zoi's blog

労働環境の変化に伴い求められる、企業のセキュリティー強化

January 25, 2020

昨今企業の業務・労働環境の変化により、求められるセキュリティー要件に大きな変化が訪れている。 どんなセキュリティ対策が何故求められているのかを、背景と共にまとめる。

目次

新たに求められるようになったセキュリティ対策

いきなり結論だが、新たに必要性が高まってきた対策は以下になる。

大きな背景 原因 対策
働き方改革 副業やリモートワークの普及 社外からの情報管理
SaaSの普及 ID管理の煩雑さ SSOによるアカウント権限の一元管理
オンプレ→クラウド 社内システムのクラウド移行 認証/endpoint/waf/AWSの設定関連

リモートワーク&副業増加と情報管理

hatarakikata
国家として労働人口の減少に対して、上記のような取り組みを行っている。 これにより、必ずしも社内のプライベートなネットワーク環境から機密情報にアクセスする訳ではなくなってしまった。 今迄は社内の情報管理のためにSSL+VPNの導入だけで良かったものが、それでは認可などの管理を含め追いつかなくなってしまった現状がある。また、社外でのネットワーク通信などで端末のエンドポイントセキュリティに対する需要も高まっている。

ID・権限の管理

クラウドシステムが普及し、業務上使うSaaSが急増していることを背景に、ID管理のニーズが高まっている。実際、1企業あたりが利用するSaaSの数は平均すると7にも及ぶという。

hennge

このような運用上の要求に加え、昨今のSaaSサービスがSAML認証に対応していることもあり、クラウドシステムへの認証としては、SSOが対応策として普及しつつある。SSOは結果的に以下の3つが大きな特徴としてニーズを満たす事になった。

  • ID毎の管理要求(入退社でのアカウント管理や権限の強弱)
  • パスワード漏洩、失念へのリスク
  • 利用状況に関するログの取得

クラウドシステムの強化

日本のIT浸透を遅らせる「ランザビジネス」の予算削減のため、クラウド移行が本格的に進行中。

runthebusiness

ただし、それに伴い必要なセキュリティの強化が求められている。 特にサーバー関連の部分でいくとSQLインジェクション、DDoS攻撃などへの対応が求められており、別軸でいくとクラウドサーバー(AWS, GCP)の設定ミスを防ぐサービスなども出てきている。 アプリケーションセキュリティに関する部分では、顕在化している攻撃として認証部分のリスト型攻撃、アプリケーションや端末に対する標的型攻撃の大きく分けて2つが急進している。 これらの対策として、認証部分や各種エンドポイントへのセキュリティ対策も需要が高まっている。

出典


Kyle Mathews

SMB向けのマーケットプレイス事業を売却後、エンプラ向けのSaaSをやってます。元エンジニア:Ruby / Go / Nuxt / ReactNative