内部統制のための対策について | GSuiteを使いはじめる前に(6)

内部統制のための対策について | GSuiteを使いはじめる前に(6)

前回のおさらい





前回は既存メールをGMailへ移行する際に気を付けるポイントをお話しました。

・GSuiteは1アカウント1メールアドレス。ただしエイリアスやグループを利用することで、アカウントを作成しなくてもメールアドレスは作成可能。
・GMailに対応していないサービスもある。回避方法の事前検討が必要。
・過去メールの移行はメールソフトからIMAPで。

ここまでGSuiteのメリットを中心にお話してきましたが、世の中メリットだけの製品は存在しません。
導入に際して必ず検討しておかなければいけないことがありますので、今回はそのお話をしていきます。

スポンサーリンク

内部統制のための対策

私有端末からのアクセスをGSuite単独で制限できない

GSuiteが提供しているサービスは、基本無料のGoogleのサービスと同じです。
ドメインで括って内部公開限定にできることでセキュリティを確保しています。
ログインにはGSuiteアカウントのIDとパスワードが必要ですし、それを知らない人にはドメイン内の情報にはアクセスできません。

逆に言えば、IDとパスワードがわかればどこからでもアクセスできます。
確認コードを利用した二段階認証やChromeのシークレットブラウジング、いつも使っている端末以外からのログインの通知等外部攻撃に対しては様々な機能が提供されていますが、問題なのは内部統制です。
社員が自分のIDで私有端末からGSuiteにログインできてしまいます。
昨今はBYOD(私有端末の業務利用)も進んでいますが、それもセキュリティの確保があった上でのこと。

スマデバについてはGSuite管理ツールの「端末管理」から利用端末を制限することが可能ですが、パソコンについてはIPアドレス規制や端末規制を行う機能がありません。
単独で利用すると外部攻撃には強くても内部からの情報流失に対する備えが無い片手落ちな状況になります。

GSuite Enperpriseなら一応管理できなくはない

GSuiteには基本サービスが提供されるGSuite Basicと高度な機能が拡張されたGSuite Enterpriseの2つの製品が提供されています。

GSuite Enterpriseでは内部統制の対応としてログインにUSBセキュリティキーでの2段階認証を行う機能が提供されています。

しかしここまで高度なクラウドサービスを提供しながら今更物理的なUSBキーというのはいかがなものかと思います。管理対象のデバイスが増える、故障・紛失のリスクもあります。

SSO連携、AD連携等の外部サービスとの連動が必要

GSuite単独では難しいですが、他のサービスと組み合わせることでこの問題は解消できます。
GSuiteは他システムからのSSO連携やWindowsのADからの連携のインターフェイスが提供されており、これを利用したサービスがあります。

提供会社:インターナショナルシステムリサーチ

1アカウント毎\100~\300/月でSSO、端末制限、IPアドレス制限からワンタイムパスワード、AD連携まで取り揃えています。
さらに付加サービスとしてクライアント証明書認証やPOP3/IMAPのアクセス制限が提供されています。

提供会社:サテライトオフィス

1アカウント\100/月でSSO、端末制限等様々な機能が提供されています。サテライトオフィス経由でGSuiteを導入した場合シングルサインオンの費用が無料になったり、他のGSuiteアドオンサービスも多数あります。

提供企業:ソフトバンク・テクノロジー

Azure ADを利用したAD連携、SSO、アクセス制限等が提供されます。
月額は\150ですが、最低購入本数は100本からで本数が増えると価格が変わります。
Azureを利用しているところからもわかるように、Office365との親和性は高そうですが、GSuiteもAD連携が可能なため利用は可能です。

二重、三重のデバイス管理は避けたい

外部サービスによる端末制限やIP制限は、デバイス管理の意味合い持つことになります。
デバイス管理はWindowsのActiveDirectoryやウイルス対策や端末制御等のエンドポイントセキュリティ管理ソフトでも行われています。
機能はそれぞれ異なりますが、端末管理については二重、三重の管理を強いられる恐れがあります。

SSO連携やAD連携サービスはこの点をある程度解決する手段になります。
管理者から見てもシステム毎のデバイス管理を分散させずに済み、利用者から見てもシステム個々の認証を行う手間が省けます。

セキュリティと利便性の両立のために、GSuiteと合わせて導入を検討してみてはいかがでしょうか。

スポンサーリンク

まとめとご案内

今回の内容をまとめると以下のようになります。

・GSuite単独での端末認証やIP認証は困難。放っておくと内部情報の流出も。
・外部サービスとSSO連携やAD連携を行うことで内部統制の強化を図る。
・デバイス管理が重複せず、個々の認証の手間が省けるSSO連携、AD連携はセキュリティと利便性の両面で有効。

話を聞くだけではわからない部分は、実際に使ってみた方が早いところもあります。

GSuiteは14日間の無料試用が可能です。
画面右側の「GSuite14日間無料おためし」にある「GSuite申込みページへ」から、もしくはこちらのリンクから申込みを行うことができます。

また、本サイトからGSuiteをお申込みいただいた方に限り、開始1年目の利用料が20%OFFになるクーポンを差し上げています。
クーポンの申込みは画面右側の「GSuite14日間無料おためし」にある「GSuite20%OFF申込みへ」から、もしくはこちらのリンクからお願いします。

前述した通り、利用にはドメインが必要になります。
ドメインをご準備いただいた上で登録してみてください。

システム・サービス・ソフトカテゴリの最新記事