読んで面白かったので。
社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました(大石蔵人之助の雲をつかむような話)
2012年12月28日(金)
こんにちは、大石です。当社は、2012年12月3日付けで情報セキュリティマネジメントシステム(ISO /IEC 27001:2005/JIS Q 27001:2006)の認証を取得いたしました。※適用範囲は東京本社となります(中略)
ここまでは非常に一般的な「よくある話」ですが、私たちがISMS認証を取得したことにはもう一つ大きな意味があります。それは「これだけクラウド化が進んだ環境でも、ISMS認証が取れる!」ということです。私たちの会社にはサーバーが2台しかありません。1台はActiveDirectory のドメインコントローラーもう1台は社内IP電話用のAsteriskサーバーこの2台です。そしてこの2台、移行の目処は立ちつつあります。ADについては、既にOneLoginを使ってシングルサインオンを実現しているので、ID統合のみに使うのであればAWS側に移行しても問題在りません。端末もMacが増えているので、グループポリシー適用のためにADを使うよりも、そうした端末ポリシーの適用は、スマートフォンも含めてポリシーが適用できるMDM側で実施する方向に倒しています(事例はこちら)。Asteriskについては、SIPサーバーを社内におかなくても手元のスマートフォンを内線子機として利用できるサービスが提供されていますので、そうしたサービスへの移行を進めているところです。そして、この2台のサーバーが無くなると、何が起こるか・・・?社内LANが無くなるのです!(後略)
出典:大石蔵人之助の雲をつかむような話
この記事で面白かったのは、社内LANというものの意味の捉え方の部分です。
引用、ここから。
(前略)
これまで社内LANが「ベルリンの壁」よろしく社内外を隔てる壁として機能していたことは認めますが、今の時代にあっては、逆に社内LANといういい加減な認証機構が残っていることによって「iPhoneを社内に持ち込んではいけない」とか「PCを持ち出してはいけない」などという時代錯誤なルールができてしまうと考えています。ところが、現実問題として情報漏洩の約8割は社内から起きている(セコムトラストシステムズ社調べ)ことを考えると、「LANだから信用できる」という盲信は事実と反していると言わざるを得ません。私たちは、LANによる信頼を一切排除することで、逆に「どこにいてもセキュリティレベルが一定以上保てる」ことを実現し、これによってスマートフォンやノートPCのBYOD、リモートオフィス、社外へのPC持ち出し(このエントリもスタバでドヤ顔をしながら書いています!)といった、モダンな運用とセキュリティをバランスさせることに成功しました。実際、セキュリティレベルの高さと運用のエレガントさにISMSの審査員から感嘆の声が聞かれたほどです。
(後略)
引用、ここまで。出典:大石蔵人之助の雲をつかむような話
「社内LANがセキュリティ的に大丈夫との考えは誤りである」ことは、確かにそうなんですよね。
小規模であればあるほど、各人にお願いする事で対策出来ると考えてしまいます。
セキュリティの考え方の基本として、「全てのものを一度疑い、確認する」ことがあると思うのですが、それをせずに頭から信用してしまうことをしていることが多いですよね。
理由は、例えばパスワードでの認証をしようとすると「面倒くさい」「私達を疑うのか」などの感情的な理由で否定されることが想定されるため、はじめから疑う事を止めてしまうためでしょう。
元記事ではBYODなどでセキュリティを確保するために既存の約束を全て否定する事で、反対に自由度の高いシステムを手に入れたということですね。
そうか、一先ず今あるモノを否定すると、後で作るモノが楽でしっかりしたモノになるんですね。
基本的なことですが、確かにそうだと理解出来ました。
私は「今あるモノを出来るだけ変えないで何かを出来ないか」と考えてしまう質なので、こういう風な考え方が持てるようになりたいですね。
それでは、今回はこのへんで。
0 件のコメント:
コメントを投稿