2018年7月31日火曜日

ワークフローの監査対策はどうすればいい?

社内のワークフローをペーパーレスにしてクラウド化に成功したものの、いざ内部監査や外部監査が入ったとき、どうすればいいでしょう?
クラウド型ワークフローであるGluegent Flowにはこれまでに作成された全てのタスクを一覧で出力する機能があります。この機能を使用するには「管理者」である必要があります。
「管理者」はG Suite/Office 365の管理者であるか、g-workflow-adminというグループに所属するユーザーである必要があります。
しかし、監査の担当者に管理者権限を与えるのは避けたいという声を多数いただきます。
そこで、監査対策のために、予め実施しておきたい対策をご紹介します。

ユーザー・グループの準備

監査の担当者がGluegent Flowを参照するために、G Suite/Office 365のユーザーを作成しましょう。監査の担当者はこのユーザーでログインしてワークフローを参照します。
また、監査の担当者が所属するグループを作成し、このグループのメンバーに上記で作成したユーザーを追加しましょう。


モデルの準備

作成されたモデルに「参照許可設定の追加自動処理」を設定します。この自動処理により作成されたタスクデータは全てタスク一覧の「参照可能」に表示されます。
作成方法は以下の通りです。

  1. モデル編集画面の「経路」をクリックします。
  2. 一番最初の経路をクリックし、「自動処理設定」をクリックします。
  3. 次に進む処理の「+」をクリックします。
  4. 「参照許可設定の追加」の「+」をクリックします。
  5. 「メンバー」の「+」をクリックし、「…」をクリックします。
  6. グループ選択パネルで上記で作成した監査用グループをチェックし、「OK」をクリックします。
  7. 「OK」をクリックします。
  8. 「保存」をクリックします。
作成された全てのモデルに同様の設定を行います。
この方法を使うと、監査の担当者には一般ユーザーの権限でも全てのタスクの内容が参照できます。

既存タスクの参照権限付与

残念ながら既に運用を開始し、多数のタスクが作成されている場合は、「タスクデータ一覧」で参照権限を付与します。
設定方法は以下の通りです。
  1. 「タスクデータ一覧」をクリックします。
  2. 表示件数を「100」に変更します。
  3. 「一括参照権限変更」をクリックします。
  4. 表の一番上のチェックボックスをオンにすると全ての行のチェックボックスがオンになります。
  5. 「選択したタスクの参照権限を変更」をクリックします。
  6. 「対象者を追加」をクリックします。
  7. グループ選択パネルで上記で作成した監査用グループをチェックし、「OK」をクリックします。
  8. 「参照権限を変更」をクリックします。

いかがでしたでしょうか。年に何度も発生する問題ではないにせよ、お問い合わせでも多数のお客様よりご相談いただく問題ですので、これを機に検討してみてはいかがでしょうか。


2018年7月24日火曜日

IDaaSとは、何か? (1)

IDaaSという用語が、使われるようになって、実は結構な時間が過ぎていますが、その意味を理解していますか?この記事では、数回に分けて、「IDaaSって何?」「要るの?」という疑問に対して、答えを探していきたいと思います。今回は、初回なので、まずは、文字通り「それってなに?」ということについて見ていきます。


Identity as a Service

IDaaSは、Identity as a Serviceの略です。XaaS (X as a Service)というような呼び方がされるものとして、IaaS (Infrastructure as a Service)や、PaaS (Platform as a Service)、SaaS (Software as a Service)は、既に業界では、一般的に使われている用語ですが、これらと同様に、「Identityに関する機能をサービスとして提供するクラウドサービス」と捉えると良いでしょう。ただ、「Identity」というと、少し漠然としていて、よく分からないと感じる方も多いと思います。より分かりやすく表現するなら、「Identity Management as a Service」となります。さらに日本語で表現するなら、「認証認可管理サービス」とか、「統合認証サービス」というような言い方もされているようです。ただ、IDaaSとされるサービスが持つ機能を表す言葉として、これを、一言で表すのは、難しいところがあります。

純粋に、Identityだけじゃなく、その周辺も

"Identity"は、単純に和訳すると、「同一性」とか、「身元」のような意味ですが、情報システムにおいては、「そのシステムの利用者として、誰なのかということ」というような意味合いになります。また、それに付随するメタ情報(部署や役職など)も含むかも知れません。別な文脈では、「ID」や「アカウント」という概念も近いものを表すことがあります。しかし、IDaaSは、このような「誰なのか」ということを管理するだけにとどまらず、大きく見ると、以下のような機能を持っていることが多いようです。


  • 保存:Identityに関する情報を保存・管理する。
  • 認証:利用者が誰なのかを管理する。
  • 認可:利用者が許可されているサービスやリソースを管理する。
  • プロビジョニング: 利用者が許可されているサービスに対して、アカウントを管理する。


情報の保存や、認証・認可の管理までは、Identity as a Serviceと聞いて、すんなり想像できる機能です。ただ、IDaaSとしての使い勝手を考えると、プロビジョニングまでを揃えていることが非常に大きな意味を持ちます。

「クラウド」、「IDaaS」登場前

実は、「Identity周辺の機能」を有するサービスは、IDaaSという呼び方をされる前から、存在しています。「統合認証管理」や、「統合アクセス管理」、「IdM (Identity Management)」など、上にあげた機能をすべて備えていないものもありますが、クラウド登場以前からも、要件として存在し、これに対して、多くのソリューションが提供されてきました。オンプレミスの環境においても、SSOが実現されていたり、Identity情報が、単一の場所に保持され、必要なサービスを利用したい場合には、すぐ利用できるようになっていました。ただし、単一のベンダの製品だけで構築されている必要があったり、多くの制約があるものでした。

クラウド登場

ここで、クラウドサービスが登場してきました。クラウドサービスは、「サービス」という単位で、優れた機能が提供されます。
G Suiteや、Office365が、メジャーですが、このような多くの機能を提供するSuiteは、むしろ少なく、クラウドサービスの多くは、Slackや、Yammer, HipChat, ChatWorkのようなメッセージングのサービスや、Dropboxや、Boxなどのストレージ系のサービス、Salesforceのような営業活動に特化したサービスなどで、特定の領域に強みを持つものです。
そのため、必要な機能を必要な数だけ、必要な期間利用するという形態が可能になりました。以前のように、単一ベンダにロックインされて、長期的な保守契約を結んで、向こう何年も同じサービスを利用するということをしなくても、高度な機能をもつサービスを利用することができるようになりました。

IDaaSとしてまとめられる

ただ、情報システムとして、基本的な要件である「Identity」については、クラウドサービスであっても、必ず備えている必要があります。「正しい利用者だけに利用させる」ということは、どのサービスにも必須の要件です。そして、その機能は、特定分野に特化することで競争力を出そうとするクラウドサービスにとっては、本質的なものではなく、競合との差を出しにくいところです。
そこで、クラウドサービスとしての「IDaaS」が登場してきました。どのサービスでも必須な要件に特化して、その実現を担います。他のサービスは、IDaaSに「Identity」の機能を「移譲」することで、特化したサービスに専念することができます。IDの連携をより密にするために、アカウントの管理のAPIを提供します。IDaaS側では、そのAPIに対応することで、プロビジョニングを実現でき、ユーザの利便性はさらに高まります。
各サービスの認証を担ったり、APIを呼んだりするところの詳細は、新しい要素技術が使われていますが、そこに至る考え方は、以前からある「統合的な認証認可アクセス管理」が活かされています。各種クラウドサービスを有効に利用するために、「Identity」に特化した機能を集めて、サービス化したものが、IDaaSであると言えそうです。

機能の深化と利便性・セキュリティ

Identity関連の機能を取りまとめたものが、IDaaSであるということが分かりました。次回は、そこで実装されている機能について、さらに掘り下げて見てみたいと思います。


   Gluegent Gate


2018年7月17日火曜日

【事例】ISMS認証取得のためのGluegent FlowおよびGluegent Gadgets活用法

先週のブログ記事では弊社がなぜISMS/ISO27001(以降、ISMS)認証とクラウドセキュリティの国際規格であるISO27017/ISMSクラウドセキュリティ(以降、ISMSクラウドセキュリティ)の取得を目指したかの理由をご説明しました。 
今回はその認証取得の準備で実施した作業の一例として、弊社が提供するGluegent FlowGluegent Gadgetsを活用し、弊社のISMS運用に必要な情報共有・ワークフロー化の整備をどのように行ったかご紹介します。

運用ルールの社内展開に対する実施方針

一般的にISMS認証は情報セキュリティ管理者により社内の情報セキュリティマネジメントをどのようなものにするか検討し、構築および運用ルールを整備していくことになります。
そこで整備した運用ルールは、社内へ展開し徹底させる必要がありますが、「ISMS認証やISMSクラウドセキュリティ認証で必要な文書を用意しました。確認の上、日々運用してください。」と一方的にアナウンスするだけでは社内への浸透は難しいでしょう。そのため、社内展開に際して「どのように共有し、徹底させていくか?」「どうやって従来より効率的な運用が実現できるか?」「どうすれば必要な情報へ即アクセスできるようになるか?」という点について重要視しなかがら検討を進めました。その結果、初年度は以下の実施方針により、社内へ展開していくようにしました。

<社内展開における実施方針>
  • 各種文書およびルールについて余計なものは極力作らない。また文書ファイルは権限に応じて適切に共有・公開できるようにする
  • 暗黙のルールで実施していた業務プロセスは、可能な限り、プロセスを明確にしワークフロー化する
  • 情報セキュリティ管理者による情報発信およびその既読管理が行えるようにする
  • 各種文書・ワークフローの掲載先を絞り、利用者が迷わなくする

Gluegent FlowおよびGluegent Gadgetsを利用した社内展開
上記で述べた社内展開を行っていく上でどのように取り組んでいったか、以下に説明します。

各種文書およびルールについて余計なものは極力作らない。また文書ファイルは権限に応じて適切に共有・公開できるようにする
ISMS認証およびISMSクラウドセキュリティ認証で必要な各種文書をGoogle ドライブ上の文書として作成しました。Google ドライブ ではファイル共有設定が柔軟に行えますが、社員が必要としないドキュメントは敢えて参照できないように設定しました。

暗黙のルールで実施していた業務プロセスは、可能な限り、プロセスを明確にしワークフロー化する
クラウド型ワークフローであるGluegent Flowを利用し、新たに6個のワークフローを整備しました。
例えば個人利用しているPCやスマートフォン・タブレットを会社で利用する場合、その端末が情報セキュリティポリシーに従った対策が行われていることを条件としていますが、その確認と利用端末管理を確実にするため、「私有端末申請」というワークフローを新たに用意しました。申請者は申請対象である利用端末について適切にセキュリティ対策を実施した上で申請します。その後、情報セキュリティ管理者が確認・承認することで、その端末を業務で利用できるようにします。また、このワークフローで承認された私有端末情報はGluegent Flow自動処理によりスプレッドシート行挿入で台帳に出力しています。


情報セキュリティ管理者による情報発信およびその既読管理が行えるようにする
情報セキュリティ管理者により様々な情報発信が必要になります。そこでGluegent Gadgetsの掲示板ガジェットを利用することにしました。
掲示板機能であれば、掲示内容の既読・未読管理が行なえます。そのため、未読ユーザが誰なのか把握しやすく、催促メールを送信したり、個別にフォローすることが可能です。

各種文書・ワークフローの掲載先を絞り、利用者が迷わなくする
上記の取り組みだけでは情報の参照先が分散してしまうため、「ここにアクセスすれば全てが参照・利用できる」ページを作ろうと考え、Googleサイト上に社内ポータルページを構築しました。
そのポータルページではGluegent Gadgetsのドライブガジェットによる各種文書の一覧表示や、Gluegent Flowで整備したワークフローのリンク集などを掲載しています。
また、社内ポータルのアクセス方法も可能な限りシンプルにしたかったため、Gmailやカレンダーの「もっと見る」ランチャーに表示されるように設定を行いました。


以上、弊社がISMS認証およびISMSクラウドセキュリティ認証取得を目指した際にGluegent FlowおよびGluegent Gadgetsを使って社内共有を行った活動内容の事例をご紹介しました。まだ運用が始まって4ヶ月目となりますが、分かりづらい等の声は挙がっていないように思います。一方、「このプロセスもワークフロー化できないか?」「開発に関する標準ルールをここに掲載したい」等、改善に繋がる声はドンドン挙がっており、情報セキュリティ管理者としては嬉しい悲鳴を上げているところです(苦笑)。
なお、今回の構築例の詳細や活用法に関する詳細につきましては弊社サイトからお問い合わせください。




2018年7月13日金曜日

【クラウドセキュリティ認証】6月のまとめ

6月のGluegentシリーズのリリースや、各種情報のまとめです。



Gluegent Flow と Gluegent Gate がクラウドセキュリティ認証を取得しました。


グルージェント、クラウドセキュリティの国際規格 「ISO27017」 認証を取得

グルージェント、クラウドセキュリティの国際規格 「ISO27017」 認証を取得
〜 ワークフロー、IDaaSでは、国内初 〜

また、ISO27001も同時に取得しています。「それって何?」「なんの意味があるの?」という方は、先週の記事をご覧ください。

グルージェントはなぜISO27017/ISMSクラウドセキュリティ認証を取得したのか?


   Gluegent Gate


2018年7月10日火曜日

グルージェントはなぜISO27017/ISMSクラウドセキュリティ認証を取得したのか?

先週、弊社のコーポレートサイトのニュース記事で発表させていただきましたが、グルージェントは6月にクラウドセキュリティの国際規格であるISO27017/ISMSクラウドセキュリティ(以降、ISMSクラウドセキュリティ)認証をGluegent GateならびにGluegent Flowで取得しました。 



今回は弊社がなぜISMSクラウドセキュリティ認証を取得しようとしたのか、その理由や背景をご紹介します。

ISMSクラウドセキュリティ認証取得を目指した理由

弊社が認証取得を目指した理由は色々あるのですが、大きくは以下の3点になります。
  1. 自社サービスの信頼性向上
  2. 社内のセキュリティ体制の強化
  3. 競合会社との差別化
1. 自社サービスの信頼性向上
ここ数年でクラウドサービス導入を検討する企業は増えてきています。
大企業やISMS取得企業など商談中にセキュリティチェックシートの回答が求められることが多くなってきています。
第三者機関による認証を取得しておくことで、この回答作業やお客様側の確認を省力化できることが期待されます。

2. 社内のセキュリティ体制の強化
クラウドサービスであるGluegentシリーズの提供を開始して今年で8年目になりますが、そのサービス提供に関わる開発・運用についてプロセス化している部分もあれば、少なからず人に依存してしまっている部分もありました。現在は少数精鋭としてセキュリティ意識も一定の水準をキープできていると自負しておりますが、今後企業規模を大きくしていった際に、社員増加によってセキュリティ意識や運用面での水準を一定に保つことは難しくなることも想定されます。その対策としてセキュリティポリシーやルールを会社として明確にし、意識できる体制作りが必要になってきたと考えました。

3. 競合会社との差別化

弊社が提供しているクラウドサービスは競合が多い市場ですが、機能レベルの比較だけをしようとするとユーザ視点では機能差が分かりづらいと言われることがあります。その中で、クラウドセキュリティ認証まで取得していることで国内企業の中で、差別化につながるのではないかと考えました。


ゴール設定
2017年5月頃、専門のコンサルティング会社に相談し、まずゴール設定から着手しました。2017年度のゴール設定は以下としました。
  • 1年以内にISMS/ISO27001(以降、ISMS)認証およびISMSクラウドセキュリティ認証の両取得
  • 適用範囲
ISMSクラウドセキュリティ認証を取得するためにはISMSも必要ですが、同時に取得可能であったため、同時取得を目指しました。認証対象としては、ISMS認証は全社とし、ISMSクラウドセキュリティ認証は時間的制約もあったことから、弊社の主力サービスであるGluegent GateおよびGluegent Flowの2サービスにしました。Gluegentシリーズの中でこの2サービスにした理由は弊社サービスの中でも強くセキュリティが求められているものだったため、できるだけ早く第三者機関のお墨付きを取りたかったためです。


活動内容
ゴール設定後、以下の活動を進めてまいりました。
  • ISMSクラウドセキュリティ認証に関する要求事項に対して現在行っている実施内容を整理し、その中で要求事項を満たしていない点や改善すべき点の洗い出しを実施
    • 上記で確認した課題については社内の開発およびサポート部門と協力しながら解決策を検討しつつ、改善していった。
    • 社外に公開すべき情報として対応を実施
      • 社外に向けての取り組みの1例:
        • 「情報セキュリテイ方針」ページをコーポレートサイトに新設
        • 「セキュリティに関する取り組み」についてをGluegent Gate/Gluegent Flowのマニュアルサイトに公開
  • 並行して、ISMS認証で要求される情報マネジメントシステムの構築作業
    • 各ルール作りおよびドキュメント整備
    • プロセス化および情報共有が求められる点についてはGluegentシリーズのサービスをフル活用(活用方法については後日ブログでご紹介する予定です)
  • 従業員教育への教育
    • 新たに作成した情報セキュリティ運用ガイドを徐々に浸透させていった。

審査結果と成果
2018年3月下旬に第一段階審査、4月下旬に第二段階審査を受審しました。その結果、大きな問題も特になく、6月に無事ISMS/ISMSクラウドセキュリティ認証が取得できました。
また、認証取得もさることながら、今回の活動を通じて社内におけるセキュリティ体制・ルールの土台が整備でき、かつ、社員の情報セキュリティ意識を向上させるきっかけに繋がったことも認証取得を目指した意義としては大きいと考えています。


以上、弊社がISMSクラウドセキュリティ認証取得を目指した背景や活動内容についてご紹介致しました。
ISMSクラウドセキュリティ認証はクラウドサービスの開発/運用においてセキュリティに関する弊社の取り組みが問題ないことを第三者機関により認められたことを意味しますが、その認証が取得できたから終わり、というものではありません。当然ですが、今回確立した情報セキュリティ体制や日々の運用ルール・プロセスを適切に運用していかなければ意味がありません。また、運用を進めていくにつれ、課題や不足点は必ず出てきます。これらの課題についてPDCAサイクルをきちんと回し、常に改善にしていくようにしなければならないと考えています。
なお、Gluegent GateおよびGluegent Flow以外のGluegentシリーズサービスについても次年度以降にISMSクラウドセキュリティ認証対象に含めるべく準備を進めておりますのでご期待ください。引き続き、グルージェントをよろしくお願いします。


 Gluegent Gate


2018年7月3日火曜日

【2018年版】IDaaSサービス Gluegent Gateの最新情報

2018年も6ヶ月が過ぎ、後半に入りました。Gluegent Gate は、クラウドサービスとして、日々機能の追加や更新をしています。2018年の折り返し地点で、現時点のGluegent Gateについて、ご紹介したします。新しく使い始めたお客様や、長く使っているお客様、これからSSOやアクセス制御、ID管理の仕組みを検討されるお客様にも参考になると思います。


Gluegent Gateが提供する機能

まず、Gluegent Gateが提供する機能を簡単にみてみましょう。多くの機能を提供するGluegent Gateですが、俯瞰してみると以下の3つの機能を提供するサービスと言えます。

  • シングルサインオン
  • アクセス制御
  • ID管理

それぞれ、簡単に見てみましょう。

シングルサインオン

Gluegent Gateは、シングルサインオン(SSO)機能を提供します。このBlogでも、シングルサインオン(SSO)とは?使うと何がうれしいの?で、SSOの利便性について、ご紹介しました。複数の高度なクラウドサービスが当たり前に使われる現在の状況では、SSOは必須の機能と言えます。

アクセス制御

クラウドサービスは、いつでも、どこでも利用できるという利便性がある反面、適切な認証と認可が出来ていない場合には、重要な情報が不適切な利用者に閲覧可能な状態となったり、最悪なケースでは、情報の流出も起こり得ます。Gluegent Gateでは、様々な形式で適切なユーザにのみ適切なサービスが利用できるように制御することが出来ます。その仕組みについては、Gluegent Gateはなぜ細かいアクセス制御が実現できるのか?でご紹介しています。ぜひご一読ください。

ID管理

ID管理、アカウント管理は、一定数以上のユーザに対して、サービスを提供する情報システム管理者にとって、常に頭を悩ませるポイントです。組織には人の出入りが付き物ですし、人事異動も定期的におこるイベントです。当然ですが、クラウド時代にもIDライフサイクル管理は必要ですでも、言及している通り、この要件は、組織を運用していく以上、必須のものとなります。

Gluegent Gateのライセンス

Gluegent Gateは、基本的なサービスを提供する「基本パック」と必要に応じて付加できる「オプション」で構成されています。2018年7月時点で、基本パックでは以下の機能が利用可能です。

  • シングルサインオン
  • アクセス制御
  • アカウント管理
  • 組織・グループ・プロファイル管理

また、オプションは、「認証方式を追加する」オプションと「SPを追加する」オプションの二種類あります。まず、前者のオプションは以下の通りです。

  • アクセスキー認証・確認オプション
  • アプリケーション認証オプション
  • ケータイ対応アプリ オプション
  • ワンタイムパスワード認証オプション
  • 外部代理認証オプション
  • 代理認証オプション
  • 証明書認証-証明書確認オプション
  • 汎用SAML for IdPオプション 
  • 汎用SAML for SPオプション

それぞれのオプションの詳細については、この記事には余るので、ご説明しませんが、様々なニーズの認証に対応可能です。また、後者の「SPを追加する」オプションは以下の通りです。

  • Box連携 オプション
  • cybozu.com連携 オプション
  • Dropbox連携 オプション
  • Evernote連携 オプション
  • LINE WORKS連携 オプション
  • Mail Luck連携 オプション
  • Office 365連携 オプション
  • PrimeDrive連携 オプション
  • Salesforce連携 オプション

これらのオプションは、SSOだけでなく、プロビジョニングも可能です。基本パックで利用するSPに加えて、追加したオプションのSPを一括管理できるようになります。
さらに、Gluegent Gateは、以下のような形で提供しています。

  • Gluegent Gate Business
  • Gluegent Gate Enterprise
  • Gluegent Gate Unlimited

Businessは、基本パックを1ユーザ100円で提供し、必要に応じて、オプションを1ユーザ100円で追加することが出来ます。
Enterpriseは、基本パックとSPを追加するオプションを3つまで利用でき、さらに認証オプションは無制限に利用できます。1ユーザ500円で提供しています。
Unlimitedは、1ユーザ1000円ですが、すべてのオプションが無制限に利用可能です。
Gluegent Gateは、多くのパターンに柔軟に対応できるように、ライセンス体系が少し複雑ですが、お客様に最適なライセンスをご提案させていただきますので、ご相談ください。(このライセンス体系は、2018年7月のものです)


   Gluegent Gate