MF KESSAIでは「マネーフォワードグループ、新型コロナウイルスの感染拡大防止に向け在宅勤務を実施」のタイミングから全従業員がWork From Homeを実施しています。 しかし弊社では創業時からWFHでも安全に安心して行える環境、そして組織体制を構築してきました。
そのおかげか今回の新型コロナウイルス(COVID-19)への対応として原則在宅勤務となった際にも、大きく生産性を下げる事なく実施する事に繋がりました。
全従業員がWFHの状態でも生産性を高め続けるためには、コミュニケーション、ハンコ、作業環境など様々な課題が存在すると思います。今回は仕事で一番利用するエンドポイント(端末)とアカウント管理基盤、そして情報管理として利用しているG Suiteに関してご紹介したいと思います。
考え
MF KESSAIでは、創業初期からZero Trustという概念に関して考えてきました。
まだ3年目の企業が完全に導入するにはとてもパワーがかかります。 ゼロトラストの3大原則にフォーカスして出来ることから実施してきました。 3大原則は以下のとおりです。
- 人を信用しない
- ネットワークを信用しない
- デバイスを信用しない
Zero Trustに関しては、Akamaiのゼロトラスト・セキュリティ が参考になるかとおもいます。
そして、弊社がメインで利用しているGCP, G Suiteを提供するGoogleは BeyondCorpを提唱しています。 この仕組みを採用する事で、ネットワークで制御していた世界からユーザと端末情報で制御する世界に変わり、より安全にどこからでも働ける場を生み出すことが出来るようになっています。
ゼロトラスト概念導入までは
これまでは、社内ネットワークが存在しており、社内ネットワークからのアクセスであれば許可(IP制限)。そして社外から社内ネットワークにアクセスするためには、VPN情報を持っている端末(≠ユーザ)は社内ネットワーク経由でアクセス可能となっておりました。
VPNはたしかに、社内ネットワークからしかアクセスできないサービスがある場合は有効になるケースが多いと思います。しかしVPNやIPアドレスは端末やネットワークに侵入されるリスクも存在しています。それ以前に最近は社内にサーバを持たずにG Suiteや、Boxといった様々な物がクラウド上のものを利用しているケースも多いと思います。クラウド上のサービスは一般的なネットワークからアクセスが可能になっているため、VPNが果たす役割としてはとても限定的なものとなってしまっています。
この状態ですと、これまではVPN情報を持つ端末からしかアクセスできない情報ではなく、個人の端末、ネットカフェの端末、多種多様な場所からクラウドの上の情報にアクセスができる状態といえます。
そしてMF KESSAIが信用しない事
一部例外が残っている場所もありますが、基本方針としてはこれからご紹介するとおりです。 最初にスコープを3つに絞りましたが、ここではそれぞれ単体を信用しない理由を書きたいと思います。
人を信用しない
ID/PASSWORD は漏洩するかもしれない。
もしかしたらPCに侵入されて、ブラウザに記憶させたID/PASSWORDを使ってログインされるかもしれない。
特にG Suiteの場合は、IDは企業用gmailアドレスになるためIDの特定は容易です。
ネットワークを信用しない
VPNやIPアドレスは端末やネットワークに侵入されてるかもしれない。 IP制限だけを信用していると、全てがパブリックな状態よりは安全かもしれないが、逆にIPを信用しすぎてその先がザルになってしまう可能性もある。
端末を信用しない
出張や旅先、もしくはカフェで仕事中にエンドポイントが盗難にあうかもしれない。 リモートワイプできれば問題ないが失敗したらその端末は好きに操作されてしまう。
MF KESSAIが実施している事
前述しましたが人・ネットワーク・端末だけを信頼してしまうと記述した内容やそれ以上の問題と隣り合わせになります。その為に信頼をするのではなく、人・ネットワーク・端末のアクセスレベルを複合的に毎回検証する必要があります。
それでは、現時点で行っている一部を紹介します。 ※まだまだこれから増えていく事になります。
1. Google LoginとMFA
ID/PASSWORD、とくにPASSWORDはポリシーで難易度に関して制御はしていますが、完璧な物はありません。 もしログイン情報を入力されてもログインを成功させない為に、Smart KeyやCode GeneratorなどMFAを用いる事で、その人が持つ何かが無いと成立しない状態を作り出すことができます。
2. Googleアカウントでログイン可能なSlackなどのG Suite以外のサービスを利用
基本G Suite SAML連携or SSOが使える状態にしています。 G Suiteアカウントに限定する事で、少なくてもG Suiteへのログインが成立している状態(≒従業員)となります。
3. 会社所有デバイスの認証
1,2の状態では家族利用PCや、ネットカフェなどでログインが成功したまま、ログアウトせずに別の人が使っている状態かもしれません。 その為、会社が支給しているPCである事を検査する事でより強固にする事ができます。
そこでEndpoint Verificationを会社所有の端末全てに導入する事で、どの端末が誰の物で、誰が最後にログインしたかわかる状態になっています。
そしてG SuiteのContext-Aware Access を利用する事で、全てのユーザは会社所有の端末でログインが成立した場合に限りG Suite各種サービスなどが利用できる状態になってます。
4. それでも利用場所を制限したい時
VPNや社内ネットワークを信用しなくなった事で、極端な話どこからでも人、端末などの状態を検査する事でアクセス可否を判断する事ができる状態になりました。
とはいえネットワークまで検査対象にしておくことで、検査項目が増えより厳しくできます。 Context-Aware Accessでは接続元cidrを定義できるので、vpnやオフィスネットワークである事を追加保証することが可能になります。 VPNを信用しないということは、VPN”だけ”を信用しないということで、検査項目の1つとしては有用です。
5. 端末を可能な限りゼロタッチキッティング
人を信用しないという事と少し異なりますが、端末セットアップも人の介入を防ぐ事で、確実に必要な設定を施す事ができます。 MF KESSAIでは、MacはJamf Pro、Windowsは、Gsuite Windowsマネジメント、Chromebookは、G Suiteのchromebook管理を利用しています。今後WindowsはIntuneも活用予定。
※キッティングとは、購入直後の状態などから従業員が利用できる状態にする一連の作業の総称です。
G Suiteでの設定例を少しご紹介
ここまでに紹介したMF KESSAIでの一部事例をどの様に実現しているか、紹介します。
ユーザ認証にMFAを導入
MFA登録済みの場合
Endpoint Verification
そのエンドポイントが会社所有か、どこのネットワークに所属しているか、誰がログインしてアクセスしているのか特定する為に必要な仕組み。
会社所有の場合
ユーザ所有の場合
Context-Aware Access
Endpoint Verification で取得した情報を元に、G Suiteの各種リソースにどの様にアクセスを許可するかを設定する仕組み。
アクセスレベル
ここでは会社所有PCである場合は、trueとなる設定を行っています。 OSのバージョンや、接続元IP、エリア、CIDRなども設定する事ができます。
アクセスレベルの割当
特定のグループに対して、G Suite各種サービスを利用に必要なアクセスレベルを割り当ててます。 ここではxxx-userというグループは、全てのサービスを利用するためには、CompanyPCで定義した条件を満たす必要があります。
もし条件を満たさなかった場合は
Context Aware Accessを利用する場合は、Chromeを利用する事が大前提になるため、ここではSafariで開いた例をお見せしますが個人PCのChromeで開いても同じ結果になります。
最後に
MF KESSAIでは、全従業員がWFHで働く為の準備はしてきました。しかし必要最低限、端末とユーザでアクセス制御できている状態にすぎず、利便性や運用にはまだ課題があります。 今回はCOVID-19対策として完全に整う前に始まった全員WFHですが、今後WFHを当たり前に選択出来る状態を目指して、安心して働ける状態を作り続けていきたいと思います。
余談
この記事を準備してる間にBeyondCorp Remote Accessが発表されました。 これはGCP上に作成したコネクタ経由でアカウントと端末の認証を行う仕組みでとなっています。 そして認証後のポリシーが適応される事で接続した社内ネットワーク内部などのウェブアプリケーション接続が可能になるものらしいです。
今後こそ最後に
Work From Homeでぜひオフィスにお越しくださいといえない状態ではありますが、MF KESSAIの開発に関わる環境などもっと聞いてみたいと思ってもらえましたら、こちらまでお願いします!
※2020/04/20 15:17: 記事内のGsuiteをG Suiteに修正