FAX企業からテレワークへする為のおすすめアプリ一覧とセキュリティの考え方

中国でビジネスをしていると、心が荒む。だって人権意識が低く、性悪説を前提に社会が回っていて家族以外は敵だからだ。

中国から日本に帰ると気が楽だ。性善説を前提に社員のモラルに頼ってコストが激安だからね。

コロナの影響でテレワークが推奨されている。多くの日本企業はコレに対応できていない印象がある。

良くも悪くも人の移動が少なく必要に迫られてこなかった事が大きいし、ハンコなどの背筋が凍りそうな文化も未だに健在。

さて本筋の話だけどフルリモートでいいじゃん！

これは自社と言うより、会合用の資料を一部公開します。（後日、加筆全公開予定）

人を信用できないのでシステムを信用します。
ハンコの無い世界へ電子署名
会社のモバイル端末１
会社のモバイル端末２
データのバックアップもフルクラウド化
チャットツールをSIGNALからslackへ
企業ホームページを改善
多要素認証の数字入力の廃止
電話もクラウド化して内線電話をスマホへ
BOXにデータをいれてOK

人を信用できないのでシステムを信用します。

具体的には、性悪説で構成されたシステムならです。

内部統制組織やセキュリティ室の人間も信頼しません。時代はクラウドに移行しているので、クラウドで出来る事を任せるだけで、ハンコを押す人を減らせます。
だからこそワークフローの見直しと制御が必要になってきます。

ローカルデータを制御(Druva)
データの保管を制御（BOX,G Suite）
コンテンツを制御(CASB,Skyhigh,Skyhigh)

なぜこんなことにコストを掛けるかと言うと、無駄な認証の為に数百万円使うなら、はじめからそれが不要な程度の仕組みを作っている必要があると考えるからです。

そしてActive Directory（アクティブディレクトリ：AD）からシングルサイン（SSO）に対応していない、パスワードを入力作業が必要な全てのシステムは「情弱」という考えからスタートします。

家族ならば児童から老人までいるかけですが、パスワードを教えません。

だって必要が無いから

全てはシングルサインに統合運用されているので誰でも使う事が出来ます。そのすべての挙動をクラウドで管理させています。

その意味で各種行政のシステムは嫌いです。

それでもパスワード入力場面が、パソコンへログイン時とSSOする時です。

管理を自動でシンプルるに協力に運用するにはクラウドと各種アプリケーションの併用がベストです。

以下の３つのステップで運用

ハードウェア認証
アカウント認証
多要素認証

コレを個人でやると費用が～と言われるので最低限の安全利用の為のガイドラインが「独立行政法人情報処理推進機構セキュリティセンターの中小企業のためのクラウドサービス安全利用の手引き」を参考にして下さい。

内部監査や外部監査のガイドラインと同等程度の水準を満たしている優れものなので今すぐにチェックして欲しい。

「Google によるお客様の組織のセキュリティとプライバシーの保護について」の各項目についても検討して欲しい。

何故かって？

ISAE 3402 type ⅡとSSAE 16 認証とISO27001など取得の為に必要な知識だからですよ。

日々の業務に関する内外からの要因をリスク評価によって判断でき認識できる事が重要。それによって継続的な事業と継承を用意とするものなんだよね。

誰かに頼らない。

私は監査人なので、アタック攻撃人や認証技術と暗号化部隊とは別なのです。

そして

色々な監査がって国内標準や国際標準などいろいろあるけど、認証を通ったからと言って偉いの？と思うのです。

これらは、自社の既存の知見に基づくセキュリティ基準を明確に定め意識を上げて一定程度あるかの認証なのです。

お客様に大企業様がいらっしゃるのセキュリティ部隊から資料の提出を求められるんですよね。逆にサーバー室に入退室もあります。

そんな時に、お宅のセキュリティ意識は如何程？と聞かれるのです。

中国の社員のモバイルは24時間365日GPS機能がONでロギングされます。行ったと言ってGPSがその場所に無い場合、自動的に弾かれます。

だって性悪説が前提で誰も信用してないから・・・中国で仕事をしていると私は誰も信用しなくなりました(笑)。

監視カメラのブレーカ落とすとか
自分のスマホを繋いでデータをパクるとか
USBメモリブッ差してデータを持ち逃げするとか
スマホで写メで資料をコピーすると

これ日常です(笑)

しかしこれが一度でも起きると企業の信頼は地位落ちますし、担当はぶっ飛ばされます。

やった本人に悪気が無くても無関係にです。

標準化されて基準は陳腐化して時代遅れになったものもあるので、「ISO27001」辺りを狙う

でも取引先の関係で事業案件を受ける関係で必要に迫れた認証は便利だけど、意味が無い場合がある。

だからこそ、自社基準と対策を公開できるくらいの透明性を高める事が必要だと思うんですよね。

ブログでもセキュリティー対策を公開しているのは、この程度の対策済みですよと広く発信して理解してもらう為なんですよね。

コレを企業レベルでも行うだけ

中国の場合

セキュリティーゲートを潜るとスマホのデータを抜かれる
国際空港のUSB充電を使うとデータを抜かれる
インターネット回線につないだ端末（PC、スマホetc）のデータを抜かれる
暗号化されたデータを解読される
GPSの誤差数十センチだから隣接するデバイスのスピーカー機能をハックされて盗聴される

これ普通のリスクです

そもそもインターネットサービスは、国家レベルのチャレンジの場所ですから、電池を抜くことが出来ないiPhoneなど全ての行動はログされて楽しく使っていますよね。

つまりインターネット接続デバイスを持つ子供から老人に限らず、全ての方々が第三者からの攻撃の対象となり安全と言う言葉は忘れて下さい。我々の業務上知りえる情報が、セキュリティー設定、ネットワーク設定、アカウント設定、障害対応など社内情報にアクセス可能なレベルを扱うからです。

その意味で責任の切り分けが重要となってきます。

簡単言うと「お客様が自身で作成されたものはご自身で保護してください」と言う事です。

セキュリティに完全も完璧も存在しません。それも重大インシデントが発生した時には公開して、多段的に積み重ねて安全性を高めたいと考えています。

監査を目的とせず、実用的なセキュリティ対策を有効に評価出来る事が大事です。

このブログは世界中からアクセス可能ですが、ログインは特定の場所以外からのアクセスを遮断しています。そのアクセスもログを取っていて、ログインを試みた瞬間にメッセージが飛ぶようにできています。覚えが無い場合即座にブロックします。

自社ガイドラインが無いのなら既存のガイドラインを参考に、自社モデルを構築すれば良いのです。

どんなサービスもリスクがあります。日々のWindowsのセキュリティホールなんて凄いですよね。社内で情報を更新し共有して対策を考えて公開する事で透明性の高い組織が出来ると思います。

ハンコの無い世界へ電子署名

ハンコ文化が在宅勤務（テレワーク）の壁になっている中でハンコ「できるだけ省いた方が」　議連会長の竹本IT相が言える程度に進みましたね。

電子印よりも印文化は不要だと考えますし、その時に便利なのが「Docusign」です。

紙を排除して、請求書も雇用契約書も社内資料（稟議書、議事録）、機密保持契約、企業間の契約プロセスも自動化、ログ機能などを実装できます。

紙代/送料/印紙代は全て不要で、その他、契約にかかわる人件費も書類保管のスペースも不要なる。

公式サイトDocusign

会社のモバイル端末１

モバイル端末の管理が面倒だし、そもそも管理してます？

7GBの通信制限も回避したいそんな時には、『SORACOM』ってのが使った分だけの従量課金。

『SORACOM』ってコンソール上でSIMの状態を把握出来るんですよね。誰かに端末をパクられたり、紛失したり出来るんだよね。

紛失して、連絡が来たらそのSIMの通信を止めるだけでOK。

社員のWi-Fi端末にSIMをブッさせて使えばOKだし、IMEIロックを有効にしたらリスクも下げれるよね。

公式サイト
新機能： IMEI ロック機能をリリースしました SORACOM

会社のモバイル端末２

社用端末としてMacかガラケーが良いのだけれど、スマホは必要ですよね。

iPhoneやiPadにMacなどApple製品であれば全て統合管理出来る『Casper Suite』です。

何が便利かと言うと、アプリを疑似的な社用App Store（Self Service）からダウンロードして使います。

このおかげで、各端末のアプリがAppleIDに紐づかずに運用できるようになります。さらに有用アプリは会社の資産として永続的に保有する事になります。

更に端末のカメラ機能をOFFにするなどSiri機能OFFにするなど☑一つで可能でしから、客先のセキュリティにも貢献する事になります。

バックアップを勝手に取らせない為にTime Machineの利用を禁止して、社用Wi-Fiのパスワードを知らせたくない場合も、『Casper Suite』の「Network」設定でSSIDとパスワードを入力して【Save】するだけ。社外からのアクセスなど特定のWi-Fi以外からのアクセス時には、端末の機能制限を強化させる。

遠隔操作も可能ですから、デバイスのロックや紛失時にはリモート削除も可能です。

例えば、端末のパスコード3回間違えた初期化させる。当然だけど、強制リセットが出来る事を社員に伝える必要はありません。自動だしｗ

公式サイトjamf

データのバックアップもフルクラウド化

物理デバイスのバックアップもHDD完全バックアップするのが年末の所作になりましたが、コレ面倒ですよね。

そんな時に有効なのが、クラウドサービスのDruva（ドゥルーバ）です。

PCやMacのバックアップは当然出来ますし、Google AppsやOffice365やBoxなどのクラウドサービスまでデータをバックアップ出来る。

その個々のデータを横断して検索できるので様々なメリットが享受できるし、各種セキュリティー対策としてランサムウェア対策などから大切なデータを守れるようになる。

バックアップは、管理者権限があるものが決められてシングルサインオン設定も可能なので安心ですね。

バックアップもフルから個別の設定まで可能です。

さらにデータの統制に便利な、機密データが含まれていないかなどのチェック機能もあります。

公式サイトDruva

チャットツールをSIGNALからslackへ

社用チャットツールをLINEを使っている所は統合できてないですよね。

メールでのやり取りは非効率的で最悪だし国際会議レベルになると来賓だけで数千人オーダーです。関係者を入れると万人規模になりますよね。その場合のユーザ管理が地獄絵図で去年経験しました。

業務連絡に使っていなければ良いですが

日本ではLINEユーザーが多いの考えると、個々の個人スマホで連絡をとっていて会社全体としての導入は少ないと信じたいです。この個人アカウントを企業がリスク管理できず、アカウントが乗っ取られた場合や標的型攻撃でクライアントに迷惑が出て会社に損害が出る事態にどうするのでしょうか？さらにスマホの紛失時には、個人の端末だから企業の管理下にないはずです。

海外とのVPN無して通信する場合に、SIGNALを使っているんですけど、社用としてセキュアと管理を考えるとslackが良かったです。

会社としてプライバシーマークの取得など旧時代の運用項目で、手段と目的が逆転した養分となっている企業も多いと思います。

slackは、統合認証によるシングルサインオンに対応しているのがポイントです。

公式サイトslack

メールの2段階手順が嫌いです。