質問
こんにちは。弊社の場合google appsですが、
・メールサーバーへ、個人所有のデバイスからのアクセスは許可していますか?
はい
・許可している場合、どのようなセキュリティ対策をされていますか?
SSOのサービスでIP制限と端末制限をかけています。また端末自体に決められた設定をしていないと許可しないようにしています。
あと、SSOのパスワードとGoogleのパスワードを異なるものに設定していますので、直接POPなどでメールを読もうと思っても見られません。
・逆に、許可していない場合、どのようにアクセス制限を設けてられますか?
OutlookでもSSOサービスってないでしょうか?そういったものにアクセス制限等のサービスが有るのではと思います。(有料にはなると思いますが…)
ウチの場合はメールサーバは社内にあるので、外部からはVPN接続が必要ですが、どの機器で接続するかは申請することにしています。申請すれば私物PC・スマホも可能です。(が一切のサポートはしません。「繋がらないのだけど」と言ってきても「自分でやれ」です)
ウチの方針は「BYODを推進も禁止もしない 使える(本人にその技量があること)なら使えばいい(ただし申請が必要) BYODを使わなければ出来ないなどという業務は無いし、「BYODが使えなかったから出来ませんでした」は通らない。」です。
メールサーバが外部にあってWebメールだったら なんでもできちゃう に近いので、ウチはメールサーバを外部に置かないし、Webメールも使わないです。(ただし、海外に居る者同士でGoogleAppsは使っていますが)
弊社もgoogle appsですが、パスワード管理も含め完全に個人に任せています。
私物スマホ、家庭PCからのアクセスもOKです。
・メールサーバーへ、個人所有のデバイスからのアクセスは許可していますか?
はい
・許可している場合、どのようなセキュリティ対策をされていますか?
なにもしてません。
個人的には「私物スマホを仕事で使うなよ…」というのが本音なのですが。
社内規程で禁止にしてはどうでしょうか?
必要な人には、規定で会社スマホを貸し出すのが良いと思います。
・メールサーバーはホスティングサービスを利用
どちらのサービスを使用されているのか?が不明ですが、Web Access を特定端末からだけ制限する事は難しいと思います。
Outlook を使用されているとの事なので、Exchange Online(Office 365)を使用して希望の事が出来ないか?調べてみました。
Exchange Online 単体でもある程度の制限はかけられるようです。ただし、仕様が目まぐるしく変更されますので、2012/04/22時点の情報はあまり役に立たない可能性があります。現在できる事に関しては、直接サポートに尋ねた方が良いかもしれません。
サードパーティ製の製品であれば、「Online Service Gate」「ExLook Online」などで端末単位での制限をかける事が出来るようです。
まず当社の環境を先に申し上げておきます。
ホスティングサービス(VPSタイプ=root権限あり)で、OSからアプリレベルまでオープンソース系ソフトを使い、自分で構築しています。webメールも使えるようにしてありますが「通常はThunderbird (POP)を使うこと。webメール(IMAP)は自宅や外出時の一時利用用」と言ってあります。(Thunderbird以外のメーラも禁止はしていません。ただしサポートもしていません)
・メールサーバーへ、個人所有のデバイスからのアクセスは許可していますか?
禁止はしていません。明示的な許可もしていません。
事実上の許可とも言えます。
私物PCについては過去の因習もあってサポートしていますが(ハード・OS・デバイスドライバ・ネットワーク周りのみ。アプリは非サポート)、タブレット、スマホ、ガラケーはサポートしない旨宣言しています(使いたいなら自分で対応せよというスタンス)。
・許可している場合、どのようなセキュリティ対策をされていますか?
していません。
・逆に、許可していない場合、どのようにアクセス制限を設けてられますか?
アクセス制限というわけではありませんが、
SMTP/POPとも認証を必要としてします。また、両プロトコルとも StartTLSで、メールサーバと端末間の通信を暗号化しています。POP3Sにも対応しています(SSL)。
この他には特に対策はしていません。
いつもお世話になっています。ソイカプチーノです。
1年ぶりのお礼の投稿となってしまい申し訳ありません。
この1年間、連日の打合せ・ST・OTを経て、先日ようやく基幹システムの刷新を行いました。
未だ収束はしておらず出張続きではありますが、この仕事をしてて良かった!と思う日々です(時々、くそぅッ!と思う事もありますが)
そのような状態でしたので、メールに関しては社内でも一旦棚上げになっています。
ただ、今の諸々が収束すればいずれ浮上してくる話なので、一旦「個人所有のデバイスからのアクセスを本当に禁止する必要があるのか?」から検討し直そうと思いました。
1年前と比べても、スマートフォンの所有率は上がる一方ですし、時代の流れには逆らえないのでは?と。
検討した上で使用を許可するにしても、黙認するにしても、禁止するにしても(会社からデバイスを配る等で対処)、その場合のセキュリティ確保の為に、何をすべきか?を考えます。
その際は皆さまにいただいたコメントからの情報を活用させていただきます。
それでは、毎度本当にありがとうございます。
今後ともどうぞよろしくお願いいたします。
最近すっかり秋風が吹いていますので、皆さまご自愛下さいませ。
質問
メールサーバーへのアクセス制限(私物デバイスからの接続に関して)
お世話になっております。ソイカプチーノです。
何故か未だに残暑が厳しい今日この頃ですが、皆さまいかがお過ごしでしょうか?
さっそくですが本題です。
現在、メールサーバーへの私物デバイスからのアクセス制限の事で頭を悩ましています。
まず、弊社のメールの利用環境(?)は以下の通りです。
・メールサーバーはホスティングサービスを利用
・社内も社外もメールクライアントはOutlook
・海外出張中に送受信出来ない場合のみ、Webメールを利用
・メールアカウントのパスワードは、一部の人だけが知っている
・WebメールのURLは、一部の人だけが知っている
・私物のスマホ・タブレットの使用は想定外
ところが、私物スマホからWebメールを利用する人が出てきまして、
「情シス部として何か対策を取るべきでは(アクセス制限するべきでは)?」
と言う指示が上から出されました。
そこで、ホスティング会社に確認した所、
Webメールへのアクセス制限は出来ないとの事です。
また、他社のサービスも探してみたのですが、
スマホからアクセス出来る事を売りにしているサービスは多いのですが、
スマホからのアクセスを制限するサービスはなかなか見つかりませんでした。
世間の流れはBYODを後押しする方向なのでしょうか…??
個人的には「私物スマホを仕事で使うなよ…」というのが本音なのですが。
そこで、皆さまに質問です。
・メールサーバーへ、個人所有のデバイスからのアクセスは許可していますか?
・許可している場合、どのようなセキュリティ対策をされていますか?
・逆に、許可していない場合、どのようにアクセス制限を設けてられますか?
上記の点に関して、経験談・アドバイス・ご意見などなど、聞かせていただけると幸いです!
どうぞ宜しくお願いいたします。