2019年5月15日水曜日

「パスワードの定期的変更」に関する認識を改めましょう

マイクロソフトが、パスワードの定期的な変更に関するポリシーを変更するというニュースが話題になっています。以前の記事(パスワードの定期的な変更が不要とされたことの意味とは?)でも、同様の問題について触れましたが、マイクロソフトがこのポイントに触れたことは、大きな意味があると思います。今回は、その内容について見てみます。


セキュリティ・ベースラインから「定期的なパスワード変更の強制」を削除

マイクロソフトは、Windows 10のv1903のアップデートの「ドラフト」として、以下の記事を公開しています。

Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903

ここで、触れられているアップデート内容は複数ありますが、注目されている点は、

Dropping the password-expiration policies that require periodic password changes.

のところです。記事中では、この点について、特に、詳細を記述しています。要点をまとめると、以下のようになります。

  • パスワードのみでセキュリティを確保するのは難しい。
  • 人間がパスワードを作ると、推測可能なものや、短いものになりやすい。長いものを強制されると書き留めて、無意味なものにしてしまう。
  • 最近の研究では、パスワードの有効期限ポリシーなどの「慣行」の効果が疑問視されている。「慣行」の代わりに、禁止パスワードリストや多要素認証がある。
  • パスワードによる保護以外の手段を講じている場合は、パスワードの定期的変更こそが問題を引き起こす原因になり得る。
  • ベースラインに「パスワードの定期的な変更」を含んでしまっていると、他の有効な対策を講じているにも関わらず、「ベースラインからの乖離がある」ということにより、セキュリティの評価値が低く判定されてしまう場合がある。
さらに、簡単にまとめると、「昔からパスワードは定期的に変更するものとされてきたけど、人間に変更させる時点で意味がないから、パスワード以外の方法も合わせて、セキュアにしよう。そして、ベースラインに、それを入れておくと、かえって危ないから外すことにする。」となるでしょうか。

パスワード変更を利用者任せにすることのリスク

冒頭でふれた以前の記事(パスワードの定期的な変更が不要とされたことの意味とは?)は、総務省が公開したセキュリティ情報が、「定期的な変更を強いるのは危ない」としたことについて触れました。今回のマイクロソフトの変更も、同様の立ち位置です。広く使われているOSのベンダとして現実的な対応をしたと言えるでしょう。
どちらも、パスワード変更を利用者任せにすることのリスクと、定期的にそれを強いることで返って危険になると指摘しています。パスワードが漏れたのでもなければ、変更する必要はなく、利用者に頻繁に変更させることで、弱いパスワードを利用する傾向が高まり、結果として、リスクが高まります。

パスワード以外の要素も含めることで、セキュリティを強化

ID/パスワードによる認証は依然として、認証処理の中心と言えますが、現在は、その他の要素による認証も多く提供されています。これらを複数組み合わせることで、セキュリティリスクを軽減し、安全を確保することができます。
G Suiteや、Office 365などをはじめとした、多くのクラウドサービスでは、それ単体で、パスワード認証だけでなく、二段階認証を提供しており、パスワードのみでの脆弱性を補完するものです。ただ、複数のクラウドサービスを使うことが多いとそれぞれの認証が異なり、より複雑となって、利用者の利便性を損ないます。セキュリティの高さを確保できたとしても、利用者が利用しにくいのは、問題です。
弊社が提供するGluegent Gateは、パスワードだけでなく、複数の要素による認証をサポートしています。さらに、Gluegent Gateは、複数のクラウドサービスを統合管理し、SSOを提供しますので、複数のサービスを利用する場合にも、ユーザの利便性を損なうことなく、高いセキュリティを確保することができます。

「これまでそうだった」に安心せずに、セキュリティ対策を見直す

総務省やマイクロソフトの姿勢の変化は、ユーザの行動に直接関わり分かりやすい事例ですが、これまで当たり前として取られてきたセキュリティ対策が実はそれほど効果がないことが分かったり、時代の流れに伴い、意味を失っていくということがあります。その効果について考えもせずに、「これまでこうだったから」という理由だけで適用し続けることが危険であるということを再認識しましょう。セキュリティ対策は、永続的にこれで100%安全ということはありません。常にその効果について検討、確認し、必要に応じて更新していくことが必要です。

   Gluegent Gate

2019年5月8日水曜日

Gluegent Flow活用例:ワークフローの添付ファイルをG Suite上で共有するには?(2019年版)

G Suite(旧Google Apps)は社内共有・コラボレーションを加速させることができるクラウド型グループウェアです。 例えば、その機能の1つである「Google ドライブ」は、ファイル共有・管理をクラウド上で行うことができ、PCやモバイル端末から自由に閲覧・検索が行えます。 そんな便利なGoogle ドライブに、ワークフロー申請時の添付ファイルをアップロードするにはどうすれば良いか?、というご質問をよく伺います。もちろん、申請と同時に手でGoogle ドライブにアップロードすることもできますが、アップロードのし忘れや間違ったファイルをアップロードしてしまう等、運用時のトラブルが発生しやすくなります。

今回は、クラウド型ワークフローであるGluegent Flowを利用し、ワークフロー申請時の添付ファイルをGoogle ドライブに自動的にアップロードする方法と、そのメリットについてご説明します。

ワークフローの添付ファイルをGoogle ドライブで扱えるようにする方法

ワークフローの添付ファイルをGoogle ドライブにアップロードするためには、Gluegent Flowに備わっている「添付ファイルアップロード自動処理」を利用します。
設定内容は以下の通りです。

  • 入力フォーム項目として、「添付ファイル」項目を追加する
  • ユーザが申請時の入力フォームから添付ファイルを指定できるように添付ファイルを指定するための項目を追加します。

  • 経路の自動処理として「添付ファイルアップロード自動処理」を追加・設定する
  • 添付ファイルをGoogle ドライブへアップロードするための自動処理機能を設定します。 この設定画面で入力フォーム項目に追加した「添付ファイル」項目を指定します。 アップロード先として、特定フォルダ配下を指定することができます。 また、新たにフォルダを作成し、その下に添付ファイルをアップロードすることも可能です。
    設定例はスクリーンショットをご覧ください。
    ここではタスク番号と作成者名をハイフンで連結したフォルダ名に添付ファイルをアップロードするようにしています。
    以上の設定内容を踏まえた申請モデル「経費精算申請」を作ってみました。サンプル画面は以下の通りです。

    この申請画面では、旅費・宿泊費等の経費を入力し、領収書が必要な経費についてはその写真データをファイルとして添付した上で申請します。
    その後、上司の承認が終わった段階でGoogle ドライブへ領収書イメージファイルを自動処理設定画面で指定したフォルダ配下へアップロードします。実際にドライブへアップロードした結果が以下となります。
    申請画面で添付したファイルがGoogle ドライブの所定の場所にアップロードされていることがお分かりいただけると思います。

添付ファイルアップロードを利用するメリット

Gluegent Flowの自動処理により添付ファイルをGoogle ドライブへアップロードすることで以下のメリットを享受できます。

  • Google ドライブで添付ファイルを管理できるようになることで検索が一元的に行えるようになる
    • 通常、ワークフローに添付されたファイルは保存先がG Suiteと異なるため、個別検索となりますが、Google ドライブにアップロードできることでGoogle ドライブの検索インターフェースから一元的に検索できるようになります。
  • 添付ファイルへのアクセスや二次利用が容易になる
    • わざわざGluegent Flowのタスクを開き、添付ファイルにアクセスすることなく、Google ドライブからまとめてアクセスできます。また、二次利用も簡単になります。
  • 添付ファイルがダウンロード不要になる
    • 今回はアップロードのみをご紹介しましたが、種別が「ドライブ」の入力フォームを作成し自動処理設定画面の「ドライブ項目名」でこの入力フォームを選択すると、ドライブにアップロードされたファイルのリンクが自動的に設定されます。承認経路ではファイルをダウンロードせず、この入力フォームを参照することも可能です。

以上、Gluegent Flowの自動処理を利用することでGoogle ドライブを活用するための方法をご紹介しました。 ワークフローに添付したファイルは、ワークフロー内でのみ参照できるケースが多いですが、Gluegent Flowを利用すれば、Google ドライブが持つファイル共有機能を活用することで、社内共有や検索が容易に行えるようになります。なお、Gluegent Flowでは添付ファイルとして、Google ドライブ上のドキュメント/スプレッドシート等のファイルも指定可能です。
ご興味がある方は弊社ホームページから是非お問い合わせください。