セキュリティ会社が気をつけているリモートワークのセキュリティ ~他拠点と属人化排除が吉、SHIFT SECURITY | ScanNetSecurity
2023.05.29(月)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

セキュリティ会社が気をつけているリモートワークのセキュリティ ~他拠点と属人化排除が吉、SHIFT SECURITY

「無駄なモノや失敗を許容する」「今日決めたことが翌日まったく違うことになっても構わない」準備期間は、こんな、指針とは本来言いがたい指針を受け容れていく過程だったという。

製品・サービス・業界動向 業界動向
PR
 4月3日、リモートワークに有効なコミュニケーションツールとして世界に2億人のユーザー数を持つともいわれる Zoom にセキュリティ上の問題があることを、独立行政法人情報処理推進機構(IPA)が指摘したことで、リモートワークのセキュリティの不安や懸念が日本で顕在化した。

 リモートワークのセキュリティに関しては総務省からすでに「テレワークセキュリティガイドライン 第4版(2018年)」が刊行されている他、4月14日には内閣サイバーセキュリティセンター( NISC )が「テレワークを実施する際にセキュリティ上留意すべき点について」が出されるなど、リモートワークのセキュリティ対策のベストプラクティス探しが始まっている。

 本稿では、情報セキュリティの製品・サービスを開発するセキュリティ企業に取材し、セキュリティ会社のリモートワークの事例紹介を通じ、ベストプラクティス探しの一助となることを目的としている。果たしてセキュリティ企業は、どんなリモートワークを実践しているのか。どんなセキュリティの配慮をしているのか。

(本取材はすべてリモートで行いました)

--
 株式会社SHIFT SECURITYは、2016年設立。セキュリティ診断を主な事業とする。これまで熟練職人の経験や勘に依存するため困難と考えられていた、セキュリティ診断業務の本格的な標準化を行っている。設立 4 年で、130 名強の直接雇用の診断員を擁する、業界大手に比肩する規模に成長している。

●リモートワークのゴール設定

 最初に、リモートワーク実施のゴールを「オフィスでも在宅でも同じ生産性」と設定した。具体的には、同社の事業である脆弱性診断やペネトレーションテストを、診断員がバーチャルで集合したチームがそれぞれ在宅から実施し、品質と納期を従来と同一水準に保つことである。

 「従業員の生命を守ること」「従業員の雇用を全力で守ること」も、より大きいリモートワーク実施のルールである。

●リモートワークの期間と対象

 SHIFT SECURITY がリモートワークを開始したのは4月2日から。2月28日から具体的な準備を開始し、4月1日までにすべての準備を完成させ、国内及び海外計 7 箇所のオフィスをすべて閉鎖した。

 対象となったのは計 130 名の社員全員

リモートワーク対象社員内訳
・セキュリティ診断実行スタッフ 57名
・診断設計スタッフ 44名
・診断標準化スタッフ 10名
・管理部スタッフ 13名
・役員 5名
計 129名

オフィス閉鎖した拠点一覧と人数(同社の拠点すべて)
・北海道 札幌 5名
・東京(目黒、神谷町) 38名
・福岡 14名
・宮崎 56名
・ベトナム(ホーチミン、ハノイ) 11名

●リモートワークのシステム

 脆弱性診断の作業を細分化して業務の標準化を進める「標準化スタッフ」は、診断案件にまったく関わらないため、自身のPCで作業が完結する。難しかったのは、依頼された脆弱性診断やペネトレーションテストを実施する「実行スタッフ」だった。自宅から大量の通信が発生するとネットワークが落ちるなどの懸念もあった。シンクライアントを導入し、リモートデスクトップでセンターに接続し、そこから診断を実施する方法を採った。

●リモートワーク実施に気をつけたこと

 同社がオフィス閉鎖と全社員リモートワークのための準備を開始した2月28日は、北海道知事によって3週間の緊急事態宣言が出された日だ。SHIFT SECURITYは札幌に拠点を持っていたからだ。

 人命に関わるため経営判断とスピードが求められる。そう考え、リモートワークの準備は「とにかく先行する」ことを念頭に置いたという。

 ある日社長が、自ら秋葉原に出向いて、店にあるだけのノートパソコンを購入した。しかし、よくよく考えたら用途がわからなかったという。

 また「リモートワークなら仮想デスクトップ」と考え、Amazon WorkSpaces を設定したが、元々の環境と二重になってしまい作業効率の低下が発生した。元々 Amazon WorkSpaces を使っていたベトナムメンバー以外は利用をやめたという。

「無駄なモノや失敗を許容する」
「今日決めたことが翌日まったく違うことになっても構わない」

準備期間は、こんな、指針とは本来言いがたい指針を受け容れていく過程だったという。

●セキュリティ企業としてリモートワークを導入するうえで有利だったこと

 同社は診断サービスを行うセキュリティ企業として、日頃から高い機密性を維持した業務を実施してきており、今回のような事態にも対応できる下地となった。特に同社がとっていた他拠点体制は、それぞれの拠点がバックアップとして機能し、冗長性をもたらした。

 また、SHIFT SECURITY がセキュリティ診断業務の徹底した標準化を創業以来行ってきたことも有利に働いた。同社では、脆弱性診断のために同じ10名の作業ユニットを編成する際も、北海道と東京とホーチミンのスタッフでユニット作りをするなど、日常的に離れたメンバーと仕事をすることに慣れていた

 同社は約60名のすべての診断員の間に、技倆の差がまったく存在しないことを目標に置くという極めてユニークな業務目標を持っている。60名からたとえ乱数発生装置で選んで作ったユニットメンバーでも、毎回毎回必ず同じ品質と納期が守れることを目標として組織運営を行い成果を上げてきた。「あの人が感染したら会社が持たない」というような、抜きん出た能力を持つスターやカリスマ診断士は、最初からSHIFT SECURITYには存在しない。

 「サービス品質に影響を及ぼす人と人のつながりは、それがたとえ品質を上げるものでも属人性を生む原因として積極的に排除」してきたという。たとえそのときは品質を向上させたとしても、その逆のリスクも組織として内包するからだ。こうした組織運営が、今回の非常事態に有利に働いた。

●リモートワークで見えてきた課題

 社員はすぐにリモートワークに適応したという。日頃から日本各地、そして海外の遠隔のスタッフとユニットを組んで仕事を行ってきた経験があるからだ。リモートに不安を持つ社員も少なかった。

 一方、ずっと自宅にこもって仕事をして、毎月給料が振り込まれる。そんな生活を長く続けることで社会的なつながりや、仕事以外の人とのつながりが希薄化していくことの懸念をSHIFT SECURITYは持っている。次に会社として考えていくべきことだという。

●SHIFT SECURITYのリモートワーク支援サービス

 SHIFT SECURITYは4月7日、在宅勤務用PC端末のセキュリティ診断サービスを開始すると発表した。同サービスは、新型コロナウイルス対策で、企業のPC端末を自宅に持ち帰ってリモートワークを実施する企業に向けたものだ。

在宅勤務用PC端末のセキュリティ診断
https://www.shiftsecurity.jp/news/20200407

 リモートワークでも社内と同じセキュリティレベルを担保できているかどうかを、SHIFT SECURITYが、その会社の手順とルールでキッティングしたPC端末を1台預かって診断を行い、最短5日後に結果と改善策を送付する。

エンドポイント診断は、サイバーセキュリティのベストプラクティスを開発する米非営利団体 CIS( Center for Internet Security )ベンチマークを診断基準に基づいて実施される。具体的には、アカウントやパスワードに関する設定項目、OS機能やサービスに関する設定項目、ネットワークに関する設定項目などを確認する。Windowsだけでなく、Mac、Linuxも対象とする。
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性 画像

Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性
キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性 画像

キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性
「asahi.com」「サーバー環境の移行」等メールに注意喚起 画像

「asahi.com」「サーバー環境の移行」等メールに注意喚起
Tornado にオープンリダイレクトの脆弱性 画像

Tornado にオープンリダイレクトの脆弱性
Androidアプリ「Brother iPrint&Scan」にアクセス制限不備の脆弱性 画像

Androidアプリ「Brother iPrint&Scan」にアクセス制限不備の脆弱性
Qrio Lock (Q-SL2) に Capture-replay による認証回避の脆弱性 画像

Qrio Lock (Q-SL2) に Capture-replay による認証回避の脆弱性

インシデント・事故 記事一覧へ

ファイアウォール設定不備で豊見城市教育委員会のメールサーバが不正中継可能な状態に 画像

ファイアウォール設定不備で豊見城市教育委員会のメールサーバが不正中継可能な状態に
「Fujitsu MICJET コンビニ交付」システムでの度重なる証明書誤発行、一時停止し一斉点検を実施 画像

「Fujitsu MICJET コンビニ交付」システムでの度重なる証明書誤発行、一時停止し一斉点検を実施
「故人」名義で通知書誤送付 上尾市 画像

「故人」名義で通知書誤送付 上尾市
釜石市で発生した元市職員等による情報漏えい、調査結果を発表 画像

釜石市で発生した元市職員等による情報漏えい、調査結果を発表
NEXCO東日本「IRメールマガジン」BCC運用、誤送信で計383名のアドレス漏えい 画像

NEXCO東日本「IRメールマガジン」BCC運用、誤送信で計383名のアドレス漏えい
保険者の資格情報誤登録、2021年10月から2022年11月末までに計5件 画像

保険者の資格情報誤登録、2021年10月から2022年11月末までに計5件

調査・レポート・白書・ガイドライン 記事一覧へ

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料
AI は脅威インテリジェンスを生成できるか、NEC技術者検証 画像

AI は脅威インテリジェンスを生成できるか、NEC技術者検証
日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査 画像

日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査
拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か 画像

拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か
ChatGPTに個人情報を開示させる実験、MBSD研究者 画像

ChatGPTに個人情報を開示させる実験、MBSD研究者

研修・セミナー・カンファレンス 記事一覧へ

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催 画像

今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催
2023年度「実践サイバー演習 RPCI」受付開始、会場移転し定員48名に拡大 画像

2023年度「実践サイバー演習 RPCI」受付開始、会場移転し定員48名に拡大

製品・サービス・業界動向 記事一覧へ

AeyeScan blog 第2回「AIプログラミング編」 画像

AeyeScan blog 第2回「AIプログラミング編」
長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力 画像

長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力
カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発 画像

カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発
GMOイエラエで発足した脆弱性調査研究チームが「Ricerca CTF」で優勝 画像

GMOイエラエで発足した脆弱性調査研究チームが「Ricerca CTF」で優勝
無効な Google アカウントに関するポリシーを更新、2年以上使用されていない場合削除対象に 画像

無効な Google アカウントに関するポリシーを更新、2年以上使用されていない場合削除対象に
鹿児島志布志市、国産認証セキュリティ製品を活用し強靱化βモデルへ移行 パスワード管理工数削減 画像

鹿児島志布志市、国産認証セキュリティ製品を活用し強靱化βモデルへ移行 パスワード管理工数削減

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×