1. TimeTreeラヂオ
  2. 67 情報セキュリティとゼロト..
2024-05-27 18:10

67 情報セキュリティとゼロトラストのお話 #こぽエン通信

Steve
Steve
Co-host

「TimeTreeラヂオ」はカレンダーシェアアプリTimeTreeを運営する私たちメンバーが、ふだんの仕事に関係することもそうでないことも、だいたい15分でひとつのテーマを話しきるインターネットラジオ番組です。


コーポレートエンジニア略して「こぽエン」。この放送は、TimeTreeのこぽエンが、組織と情シスのヘルシーな関係について考えながら、心と身体をシェイプアップしていくポッドキャストシリーズ #こぽエン通信 です。


◎TimeTree Company Deck(会社案内資料) ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠

⁠⁠⁠⁠https://bit.ly/timetree_company_deck⁠⁠⁠⁠⁠⁠⁠


◎一緒に働く仲間を募集しています!(採用応募ページ) 

⁠⁠⁠⁠⁠⁠⁠https://bit.ly/3MyqZjE⁠⁠⁠⁠⁠⁠⁠


番組の感想・コメント・ご要望はハッシュタグ ⁠⁠⁠⁠⁠⁠⁠#TimeTreeラヂオ⁠⁠⁠⁠⁠⁠⁠ でつぶやいてください!

サマリー

タイムツリー社内メンバーは、セキュリティについて話し合っており、セキュリティとパフォーマンスのバランスに悩んでいます。マネージャーの制約を回避しつつ、状況を可視化し、セキュリティポリシーの実施を目指すことが重要だと考えています。現在、コアラとして最終防衛ラインを守る仕組みを整えています。将来的にはクラウド上に入り口を作り、アカウントIDを活用した条件付きアクセスを実現したいと考えています。

00:11
最近自炊した料理は、カレーライスのスティーブです。
最近自炊した料理は、鍋のコアラです。
よろしくお願いします。
よろしくお願いします。
何鍋だったのか?
いや、それが本当にもう手抜きも手抜きで、
存在として切られた野菜があって、
最近近くのスーパーで鍋用の鍋野菜がなくなっちゃって、
普通に炒める用の野菜をぶち込んで、
味噌だけ入れて食べたみたいな感じで。
あのね、切り分けてあれだったら便利ですよね。
便利ですよね。
焼きそばとかで使えるやつですね。
あ、そうですそうです。もやしが入ってたり。
さてさて、じゃあ今回もまたコアラをゲストにお呼びしてですね。
前回コアラに出ていただいた時に、コポエンシリーズということで、
コポエンって何なのっていう話なんですけど、
コーポレートエンジニアコアラが語る会社のあれこれということで、
実はシリーズを始めまして、
それの今回2回目ということで、またコアラに出ていただきます。
はい、よろしくお願いします。
お願いします。
前回のテーマが会社が掲げる自由をそのまま上質は解釈していけない話ということで、
タイトルは結構意味深なタイトルだったんですけど、
タイムズリが自由自立を尊重するような働き方を社員に提供しているんですけど、
その中でも手放しで自由ってできないよねみたいなところを、
コーポレートエンジニアの視点で話してもらいました。
それが1個が具体的に出てきたのが、会社から対応するPCとか機材ですね。
それの選定の話とか、それからリモートワークオフィスでのこの仕事、
ハイブリッドワークのジレンマみたいなところでしたね。
そうですね、はい。
今回も引き続き同じようなテーマを持ちつつ、
今日はどんな視点で話を掘り下げていきましょう?
そうですね、今日はセキュリティという観点でもう少しお話をしていきたいと思います。
セキュリティとパフォーマンスのバランス
コポエンっぽくなってきましたね、セキュリティ。
そこに力をものすごく入れると、
どんどん管理とか制限とかせざるを得なくなっていくのかなというときに、
でも一人一人のパフォーマンスを発揮したいよねっていうところもあると思うんですよね。
そこのバランスをどうしたらいいんだろうっていうところを、
いろいろな会社さんもそうかもしれないですけれども、難しいよねっていう。
いい導入ですね。じゃあちょっと詳しく話を聞いていきましょう。
大きくセキュリティっていうのが端末管理とアカウント管理、ざっくりと一緒にあるかなとは。
なるほど。社内メンバーのセキュリティってことですね、まずは。
最近タイムツリーでも、ジョーシス界隈では有名かもしれないんですけれども、
XamppとかIntuneとかMacとかWindowsとかを管理するための、
デファクトスタンダードと言ってもいいようなサービスの導入を進めているようなタイミングになっていますと。
ですけれども、その背景としては、ゼロトラストという言葉があって。
ゼロトラですね、社内で。
そうですね、ゼロトラというスタンプが作られているということを笑いましたけど。
以前はオフィスに集まって、そこでみんなが仕事をしているので、
社内のネットワーク、イントラネットっていうこともあったかもしれないんですけれども、
そこを守っていればよかったよねっていう時代から、
特にコロナとかの影響もあったと思うんですけれども、
好きな場所で好きな時間に、好きなサービスにアクセスするみたいな状況になっていて、
タイムツリーもそうですよねっていうところで、
何も信用してはならないみたいな、意味合いでゼロトラストっていうことだと思うんですけれども、
そういったときにやっぱり管理が必要だよねという背景があると思っています。
ここでいろいろ管理をしようと思えばできるんですよね。
例えばOSも定期的に脆弱性の情報が出てきますみたいなときに、
OSにしてもアプリにしてもそうなんですけれども、
再起動して初めてセキュリティの適用がなされる。
結構皆さん再起動って手間だと思うんですよ。
開いてるブラウザーとかアプリとか一回全部消さなきゃいけないとか。
というときに、上司の手段としては、
強制的に再起動するみたいなことができたりもするんですよね。
でもそういうときにせっかくいろいろ開いてたのにとか、
このタイミングでとか、いつ働いてるかも自由なので、
そういったときに無理やりやってしまってはよくないかなみたいな。
なるほど。
ところがあると、それを邪魔しないようにしようと思うと、
もう促すみたいな感じになりますよね。
例えばスラップでこういった脆弱性の情報出てますよとか。
そうするとみんながすぐにやれるかどうかわからない問題もあるとか。
日常的にたくさんメンションが飛んできてて、
見逃しちゃうとかもあると思いますし。
そういうときに、例えばゼロデイ攻撃みたいな、
そもそもセキュリティのパッチが配布される前から攻撃をされてしまうみたいな、
こともあるような世の中で少しでも早くアップデートしたいのに、
でも強制はできないなみたいな、
そのあたりをどうしていったらいいんだろう。
例えばなんですけれども、悩みポイントだったりしますね。
そのトップダウンの強制がタイムツリーの何かカルチャーとバッティングするんじゃないかとか、
そういうちょっとしたお悩みって感じなのですね。
社内セキュリティのポリシー
そうですね。
取れる選択肢はたくさんいろいろあって、
例えば決まったアプリは使っていいけど、それ以外は使っていけませんとか。
よくある。
ブラウザもこれだけ使ってくださいね、他はダメですとか。
そうやって制限をすればするほど、
オフィス的な立場だと管理はしやすいし、
安心もできるとは思うんですね。
でもいろんな働き方があって、こういうのを使えた方が便利だっていうときに、
そもそも使えないとか、使うために申請が必要ですってなると、
時間がかかったり、申請が必要になるとそれだけで遠慮しちゃったりとかもあって、
パフォーマンスを邪魔してしまう方向になってしまう。
っていうところのバランスをどうしていったらいいのかっていう悩みもありますね。
もちろんそれぞれ個々人が自分の仕事のスタイルに合ったツールだったり、
ITサービスを使うっていうのも大事ですし、
タイムツリーとしては、世の中にはないとか新しい価値をITソリューションで提供している会社だから、
いろんなサービス、世の中の新しいサービス、どんどん触れていく、触っていく、
で、体感していくみたいなことが大事っていう、そういう精神もありますよね。
そうですよね。正しくおっしゃる通りだと思います。
新しいサービスとかもどんどん触れていったほうがいいと思うので。
そういうことも大事にしたい。でもやっぱり個保院としてはっていう、確かに。
そうですね。そういった考え方が個保院として責任を果たしていることになるのかっていうところの難しさがありますよね。
なるほど。その難しさを今のところ、現段階のコアラはどう考えているとか、
セキュリティポリシーの実施
どううまくやりくりしているとかありますか。どう消化しているのか。
そうですね。先ほどJAMFとかIntuneみたいなものを入れたっていうのは、大きく2つの意味があって、
脆弱性の対策をしたいっていうのが1つと、社内で決めたポリシー、セキュリティのポリシーですね。
それはちゃんと実態もそれに合ってるよねっていう状態にしたいっていう2つがあって、
何か強制したりとか制限したりっていうのを目的とするよりは、状況をちゃんと見える状態にする。
OSのバージョンとかアプリのバージョンとか、まずは見える状態にするっていうところと、
社内のポリシー、例えばログインのパスワード、端末にログインするときのパスワードは何桁以上にしてねとか、
ちゃんとパソコンに触れない時間が何分以上経ったらロックされるようにしておいてねとか、
できるだけ今のパソコンの使用感は変えず、まずは状況を見れるようにみたいなところを整理してる感じですね。
まだ考えなきゃいけないことはいろいろ山積みだけども、
コアラとして最終防衛ラインを守るための仕組みはまずは取り入れたと。
そうですね。選択肢はいろいろ取れるっていう状態にはし始めてるっていうところですね。
これからはどうなっていくんですか。どんなことを考えなきゃいけなくて、コアラとしてはどうしていきたいとか。
できるだけ常識数あるある、ここにあるあるみたいなところって、
やっぱりずっと何かのログを見たりとかし続ける時間とかもないので、
大丈夫かなっていうのが起きたときに自動的にアラートを上げるとか、
脆弱性の情報とかもいち早くキャッチできるっていう仕組みですかね。
そういった効率化・自動化みたいなところを進めていけたらいいなと。
とりあえず目先はそういうふうに思ってますね。
将来的な話でいうと、これもう一つ冒頭に、
端末とアカウント管理と2種類あるっていうお話をしたんですけれども、
アカウント管理のほうにも関係してくるんですけれども、
いろんなサービスを使う際にはアカウントIDが大事だよねっていうところもあって、
このIDを前提として使ってるクラウドサービスにアクセスしてるよねみたいな、
クラウド上に入り口を作るようなイメージですね。
入り口を作っておくと、そこをちゃんと不正アクセスがないよねとか、
守るポイントができるんですよね。
なるほど。
あとはJAM封印中でできることで言うと、
ちゃんと先ほどの社内ポリシーですね。
ちゃんと画面のロックの設定をしてるよねとか、
クラウド上の入り口と条件付きアクセス
そういった設定をしてる端末であれば、
クラウドサービスにアクセスできるみたいな、
条件付きアクセスっていう機能があったりするんですけれども、
リモートでみんな働いてる中で、
ちゃんとご本人がご本人のアカウントでアクセスしてるよねっていうのを
確保するような仕組みができるっていうのが、
一つの理想形かなとは思ってます。
ただそこまで構築していくのもまたいろいろ大変だったりとか、
全部が解決するわけじゃないところもやっぱりあると思うので。
まだじゃあ初めの第一歩ぐらいな感じですね、タイムツリーでは。
そうですね。これからやれることもいろいろあると思いますし、
悩むこともたくさんあるのかなとは思いますね。
ちょっと悩みが出たら都道府のラジオで行ってきましょう。
社外の知見が集まるかもしれないし。
そうですね、ぜひアドバイスとか、
同じようなことに悩んでるよとかお話もいただきたい。
僕はコアラが講演として入ってきてくれて、
いろいろ脆弱性の情報とかも流してくれるようになってからですね、
めちゃくちゃこまめにChrome更新するようになりました。
本当ですか。ありがとうございます。右上に出る更新ボタン。
ふとした瞬間に画面脅威とかでコアラに更新できてないと見られちゃうじゃないですか。
やっぱりちょっと意識変わりますよね。
それを徐々に社内に浸透させていくとかっていうのも草の根で大事なんでしょうね。
そうですね、ある程度。
強制的にやらないということは人力で頑張るところもあるという感じですよね。
ちなみに僕今もGoogle Chromeバージョン最新です。
ありがとうございます。よろしくお願いします。
よろしくお願いします。安心です。
セキュリティは本当。
でも基本的にはゼロトラストって言ってるように、
それって制約説とかとはまたちょっと違う話ですかね。
でも基本人間を信用しないみたいなところですね。
僕個人のことで言えば、本当に自由にしたときに人に自慢できるような行動が取れるのかみたいな。
法律も何もありませんとか。
そうなったときに、やっぱり信用しきっていいのかっていうところは、
自分を振り返ってみるとあると思いますし、
見えないですからね、リモートとかだったり。
なので個人を責めるわけではなく、何が起こるかわからない。
っていう世界観を前提にするっていうことかなと思います。
なるほど。わかりやすい。
じゃあちょっと今後も頑張っていきましょう。
頑張っていきましょう。
僕何にもやってないけど。
いえいえ、でもつい最近嬉しいことがありまして、
第一回のココエンラジオを聞いたっていう方が、
これから入社される方がそういうことを言ってくださって。
あら。
聞いた上で端末を選びましたっていうふうに言ってくださって。
あらあらあらあら。
恥ずかしくもあるんですけど、嬉しいなと思って。
よかったですね。
やっぱりその方はコアラの悩みもちゃんと知りつつ、
裏側にあるそういうコンセプト思想もちゃんと分かりつつ選んでくれたってことですね。
そうですね。そうだと思います。
素晴らしい。
なのでスティーブにも感謝だなと。
いいですね。やっぱり発信大事ですね。
発信大事ですね。
じゃあ今日は一旦こんなところで、
コポエンシリーズの第2回目にはなるんですけど、
会社が掲げている自由を調子室がどう解釈してどう運用しているかという話で、
今回セキュリティというテーマで切り口でコアラに話していただきました。
はい。
ありがとうございます。また次回以降もよろしくお願いします。
はい。よろしくお願いします。ありがとうございました。
18:10

コメント

スクロール