LINEを使った中間システムであるSPALOのセキュリティ的な勘所

脇の甘さによる情報流出、クラッカーによる攻撃などなど……この時代、いつどこで自分の会社の大事な情報が狙われるかわかりません。
情報を詐取しようとする攻撃者の手口も進化しつつあります。

効率化や生産性向上を目指す企業にとって、同時進行でセキュリティに目を向けることも必要不可欠な要素になってきました。

そこで今回はSPALOのセキュリティ対策について話せる範囲で公開したいと思います。

LINEなどのチャットツールの中間システムであるSPALO

前提として、SPALOはLINEやFacebook Messenger、Slackといったチャットツール、コミュニケーションツールと呼ばれるアプリケーションと、Excelなどの出力先、さらにWatson AssistantやDialogflowといったAIエンジンとの間をつなぐ中間システムの立ち位置を取っています。

それゆえに、どのように介在しているかがパット見わかりにくいようになっています。

これも一つのセキュリティ対策として「ここでこんな風に動いているよ!」と認識される危険性を避けています。それでも本気で探し出そうとすれば探し出すことは不可能ではありません。

ネットワークでつながっている限り、そこを完全に防ぐ手段はないと考えています。

サーバ設計者に徹底させた分散型運用

通常、サーバはそれぞれアプリケーションサーバやデータベースサーバといった役割ごとに分かれている場合がほとんどです。 一つの機能を一つのサーバで担うのではなく、できる限り細かく機能別に独立させることでいわゆる「共倒れ」を防いでいます。 こういった分散型アーキテクチャはSPALOのところどころに散見され、マイクロサービス化を推し進めています。 大切なお客様の情報は、社内でも限られた技術者と並列で可動しているサーバのみがアクセスできる形で保護されています。 さらに仮想化技術やコンテナ化といったたくさんの技術がセキュリティ向上に一役買っています。

オンプレにも対応できる柔軟性

中間システムという特性、分散型運用という設計によって、SPALOはあらゆるものとシームレスに連携が可能です。 仮に「社内ネットワーク内でしか社内ツールは運用できない」といった場合でも、社内VPN上に存在するサーバにSPALOを介在させることが可能です。 若干のサーバ要件はあるものの、基本的にどのサーバにもデフォルトでインストールされているソフトウェアで間に合う場合もあります。 また、あらかじめ社内に備わっているツールに直接SPALOからデータをインプットさせることや、業務端末↔SPALO↔導入予定のツールに対応させるなど、クライアントの環境に形態を合わせることで理想を実現しています。

ファイアーウォールやインフラストラクチャは大手を採用

自前でサーバを一から構築したわけではありません。 昨今の流れでDevOpsSec(SecDevOpsとも言います)が主流となってきました。 これはDevelopment(開発)とOperations(運用)、そしてSecurity(セキュリティ)の3語が組み合わさった言葉です。 従来はインフラエンジニア不足のスタートアップでも、エンジニアが一貫して保守運用に当たる意図でDevOpsのみだったのですが、セキュリティに対する危険意識の高まりがSecを加えました。 クラウドサーバや信頼できるサードパーティの力を使って、最小限の労力でセキュリティ機構の強い運用ができるよう、日々最新情報には注意を払っています。

LINEも一つのセキュアなプラットフォーム

一般的にLINEはチャットツールとしての立場を確立していますが、LINEそれ自体は大きなプラットフォームだと考えます。 ユーザー数の多さだけではなく、一つの生活の場としてLINEが私たちの社会に深く結びつき始めていることを感じる方も多いでしょう。 だからこそLINEはセキュリティに対して強い信念を持って取り組んでいるようです。 APIの利用やユーザー情報の取得といった個人情報を取り扱う場合には、幾重にも仕掛けられたセキュリティの仕組みをクリアしなければなりません。 決して開発に対してハードルが高いわけではありませんが、しっかりとした認証方法のおかげで安心して開発に取り組むことができます。 LINE自体のユーザー個人情報についても、メールアドレスの取得一つとっても利用規約をLINE側に確認してもらう必要があったり、スコープと呼ばれる細かく「何を取得できるか」が制限できるオプションがあったりと、シビアな一面が伺いしれます。 これほどまでに成長したプラットフォームだからこそ、セキュリティに対する高い意識が見えます。

セキュリティにおける一番の弱点は人間

パスワードを覚えておくために紙に書いたり、覚えやすい文字の羅列をパスワードに設定してしまったりと、意外なことに一番の落とし穴は人間だったりします。 他にもログインしたブラウザをそのままにして席を離れてしまうことも危険行動の一つです。 日頃から社内でのパスワード管理ルールや、ツールをうまく駆使して大切なデータを守っていく流れをつくることが重要です。