2024年問題で進むDX。その裏で見過ごされがちなセキュリティ問題

2024年問題への対応が急がれる中、DX化が遅れていた業界でも、さまざまな業務効率化ツールが導入され始めています。

例えば物流業界では、
・在庫管理システム
・荷下ろしロボット
・自動配車システム
・配送ドローン
などで、倉庫内作業や輸送業務の効率化を図る例が見られます。

建設業界でも、
・施工管理アプリ
・写真/図面管理アプリ
・顧客管理システム
・ビジネスチャットツール
などを活用し、図面の作成・管理や、関係者間のコミュニケーション・情報共有などを効率化する例があります。

しかし、DX化を急ぐあまり、セキュリティ面の問題を見落とすケースは少なくないようです。「導入ツールにセキュリティ的な問題がないかどうか」という確認が漏れていたために、後になって情報システム部から「待った」がかかってしまう、という例は珍しくありません。
そこでここからは、DXツールを導入する際にチェックすべきポイントと、セキュリティポリシーに厳しい上場企業にも採用されている、建設業向け手書き図面アプリ『BuddyBoard』のセキュリティ対策例をご紹介。企業におけるクラウドサービス申請の「セキュリティチェックリスト」に共通する5つのポイントと、それに対する『BuddyBoard』の対策をQ&A形式で解説していきます。

建設業のDXに貢献する手書きノートアプリ「BuddyBoard」

BuddyBoardは、チームで使える手書きノートアプリです。紙に手書きするアナログの使い勝手と、デジタルならではの利便性を併せ持ちます。手書きアプリであると同時に「チームで使える」、つまり複数人がさまざまなデバイスでファイルを共有しながら、クラウド上で共同編集をシームレスに行えるのが特長です。特に建築に関わる業務を劇的に効率化する便利な機能を装備していることから、一級建築士の評価も高いアプリです。企業が導入できるレベルでセキュリティが担保されており、業界のDXに貢献するアプリとして注目されています。

セキュリティチェックリスト設問例①　【多要素認証または代替策の有無】

企業や組織にとって、情報セキュリティ対策は重要な経営課題のひとつといえます。情報セキュリティ事故の発生は、業務に大きな影響を及ぼすだけにとどまらず、企業の存亡に関わる被害に発展する恐れもあります。できる限りのセキュリティ対策を講じることは、企業にとって必須です。

クラウド上のアプリに対し、多要素認証を講じることはもはや基本です。BuddyBoardは二要素認証に対応しています。ID/パスワードに加えて認証コードの入力を必要とし、不正ログインを防ぎます。さらに管理者により、アクセスするユーザー全員に対し、二要素認証を必須とする設定ができます。

BuddyBoard上で二要素認証を必須にすると、正当なユーザーであることを確認するための認証機能「Authenticator」アプリのダウンロード用QRコードが生成されます。これをダウンロードすることで、自動的にBuddyBoardとAuthenticatorアプリが連携され、スマートフォンにインストールされたAuthenticatorが認証コードを表示。これをBuddyBoardの認証画面に入力すれば、承認される仕組みです。

①BuddyBoardにログインすると認証画面に遷移
②スマートフォン側に認証コードが表示される
③②の認証コードを①の認証画面に入力
④承認完了

セキュリティチェックリスト設問例②　【サーバ内の固有データの暗号化】

BuddyBoardは、Amazon Web Services（アマゾン ウェブ サービス、略称：AWS）上で動作します。AWSは、企業システムなどのインフラとして用いられる IaaS のデファクトスタンダードで、圧倒的な世界的シェアを有し、世界中の企業から高い信頼を得ています。

BuddyBoardにおけるデータの保存は、AWSが提供するデータベースサービスやストレージサービスを利用しており、最新かつ信頼性の高い暗号化により保護されます。BuddyBoardのデータは、AWSの暗号化が保証されている場所でのみ保存されています。

※Amazon AWSが担保するセキュリティの詳細についてはこちらをご参照ください。

セキュリティチェックリスト設問例③　【利用者単位の権限設定】

BuddyBoardのユーザーは、自身が作成したフォルダやノート（ファイル）を、「共有」機能で他のユーザーにシェアすることができます。
ただし、
①共有できる対象は、あらかじめ管理者によって登録されたユーザーのみ
②該当のフォルダやノート（ファイル）への編集あるいは参照は、管理者からそれぞれの権限を許諾されたユーザーのみ
であり、管理者によるアクセス権限の設定が不可避です。

管理者が権限を許諾したユーザー以外は、「共有」時に宛先の選択肢に表示されません。また、ファイルをアップロードするユーザーが、勝手に共有先を設定することもできません。不用意な情報漏洩のリスクを、仕組みで防ぎます。

セキュリティチェックリスト設問例④　【脆弱性への対応】

BuddyBoardにおけるアカウントやパスワードなどの個人情報は、すべてAWSで暗号化しており、共同編集のサーバは毎回IPを変えるなど、外部からの侵入対策を慎重かつ最大限に行っています。また、脆弱性関連情報が集まるJVN（Japan Vulnerability Notes）などの情報提供機関からのリリースに基づき、使用するオープンソース等に問題があることが判明した場合には、社内の開発部隊が速やかに確認し、バージョンアップを実施するなどの対処を迅速に行います。

※JVN（Japan Vulnerability Notes）は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト。「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を公表している。

セキュリティチェックリスト設問例④　【データセンターの所在】

グローバルなクラウドサービスを展開するAWSは、世界各地にデータセンターがあります。日本には、東京リージョン、大阪リージョンが開設されており、BuddyBoardは東京リージョンのシステムを利用しています。

それだけじゃない！ セキュリティチェックに厳しい企業が認めるこんな機能

ここまでセキュリティチェックが厳しい企業に共通する5つのポイントについて、BuddyBoardの対応を解説しました。これ以外にも、特に上場企業などに採用される理由となっている機能を2つご紹介しましょう。

（1）Microsoft Intuneに対応
BuddyBoard は、Microsoft Intune（マイクロソフト インチューン）に対応しています。Microsoft Intuneは、企業が社員のスマートフォンやタブレット、コンピュータなどのモバイルデバイスを中央から管理するソリューションで、セキュリティを確保し、会社のデータにアクセスする方法を制御することができます。

Microsoft Intuneは、以下の２つの機能を有しています。
①　MDM（Mobile Device Management）
端末紛失時のリモート制御（ロック、データ削除）や、アプリケーション、機能の利用制限と監視などを行う機能
②　MAM（Mobile Application Management）
Microsoft Outlook、Teams、Word、Excel、PowerPointなど、管理対象のアプリケーションに対するコピー&ペーストの制御や共有の制御などを行う機能

日本企業の多くが、Microsoft Officeを使っています。Microsoft Intuneを使用すれば、企業はモバイルデバイス上のセキュリティポリシーの適用、デバイスの設定、ネットワークアクセス管理などを、遠隔で集中管理することができます。そして、BuddyBoardはMicrosoftの厳しいセキュリティポリシーに準拠し、Intuneに対応しています。OfficeとBuddyBoard間で安全にデータを共有できるため、企業の業務効率化に大きく貢献します。

（2）セッションの有効期間や無操作ログアウト時間の設定が可能
セッションの有効期間（ログインの持続時間）や、無操作ログアウト時間（ログイン状態で操作しないときにログアウトされるまでの時間）を、管理者が設定できます。「毎日必ずログインできるよう、24時間でログイン状態を切断する」、「30分間無操作の場合はログイン状態を切断する」など、企業のセキュリティポリシーやルールにあわせて設定すること可能です。

まとめ

2024年問題への対策として必要不可欠なDXですが、DXを進める際は、同時にセキュリティ対策も行うことが大切です。今回ご紹介した5つのポイントを参考に、セキュリティの安全が保障されたデジタルツールを導入し、企業の信頼を守りながら業務効率化に取り組んでいきましょう。

事例

【コラム：手書きノートアプリの「共同編集」とは？ 業務効率化に役立つ機能＆法人利用の注意点を解説】

法人向けの手書きノートアプリ、共同編集アプリをお探しなら、こちらのコラムもご覧ください。

事例をみる