クラウド活用時のリスクを極少化する
「認証・認可」と「メールセキュリティー」

　気候変動を抑えるための環境配慮、ダイバーシティや労働者の権利保護といった社会問題の解決、法令順守やリスク管理に向けたガバナンス――この3つの課題に取り組む「ESG経営」が、企業の評価を決める新たな基準になりつつある。

　この新しい経営モデルを実践する上で、前提になるのがクラウド活用である。ペーパーレス化の推進、リモートワーク環境の整備、組織内の状況を見える化し、ガバナンスを徹底するといった取り組みは、いずれもクラウド技術なしで推進することは難しい。

　「この状況のもと、企業は様々なリスクに対処することが必要になっています」とHENNGEの奥谷 慶行氏は指摘する。システムがクラウドに大きくシフトする中で、不正ログインや標的型攻撃、VPNの脆弱性、内部不正による情報漏洩などのリスクが大きく高まっているからだ。

　そこで同社は、企業がクラウドサービスを利用する際、特に対策が必要なポイントとして次の2つを挙げている。

　1つ目は、安全・安心なクラウド／アプリケーション活用を支える「認証・認可の仕組み」である。個人用と会社用でパスワードを使い回していると、SNSやECサイトを通じて個人を特定され、パスワードが窃取されてしまうことがある。「守りが手薄な個人アカウントを侵害し、そこを踏み台にして企業内の機密データを狙う攻撃が増えています」と奥谷氏は言う。

　2つ目が情報流通を支える「メール」だ。宛先や添付ファイルを間違えて送ってしまうと、いとも簡単に情報が漏えいし、企業の信頼を失墜させてしまう。過去のメールから、意図的な情報漏えいや内部不正などが発覚するケースもある。メール監査を定期的に行ってコンプライアンスを強化するとともに、異動者、退職者も含めたメールのアーカイブデータを改ざん不可能な状態で保持しておくことも重要だ。

　これらのポイントを押さえた対策を実現するのが「HENNGE One」である。2つのエディションにより、「アクセスセキュリティー」と「メッセージングセキュリティー」の機能を提供する。既に多様な業種・業態の企業、約2000社で導入実績があるという。

　まずアクセスセキュリティーを担うのが「HENNGE One IdP Edition」だ（図1）。これは大きく3つの機能で構成されている。

①シングルサインオン（SSO）

Microsoft 365、Google Workspace、Box、LINE WORKSなど、200を超えるクラウドサービスと連携してSSOを実現する。「HENNGE Oneにログインするだけで、複数のクラウドサービスをシームレスに利用できます。当社ではIDaaS領域のシステムがクラウド化を妨げるのは本末転倒と考え、連携できるサービス数を無制限にしています」と奥谷氏は紹介する。

②アクセス制御

SSOを行う場合は、その入り口の守りを固める必要がある。そこでこの機能では、グローバルIPアドレス、Cookieベースのブラウザ認証、独自のセキュアブラウザ、スマートデバイス向けプッシュ通知アプリといった、複数の方式を組み合わせたシステム／サービスのアクセス制御を可能にする。また、デバイス証明書を利用したパスワードレスのログインも可能だ。これにより、ゼロトラストモデルの基盤になるアクセス制御を実現する。

③脱VPN対策

VPNを使わず、またネットワーク環境を変更することなく、オンプレミスシステムへの安全なアクセスを実現する。具体的には、システムごとにパブリックなURLを発行し、アクセス時に認証することでセキュリティーを高める。「帯域ひっ迫によるパフォーマンス低下など、VPNでありがちな課題に直面せずに済むようになります。また、ネットワーク構成の変更が不要なので運用管理も容易。これにより、マルチクラウド環境におけるアクセス制御をトータルに実現します」（奥谷氏）。

　メッセージングセキュリティーを担うのが「HENNGE One E-Mail Security Edition」である（図2）。Microsoft 365のメールサービスであるExchangeOnline、Google WorkspaceのメールサービスであるGmailと連携し、誤送信対策やメール監査機能など多様な機能を提供する。 　例えば「誤送信対策フィルター」は、送信先や送信者、漏えいにつながる恐れのあるキーワードなどを設定して送信メールをフィルタリングする機能だ。「脱PPAP※」に向け、添付ファイルを自動でURL化して送信する機能も搭載している。これにより、企業全体の送信メールへのガバナンスを強化することが可能になる。

　「メール監査対策」では社内外、退職者を含めたすべてのメールのやり取りを容量無制限で10年間アーカイブし、継続的な監査対象にできる。

　標的型攻撃への対策となる「メール脅威対策」では、Microsoft 365との連携に基づき、Microsoft 365上のExchangeアイテムを脅威から保護する。有害な添付ファイルやURLが含まれたメールを検知して隔離できるほか、カレンダーの予定、タスク、連絡先、メモなどのアイテムの本文やヘッダーに含まれるファイルの添付ファイル、Webリンクも分析できるという。「既知の脅威だけでなく、振る舞い検知などによって未知の脅威も検知できます。サイバー攻撃対策に必要な多彩な機能を搭載しているのが大きな強みです」と奥谷氏は語る。

　また同社では、HENNGE Oneの各機能を導入・活用する際の支援サービスも提供している。導入前にはテクニカルコンサルタントが企業ごとの環境にあった導入サポートを実施する。導入後は、利活用を支援するカスタマーサポート窓口や、ユーザー自身の運用を手助けする管理者向けセミナーの開催や、ユーザーコミュニティなどの仕組みを提供。「HENNGE Oneを末永くお使いいただけるための体制をしっかり整えてあります」と奥谷氏は強調する。

　企業経営を脅かすサイバーリスクは、単発の対策で抑えられるものではない。例えば、認証・認可の“穴”を突く不正ログインと、メールの“穴”を突く標的型攻撃は同時に起こることもあるからだ。互いに関連するリスクに、まとめて対処する上で、HENNGEの提案は大いに参考になるだろう。

• パスワード付きZIPファイルをメール添付で送り、その後別メールでパスワードを送るファイル送付方法のこと