こんにちは。業務委託でPR TIMESにJOINしているコーポレートエンジニアの木戸啓太です。経歴はNetworkEngineer、ServerEngineerを経て外資系ベンダーでSIer及び社内システムEngineerを経験し、その後、freee株式会社に、確実なIPO実現のため、コーポレートIT部門の立ち上げの責任者として参画しました。同社では、ITEngineerも務めながらCSIRTも兼務し、セキュリティ整備を実施。 現在は、バリュエンステクノロジーズ株式会社の執行役員CIO、情報システム部長/コーポレートエンジニアをしています。
また、他社での業務委託やIT顧問なども担いISMSやPマーク取得~更新、監査対応等も対応しています。
PR TIMESではIT課題を整理しつつ新しいソリューションの提案から導入を行なっています。最初にPJのWBSを作成し、ガントチャートにて細分化しタスク整理してきました。
これまでの情シスは、問題が降りてきたら対処する、社内環境を安定させ維持する役割が主でした。そのため、縁の下の力持ち、バックオフィスをサポートする部署と思われがちです。ですが、私は、敢えて攻め進みます。
この記事では開発本部コーポレートチームが始動した2021/6から半年ほどの間に私がやったことを紹介します。
Googleアカウント 二要素認証の実施
私がJOINして最初に実施したことはGoogleアカウントの二要素認証になります。簡単に言ってしまうと、アクセス権限を得るのに必要な本人確認をすることです。単一の認証方法では、攻撃によって突破されるとアウトでした。しかし、二要素認証になると最初の認証が突破されても、次の認証でブロックできます。複数の認証方法を組み合わせることで、さらに攻撃に対する防御力を高めらます。このように、悪意を持った第三者からのアタックを防ぐセキュリティを実現することができます。
導入するだけで簡単と思われるかもしれませんが、全体に展開して運用を徹底するのは以外と難しいものです。各人のITリテラシーはさまざまなので、なぜ、それが必要なのか・設定しないといけないのか等の背景や目的を伝え理解を得る必要があります。従来のIDとパスワードのみの認証の方があきらかに簡単です。このような1つ1つの細かい積み重ねがセキュリティを強化していく第一歩になります。今は浸透しパスワードマネージャーでQRコードを読み取り管理したり、スマフォで管理してもらっています。
パスワードマーネージャーによるパスワード管理
次に会社全体で散乱しているパスワードを管理してくことにしました。ほとんどの会社がExcelやスプレッドシートなどで管理していますが、セキュアな方法でクラウドに保存することにしました。パスワードマネージャは『1Password』『LastPass』『Bitwarden』などがあります。私は個人的に『1Password』が好きなのとCTOの金子さんも個人的に今も利用していることもあり『1Password』を導入することにしました。
目的・背景としては下記になります。
- 個人のスプレッドシートなどのパスワード管理を廃止する
- 部門でパスワードを一元管理する
- 変更のlog等を残す
- パスワードの復元が可能
その結果、パスワード管理の負担軽減と安全性を⾼めることができました。
IDaaSの導入
当時はID管理の仕組みが整っておらずクラウドサービスの可視化ができていませんでした。その為、入社時に必要なクラウドサービスが割り当てできていないという状況もありました。退職の際はクラウドサービスの割り当て解除作業が後回しになるという課題もあり『Onelogin』を導入しました。『Okta』や『Google Cloud Identity』も検討しましたが安価で私自身がなれているソリューションにしました。
情報システム業務としては入退社に伴うクラウドアカウント作成・削除を自動化させることで業務工数が減り、かつ漏れ防止になります。特に退社に伴うアカウント削除を手作業で行う場合、作業漏れが発生してしまうと危険なのでOneloginのProvisioning(プロビジョニング)機能で、自動アカウント作成・自動削除を実現しました。
クラウド型IT資産管理
元々、情報漏洩対策の為であるIT資産管理ツールは導入されていました。操作ログ、外部デバイスの禁止・解除、web通信ログなど。しかし、リモートワークのことを想定できておらず、オンプレミス型のツールだった為、社外へPCを持ち出した際にPCログが収集できない問題がありました。また、管理者が瞬時に従業員の操作ログを閲覧したり、USBデバイスを禁止から一時的利用させる為の許可を設定することができません。それも、他のシステムとともにクラウドへ移行したことから、当該のIT資産管理ツールもクラウド化しました。IT統制や監査対応の為に、情報を取得したログ等は3年保持することやインシデント発生時に後追いできることがメリットとなります。また、最近では勤怠ログも収集できることから働き方改革の見直しでも活用されています。
MacのMDM(Jamf Pro)
リモートワークが増えてこともありますが、その対策も含めMac端末に対して下記の対応が必要だと判断しました。
■Apple IDの管理ができていない
個人のApple IDと会社配布のMacが結び付けられてしまっており、各々がアプリケーションをインストールしている。Macにインストールされたアプリケーションを把握できていない。
■MacOS、iOSのUpdateを制御できていない
OSのupdateを制御できないため、古いままで脆弱なversionを使い続ける状態にある端末が存在する。また、逆に、最新版へのupdateによってウィルス対策ソフトなどと干渉し、使用不能となる場合にはupdateを抑制できない。
■アプリケーションを制御できない
- 必須アプリケーションをuninstallされてしまう
- 害のあるアプリケーションをinstallされてしまう
- ブラウザのプラグインを制御できない
■リモートのMacOSを制御できない
リモートにある端末を制御できないため、配布したPCを盗難されると情報を守る手段がない。
これらを管理する為にも『Jamf Pro』を導入しました。Jamf ProはMDM(Mobile Device Management)ですがPCを管理するだけでなくゼロタッチデプロイで自動キッティングをすることができます。当時もMacのキッティングには時間がかかってしまっていましたが半分の時間に短縮することでできました。構成プロファイルとポリシーの組み合わせによってMacにログインした際には必要なアプリなどがインストールされている状態になります。後は、インターネットにつないで数分待てば必要なアプリケーションがインストールされて、いつものキッティングのように使用できる状態になります。その為、数台平行して必要最低限のキッティングを済ませおいておけばキッティング完了です。※Oneloginを導入しているのでJmaf connectのログインもありますが今は実施していません。
Jamf Proの運用管理は少々大変ですが運用を行っていきます。
WindowsのMDM(Intune)
MacのMDMであるJamf Proの説明をしましたがWindowsでも似た課題を抱えていました。リモートワークなど社外へ持ち出した時のWindows端末を制御できず、情報を守る手段がないことや、PCキッティングの効率を高めたいことです。当時はオンプレミス型のWIndows Server状でActive Directoryを構築しドメイン参加させて管理していたので、まずAzure ADに移行し、Intuneも導入しました。PCに構成プロファイルを配布し管理を行いました。BitLockerの回復キーの収集や社内のwi-fi環境への自動アクセスなどを実現しています。Chrome などの .msi ファイルを配布してWindows端末に自動配布することも可能です。※.exeなどの配布も可能ですが今回は割愛いたします
Intuneへの移行自体は大変ではないのですが後続にも出てくる、オンプレミス型のActive DirectoryからAzure ADへ移行する時が従業員全体に影響してくるので大変です。詳細は、そちらでご説明させて頂きたいと思います。
オンプレミス型Windows Server及びファイルサーバの廃止そしてクラウド化へ
社内のWindows端末はオンプレミス型のWindows ServerのActive Directoryで管理していました。Mac端末はADバインドせずローカルアカウントでログインし個々で管理していました。その中、2022年のオフィス移転に伴いWindows Serverを廃止し全てクラウド化することとなりました。当時はグループポリシーを見直したり、セキュリティグループを確認したりどんなユーザーやグループが存在しているかなど棚卸がとても大変でした。それらをAzure ADに移行しOneloginをマスターとしてProvisioning機能とSSOを利用しWindows端末の管理を実現しました。
それと同時にWindows FileServerを使用していた為、全てのフォルダ構成をGoogleDriveへ移行を実施しました。Windows FileServerのOUとセキュリティ設定を確認しGoogle Driveの共有ドライブで同じ構成を作成し各部署で棚卸をした後に移行していただきました。ここでも問題発生です。ここに発生した問題はGoogle Driveで共有できるファイル数の上限です。40万個上限がある為、既存のファイルサーバの構成ではファイル数の上限に達成してしまいます。その為、更に共有ドライブを細分化し細かいディレクトリ階層を作成し、管理をすることにしました。
Google Driveを可視化し運用管理する
Google Driveは非常に便利で外部共有の設定を行ったり、期限を決めて設定することができます。メールの添付ファイルに関しては暗号化zipファイルを廃止するため、共有したいファイルにGoogle Driveの外部共有機能で期限を30日と指定して『特定のユーザーとして共有』を実施します。この運用を自動化することが出来れば棚卸も毎回しなくて良いのですが、なかなか、自動化できていないことから利用者のアナログの設定になりお任せしていることが現状です。
その為、外部共有リンクの期限設定は自動化できず手動設定になること。それが、設定されていない場合、永続的に外部共有がされ気づけないことになります。それらの対策として下記を目的として『Drivechecker』の導入しました。これにより以下の内容が実現できています。
- Driveの外部共有を把握してレポートを取得する
- 条件やルールを定義して情報漏洩を防ぐ
- 外部共有されているリンクを自動で解除する仕組みをつくる
これによりDriveの外部共有を30日単位で監視してそれ以降は自動で外部共有が解除されるようになりました。導入した結果、下記の効果がありました。
- 指定日経過後に共有設定を自動解除
- 不適切な共有状況を発見した場合、ファイルオーナーに共有状況を見直す通知を行う
- GoogleDriveの利便性を損なわず従業員が円滑に業務を遂行する上で、システム管理者は異常を検知する管理の仕組みを充分に備える
移転に伴うネットワーク機器をクラウド管理する
前述の説明の中にオンプレミス型のWindows Serverがあったり、いわゆる物理サーバが沢山あるなかそれをクラウド化し、オフィスに来ずともネットワーク機器もクラウド管理したいという思いがありました。オフィスのネットワーク機器については都度、VPNを接続して管理することもなくしたいと思っています。
今回の構成はRouterはFortigateのHA構成にしその配下は全てCisco Merakiで設計しています。Cisco MerakiのL3 Switch MS355シリーズでスタックし冗長化しSPOF対策をしています。無線APはwi-fi6対応のMR46を導入しLANケーブルをCat6aなどにし通信速度10Gbpsにしています。移転して5年以上は既存の環境を使用し続けることを考慮しています。Cisco Merakiの無線APであれば内臓VLANでセグメントを別けることもできる為、ゲスト用に回線を設けても社内ネットワークと分離させインターネット接続だけさせることが可能です。また、社内ネットワークについては特定のデバイスでしかつながないデバイス認証も可能です。アラート時間を5分に定義して死活監視することでCisco MerakiはSwitchも含め検知することができるのと、1つのダッシュボードですべてのネットワーク機器を管理することができるのでオフィスに来なくてもインターネット上ですべてネットワーク機器を管理することが可能となりました。
移転で使用するRouterではOneloginのRADIUSを使用します。RADIUS認証でVPNを利用するユーザーはOneloginに存在している事を前提にしています。Oneloginに不在になったユーザーはVPN利用をできなくできます。基本、当社ではVPNは使用しない運用ですが特定のユーザーの為の運用になります。
オンプレミス型主装置をクラウドPBXへリプレース
電話システムはビジネスフォンを使用する為の主装置をオフィスに設置し電話を使用していました。オフィスへ出社しないと電話の発着信ができない環境でした。そのためリモートワークの際は一時的に着信した番号を携帯電話へ転送するなど行って対応しました。しかし、着信した際の音声ガイダンスなど含めた設定変更を業者さんへ都度依頼することになります。今回のオフィス移転に伴い、既存の電話システムを移行すると費用が膨大になります。リモート環境でも電話の発着信ができることも考慮してクラウドPBX(BIZTEL)を導入いたしました。
新たに、コールフローを構築することも大変ですが一番は今まで電話機を使用して電話の発着信をしていた従業員がPCを使用し電話をするイメージがない為、デモを行い検証を実施してきました。オフィス移転プロジェクトの方たちと連携することによって、導入を実現することができたと思っています。
最後に
まだまだ書きたいことは沢山あります。Endpoint Security対策でもあるEPP/EDRの導入やシャドーITの可視化をする為にCASB/SASE導入。リモートワークの為にもインターネット通信を保護したweb securityなど。課題も沢山ありますが今後も攻めの情シスを実行していきたいと思います。