小さいけど間違いなく効果がある、セキュリティ対策の省力化案
社内でなりすまし事件が発生!?
皆さん、こんにちは。今日は、私の職場で実装したいアイデアを2件紹介します。
先日、社内決裁を効率化する目的で、電子決裁システムを導入しましたが、総ユーザ数が約2,000名ということで、想定通り「パスワードを忘れたのでリセットしてほしい」という電話がかかってきました。
が、声は女性なのにIDを確認すると明らかに男性のもの。問いただすと、「僕の代わりにリセットを頼んどいて!」と言われたそう。ついでに、パスワードを共有して、不在時にも代理で承認作業をしてもらいたいんだとか。。。
・・・ダメですよね、自分の決裁権限を誰かに使わせるなんて。
そこで、本人確認しつつパスワードを変更する運用をどうするか考えてみました。パスワードリセットの依頼は毎日のように数件発生するので、自動化して私の作業を楽にすることも同時に実現したいと思います。
課題
今の運用(電話受付)だと、なりすましを完全に防止できない
管理者が不在のとき、タイムリーにリセット対応できない
解決策
ユーザリストと比較し、対象IDが申請者のものであるかチェックする
PowerAutomateDesktopを活用し、自動でタイムリーに処理する
実装に向けた想定(5W1H)
When(いつ) いつでも
where(どこで) どこでも
who(誰が) パスワードリセットしたい人が
what(何を) メールを
why(なぜ) パスワードリセットして貰うために
how(どのように)指定の要領で記入して送信すれば10分で対応完了
実装案
用意するもの
パスワードリセット依頼専用メールアドレス
ユーザリスト(IDとメールアドレス)
PowerAutomateDesktopがインストールされた専用パソコン
処理フロー
パスワードリセットしたい方がパスワードリセット申請専用アドレスにメールを送る。このとき、件名に「電子決裁」、本文にIDだけを記載する。
パスワードリセット申請専用アドレスに送信されたメールは自動転送設定により管理者にも共有される。(トラブル発生時の対応にも利用)
PowerAutomateDesktopがインストールされたパソコンで、パスワードリセット申請専用メールの新着受信を5分ごとに巡回チェック。
メールが受信されたら差出人のメールアドレスとIDをユーザリストと突合して本人のものか確認する。
一致しないとき、リストにないときは、システムに電話するよう返信して完了。
一致したら、管理者IDでパスワードリセットするフローを実行。このとき、初期パスワードをランダムな文字列で毎回変える。
パスワードリセット完了メールを申請者と管理者に送信。
処理したメールを削除して、次のメールが無くなるまで処理する。
処理するメールが無くなったら5分後にフロー3に戻る。
実装に向けて超えるべき技術面のハードル
メールの中から文字列を取得する
メールから取得したアカウントを、一覧と突合させる
複数あるメールから処理済のメールだけを削除する
まだPowerAutomateDesktopの機能を使いこなせていないので実現できると言い切れないのですが、出来そうな感触はあります。これから試行錯誤していきます。
セキュリティインシデントの情報を得て詳細確認したら1か月前の情報だった。。。
私は情報セキュリティ対策担当のひとりでもあるのですが、恥ずかしながら知り合いから聞いて初めて「そんな脆弱性が見つかったのか」ということを知ることがあります。しかも、教えてくれた方が対策し終えた数週間後に。
社内で定められている情報セキュリティ対策基準からすれば問題あり、です。そこで、毎日最新情報を対策メンバで共有する方法を考えてみました。もちろん、「楽」に運用できるように。
課題
情報セキュリティの最新情報を部内で共有できていない
毎日新着情報をチェックする習慣がない
解決策
PowerAutomateDesktopを活用し、自動で毎日最新情報を得る
得た情報はメールを使い、自動で部内メンバと共有する
実装に向けた想定(5W1H)
When(いつ) 毎日始業時に
where(どこで) 職場の自席で
who(誰が) 私が
what(何を) 自動起動したPowerAutomateDesktopのフローを
why(なぜ) 部内で情報セキュリティの最新情報を共有するために
how(どのように)起動するだけで情報メールが配信される
実装案
用意するもの
PowerAutomateDesktopがインストールされたパソコン
処理フロー
毎朝自席でパソコンを起動したら、勝手にPowerAutomateDesktopが起動するので、予め作成しておいたフローを手動で起動する。
起動するフローの中では、指定されたWEBサイトから新着情報をテキストで収集し、メールで配信するまでを自動で行う。
メールを受信した部内メンバは、新着情報を確認して自社に関係する記事があれば当該WEBサイトを閲覧して詳細情報を確認の上、機器に対策を施すなどの対応を取る。
現時点で試作品は出来ていますが、「最新情報がいつのものか」を確認することが目的なため、最新情報1件の公開日時とタイトルだけを収集しています。メールを読むだけで公開日時と対象機器、及び概要までわかるようにして、WEBサイトを確認する手間(頻度)を減らし、更に楽に確認できるようにしていきたいと思います。
社内でアイデアについて意見を求めてみたら・・・
せっかくなので、色々な知見を持っている会社の上役2名に、このアイデアに対する意見を求めてみました。
(システム部長)
1つ目のアイデアは、それだけのために専用パソコンを用意するのはちょっともったいないから、既にあるRPAパソコンに同居させることも検討するように。それと従業員のリストと突合する部分は難易度が高いと思うので、判断する部分だけ人間が行う形で始めても良いかも知れない。
2つ目のアイデアは、現在すでに部内共通の問題であると認識出来ているので優先して取り組んでほしい。
(IT統括部長)
1つ目のアイデアでメールを使わなくてもFormsで申請者を特定できるから、構成を再検討してはどうか。それと、ユーザ情報の突合は難易度が高そうだが、どういう手段を取るのか別途説明してほしい。
2つ目のアイデアは技術的には既にクリアしているので、スクレイピングの頻度だけ気を付けて実施すると良い。
・・・どちらも有用なので進めるように、とのこと。まずは意見を頂くだけのつもりでしたが、お墨付きまで頂けました。1つ目のアイデアは少し時間がかかりそうですが、試作版が出来たときには読んでくれた皆様の参考になるように公開致します。
この記事が気に入ったらサポートをしてみませんか?