最近はますますクラウドサービスの利用が拡大しています。
管理人の勤めている会社でも、各部署でクラウドサービスを申し込んでいて管理がなかなか大変です。
さて、そんなクラウドサービスの利用でどうしても出てきてしまうのがセキュリティの問題。
外部のサーバーを使っていると、サービス元に筒抜けなんじゃないかとか不正アクセスされたら一網打尽なんじゃないかとかいろいろ不安の種は尽きません。
例えば、当サイトでも取り上げている会計システム、freeeのセキュリティはどのようになっているのでしょうか?
事業の根幹である会計データを任せるに足りるのか、内容を確認してみました!
freeeのセキュリティの安全性はどうでしょうか?
freeeの公式サイトをもとにセキュリティの検証をしてみましょう。
256bit暗号化通信を使っている
この256bit暗号化通信というのは、結論から言うと外部からの解読はほぼ不可能というレベルです。
暗号化の際のbit数は鍵の長さを示していて、長ければ長いほど鍵の種類が多くなります。
つまり64bitでは「2の64乗=18,446,744,073,709,551,616(1844京6744兆737億955万1616)」のパターンの鍵を持つことになります。さらには256bitであれば「2の256乗=115792089237316000000000000000000000000000000000000000000000000000000000000000」という天文学的な数値となります。
悪意を持ったものがパスワードを解析して、情報にアクセスしようとする場合、これだけのパターンのパスワードを総当たりで解析する必要があるのです。
引用元: サイバーセキュリティ.com
例えば、キャッシュカードの暗証番号や自転車のカギの4桁の数字ありますよね?
あれが10,000通りのパターンといえば、256bit暗号化の強度がいかに凄まじいものかはお分かりいただけると思います。
というか、2の256乗って、無量大数を遥かに超えちゃってます…。
なお、2の256乗がどんな数字になるか計算した方がいらっしゃいます。
無量大数の10億倍という、もはや意味不明なレベルです。
1157920892 無量大数
3731 不可思議 6195 那由他 4235 阿僧祇
7098 恒河沙 5008 極 6879 載 785 正
3269 澗 9846 溝 6564 穣 564 じょ※ 394 垓
5758 京 4007 兆 9131 億 2963 万 9936引用元: 2 の 256 乗を計算してみた
freeeは保存データも暗号化している
freeeには銀行データや給与データ、マイナンバーといった超重要なデータが保存されています。
これが漏れたら大変です。
ここでも保存データは同じく暗号化されているので、読み取られるリスクは極めて低いといえるでしょう。
ログイン回数に制限がある
不正アクセスしようとしてIDとパスワードを総当たりで試しても、途中で止まってしまいます。
これは、システムのセキュリティでは割とポピュラーな部類で、管理人も使ったことのあるSAPというシステムでも何度かIDパスワードを間違えるとロックがかかり、アクセスできなくなってしまいます。
freeeでももちろん回数制限を設けて、総当たりを回避できるんですね。
リスクベース認証による判定をしている
リスクベース認証というのは、違う環境でログインをした場合の追加認証のことです。
リスクベース認証とは、利用者(ユーザー)がログオンする際の環境、IPアドレス、取引時の行動パターン等に基づきユーザーを分析し、リスクが高いと判断された場合にのみ追加認証を行う、セキュリティをより高めた認証方式のこと。
引用元: みずほ総研
例えば、よくあるのが「秘密の質問」。
母親の旧姓は?とか卒業した小学校は?とか設定しますよね?
また、freeeで採用されているのは、不正アクセスと思われるアクセスがあった場合にはアカウントを一旦ロックし、ユーザーにメールで通知する仕組みです。
TRUSTe の認証を取得している
freeeは社内でセキュリティ強化を徹底するだけでなく、それを裏付けるために外部機関の認証も受けています。
特に、freeeが取得しているTRUSTeはかなり厳しいもので、3ヶ月に1回の検査や抜き打ち検査に対応できなければなりません。
TRUSTeは、事業者がOECD (経済協力開発機構)プライバシーガイドラインに基づいた個人情報の取扱いを実践している旨を公表したプライバシーステートメントの内容を審査します。適合した事業者はTRUSTeの認証マークをウェブサイトに掲載することができます。
TRUSTeのマークを掲載したウェブサイトは、プライバシーステートメントがOECDプライバシーガイドラインに適合しています。
JPCERT/CCから脆弱性に関する情報を入手している
JPCERT/CCという組織は、主に不正アクセスや妨害などといった行為に対して、情報公開や対応支援を行っている組織です。
JPCERT/CC では、脆弱性情報ハンドリングによって調整された脆弱性情報を脆弱性対策情報ポータルサイトである「JVN」、および「VRDAフィード」により一般に提供しています。
引用元: JPCERT/CC
freeeはこれらの情報を入手して、不正アクセス等に対する対策を練っているというわけです。
McAfeeの脆弱性診断を受信している
McAfeeの脆弱性診断を受信していて、問題なしとの診断結果を受けていますね。
freee社内もセキュリティ教育が徹底されている
会社の内部統制でもよく行われることですが、freeeでは情報の重要性に応じて従業員ごとにアクセス権限を持たせています。
会計情報やマイナンバーといった重要性の高い案件については、社内でも限られた管理者しかアクセスできないようになっています。
面白い試みとしては、パソコンのロック。
離席するときにはパソコンをロックしておくように、とよく言われますよね?
freee社では、万一ロックされていない端末があったら、そのパソコンで勝手にslackに投稿してしまって良い決まりになっています。
なかなか普通はできませんよね?
まとめ
freeeのセキュリティについて、ひとつずつ検証をしてみました。
高度な暗号化やログインの制限など、セキュリティに対する意識はかなり高く、安全性は高いと言えるでしょう。
となると問題は、ユーザー側のパスワード管理や危機管理ですね。
パスワードをパソコンに貼っておいたり、のぞき見されやすい場所で堂々とパスワードを打ったりするのは控えましょう。
freeeの利用は無料でもできますので、ぜひ体験してみてください。