会社PCのセキュリティー対策

会社PCのセキュリティー対策が一段落したのでご報告。完了ではなく一段落なのですが。

 

G Suiteを使って会社のGoogleアカウントを作成

Googleの法人向けプランG Suiteを契約して、会社ドメインを取得して@以降が会社名のアドレスを取得しました。

これはアカウントごとのサブスクリプション契約で、現在会社として6アカウント取得して4,000円ちょい/月Googleに支払っています。

6つのアカウントとは

  • 社長
  • 専務
  • 事務員アカウント
  • 従業員共用アカウント
  • ミーティングアカウント

です。

従業員アカウントはうちくらいの規模(20人くらい)なら共用でいいかなと思ったので、1つのアカウントを共用する運用にしました。

 

ファイルは会社のGoogleドライブに入れてクラウドで共有

これまでのWindows PCに入ってたOffice形式のファイルは、取得した会社アカウントのGoogleドライブにぶち込みます。これでPCが壊れたり盗まれたりしても全然ヘッチャラです。

GoogleドライブはOfficeと互換性があるのでファイルをそのまま読み込むこともできるし、Google専用の形式(スプレッドシートなど)にも変換できます。そこらへんは必要に応じて使い分けます。

例えば社外の人とのやり取りだとOffice形式のほうがやりやすいし、社内でしか使わないファイルだったらGoogle専用の形式にした方が使いやすいです。

 

Googleドライブに入れたファイルはスマホで見る

これはセキュリティー対策とはあまり関係がありませんが、会社アカウントのGoogleドライブに入れれば、PCがなくてもスマホからファイルが見れるのが便利です。

うちは大半の従業員が現場なので1人に1台PCがあるような環境じゃないのですが、せっかくほぼPCと言っても過言ではないスマホを持ってるなら最大限に活用したいなと。

現場の人がスマホで活用するファイルは、例えば

  • 日常の出来事を記録する日常管理ノート
  • トラックやリフトなどの車両の整備ノート
  • 出荷量を記録するノート
  • 改善提案を記録するノート
  • 作業手順書

などです。ファイル以外だと上の画像の会社の予定が書いてあるGoogleカレンダーとか。

関連記事

Googleカレンダーすごい。 コンサルやってる友人のアドバイスにより、職場にGoogleカレンダーを導入しました。 ホワイトボードのカレンダー、お前はダメだ 今までは、こういういかにも古臭いホワイトボードのカレンダーが本社含め3つ[…]

 

事務所で普段使うPCはchromebookに

計量票を作成するプリンターなどはWindows仕様になっているのでそれは据え置きしておいて、普段使うPCはchromebookにしました。理由は

  1. セキュリティー観点
  2. 費用観点

からの2点。

 

1. chromebookはGoogleアカウントのパスワードでログイン

chromebookはログインするときに会社のGoogleアカウントのパスワードでログインします。

一方でこれまで使ってたWindows PCは、起動したときに単純なパスワードの入力でよかったり、パスワード入力すらないものもあったので、そこを強化したかったです。

セキュリティーの観点から、会社のPCにログインしたいなら会社のGoogleアカウントのパスワードを入力するchromebookがめっちゃ理にかなっているなと。

なのでGoogleアカウントのパスワードって死ぬほど重要なんですよね。これを守るための策は後述します。

 

2. chromebookは安い

Windows PCっていろんな機能が入ってるので高いです。例えばこれは以前余ってたWindowsのデスクトップPCを使って、従業員がスマホを出さなくてもいいように会社のGoogleカレンダーを大きくTVに写している様子ですが、この度このPCの更新時期が迫っていました。同じタイプのPCに替える場合、13万円もかかると。

 

カレンダー表示するだけだったら2.8万円のchromebookがAmazonにあったので、それで必要十分でしょう。

関連記事

久しぶりにモノ紹介記事です。 仕事で従業員が使うPCがない 仕事でGoogleカレンダーやスプレッドシートをフル活用しています。現在、 今まで紙の状態だったものをスプレッドシートに移管したり 「これスプレッドシートで共有してスマホ[…]

 

うちにあるchromebookは今のところ

  • このカレンダー表示用のLenovo
  • ミーティングなどで使う共用(同上)
  • 僕が使ってるpixelbook go

の3台があります。

最終的にはプリンターなどを使わないPC(そもそもペーパーレス化の観点からプリンターは廃止したいのですが)はすべてchromebookにしたい。それを以てセキュリティー対策が完了です。

 

パスワードは1passwordで管理

月報にもちらっと書きましたが、パスワードはYoutuber瀬戸弘司さんも使っているパスワード管理アプリ、「1password」を使って管理することにしました。

そもそも僕がプライベートで利用するパスワードに関して、以下2つの問題を抱えていました。

 

問題①ログイン情報が多すぎて覚えられない

いろんなサイトでいろんな買い物だったり登録をしてると、サイトによってIDがメールアドレスだったり@の前までだったり、パスワードも「6文字以上で」とか「大文字も含んでください」みたいなことになってパスワードがわからなくなる→パスワードのリセットみたいなことになりませんか?僕はなってました。

ブラウザが覚えてくれたりしますけど、古いのもあったり新しいのもあったりでぐちゃぐちゃでした。

 

問題②パスワードが固定されてしまう

それに、ほぼほぼ使うパスワードが固定されて、だいたいどのサイトも同じパスワードで登録してませんか?僕はしてました。

これだと1つバレると芋づる式にバレてしまいます。

 

これら2つの問題を、1passwordが解決してくれました。

 

問題①解決:普段使うのは1つのパスワード

1passwordは文字通り1つのパスワードであらゆるパスワードを一括管理できるアプリなのですが、要は金庫があって、その中に

  • 各サイトのURL
  • ID
  • パスワード
  • その他

などのログイン情報を1枚のメモ用紙に書いて保管して、その「金庫の鍵」が「1つのパスワード」になっているイメージです。

必要なときはその金庫の鍵を開けて、必要なメモ用紙を見るだけなので、「金庫の鍵」だけ覚えておけばいい。

逆に言うと今までは、各ログイン情報を管理せず(ブラウザがある程度は保存してくれますが、古いのや新しいのがごっちゃになってる)部屋のあちこちに置いてあったから、どっか行ってしまったり、探すのが手間だったりするわけです。

「金庫」が「1passwordアプリ」で、「鍵」が「1つのパスワード」のイメージです。

「1つの鍵(パスワード)で大丈夫なの?」と思われるかもしれませんが、そのパスワードに紐付いた

  • ユーザー名
  • シークレットキー(自動生成される、普段は入力しないけどめちゃ長いやつ)

が一致しないと開かないので厳重です。この情報だけは大切に保管しておく必要があります。

 

問題②解決:ランダムなパスワードを記憶してくれる

金庫の例を使うと、あるサイトにログインしたいときは「1つの鍵で金庫を開けて」「メモを見る」という作業になるので、メモに書いてあるパスワードは別に複雑でも構いません。コピペするだけなので。

便宜上コピペという言葉を使っていますが、コピペすらアプリが自動でやってくれます。

なので、今までほぼほぼ一緒だったパスワードたちを全然ランダムなパスワードにして管理することができ、安全性がかなり高まります。

 

1passwordを会社のGoogleアカウントにも水平展開

上にも書きましたが、Googleアカウントのパスワードはめちゃ大事です。

会社のGoogleアカウントのパスワードも最初は簡単なものだったので、「どうにかしたいな」と思ってました。…そうだ!1passwordの水平展開だ!

ランダムな文字列のパスワードを生成→1passwordに記録で終了です。パスワードを個々に渡して、「もしこれを失くして困ったら、僕に連絡ください」という運用にしました。

スマホだと一回ログインしたらそうそうパスワード聞かれることもないはずです。機種変したときくらいでしょうか。問題はchromebookへのログインです。

 

chromebookへのログインはスマホを使ってログイン

chromebookは起動するたびにパスワードを求めてくるので、ランダムなパスワードを毎回手入力するのはめんどくさいです。そこでスマホのbluetoothを使ってログインする「スマートロック」が便利です。

 

注意点:G Suite管理下のアカウントだとスマートロックでログインできない

スマートロック、便利なんですが、G Suiteの会社アカウントだとスマートロックでログインできないんですよね…。これはかなり調べましたが、ロック状態の解除はスマートロックで解除できても、起動後のログインができない仕組みになってます。

 

逆に個人のアカウントだと普通にスマートロックでログインできるので、会社と個人のアカウントの切り替えはブラウザで対応するのが今のところ一番いいのではないかと思います。

 

どういうことかと言うと、個人アカウントでログインしているので

①シェルフ(MacでいうDock)

②chromeブラウザ

は個人アカウント。設定で、サブアカウントとして会社アカウントを追加して、

③お気に入りに会社で使うアプリを追加

すれば、個人と会社アカウントがうまく切り替えれると思います。

 

一方で、例えば起動した最初の画面のここに個人と会社アカウントを設定してしまうと、

  • アカウントの切り替えるのにいちいちログアウトしなければいけない
  • 会社アカウントにスマートロックが使えないのが不便

という問題が発生します。

これは暗に、Googleからの「個人と組織を区別するんじゃなくて、まず個人が大事、組織は使いこなせ!」というメッセージなのかもしれない…。

 

今はないシチュエーションですが、将来的にG Suite管理下の共有アカウントを使っている従業員が頻繁に一人で共用のchromebookを使うときは、それぞれにスマホを連携して個人アカウントでログインしてもらうか、ランダムなパスワードを覚えるくらいに使い込むか、でしょうか。

まあこういう仕様コロコロ変わるから、その頃には仕様が変わってG Suite管理下のアカウントもスマートロックできるようになってるかもしれませんが。

 

まとめ:G Suite×1password×chromebookで会社のセキュリティーが最強に

それぞれ個々でも十分便利なんですが、

  • G Suiteによるクラウド化
  • 1passwordによるパスワード管理
  • chromebookのスマートロック

で、会社のセキュリティーは最強になりました。

クラウド化によって最悪天災で会社PCが壊れたり、悪党によってPCが盗まれてもデータだけはすぐに復元できるし、複雑なパスワードで破られる可能性は限りなく低くすることができたし、chromebookに紐付いたスマホがないとログインできません。最強。

 

細かい使い方はかなり端折りましたが、「できること」という切り口で書きました。

以上です。