2019年4月17日水曜日

クラウドサービスなのに、IPアドレス制限は必要なの?

いつでも、どこからでも、利用できる便利なクラウドサービスですが、その利便性を制限する「IPアドレス制限」は必要なのでしょうか?


クラウドサービスは、今の働き方に欠かせない

GoogleのG Suiteや、MicrosoftのOffice 365、のような多くの機能をもつものから、BoxやDropboxのようなファイル保存や共有に特化したもの、Slackや、LINE WORKSのようなコミュケーションに注力したチャットツール、さらに、Salesforceのような顧客管理、営業支援を中心とするサービスなど、多くの特徴あるクラウドサービスが提供されています。
これらのサービスは、今や当たり前となった「クラウドサービス」として提供され、インターネットにつながりさえすれば、世界中のどこからでも利用することができます。クラウドサービスの「いつでも、どこからでも」という特徴は、現代の働き方に欠かせないものとなっています。
激しい競争の中、迅速な意思決定をするためには、場所や時間に関係なく、コミュケーションを密に取ることが必要となっています。さまざまなデバイスで利用でき、地理的な制約を受けないクラウドサービスなくしては、ビジネスの成功は難しいでしょう。
また、さまざまな立場の働き手が、自分のライフスタイルにあった働き方をするためにも、いつでもどこでも、仕事ができる手段が提供されることは、重要な意味があります。子育ての合間に、専門的なスキルを提供することが出来れば、長期の休みをとらずに、短い時間だけでも就労することができますし、会社から離れた場所で、仕事をすることができれば、通勤で疲弊することもなく、高いパフォーマンスを出すことができるでしょう。
このように、クラウドサービスは、「働き方改革」にも寄与するビジネスに必須のツールと言えるでしょう。

どこからでもアクセス出来て良いのか

前述のように、どこからでも利用できるという特徴は、多くのメリットとなりますが、その反面、本当にどこからでもアクセス出来て良いのでしょうか。クラウドサービスが当たり前になる前には、各社が自前でサーバを運用し、会社の中に物理的に居なければ、メールを読んだり、ファイルサーバにアクセスすることが出来ませんでした。そのような情報にアクセスするためには、社外からVPNで接続するしかありません。
そのような環境では、オフィスの物理境界がそのまま、情報アクセスの境界となり、情報が適切に守られています。しかし、クラウドサービスはプロバイダから提供されたままの状態であれば、このような境界は存在せず、認証さえ通過すれば、アクセスできてしまいます。「いつでも、どこでも仕事ができて、生産性アップ」と無邪気に喜んでいて良いわけではなさそうです。

業務の内容と扱う情報の種類

会社の中には様々な部署があります。社外に積極的に出て顧客を獲得したり、実際に社外でサービスを提供したりする業務もありますし、ほとんどの時間を社内で過ごす業務もあります。主に社内で仕事する人のアカウントが、世界中のどこからでもアクセス可能である必要があるでしょうか。また、競合他社に対抗するために、研究を進めているような機密性が高い情報も、自宅からアクセスできたり、モバイル端末からアクセスできるようにする必要があるでしょうか。
業務の内容や、扱う情報の種類によっては、「いつでも、どこからでも」アクセスする必要がなかったり、アクセスさせてはいけないというケースもあります。

いつでも、どこからでも情報が漏れる可能性がある

上で述べたように、企業には機密情報もありますし、外から見なくても良い情報があります。しかし、多くのクラウドサービスは、これらの情報を守るのは、IDとパスワードに代表される個人の認証に頼っていて、認証さえ突破されれば、「いつでも、どこからでも」情報が漏れる可能性があります。これは、情報の重要さに比して、セキュリティ対策が薄すぎると言わざるを得ません。
パスワードによる認証は、人間の記憶力に頼ることが多く、十分な長さや複雑さをもって運用することは難しく、複数のサービスで使いまわされたりしています。あるサービスでパスワードが漏れた場合に、他のサービスも不正アクセスの危険が高まります。
普段利用しない端末や環境からのログインを自動的に検知し、パスワード以外の情報(通知用メールアドレスなど)を聞いてくるサービスもありますが、そのようなサービスはまだ多くありません。クラウドサービスは、便利な機能を提供しつつ、そのセキュリティの確保はユーザにまかせていると言えるでしょう。

IPアドレスによる制限

企業が使うネットワークでは、多くの場合、IPアドレスが固定化されています。前述したような、機密情報や、社外からアクセスする必要がない業務では、会社からだけのアクセスに制限することが出来れば、ID/パスワードによる認証と合わせて、十分なセキュリティが確保されていると言えそうです。
アクセス元のIPアドレスが、固定化された会社のものからに制限されていれば、パスワードが漏れていても、退職者のアカウントが誤って残っていたりしても、大事な情報にアクセスすることはできません。

認証を他のサービスに移譲できる

ただ、アクセス元のIPアドレスを制限できるクラウドサービスは、それほど多くはありません。では、そのようなサービスだけ、どこからでもアクセス出来るようにしておくしかないのでしょうか。
実は、IPアドレスの制限機能を備えるサービスは少ないものの、多くのクラウドサービスでは、認証を他のサービスに移譲する機能をもっています。シングルサインオン機能を提供する他のサービスに認証を任せることで、複数のサービスを併用する際に、利便性が向上するからです。

認証時にIPアドレスを制限

弊社が提供するGluegent Gateは、多くのクラウドサービスに対応するシングルサインオンサービスです。また、認証時に、アクセス元のIPアドレスを確認し、定義されたIPアドレスでない場合には、認証を許可しないようにできます。また、IPアドレスを制限するグループと、制限しないグループを別に定義することも出来ます。例えば、社外からのアクセスが必須となる営業部のメンバーは、IPアドレスを制限せず、業務では社内からしかアクセスしない、総務部のメンバーは、IPアドレスを制限するというような使い方ができます。
認証を握ることで、対象のクラウドサービスの利用を適切に制限することができます。「いつでも、どこでも」が旗頭のクラウドサービスですが、ここまでに見てきたように、どのようなケースでも、全世界からアクセスできることは、適切ではありません。
Gluegent Gateでは、IPアドレス制限に留まらず、特定の端末に制限する機能など、様々な面から、適切な利用に制限する機能を提供しています。さらに、これらの制限ルールを現場の利用パターンに合わせて柔軟に適用できます。
クラウドサービスを利用するには、必須のサービスです。ぜひ、ご相談ください。

   Gluegent Gate