ベンチャー企業のセキュリティ対策を考える

   

【第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!」】に参加して来ました!

WebSigとか超Awayだわと思いつつも、タイムリーにこの記事を見たことも有り、楽しみにしていたんです。

社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました

リバネスの現況を簡単に紹介しますと、事業所が東京・大阪・沖縄と点在。本年中にはシンガポールが本格稼働開始等、これから人も、働く場所も増えていくフェーズにあります。一方で、クライアント数が増え、相応の個人情報と言ったデータが集約されるようになってきました。

もともとアナログな人間が多いリバネスにおいて、どのようにセキュアな環境を保ちつつ、機動性を保つかという事がこれから大きく業務効率に影を落とす事がわかっています。

タイトルをベンチャー企業としたのには意味があって、相応に流速の早い業界に身を置きながら、自らの理念を達成することに全力をかけチャレンジし続けているという事で、そのようなこれ!と決めた業界がないような業務形態の場合には、セキュアと言っても柔軟性の高いものにせざるを得ません。毎日全員が出社して、オフィスに居るときにだけ情報にアクセスするという環境では既になくなってきつつあると言うわけです。

セキュアであるとはどういうことか

こちら、サーバーワークスの大石さんのプレゼンなのですが、そういう考え方になるのか!と、はっとしたのは54ページ目から始まるセキュリティの部分。
情報の集積としては、社内にサーバーを置いて、そこに集めていくというのが従来のスタイルだったりするのですが、それって本当に安全ですか?という部分は結構重要な問いかけだったりします。
リバネスでも、実は社内サーバーは撲滅したいなと思っていたんですよ。何しろ、サーバールームがあるほど大きな会社ではありませんし、究極を言えば泥棒が侵入したとして、サーバーをキャビネットごと持っていくなんてことは不可能では無いからです。
物理的に持っていかれるという危険性はクラウドでは発生し得ない。
Amazonについては、クラウドの情報を社員も覗き見ることが出来ないという状態になっています。第三者認証の取得もきちんとされており、そんじょそこらの環境よりは十分にハイセキュリティな訳です。
そもそも、セキュリティ部門に人員を貼る事が、普通の企業だったら出来ない訳です。AmazonやGoogle並にスタッフを付けることの出来る企業がどの程度いるのでしょう。少なくともリバネスでは現状無理です。
メリットデメリットを把握し、何を選択してきたのかがわかりやすいプレゼンテーションで素敵でした。これは参考になる。
何より、ISMS認証を攻めの姿勢で取るぞというのは大事なことであり、且つ取得する際に「自分が働きたい環境を残すべし」という意思があるというのはものすごく重要だったりします。セキュリティ対策とは、自らに鎖をかけることですからね。トレードオフを認識して進める必要があります。

社内からサーバーが無くなることで変わること

事実上、場所が関係なくなります。地方事業所だろうが本社だろうが、情報へのアクセスルートは同じになる。
これは、ベンチャー企業にとっては重要な事なんじゃないかなと思うんですよね。

世の中には便利なツールがあるもので

チームラボさんのプレゼンは「上司が信用できない会社の内部統制」というものでしたが、社長の猪子さんが物理的に年間3台程度のPCを紛失するというのには爆笑の渦が巻き起こりましたが、そんな状態でも内部統制をという話は参考になりました。特に、今回のWebSigはそれぞれのプレゼンテーションのいいとこ取りをすると、結構いいんじゃないの?と参加者は思ったんじゃないかなと、そんな気がします。
物理的な紛失が発生すれば、データはワイプです。ローカルにあるデータはクラウドと同期していれば、即消去しても関係ないですよね。という今時な解決策はCoolだと思います。

その他にもTipsが山盛りでした

情報へのアクセスという観点から、色んなサイトへのシングルサインオンは必須になるだろうなという流れがあったり、じゃあSSOのサービスを利用する事で万全かというと、そのサービスが止まってしまった時に、ビジネスで使っているサービス全てにアクセス出来なくなる危険性があるよねという話があったり。だったら、2つのSSOサービス使っておけば大丈夫じゃないの?というあたりの話は実践的でした。
大容量のデータについてどうするかという点については、やはりクラウドはまだきついよなという話も出てましたが、そもそもの3Dゴリゴリやるような大容量データは、外に持ち出すのも大変だし、ローカルに置いといても大丈夫だろというような話も出たりと、いろいろな立場から問題提起が行われるイベントで良かったですね。早速自社にも活かさなくては。
WebSigとか、テーマによってはWeb界隈の人だけじゃなくていろいろな立場で参加したらいいと思うんですよ。モデレータの皆さんお疲れ様でした!

おすすめ記事一覧

 - ベンチャー企業的な話