BLOG

テレワークについて考えてみました

  1. HOME
  2. ブログ
  3. ビジネスチャット
  4. ビジネスチャットのセキュリティは大丈夫?

ビジネスチャットのセキュリティは大丈夫?

チャットでビジネス上の重要な情報をやり取りするにあたって、気になるのはセキュリティです。どんなに便利なツールでも、内容が漏えいしてしまう可能性があれば、ビジネスで使うことはできません。では、ビジネスでチャットを利用する際、どのようなことに気を付ければいいのでしょうか。

大前提は信頼できるチャットツールを選ぶこと

チャットツールに限らず、セキュリティでもっとも重要なのは“信頼できるツール”を使用することです。インターネットを少し検索するだけで、無料で利用できる便利なツールはたくさん見つかります。しかし、それらのツールの中には無断で情報を収集するスパイウェアや、セキュリティ攻撃の入り口となるマルウェアが含まれている可能性があります。また、ツールの運営者に悪意が無くても、ツールの運用環境にセキュリティリスクがあると、そこがサイバー犯罪の標的になってしまうことがあります。

ツールの信頼性は、次のようなことを念頭において調査します。

・採用企業が多く実績が証明されている
・ツールを運用している環境やセキュリティ対策をオープンにしている
・過去にセキュリティ侵害が発生していた場合、どのような対処をしたか

採用実績は、ベンダーやリセラーなどのサイトから導入事例を確認すると良いでしょう。Webや雑誌などのメディアで紹介されていることもあります。取引先や知り合いの企業で採用されているツールを調査するのも有効です。また、提供しているベンダーの信頼性も確認しましょう。ChatworkやMicrosoft Teamsなど著名なツールが圧倒的に有利ですが、業種によっては業種特化型のツールという選択肢もあります。

またセキュリティ面の選定基準として国際規格ISO27001(ISMS)など国際的なセキュリティ基準、金融業であれば公益財団法人金融情報システムセンター(FISC)の要件を満たしているなどを目安にすると良いでしょう。

ツールがどのような環境で運用されているかも重要です。たとえばチャットワークは、Amazon Web Service(AWS)で運用されており、3つのデータセンターで冗長化されていることや、厳格なデータ管理を行っていることなどが公表されています。TeamsはそもそもMicrosoft 365製品の一部ですので、Microsoft Azure上の高いセキュリティが保証されている環境で運用されています。具体的なセキュリティ機能についての説明もドキュメントとして公開されています。

また、過去にそのツールによるセキュリティ侵害が発生しているかどうかも、調査することをお勧めします。ただし、“過去に被害にあった イコール 信頼できないツール”というわけではありません。著名なツールは多くの攻撃者から標的にされるため、過去に何らかの被害が公表されていることもあります。常に新しい攻撃手法が開発される現状において、セキュリティ対策に完璧はありません。むしろ大切なのは、セキュリティ侵害があったことを隠さず、どのような被害があり、どのような対策をしたかといった情報を迅速に公開しているかどうかです。この点でも迅速に対応できる人材を多く抱えている大手ベンダー製品の方が優位だと言えるでしょう。

セキュリティ機能を利用する

ツールを選定する際には、そのツールがどのようなセキュリティ機能を持っているかも確認しましょう。ビジネスの情報をやり取りするのであれば、第三者から覗き見られないよう通信の暗号化は必須の機能です。また、取引先や外注スタッフといった社外メンバーのアクセスには制限をかけるなど、アクセスを制御できないツールは採用すべきではありません。

認証機能も重要です。二段階認証、モバイルデバイス制限、IPアドレスによるアクセス制限といった機能の有無を確認し、必要に応じて設定しましょう。ただし、テレワークなど自宅や外出先からのアクセスが前提の場合、アクセス元のIPアドレスが固定ではないため、IPアドレスによるアクセス制限は設定すべきではありません。ツールによっては、有料プランやオプションでのみ対応していることもあります。

管理者を決めて運用する

不正アクセスや情報漏えいといったセキュリティ侵害の多くは、ユーザーの運用に起因しています。規模があまり大きくない企業では、専用の情報システム部門を持っていないことも多く、SaaSの運用はついつい放置してしまいがちです。しかし、常に外部ネットワークからアクセスされるチャットツールは、管理者をきちんと決めて正しく運用することがとても大切です。特に重要になるのは、アカウント管理です。使われていないアカウントを整理する、チャンネルごとに適切なメンバーだけが参加していることを確認するといった管理を定期的に実施しましょう。

メンバーにはパスワードを正しく運用することや、利用するPCやスマートフォンで適切なセキュリティ対策を実施することを通達しましょう。ツールによっては専用のアプリが提供されていることがありますが、最新のツールを使うことはもちろん、なりすましのアプリを利用しないよう正規のサイトからダウンロードしてインストールするなどの対策を徹底する必要があります。

また、カフェなどの無料Wi-Fiに代表される公衆Wi-Fiは、なりすましのアクセスポイントなどのリスクがあるため、ビジネス利用には向いていません。重要なやり取りを行うチャットは、安全なネットワークを利用することを徹底することも重要です。

まとめ

・実績のある信頼性の高いツールを使おう
・チャットツールは管理者を決めて確実に運用する
・チャットツールは管理者を決めて確実に運用する

関連記事