大手町のSlack Tokyo Officeで「Why Slack?」と題する導入事例紹介セッションが開催された。実際のユーザーがどのようにSlackを社内で広め、活用しているのかという知見を共有できるイベントで、毎回多数の人が集っている。今回は「Need to Know再考 Slackを使った情報流通とセキュリティ」と題して、Preferred Networksの執行役員 最高セキュリティ責任者である高橋正和氏が講演してくれた。
Preferred Networks 執行役員 最高セキュリティ責任者 高橋正和氏 |
すべての情報が公開されている状況でどうセキュリティを担保する?
高橋氏は、2000年頃からセキュリティ関連の業務を手がけており、2006年から2017年までは日本マイクロソフトのチーフセキュリティアドバイザーを務めていた。JNSA(日本ネットワークセキュリティ協会)の副会長やHSSM(日本セキュリティ・マネジメント学会)の執行理事なども担っている。
Preferred Networks(PFN)には2年前にジョインした。同社は2014年に設立された会社で、Slackが入っている大手町パークビルティングの向かいにある大手町ビルに本社を構えている。AI関係のベンチャー企業で、ミッションは「ソフトウェアとハードウェアを融合させ、現実世界を計算可能にする」を謳っている。
「私がPFNに入ったのは2年前ですが、Slackを中心にした会社に来てみて衝撃的だったのは、Slackの元々のミッションである『Searchable log of All Conversation & Knowledge』(すべてのナレッジを検索可能にするということ)です。これはこれで素晴らしいのですが、セキュリティ担当としては『Need to Know』(必要な人だけに、明示的にアクセス権を付与する)のが普通ではなかったか? と考えました」(高橋氏)
PFNの社内では最重要ツールはSlack。でも、情報を全部検索可能にしてシェアできるとなると、どうやってセキュリティを守るのかと頭を抱えたそう。実際、ありとあらゆることがパブリックチャンネルで流通しており、高橋氏の目には、その情報は本当に全社員でシェアしていいの? と心配になったのだ。
そこで、高橋氏はNeed to Knowについて深く考えてみた。Need to Knowは、顧客のデータベースなど機密性の高い資料などを扱う際には有用になる。たとえば、データベースの管理者を増やしても、その企業のメリットは増えず、アクセスできる人数を増やしていくと、比例して情報漏えいの事故が起きる可能性が高まるためだ。そのため、人数を絞ることがNeed to Knowのメリットとなる。
セキュリティの常識は、情報漏えいや改ざんの可能性を抑えられるNeed to Know |
Slackの場合は、どうなるだろうか? たとえば、情報交換型の名刺交換について。平均所有名刺枚数や共有割合、検索機会、発見可能性、漏えい可能性といったパラメータを設定し、検索名刺数や商談先発見可能性、漏えい可能性を算出してみた。すると、名刺のシェア率を増やしていくほど、必要としている会社の名刺が見つかる確率、つまり効率が向上していく。
「社員数の二乗に比例して、名刺が見つかる可能性が上がります。情報漏えい率も人数の二乗に比例して増えますが、名刺の総数は名刺の比例し、一次式で増えます。情報流通が二次式で増えていくと考えると、すべてをサーチできるのはメリットがあるのではないかと思っています」(高橋氏)
効果とリスクを分析するとオープンにすることのメリットもあった |
電子メールとSlackも徹底的に比較する
次に、電子メールとSlackの比較が行なわれた。メールは宛先がインターネット全体になるが、それに対してSlackはワークスペースが情報が流通するドメインになる。メールの誤送信はどこに行くかわからないが、Slackの場合はワークスペースのメンバーにほぼ限られる。
Slackならメールと違って削除もできる。添付ファイルも削除可能。メールではBCCのつもりが、CCだったりTOに入れてしまったという事故が起きるが、Slackだとチャンネルのメンバーが決まっているので、この問題はほぼ発生しない。スパムの心配もない。
メールとSlackのメリットデメリットを徹底比較した |
「入社時に便利だったのが、Slackで過去の経緯を追えたことです。セキュリティのポリシーがどんな風に決まったのかを追えたのはよかったです。一方、ある有名な人が入社するときに、パブリックチャンネルでやりとりしていたんですが、その後その人が入ってきて、俺の話をこんなにしてたのか、と怒られたこともあります」(高橋氏)
これだけメリットのあるSlackだが、安全なのかどうか、というところについては注意しなければならないことがあるという。
「まずはSlackがハックされたらどうしようという点。これはユーザー側が暗号化キーを持つSlack Enterprise Key Management(Slack EKM)を利用すればある程度は対応できるかもしれません。私が頭を痛めているのが、アプリをバンバン使いましょうと言われているところです。アプリやサードパーティのサイトとか、まったくもって信用できません。Slackは取得している認証やセキュリティ対策を発表していますが、アプリメーカーさんは何も発表していないことが多いのです。ぜひ、Slackさんでアプリのレーティングを作って欲しいなと思っています」(高橋氏)
もちろん、アカウント側にも問題がある。マルウェアに侵害されるなどしてアカウントが乗っ取られたら、全部見られてしまうリスクがある。端末を紛失したり、盗まれた場合、セッションが残っているとそのまま会社のSlackが表示されてしまう。PFNでは、この点に関してシングルサインオン(SSO)と多要素認証(MFA)という二つの対策を行っているという。マルウェア対策と紛失対策としては、エンタープライズモビリティ管理(EMM)の導入を徐々に進めているそう。
Slackを運用する際に、様々なセキュリティ対策を施している |
誤った招待でマルチチャンネルゲストをコンフィデンシャルなチャンネルに入れてしまうと言う運用上のリスクもある。逆に、コンフィデンシャルと書いてあるドキュメントがパブリックチャンネルに載ってもいけない。こちらは、自社ドメインの人がチャンネルに参加したときにアラートを出したり、ファイルを直接アップロードするのではなく、GoogleDriveやOneDriveにアップロードしたURLを載せるという対策を行なっている。本来、見ることができないチャンネルに投稿したとしても、URLを開いたときにアクセスできないので一段高い安全性が確保できるようになる。
また、意図的もしくは無意識にユーザー情報を持ち出すと言うことも考えられる。情報をシェアしていると、たとえば会社を辞めるときに、持って行くのも簡単だ。これには、情報漏えい対策(DLP)製品が有効と考えているが、簡単に運用できるものでもないので、引き続き課題としているとのこと。
「セキュリティ対策としては、ログとe-Discoveryが重要です。このセキュリティ対策でいいのか、という判断をする際、顧客に謝りに行けるか、という基準で考えています」(高橋氏)
情報漏えいが起きたときには、誰から何が漏れて、今どういう状況にあるのか、ということを報告する必要がある。そのためには、パブリックチャンネルだけでなく、プライベートチャンネルやDMを含めたログを見る必要がある。もちろん、Slackはe-Discoveryや監査ログに対応している。
「ただし、e-Discoveryを使っていて訴えられたら、すべてのログを提出することになります。パブリックチャンネルとかプライベートチャンネルにかかわらず、自由なやりとりが見られると、訴訟の上で不利になる可能性があると法務の人と話しています。ここはまだ答えが出ていません」(高橋氏)
ログは重要だが、提出することにより訴訟で不利になる可能性があるところは悩ましい |
パブリックチャンネル思考のSlackはセキュリティの観点で見ても有効
まとめると、Slackのパブリックチャンネル思考は、組織の中のコミュニケーションとして、セキュリティを含めてもメリットがあると高橋氏は考えている。また、メールと比べるとSlackの方がセキュリティリスクは低いが、Slack特有の問題もあるので、リスクの領域が違うという捉え方をした方がよいとのこと。
有効性の高いSlackのセキュリティ対策としては、まずシングルサインオンと多要素認証(MFA)は必須。さらには、監査機能もないと怖いと言う。機密ファイルのアップロード問題はGoogle DriveやOneDriveを利用すればいい。ただ、アプリのセキュリティ担保ができない点は、困っているところだという。
「実は、Need to knowはIBMが独禁法で訴えられたことで生まれたそうです。昔IBMの営業さんがコンペティターのものを買おうとしている人に、今度こんなものを出しますから、と妨害したということで訴訟になりました。その時に、IBMは、開発に関係のない人間、つまりNeedのない人間には情報を提供をしない、ということで独禁法の対策を打ち出しました。セキュリティ畑の人はNeed to Knowを当たり前と思っていますが、大元の所は違うのです」と高橋氏は締めた。
Need to knowはセキュリティと関係のない、独禁法対策の考え方として生まれた |
セキュリティの専門家として、自分の目ですべてをチェックし、気になるところにはすべて対策を施し、Slackの有用性を再確認した経緯は勉強になった。しかも、推奨されているアプリについては、信頼性が担保できず困っているということを正直に紹介してくれたのは説得力があるし、Slackの懐の深さも感じた。当然、コンプライアンスの厳しい企業では、同じく気になるところだと思うので、今後の動きに注目していきたい。