• 伝統的なオフィスはセキュリティのための解決策ではない
• バーチャルオフィスは物理的なオフィス以上にセキュリティを確保しなければならない！
  • 1. パスワードは長くてユニークなものにしなければならない
  • 2. 2段階認証 Two-Factor Authentication (2FA) を設定する
  • 3. 個人所有のデバイスを保護する
• VPNサーバー - クラウド上の安全なバーチャルオフィス
• フィッシング、およびマルウェア対策
• セキュリティは状態ではなくプロセスである
• １つのキーポイント: バーチャルオフィスを常に安全な状態にしよう

伝統的なオフィスはセキュリティのための解決策ではない

チームのデータやシステムを守るために様々なアプローチがあります。昔ながらのアプローチでは、セキュリティのために物理的なオフィスを持つことにこだわります。そうしてはじめて全てを実体的に管理できると主張しています。

全てのデバイスがインターネットに接続されている今、デバイスに保存されているデータはオフィスビルの制約を超えてさまざまなリスクにさらされています。企業によっては追加のファイアーウォールを設けたり、オフィス内のネットワークシステムに制限を設けたりしてアクセスを制限しようとするところもあります。それは素晴らしい取り組みですが、残念ながら持続可能なものではありません。なぜなら、社員がビルを出てしまうと会社のサービスやシステムの多くに (全てではないにしても) アクセスができなくなってしまうからです。

2020年のコロナウィルスによるパンデミックが私たちに教えてくれたことは、オフィスの外にいながらも仕事環境にアクセスを持つことは、単なる利便性だけの問題ではないということです。なくてはならないものなのです。

幸いなことに安全性を確保する方法はあるのです。この章はインターネット上での作業環境を安全な方法で設定したいと考えている大小全てのチームにとって、便利なセキュリティチェックリストとしての役割を果たします。それは長年にわたる私たちの経験や、他企業との話し合いなどから学んだこと、IT業界のベストプラクティスの踏襲と改善などに基づいています。この章はもともと当社のプロダクトVPであるラファウが作成した社内用のチェックリストでした ¹。

チェックリストの中では第19章で紹介したペーパーレス化やクラウドの導入についても触れていますが、ここではインターネットサービスを利用することによるセキュリティについてより深く掘り下げていきたいと思います。

バーチャルオフィスは物理的なオフィス以上にセキュリティを確保しなければならない！

従来のオフィスであれば、犯罪者は侵入するためにまず現地に赴き、さらに鍵を開けたりアラームを解除する方法を考えなければなりません。

バーチャルオフィスはもっと厄介です。インターネットは数ミリ秒のうちにあなたのオフィスへ訪問することができます。コンピューターシステムへのハッキングの方法はたくさんあり、あなたのセキュリティはチームの全員に拠っています。あなたのシステムはその中でも最も安全性の低い人に依存します。だからこそ、定期的にセキュリティポリシーを見直すことが重要なのです。できれば四半期ごとのレビューの時(第16章を参照) や、１対１のキャッチアップのミーティングの際(第24章を参照)にレビューを行いましょう。

1. パスワードは長くてユニークなものにしなければならない

全てのサービスに覚えやすいパスワードを使うのはもう止めにしましょう。Test1234 や Mike1979 といったものはもう止めましょう。確かにそれらのパスワードは最低8文字、小文字と大文字、数字の組み合わせという通常のルールを満たしています。しかし、それだけでは安全ではありません。簡単に推測されてしまうからです。

私たちは、チームの全員にパスワードVaultアプリ² の使用を義務付けています。このアプリは仕事で使う全てのデバイスで機能させています。チームメンバーは各サービスごとにユニークで長いパスワード(最低12文字、できれば20文字) を生成する必要があります。以下のように、用途に応じていくつかのVaultを設定しています:

• Private vault - 各個人のプライベートパスワード - 会社はアクセスができません
• Shared vault - チームメンバー全員と共有します
• Marketing vault - マーケティングサービスに使用されます
• Dev vault - エンジニアリング関連のものに使用されます
• Directors vault - ミッションクリティカルなものに使用されます

この設定では、チームの全員が Shared vault にアクセスできますが、それ以外の追加のvaultには、それぞれの役割に応じて選択された人だけがアクセスできます。

各自はパスワードVaultへアクセスするためのパスワードを覚えておく必要があります。それはマスターパスワードと呼ばれます。パスワードをより安全にするには、４つのランダムな単語と数字を組み合わせるのが一番です。例えばこのように: CarFlowerBiteMust38。これは簡単に覚えることができ、それでいて、誰かまたはシステムがブルートフォース (総当り攻撃) で解読することをほとんど不可能にします。

2. 2段階認証 Two-Factor Authentication (2FA) を設定する

2FA、またはMFA (多要素認証Multi-Factor Authentication)³ はオンラインサービスにセキュリティレイヤーを追加します。当初はオンラインバンキングで使用されていましたが、現在では可能な限りあらゆるところで設定することが推奨されます。つまり、オンラインサービスにログインするには、ユーザー名とパスワードの組み合わせだけでなく、個人所有のデバイス - 通常はスマートフォンで生成されたワンタイムコードが必要になります ⁴。

私たちの会社では毎日多くのオンラインサービスを利用していますが、チームメンバーはその全てに2FAを設定する必要があります - ここにもチェックリストを用意しています [^5]。

頻繁にアクセスするサービスやソーシャルメディアに2FAを設定する一方で、対応する全てのセキュリティオプションについても、以下のように確認するようにしています:

• パスワードをより強固なものに変更します
• アカウントへの追加的なアクセス手段として電話番号を追加します
• あなたのアカウントに(特にソーシャルメディアのプロフィール) アクセスできる可能性のある全てのサービスやアプリをチェックします

チームでの登録を前提とする多くのオンラインサービスでは、チーム全員に2FAの使用を強制するオプションが用意されています。あなたがチームの管理者であれば、このオプションを積極活用してください。こうすることで、次回チームの皆がそれぞれ自分のアカウントにアクセスしたい場合、皆が認証デバイスを設定しなければいけないように仕向けることができます。通常このようなオプションを行使する場合には、約1週間前にチームに事前警告を行います。その後、ひとたびスイッチを入れればチームの全員に設定してもらうことができます。

3. 個人所有のデバイスを保護する

以前は全てのデバイスは会社から支給されていました - IT部署が設定したパソコンや携帯電話などです。しかし近年のスマートフォンやタブレットの出現によって自分のデバイスを持ち込む⁵ というトレンドが生まれ、その結果、それらのポリシーが再考させられています。

私たちの会社でもほとんどの人が自分で所有しているパソコンやスマートフォン、タブレットを使っています。会社がそれらを管理することはありません。その代わりに私たちがしていることは、社員が自分のデバイスのセキュリティを確保できるよう、ベストプラクティスをその都度点検することです。私たちは便利なチェックリストを設けています:

• Macコンピューターの保護について ⁶
• Windowsコンピューターの保護について ⁷
• iOSデバイスの保護について (iPhoneやiPad) ⁸
• Androidスマートフォンの保護について ⁹

チームメンバーが新しいデバイスを設定する際に、これらのチェックリストを必ず確認するようにしています。¹⁰ また、チームの家族にもこれらのチェックリストを送るように勧めています。

VPNサーバー - クラウド上の安全なバーチャルオフィス

高速通信が可能になり当たり前になって来たことで、VPNサーバーを利用する人が増えてきました ¹¹。VPNサーバーと安全な接続を確立すると、そのサーバーを経由してインターネットに接続します。まるで接続しているサーバーがある物理的な場所から接続しているように機能するのです。そのため、VPNは個人の地理的な位置情報を保護する手段として利用されています。あるいは、異なる国のストリーミングサービスで映画を見る手段としても使用されています ¹²。

しかし、私たちが最近発見したVPNサーバーの使い方があります。それは社内の多くのツールのセキュリティを一気に向上させるほどのものでした。

それは、VPNサーバーを クラウド上のバーチャルオフィス として利用することです:

• 会社の正式な住所の近くにあるデータセンターでホスティングされた独自のVPNサーバーに支払います。
• このサーバーにチーム全員に個別のユーザーアカウントを設定しています。
• このVPNサーバーは固有のIPアドレスを持っているので、このサーバーにログインすると、全てのインターネットトラフィックがこのサーバーを経由し、世界からはこのサーバーが私たちのIPアドレスであるかのように見えるのです。
• また、カスタマーサポートのポータル、請求書のポータル、社内wikiなどの社内ツールへのアクセスをこのIPアドレスに限定しています ¹³。

このように設定することにより、いくつかのセキュリティ上の懸念が解消されます:

• インターネット全体への私たちの接続は常に暗号化されています。チームの誰かがノートパソコンでカフェのWiFiホットスポットから接続している場合でも、インターネットのトラフィックはVPNで暗号化されるため、誰も盗み見ることはできません。
• 社内ツールは常に安全です。悪人が顧客データベースやその他の社内ツールをハッキングすることはできません。IPアドレスレベルでブロックされているためです。
• 人を追い出すのも簡単です。誰かが退職する場合には、その人のVPNアカウントを削除するだけですぐに会社のデータへのアクセスを遮断できます。

私たち独自のVPNサーバーを設定し、チーム全員にそれぞれのVPNアカウントを作成することで、以前はオフィスでしかできなかったこのようなセキュリティを再現することができます。VPNサーバーが私たちのオフィスとなるのです。データやサービスにアクセスするにはオフィスにいなければなりません。つまり、私たちのVPNサーバーにログインしなければならないのです。

このVPNサーバーが私たちの一つだけの急所とならないよう、私たちは2つ目のVPNサーバーを全く異なる場所に設置しています。そうすることで、一つのサーバーに障害が発生しても、バーチャルオフィスにログインすることができます。全てのチームにこのようなサーバーを１つ (または２つ) 設定することをお勧めします ¹⁴。

素晴らしいことに、最近のほとんどのデバイスには、VPNサーバーのためのサポートが組み込まれています。それがあればVPN接続にアクセスするために追加のソフトウェアを準備する必要はありません。MacやWindows、Android、iOSにも内蔵されています。私のiPadはほとんどいつもVPNサーバーに接続しています。設定のスイッチ一つの操作だけです。

フィッシング、およびマルウェア対策

もう一つ考慮すべきことは、DNSプロテクションを使用して各チームメンバーのホームオフィスをフィッシング攻撃やマルウェアから保護するというやり方です。こうすることでコンピュータから誤って悪意のあるサーバーにアクセスしてしまうことを防ぎます。設定は非常に簡単です - インターネットルーターのDNSサーバーを変更するだけです¹⁵。

また、メールのメッセージのリンクをクリックするように仕向ける詐欺師やハッカーが使う最新の手口を知っておくことも重要です。これはフィッシングメールと呼ばれ、近年ますます巧妙になってきています ¹⁶。悪意のあるリンクをクリックすると、気づかないうちにコンピューター・ウイルスやスパイ・プログラムをダウンロードしてしまうことがあります。そのため、多くの企業では定期的に社員に対して研修やテストを行い、こうした脅威を認識してもらうようにしています。これがコラボレーションにEメールを使わないようにするもう一つの理由でもあります (第6章を参照)。

セキュリティは状態ではなくプロセスである

セキュリティチェックリストを用意して一度設定し、その後は忘れた状態にしておいて良いというものではありません。セキュリティは常に調整してモニターして改善していくプロセスなのです。

セキュリティは持っていればいいというものではありません。常に見直し改善していくものなのです。

この章を書くためにチェックリストを見ている時にも、前回更新した時からさらに更新する必要があるものがあることに気づきました。私が使っているいくつかのサービスに2FAの設定をしていなかったことにも気づきました。

そこで、これらのチェックリストに目を通して全ての設定が正しく行われているかを確認する、ということも四半期ごとのチームレビューの必須項目にしました。また、チェックリストに修正や変更が必要な場合には、すぐに実行するようにしています ¹⁷。

１つのキーポイント: バーチャルオフィスを常に安全な状態にしよう

この章で紹介したステップやチェックリストを参考にしてください。チーム全員に周知し、全てのセキュリティ・インフラストラクチャーを定期的に見直す体制を整えましょう。可能な限り2FAを使用し、チームためにVPNサーバーを設置することを検討してください。チームを信頼してシステムを安全に保つことはもちろん大切ですが、念のために定期的に見直すことも忘れないでください。