チャット SSO アクセス管理

「Slack」から見えるメールと従来型セキュリティの“不都合な真実”

ビジネスチャット「Slack」のセキュリティ機能を説明するオンライン座談会の中で「IDベースで制御する“ゼロトラスト”セキュリティを模索する動きは、公共においても議論は進んでいる」という。

 Slack Japanは1月28日、ビジネスチャット「Slack」のセキュリティ機能を説明するオンライン座談会を開催した。米本社Slack Technologies 最高セキュリティ責任者(CSO) Larkin Ryder(ラーキン・ライダー)氏、Slackのセキュリティ連携パートナーであるOkta Japan(渋谷区) 代表取締役社長 渡邉崇氏、Japan Digital Design(中央区)最高技術責任者(CTO)楠正憲氏(内閣官房 政府CIO補佐官や東京都DXフェローを兼任)が参加した。

Slack Technologies 最高セキュリティ責任者(CSO) Larkin Ryder氏
Slack Technologies 最高セキュリティ責任者(CSO) Larkin Ryder氏

 Ryder氏は「発表時期は未定だが、(Slackが)日本のISMAP(政府情報システムのためのセキュリティ評価制度、Information system Security Management and Assessment Program)にも対応」することを明らかにし、独自の暗号化キーを使ってSlack内のデータをコントロールする機能「Slack Enterprise Key Management(EKM)」によるデータやアクセス状況の可視化でセキュリティを担保できる点を強調した。

“PPAP”はなぜ廃止されるのか

 先立って楠氏は2021年のセキュリティトレンドについて、SNSをはじめとするプラットフォーマーのコンテンツ自主規制強化が続くと指摘する。「コンテンツ自主規制が目立った米大統領選も終えたが、『時計の針は戻らない』。(SNS)事業者の責任が求められていく」(楠氏)という。米前大統領のDonald Trump氏のTwitterアカウント凍結やYouTubeの選挙不正を訴える動画削除など、過剰に見えたプラットフォーマーの行動は枚挙に暇がない。

 同氏はワクチン接種に伴う大量の個人情報を標的とした攻撃、暗号資産の価値向上に伴うサイバー攻撃側の報酬向上で活発化する可能性を指摘しながら、標的型攻撃に用いられるメールの添付ファイルに言及した。

 「メールの添付ファイルをなくすのは永遠の課題。“PPAP”は検疫しにくく、パスワードの送付もメール以外の伝達手段が少なかった。ただ、現在準備中のデジタル庁(の指針)で政府も“PPAP”廃止をコミットし、ベンダーも舵を切った」

 楠氏はサイバー攻撃のリスクは拡大しながらも、“PPAP”廃止など一定の対策を講じる動きがあることを指し示した。“PPAP”は「Password付きzipファイルを送ります、Passwordを送ります、Aん号化(暗号化)するProtocol」の略であり、日本以外では見られない慣行であり、企業のセキュリティ対策をむしろ危険にさらされているなどと指摘されている。

 司会がコロナ禍におけるセキュリティ対策を尋ねると、Ryder氏は社外ともやり取りできる機能「Slackコネクト」で利用可能な「Verified Organization(認証済みオーガナイゼーション)」と、「Customize message and file retention(メッセージとファイルの保存をカスタマイズ)」の2点を強調した。

 Verified OrganizationはSlackコネクトに参加する組織が信頼を得るための機能で、組織名の横にSlackが検証済みであることを示すチェックマークを付与し、参加者は情報漏洩(ろうえい)などのセキュリティリスクを回避できるというもの。

 Customize message and file retentionはメッセージやファイルの保存期間を設定することで、期間を過ぎると自動削除することで、Slackコネクトに参加する組織のデータ参照も不可能にする。

 「Lifecycle Management」「Workflows」などのID管理サービスを提供するOktaの渡邉氏は、従業員やアプリケーション増に伴う「IT部門の業務負荷が高まっている」と指摘する。

「チャット」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
グループウェア
プロジェクト管理
ワークフロー
BPM
メール
SNS
ウェブ会議
安否確認
ファイル共有
チャット
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する
  2. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  3. APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?
  4. クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?
  5. ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]