Slack Enterprise Grid に Enterprise Key Management が登場

チームワークを妨げずにセキュリティを強化する Slack EKM の仕組みを Slack 最高セキュリティ責任者が解説

A graphic of a lock securing systems and data. A sign that Slack Enterprise Key Management is now available for customers of Slack Enterprise Grid

この記事を英語フランス語ドイツ語スペイン語で読む。

前回 Slack の最高セキュリティ責任者 Geoff Belknap にインタビューした際に、彼にとって一番のゴールは何か訊ねたところ、彼は迷わず「最も安全な製品を提供し、お客様のデータを保護すること」と即答。さらに「自分が気になっている点やユーザーの懸念点はすべて取り上げ、そこから具体的なプラン、指標、信頼性につなげています」と語っていました。

そして本日、お客様のデータを保護する Slack の継続的な取り組みの一環として、Slack Enterprise Key Management (Slack EKM) がリリースとなりました。これは、お客様が Slack で独自の暗号化キーを使用し、データの完全な可視化とコントロールを可能にする Enterprise Grid のアドオン機能です。

セキュリティ意識の高いお客様にとって Slack EKM がどんな意義を持つのか、Belknap にさらに詳しく訊いてみました。

Slack: Slack Enterprise Key Management (Slack EKM) とは?

Geoff Belknap: Slack はすでにデータの送受信と保存の際に暗号化を行っていますが、Slack EKM の導入により、Enterprise Grid では暗号化と復号化の対象をさらに細かくコントロールできるようになります。ユーザー企業、とりわけ規制産業のお客様にとっては、会話、データ、ファイルを Slack で共有しながら、リスク緩和のための独自の要件も満たせるセキュリティの強化手段になるでしょう。

Slack EKM には、他にはない特長がいくつかあります。その一つは、お客様が独自の暗号化キーを利用できることです (キーの管理は Amazon の AWS KMS で行います)。これにより、機密度の高いデータの幅広いコントロールと可視化をもたらします。

さらにシステム設計上、特にユニークな点として、インシデントの発生時に製品全体へのアクセスを取り消すのではなく、非常に細かく対象を絞ってアクセスを無効にできることが挙げられます。アクセスの取り消しをピンポイントで行えるので、業務に影響を与えずに、管理者がリスク緩和を図ることができます。

Slack: Slack EKM のリリースの理由は?

GB:  金融サービス、ヘルスケア、行政など、厳格な規制を受けている業界では、使えるコラボレーションツールが限られていることがあります。そういったお客様の具体的なセキュリティのニーズに対応できるソリューションを作りたいという思いがあったのです。

A graphic of a lock securing systems and data. A sign that Slack Enterprise Key Management is now available for customers of Slack Enterprise Grid
Slack Enterprise Key Management

Slack 内の自社データの完全な可視化とコントロールを可能にする Enterprise Grid のアドオン機能「Slack EKM」とは?

Slack: お客様に伝えたい Slack EKM の一番の魅力は?

GB: お客様が自社に割り当てられた暗号化キーを自社で完全にコントロールできるという点ですね。いつ、何を無効にするかといった、アクセスの細かいコントロールのほか、データの使用方法も把握できます。データにアクセスした時刻や場所を詳細なアクティビティログから確実に把握できるので、リスクや異常にもすぐに気づけます。  

Slack: 管理者がアクセスを無効にした場合、Slack の利用や機能には影響しますか?

GB: Slack EKM は、そうした影響をなるべく小さく抑えるために設計しました。アクセスの無効化が一括でしか行えない他のソリューションとは違い、Slack EKM は必要に応じてアクセスをピンポイントで無効にすることができます。

例えば、一日のうちの特定の時間帯、あるいは特定のチャンネルのみといった形でアクセスの取り消し対象を決めることができるため、問題があっても、Slack を完全にシャットダウンして社内のチームや部署のすべてで Slack へのアクセスをブロックする必要はありません。もちろん全社レベルのブロックもやろうと思えばできますが、Slack EKM は日々の仕事に必要な機能へのアクセスを妨げずに、データの安全をより手軽に図るために開発したものです。

Slack: 上のデータの安全を保つためにお客様はほかに何ができますか?

GB: 大企業でも、メンバーが 2~3 人の無料の Slack ワークスペースを使っているチームでも、次の基本を押さえることが大切です。

  • Slack ワークスペースにだれを招待したかを常に把握していること。
  • どのアプリを使うかをしっかり検討し、アプリの追加権限を持つ担当者を決めておくこと。
  • Slack アクセスログを常に見直し、不審な動作がないかどうかを確認すること。例えば、いずれかの API キーが公開されたり、新しい IP アドレスからログインがあった時は Slack から通知が届きます。こうした情報をもとにユーザーの保護やセキュリティ面での意思決定を適切に行ってください。
Slack: の最高セキュリティ責任者として、最も難しいと感じることはどんなことですか?

GB: 最高セキュリティ責任者としての仕事は責任重大ですが、私は Slack でこの仕事ができてとても運がよかったと思っています。Slack とお客様の成功にとって、セキュリティが不可欠な要素だという意識が、Slack の経営陣から社内全体に浸透しているからです。

 

Slack is the collaboration hub, where the right people are always in the loop and key information is always at their fingertips. Teamwork in Slack happens in channels — searchable conversations that keep work organized and teams better connected.