“社内LAN”を撲滅してISMS認証を取得するための極意を聞いてきた

  • このエントリーをはてなブックマークに追加

こんにちは、シックス・アパートのです。

昨年12月にサーバーワークス社の大石社長のブログ記事「社内LAN撲滅運動 ― ISO27001(ISMS)認証を取得しました | 社長ブログ」を読んで以来、「詳しい話を読みたい」と思っていたところ、去る3月9日(土)に開催された「第32回 WebSig会議」で大石さんが登壇し、まさに「社内LAN撲滅運動」というタイトルの講演をされるというので、かなり前のめりで(最前列のど真ん中の席を確保!)、今回のWebSig会議に参加してきました。

サーバー・リソースのムダに悩む

大石さんの出番は2番目。のっけから大石さんは、自身を大石内蔵助になぞらえつつ、いかにして社内LANのサーバーをなくしつつ、セキュリティを強化していったのかを説明してくださいました。

元々、サーバーワークス社は大学向けに合格発表サービスを提供していたそうなのですが、合格発表日にピークになるトラフィックをさばくためにサーバーを用意しなければいけないため、残りの時期のサーバー・リソースが基本的に「ムダ」になってしまう状況を憂慮していたとのこと。

slide1.png

そこに登場したのがAmazon Web Services (AWS)。2007年からテスト利用を開始し、2008年には「社内サーバー購入禁止令を出した」(大石さん)。クラウドの柔軟性(Elasticity)が、ピーキーなトラフィック特性を持つサービスを運営するサーバーワークス社のニーズにピッタリだったのでしょう。

ISMS認証取得のキッカケは東日本大震災

さて、「社内LAN撲滅運動」のサブタイトルで、多くの方が興味を持っている「なぜISO27001(ISMS)認証を取得したのか?」という理由は、「東日本大震災後に大手企業のクラウド利用が急拡大したため」からとのこと。

もともと震災後に日本赤十字社のWebサーバーがアクセス集中でダウンしていたため、サーバーワークス社がボランティアでAWSを使った高トラフィックに耐えるシステムを提供したところ、義援金受付システムを構築することになったのが発端。義援金受付システムの大成功を見た他の大手企業が、自社のBCP対策として、サーバーワークス社にAWSを使ったシステム構築を相次いで依頼するに至り、2012年にはAWS関連のSI受注が「前年比で8倍になった」(大石さん)。

こうして大手企業のSIを手がける上で必要になったのが、ISMS(情報セキュリティマネジメントシステム)だったということです。

ISMSで生産性が下がったら本末転倒

「ISMS取得は営業のため」と言い切る大石さん。なので「ISMSを取得するために生産性が下がったら、営業効率が下がってしまうのは論外」ということで、ISMSを取るにあたって、経営者のコミットメントとして、以下の点は絶対に譲れないと決めたそうです。

  • ISMS認証を取っても生産性の低下は最小限に
  • ノートPC、スマホの持ち出しは必須
  • 社長のわたしが働きたい環境を!

slide2.png

同じ経営者として、大石さんのこの強いコミットメントは、大いに参考なりました。自分も強い意志を持って「セキュリティを確保は大事だけど、働きやすい環境を作り続けるのは、もっともっと大事」ということに取り組まないといけないな、と。

AWSだけでなく幅広いSaaSを活用

さて、ここからが、私が聞きたかった本題の、「どうやって社内LANの中にあるサーバーを、クラウドに移してもISMS認証を取得できたのか」という具体的な部分です。

社内LAN上のサーバーで運用していた各種サービスは、プロジェクト以前は以下のようだったそうです。

  • 開発
  • 営業
    • 自前SFA
    • Excel
  • 共通サービス
    • Exchange
    • SharePoint
    • ファイルサーバー
  • 管理系
    • Active Directory

slide3.png

これを以下のようなクラウド・サービスにリプレースしていったそうです。

  • 開発
    • GitHub
    • Amazon EC2
  • 営業
    • Salesforce
  • 共通サービス
    • Google Apps
    • Box
    • yammer
  • 管理系
    • Active Directory
    • OneLogin
    • MDM

slide4.png

詳しい内容は、大石さんが公開している講演資料の39ページ目から90ページ目に、かなり詳しく記述されています。

個人的には、ファイル共有サービスとしてDropboxではなくBoxを採用した背景が興味深かったです(78ページ目から81ページ目)。

サーバーワークス社では大石さんによる徹底的なリーダーシップのおかげか、スムーズにクラウド・サービスへの移行が進み、現在は社内LAN上には2台のサーバー(Active Directoryのサーバーと、Asteriskのサーバー)しか存在しないそうです。それも、その2台を社内LANからクラウド側に移すメドもついたとか。

まさに「社内LAN撲滅運動」の名に恥じない、徹底したクラウド化を実現されています。

銀行にお金を預けるように、クラウドにデータを預ける

ただし、単にクラウド・サービスを利用するだけでは「社内LANにあるサーバーをゼロにする」ことはできても「ISMS認証を取得する」ことができるとは限りません。もっとも今回の講演では、個別のクラウド・サービスそれぞれについて、セキュリティをどのぐらい吟味したのかはご紹介いただけませんでした。

しかし、その中でも、典型的な課題である「クラウドのセキュリティがなんとなく不安」という点については、スライドを20ページ以上費やし、主にAWSを例に引きながら、セキュリティ上のリスク分析の考え方を示されていました。

クラウド・サービスは、第三者が運営しており、物理的なシステムに手が届かないため、ユーザーが実際にシステムやデータセンターの監視体制などを確認することができないため、「第三者による認証や評価がカギ」となります(54ページ目から77ページ目)。

その上で、クラウド・サービスを「銀行」になぞらえて、「なぜ銀行にはお金を預けるのに、クラウドにはデータを預けないのか?」と問いかけます。

  • AWSも、銀行と同じです
    • セキュリティ
      • 社内よりAWSの方が堅牢な物理セキュリティを確保
    • 可用性
      • クラウド側で高い耐久性を維持(S3のファイル耐久性は99.999999999%)
    • 利便性
      • ネット越しにどこからでも簡単にアクセス

slide5.png

実際、科学技術分野の世界的な最高峰の一つ、NASA(米航空宇宙局)を引き合いに出し、「NASAよりデータ監視体制が優れていると感じる企業はほとんどないが、そのNASAが自組織よりもAWSのセキュリティの方が高いと評価している」(大石さん)。

「AWSのサービスはさまざまな理由で、われわれの組織内のインフラよりもはるかに高いセキュリティを保てるようになる」 (NASA ジェット推進研究所のシニア・ソリューション・アーキテクトKhawaja Shams氏) - NASA JPLの担当者も注目する「意外な」機能とは:「AWSで、社内DCよりセキュリティを高められる」理由 - @IT

システムのセキュリティ対策としては、例えば米Googleが大規模なセキュリティ対策チームにより、「2011年からの1年間で、120の変数によるリスク分析や二要素認証などを導入し、アカウントへのハイジャックを99.7%減らした」(同じ日に講演したトライコーダ代表取締役の上野宣さん)など抜本的な対策は存在します。

しかしこのような対策は、Googleのように技術力が高い企業だからこそ実現できる部分が大きく、先ほどのNASAの例を見るまでもなく、ほとんどの一般企業ではここまでの対策は打ちようがないでしょう。

「堅牢なセキュリティは存在しない」を前提とした「適応力」の時代

大石さんをはじめ、当日の多くの講演者は「クラウドかどうかは本質的な問題ではない」と口をそろえます。実際、情報漏えいの実態調査などでも、件数ベースでは「誤操作」「管理ミス」「紛失・置き忘れ」など悪意がないケースが大半だが、被害者の人数ベースでは「不正な情報持ち出し」「不正アクセス」「内部犯罪・内部不正行為」が過半数を占めます(日本ネットワークセキュリティ協会の「2011年情報セキュリティインシデントに関する調査報告書
~個人情報漏えい編~
」より)

実際、大石さんは「誤操作」などに対しては、「徹底した自動化」による対策が重要だとしています。例えば会場で私が「最近は手軽にパソコンのデータを個人でもバックアップできるが、そうしたデータのセキュリティ対策はどう考えていますか?」と質問したところ、「会社で徹底的にバックアップを用意することで、(個人が)勝手に端末のバックアップを取らないようにしている」(大石さん)。バックアップは徹底して自動化し、社員が手動でしてしまった場合のさまざまなリスク要因を排除するということです。

ではガチガチの社内システムが理想の姿なのかというと、実際にはまったく違うとのこと。大石さんによると、重要なのは「適応力」と「信頼関係」。

  • 私たちが得た学び
    • ガチガチの社内システムより、必要な時に柔軟に使えるクラウドの方が適応力が高い
    • 適応力こそ、これから先の不透明な時代を生き抜く必要条件
    • クラウドがどうかは本質的な問題ではない。信頼関係こそが本当の課題

slide6.png

そして「信頼関係」は、「情報民主化」を実現してはじめて実現できるのではないかと問題提起していて、「そうそう、そうなんだよな」と、とても共感してしまいました。

  • 情報民主化
    • 社員の仕事を監視・制限しても生産性もモチベーションもあがらない。むしろ自由を与えてイノベーションの種をまいてほしい!
    • 自由なデバイスでたのし気持ちよく仕事してほしい!
    • 会社と個人の相互信頼こそが、セキュリティのキモ!

slide7.png

「安心」より「安全」を重視

当日は大石さんの講演をはじめ、さまざまな講演があり、その後の懇親会でも、業界よもやま話に花が咲きました。講演を聞いた後は「なるほど」と分かった気になったものですが、実際に記事を書いてみると、まだまだ聞き足りない、理解が足りない場所がたくさん見つかりました。

ということで今後も、定期的にクラウドやセキュリティに関する記事を書くことで、自分自身の理解を深める機会としていきたいと思います。

最後に、大石さんの講演の中で、とても腑に落ちた表現で、記事を締めたいと思います。

「手もとにあるから安心」といった(主観的な)「安心」よりも、「こういった対策をしているので安全」「こういった評価が第三者から得られているので安全」といった(客観的な)「安全」を重視

slide8.png

Six Apart のメールマガジンを購読しませんか?

月に2〜3回、WEBマーケ、WEB制作、オウンドメディア運営に役立つTIPSや無料セミナー情報をお届けします。

Six Apart をフォローしませんか?

次の記事へ

オウンドメディアの最新事情や運営ノウハウをカバーする無料セミナーをやります

前の記事へ

Kindleの自作出版、売上アップのための「デアゴスティーニ戦略」とは