グループウェア選びとセキュリティ【Pマーク取得の基礎知識】
グループウェアを社内に導入している企業様も多いと思います。グループウェアがあると社内の業務上のコミュニケーションや情報の共有を効率的に図ることができますので、プライバシーマーク(Pマーク)を取得している会社でも活用の余地が大いにあるといえます。
とはいえ広く普及しているクラウド型のグループウェアについては、情報漏えいや突然利用できなくなるような事態への懸念を持っているプライバシーマーク(Pマーク)取得会社もあるかもしれません。
「クラウド型グループウェア」とはインターネット上のサーバを利用したグループウェアのことで、代表的なものとしてはクラウド型のサイボウズやGoogle Apps for Businessなどがあります。
プライバシーマーク(Pマーク)取得会社として個人情報保護を実践しながらグループウェアを安全に利用するうえで、どのような視点でグループウェアを選定すればよいかを考えてみましょう。
データセンターのセキュリティは?
クラウド型である以上そのグループウェア上のデータはベンダーまたはクラウドプラットフォームにおけるデータセンターで管理されることになります。
当然のことながらそのデータセンターのセキュリティ状態は気にすべきです。近年のサイバー攻撃に対応した厳重な不正アクセス防御手段が講じられていることは必須です。ファイアウォールやマルウェア対策がどうなっているかを確認する必要があります。
またデータセンターに物理的な攻撃や自然災害が及ぶことも想定されます。そのような場合にでもシステムが可能な限り稼働し続けられるような対策が講じられているかを確認しましょう。
プライバシーマーク(Pマーク)取得会社としては検討しているグループウェアがISO27001などの認証を取得・更新しているかどうかを判断基準の一つにできるかもしれません。
アクセス制御は?
言うまでもなくクラウド型のグループウェアは部外者がアクセスしないようID・パスワードでログインするものです。しかしながらそれでもなりすましの危険がゼロになるわけではありません。ハッカーにとってパスワードを破るのはそれほど難しいことではないのです。
より強固なアクセス制御としてワンタイムパスワードがあります。ワンタイムパスワードとは一度一度のアクセスでパスワードが発行されるシステムのことです。
通常のパスワード認証に加えてワンタイムパスワード機能があればセキュリティは一段と高くなりますから、プライバシーマーク(Pマーク)取得会社としてもそのような機能を持つグループウェアの利用を検討できます。
ログは?
グループウェアの内部でもグループやファイルごとにアクセス制御を設定し、従業員の中でも関係者しか機密情報にアクセスできないようにする場合があります。
このような場合、従業員がグループウェア内で許可されないアクセスをしていないかなどを定期的に検証する必要があります。そのため監視ログ機能があるかどうかは重要なポイントとなります。
まとめ
グループウェアに求められるセキュリティ水準を自社で設定し、その要件を満たすグループウェアを導入するようにしましょう。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
