機能

　今後もIdP EditionとE-Mail Security Editionに新機能を続々と追加する予定だ。IdP EditionはIDライフサイクルマネジメントの効率化を予定している。

　「これはクラウド活用が進むにつれて課題となってきたIDライフサイクル管理のための機能です。HENNGE Access Controlと連携しているクラウドサービスやオンプレミスサービスのアカウント追加／更新／削除を自動化します。手作業によるアカウントの管理漏れやそれに伴って生じるセキュリティホールを防ぎます」（宮口氏）

　クラウドサービスごとにアクセス条件を個別設定できるようにする機能の提供も予定している。例えば、会社のルールとして基本的にはIP制御によって従業員のサービスへのアクセスを許可しているが、オフィス外からいつでも利用する必要がある特定のサービスだけは別の条件として証明書を用いてアクセスできるといった設定が可能になり、今まで以上に柔軟なアクセス制御が実現できる。

　E-Mail Security Editionでは、HENNGE Secure Downloadのアップデート版が2023年10月に提供された。

HENNGE Secure Downloadは利用企業数が35万社を突破した（提供：HENNGE）

　谷岡氏は「利用企業が35万社を突破したからこそ多くのフィードバックが寄せられており、それらに応えて開発を促進させています」と話す。

　1つ目はHENNGE Secure Downloadをより多くの顧客に利用してもらうための仕様拡張だ。これまでは添付ファイルをURL化し、日本語や英語など複数の言語があらかじめセットされたPDFに書き込む形を採用していた。仕様拡張後は、URLをPDFに記述するか本文に記述するか、使用言語を日本語、英語、中国語（簡体字、繁体字）の4種類のどれにするかを選択できる。

　2つ目は情報漏えい対策機能の改善だ。共有されたファイルのアクセス権を一元管理できるようにする。ビジネスチャットなど新しいコミュニケーションチャネルが増えて分かりにくくなっているファイルの共有状態を可視化し、管理可能にすることを目指している。

純粋な国産サービスだからこそ提供できる手厚い伴走体制

　谷岡氏は最後に「アクセスセキュリティやメールセキュリティなど多くの領域をまたいで総合的にセキュリティソリューションを展開しているのは、HENNGEならではだと思います。純粋な国産サービスとして、設定代行サービスを含めて顧客が利用を開始できるまで当社の専任コンサルティングチームがサポートするといった手厚い伴走体制を敷いていることも、日本に本拠地を構える私たちだから可能なサービスだと自負しています」と語った。