プロが教える情報セキュリティの鉄則ー守り・防ぐ・戦う科学
最近読んだ本の中で 1 番のヒットだったので内容のサマリをご紹介したいと思います。
こんな方にオススメ
経営をされている方
セキュリティに従事している方
情報システム部の方
Office 365 導入提案・デプロイに関わる方
この本で学べるいいこと
普段、Office 365 や Microsoft 365 の提案をしていると「クラウドサービスどうやってセキュリティ担保すればいいの?」はずっと付きまとうお客様から提示される課題でした。
3rdParty や ADFS + 証明書を使っての端末制御でもちろん社給端末でしかアクセスできないという制限はかけられるものの、紛失時や悪意に対してどういう対処が出来るのか?の議論は結構抜けてしまっていることも多く見受けられます。提案という観点であれば、セキュリティ対策に対して表面的な解しか持ち合わせないのは長期的に見ても非常に残念な提案と言えるでしょう。
もちろん、運用していく方も何が大事なのか?ベンダーが売りつけてくるものが本当に必要なのか?と言った観点で一つ考えの軸を作るには非常に良い本だと思います。
ざっとこんな内容
情報セキュリティ対策と言って近年では「WannaCry」などを始めとしたランサムウェア攻撃、年金機構でのインシデントに代表されるような標的型メール攻撃など、様々な脅威に対しての対策が必要と講じられています。
本書では、「ランサムウェアが起きたからってランサムウェア対策ソフト」「標的型メール攻撃が来ても開かないように従業員への訓練」などは「問題の回避であって、根本的な原因解決や対策になっていない」というくだりから、どのように考えるのが根本的な解決になるのかを記述しています。
少し内容は端折りますが、セキュリテイ対策は「街づくりの防災の考え」に似ていると筆者は書いています。
津波から街を守るためには30mの高い防波堤を作るのではなく、海に近いところに住居をつくらない、内陸に向け段階的に標高を高くする作りをし安全な所に住居を立てるという構造を作る事が大事。
つまり、セキュリティでも何か攻撃が来た時に NW や入口出口だけを守るのではなく、万が一の事も考え段階的に本丸である認証基盤が守れるように多層防御する必要がある、という事です。
※認証基盤がなぜ本丸なのかはぎゅっと説明が難しい部分でもあるので是非本を読んで頂きたいです
最後に情報セキュリティでの「変わる事」として、新しい技術による脅威の理解を続けていく事の大切さ(いまの時代だと IoT や AI などでどういうリスクが出るのかウォッチする等)、「変わらない事」として制御を奪われないこと、根本原因への対処が大事だと結んでいます。
最後に
Office 365 はワールドワイドで使われている基盤という事もあり狙われやすいです。Office 365 自体でもセキュリティの担保という事で色々謳っている部分はありますが設定や運用の穴があると下記のような被害もありますのでご注意を。
特に下記のような記事を見て「どういう対策をすればいいのか?」に悩まれる方には本書は良い解を出してくれるはずです。
PowerPoint でキレイな提案書をサクサク作る
みなさん、PowerPoint 得意ですか?
先日、Twitter でこんな呼びかけをしてみました。
「スライドマスター」ってご存知ですか?と。。。
フォロワーが Geek な方よりだったので知っている方が殆どだったのですが、
身の回りの業務系の方に聞いてみると結構「ナニソレ?」状態。。
他にも、
・なんか見た目がすっきりしない
・言いたいことがなんだかわからない忙しい資料
・結局何の資料なん?
といった困りごとも頻発しているご様子。。
今日はこれらを PowerPoint 標準の機能で解決しましょう。という小ネタと、
私自身が会社で標準資料というものを整える作業もやってますので、
1 人歩きしてもわかりやすい資料をつくる
という資料作成時のポイントを含めて記事にまとめてみようと思います。
※本日利用する PowerPoint のバージョンは以下の通り。
PowerPoint で作業をする時は必ず「グリッド線」を出せ!
リボンの「表示」⇒「グリッド線」をクリック
すると、(見えにくいですが)スライドにこのような点線がでます。
この点線、何がいいのかと申しますと
・中心がどこなのかわかるので、資料の配置がしやすい
・補助線の役割を担ってくれるので、画像の配置や図形の大きさを揃えやすい
という利点あります。
この「グリッド線」を出すだけで、バランスの良い資料を作れるようになったのも同然!だから必ず使ってほしい機能 No.1 に今日認定します(個人調べ)
効率を上げるには先ずスライドマスターを使え!
スライドマスターでテンプレートを作っておくと、同類資料を作るときにすごく便利です。
私が実際、業務や外部登壇で用意するマスターは
・表紙、中扉、裏表紙の作成
・文書ラベルの明記
・ページ番号
といったものをあらかじめスライドマスターで作成しておきます。
まずリボンの「表示」⇒「スライドマスター」を選択します。
クリックするとこんな画面になります。
左上に見えるのは、親スライドー子スライドという形で設定が継承される作りになっているので、試しによく見る「文書ラベル」である「社外秘」というパーツを親スライドに入れてみると・・・
子スライドである箇所にも同様のものが表示されます。
この機能を使って親スライドにどんどん自分が全スライドで共通させて入れたいものを作成していきます。すると・・・
こんな形で共通で使えるパーツをサクサク作ることができます。
これを仕込んでおくことで全ページに共通して表示させることもでき、スライド作成の時間を大幅に削減することが可能です。
更に、文字のフォントもここであらかじめ指定しておくことで見た目の体裁も整えられます。親スライド上で「Cntl + A」を押すとパーツ全てを指定することができるので、そのまま全てのパーツを選択した状態でホームの「フォント」パーツ右下のコレを押すと・・・
フォントの設定画面が出てきますので、好きな書体にセットすることが可能です。
このショートカットは色んな PPT 資料から引用してきて体裁が整っていないのを直すにも素早く対応できるので覚えておくと、とても楽になります。
スライドマスターで作成したスライドは、リボンの「ホーム」⇒「新しいスライド」に表示されるので、新しいスライドを利用するときにも非常に便利です。
こうする事であとは資料をどんどん書いていくだけです!!
コンテンツはどう書けばすっきりするの?
ちょっと大げさにやってますがこのスライド見やすいですか?多分見やすい、と答える人はいらっしゃらないかな、と思っています。。。
私の持論になりますが・・・
①フォントサイズと書式はタイトル、本文でそれぞれ固定にする
②文章は左揃えにし、文章のスタートが揃うように整える
③図はグリッド線を頼りに左右対称にする
④文字は最小限、図で表現できるものは置き換えをする
⑤伝えたいことはシンプルに強調する
⑥目の導線を共通化する
を意識して作るようにしています。
⑥がわかりにくいと思うので図解します。大きくは以下の 3 つのような目の導線を作るイメージにします。
非常にシンプルな目の導線にし、伝える事が冒頭 or 終わりに来るようにします。
それぞれを意識すると先ほどのスライドはこのように訂正が出来そうです。
冒頭に出てきたものよりかは見た目もスッキリし「売れてそうなサービスを説明したい資料だな」というのが資料が 1 人歩きしてもわかるかと思います。もちろんもっと手直しはありますが、ポイントを押さえていれば業務上は資料が 1 人歩きしても困らなさそうです。
心配性な方は 1 人歩きするといけないから、と伝えたいことを沢山盛り込んでいる提案書も見るのですが「それって本当に伝わるの?」が個人的な意見です。
そのスライドで何を伝えるのか?一貫して何をする資料なのか?をハッキリさせておくことで、契約に関わるようなことは契約書に記載、補足をしなければいけないことは図として表せられないか?とカイゼンを進める事ができるのではないかな、と思います。
さいごに・・・
きれいな提案書をサクサク作るには回数を重ねることが大事です。
あくまでこれらのポイントは私がコツコツ作ってきた資料の屍の先に見出したポイントなので、ご自身でもっと良いやり方やポイントを見つけ昇華させる努力も大事だと思っています。
時には、きれいだなと思う人のスライドを真似たり、グリッド線を入れてみてどういうバランスで図を配置しているのか?等々の研究も面白いのでオススメです。
それでは楽しい PowerPoint LIFE を!
これから Office 365 を勉強するあなたへ① Office 365 とは?
これは新しく Office 365 の勉強を始める方、営業の方向けの記事です。
営業をやっていて提案が人任せになっていたりしませんか?
特に IT に関わる営業をされている方ですと「働き方改革」といった旬なワードで訴求する事もあるのに、提案に何人も連れて行って任せきりになり、お客様から請求書のやり取りの人だと思われていませんか?
自分で Office 365 のセールスをやりたい、という腹をくくった方に向けて「これから Office 365 を勉強するあなたへ」というシリーズ名でブログを書いて行きたいとおもい
ます。
第一回「Office 365 とはそもそも何か」
※本ブログでは一般法人向けの Office 365 について取り扱います。
※正しい名称は Microsoft Office 365 ですが長いので本ブログでは「Office 365」と明記します
そもそも、Office 365 とはなんぞや?から入ります。
ひとつ分かりやすい解説を引用すると
「Microsoft Office 365 はマイクロソフトから提供される商用の SaaS(Software as a Service)型クラウドサービスで、Office のデスクトップアプリケーション版およびウェブアプリケーション版、Exchange Online、SharePoint Online、Skype for Business 等で構成される。」
ー引用ウィキペディア
と記載があります。
※これ自体とても分かりやすい説明なので「クラウド?」「SaaS?」「Office?」という方はまずはそちらをご自身で調べてから読み進めましょう。
上記を言い換えると、コンシューマや現在も企業で使っている Office ソフト(Excel、Word、PowerPoint 等)以外に、電子メールやグループウェアなど企業の生産性を高める製品がパックになってクラウドサービスとして提供されている製品です。
ウィキペディアに掲載されている製品名はそれぞれ
Exchange Online :メール、予定表、アドレス帳
SharePoint Online :ポータル機能、ファイル共有機能など
Skype for Business:チャット、ビデオ会議、PSTN電話機能
という機能を持ち、Office 365 の前身のサービスである BPOS(Business Productivity Online Suite)から存在する Office 365 を支える代表的な製品です。
BPOS が 2009 年リリースなので、BPOS 時代から数えると Office 365 は 10 年程の歴史があり、Microsoft のオンラインサービスの中でも歴史が長い部類です。
※BPOS については下記の記事にまとめられているので興味のある方は読んでみてください。
でもさ、営業として先ずなにから勉強したらいいの?
まずはざっくりとどんな製品なのかは説明が出来るようには、学習する順番はご自身の業務に関わる事を深堀することをオススメします。
例えば
SI案件をとる営業:各機能のデプロイ方法、自社で扱っている Office 365 に関わる 3rdParty について知る
Distributorの営業:Office 365 に関わるライセンス知識(Volume License/CSP)、自社で取り扱いのある 3rdParty について知る
マーケティング:Office 365 競合製品について知る、Offie 365 に関わる 3rdParty について知る(=他社製品)
などなど。
自分の業務に関わる所から知識を埋めていった方が仕事もラクになります。
また、Office 365 自体が日本の製品ではありませんので、日本企業が導入するにあたって不足する機能がある場合もあります。それらを補完する様々な 3rdParty 製品として導入する企業が多いので、ゆくゆくはそちらへも理解を深めていくことで Office 365 の案件を任せられる(=関係する方々が信頼を置ける)営業になれるのではないかな?と私自身は思います。
ここからは順次、各機能、ライセンスについて紹介していこうと思います。
【初心者向け】PowerApps を使いこなそう!①アプリ作成前の準備
今回はノンコード、ローコード(=コードを極力書かなくてもよい)でアプリケーションが作成できるOffice 365 や Dynamics 365 と親和性の高い PowerApps について記事にしてみました。
Microsoft の Webiner を見ていると「簡単にこんな素敵なアプリが作れるんだ!」と感激してしまい、マネをしようとすると色々うまくいかない。。(私以外にも思った&体験した方は沢山いるはず。。)
勉強していく中で前提で知っていないといけないことが有ると気付いたので、ユーザー部門に普段いてアプリ作成初心者な方がまず PowerApps を習得するまでに何を学習すればいいのかを記事にしてみようと思います。
初心者がまずアプリ作成する前に練習すべきこと ~ PowerApps 編~
①思うような動作をするためにはどんなフローチャートを書くのかを理解する
例えば、ボタンで押したら枠内に思ったような選択肢を表示させたい!と思ってもどのように実装をすればいいのかをシステマチックに動作を表現=フローチャートをまず書くことをオススメします。
ただ、初心者にはどうやってこういった処理を覚えればいいのかが最初の壁かと思います。そんな時には同じ Office 365 で利用が可能な Microsoft Flow のテンプレートを見て動きを覚えることをオススメします。
下記は Microsoft Flow の画面です。
今回は PowerApps で検索して人気のあった「PowerApps 上で承認をしてメールを飛ばす」というロジックについて見ていこうと思います。
テンプレートボタンを押すと下記のような画面に行くので右上の「フローの編集」をクリックするとこのテンプレートのロジックを見ることができます。
実際に見て学ぶことがなければ…なんですがこのテンプレートからは
・承認という行為(つまり承諾なのか却下なのか)を数式で見分けるには条件に「アプリ上で選んだ値が
・等しい、つまり「はい」だった場合には PowerApps 上で選んだ宛先にその「承諾」という結果をメールで送信する。そのメール内容は件名はテンプレート、本文にはテンプレート+動的なテンプレート(この場合は承認依頼の名前と承認時のコメント)を指定。
というのがエンジニアでなくても頑張れば読み解くことができます。
(英語は適宜翻訳機能を使えばまずは問題ないかと思います。)
このように行いたい行為をシステムで実行するにはどういう指示を組み立てればいいのかをまずは理解するのが初心者にはオススメです。
(経験上、非エンジニアがいきなりアプリ作ろうと思っても、閃きが降りてこない限りはボタンや画面を作るだけで終わってしまい実用的なものがあまり作れません。。)
②データ(データベース)はどう扱うものなのかを知る
Excel をゴリゴリに使っていたり、普段から BI ツールに慣れている方であれば問題ないかと思いますが、データの取り扱いは PowerApps を使うにあたってすごく大事です。
・テーブルってどんなものなのか、どんな時に使うものなのか(そもそものお話)
・データとしてまずどういった整備をしておくべきなのか(整数?価格?文字列なの?など)
この当たりをまずは大体でもいいので理解することが非常に重要です。
アプリを作っていく上でテーブルを用意しておくと非常に簡単に画面が作成することができるので、実際にアプリを作ろうという段階になったらデータってどうやって扱うべきなのかを知っておくとよりアプリ作成のハードルが低くなると思います。
オススメ書籍
おなじみ、ひと目シリーズ。こちらの第4章、7章あたりが非常に参考になります。
(私もまだここについては勉強中なのでコツをつかめたらまた記事にします)
他にも「Excel テーブル メリット」とかでBingっていただくと色々かみ砕いてくれているブログや記事にたどり着けます。好き好きあるかもですがASCIIさんのとかは個人的に読みやすいので参考にさせていただきました。(ちょっと前の記事ですが概念は変わらないと思うので)
そんな訳で今回はアプリを作る際には前提知識が必要だと気付いた経験を記事にさせていただきました。
PowerApps の操作にはなんとなく慣れてきたものの、いざアプリを作ろうとする際に関数が逆引きできれば…と思ってましたが、調べていくとそれ以前の問題だったというのが意外と盲点でした。
(エンジニアの方からみると結構盲点な気がしている)
私のように非エンジニアがアプリを作れる夢のようなアプリケーションだと思っているので習得までの道は長くとも日々勉強していく過程をお届けできたらと思います!
Office 365 フル活用して業務カイゼンしてみる①
前回投稿からひと月も間が空いてしまいました。
言い訳 + 今回の記事を書こうと思ったキッカケは 「業務過多で余裕が無くなり始める」という難題に久々ぶち当たったからです。。
+ α で更に言い訳なのですが「外部勉強会」「登壇」と言った前向きかつ膨大なタスクもあり、中々検証する時間がありません。。
本当は PIM とか Microsoft Teams の話を投稿したいのですが。。。。orz
あとは、色々現場キッカケで変化を起こしたい想いもあります。
詳しくは所属会社のことにも触れてしまうので書けないですが、現場からの働きかけが後々自分の糧になるとも思ったので挑戦です。
なので、自分の業務が少し落ち着くまでは Office 365 をフル活用してカイゼンしてみる過程を Blog には記載しようかな、と思います。
この記事のゴール
Office 365 の機能を使って個人のタスクがどれほどカイゼン出来るのかを知る
今回参考にするのは、以前 Planner の記事でご紹介したコレです。
カイゼンジャーニー流:タスクボードを Planner で作成する
まずは Planner を使って自分だけのタスクボードを作成してみたいと思います。
と思ったら、マイタスクだとバケットの設定が出来ないようです。。
※本気の業務改善を行いたいのでテストテナントではない辺り本気度など色々お察しください。
カイゼンジャーニーのタスクボードに従って現在把握しているタスクを明記。
重要そうなタスクには付箋機能を使って重要だというのが一目でわかるようにしました。(赤枠右)
また、タスクは出来るだけ粒度を揃えつつ行いたいので一旦、やる内容をチェックリストに入れ、思いつくタスクを入れていきチェックが出来るようにします。(赤枠中央)
カイゼンをするためのマイルール
とここまではカイゼンを実施するための序章。
ここからは下記のような単位で活動をし、業務改善の検証をしてみたいと思います。
・1人朝礼での振り返りを行う+そこで今日やるタスクを事前に決める
・週次での振り返り(何が良かったのか、悪かったのかの振り返りを行うのが中心)
・上司との 1 on 1 で活用する(業務可視化、何かいいのか悪いのかを把握+周りを巻き込んでやりたい意志を伝える)
実際取り組んでみた所感、もう少しこうしたい、本を読み進めて気付くことなどあると思います。
現場からカイゼンが行えるように一歩ずつやってみたいとおもいます。
続く。
Microsoft Teams で Planner を効率的に使う
新年度が始まり、新しい組織に変わってこれから色々業務の引継ぎをされる現場の方も多いと思います。
Office 365 機能でも注目度の高い「Planner」を本日は Teams で上手く使うネタをご紹介したいと思います。
そもそも Planner とは
Office 365 Business Essentials 以上 (Business Premium、E1、E3、E5) のライセンスでお使いがいただける標準で付いている機能です。
PC では専用のアプリなどは用意されておらず Web ブラウザでアプリランチャーを開くか、スマホ用のアプリで参照する事が可能です。
以下は Web ブラウザで開いた Planner の画面です。
Web ブラウザで開くとパブリック/プライベートの 2 種類を選ぶことが出来ます。
使う上での機能差異はありませんが、他人から検索した時に見られたくない場合はプライベートを設定頂くのが良いと思います。
Teams で Planner を利用してみる
タブ上にあるアプリ追加の「+」で Planner を選択すると以下のように Planner アプリと連携した画面が表示されます。
以下のようにバケットと言われる自分で決められるカテゴライズが標準 UI となっています。
2018 年の年明け位のアップデートから、タスク追加の画面もこの通り、Web ブラウザで使う UI と一緒になっており直感的に使えるようになっています。
Microsoft Teams で Planner を使う時に良いネタ
私の個人的オススメはこの「グループバケット」で UI に変化をつける見方です。
所属組織では部会などでタスクをどんどん追加していくのですが
誰が、どんな種類の、どんなタスクを、どの位の進捗状況で、持っているか
というのが一目で分かります。
右上にあるグループバケットボタンから試しに「進行状況」を押すと
以下のように UI が変わり、各タスクがどのような進捗状況なのかが一目で分かります。
プロジェクトや組織でタスク確認する時も、確認したい視点があると思いますのでこういったグループバケットの機能を利活用すると、自分のタスク確認や会議等での確認時間がグッと減ったと実感できるのがとても良い機能だと思っています。
また、フィルター機能ではもう少し細かく区切る事や、自分でカスタマイズ出来るラベルでフィルターをかける事も可能です。
先ほどは進行状況で区切りましたが、日付で区切ってみると確認したい視点を変えてタスクを確認する事ができます。
実際にどんなことに Planner を使って効果があったのか
<マジメ編>
個人的に Planner で行う可視化はチームやプロジェクトの運営において「課題や問題を可視化し、どのような進行状況であるか」を共通認識として持つ点が非常に優れていると感じています。
どのように問題を可視化し、共通認識として持たせるのかは色んな手法がありますが、実際取り組むときに下記記事などを参考にしました。(カイゼン・ジャーニー本編もオススメされているので早く読まねば…)
<ちょっとライクに使う編>
声を大にして言いたい。飲み会の集金にとっっっっても便利です。
タスク追加の際、カード欄に参加者の名前を書いて集金したらチェックを入れる。これだけで集金漏れが無くなりました。
飲み会って終わってしまうと集金忘れを結構やってしまうので、地味にコレ結構役に立ってます。
JAZUG 女子部に行ってきた (AzureAD についてより深く知る)
3 月 28 日に JAZUG 女子部に行ってきました。
Microsoft の安納さん直々に AzureAD についてお話しを聞いてきました。
Office 365 関連の Webiner でしかお話しをお聞きできなかったので、 Azure 側からみた AzureAD ってどんなものだろうか?と結構楽しみにしてました。
Office 365 の運用を行っている方から見ても良い情報だと思ったこと
①AzureAD Premium Plan2 から利用できる PIM が Azure のリソース管理もできる
セキュリティの観点からも、特権を守る・きちんと棚卸をする、というのはどこの企業でも課題に出ていると思います。
Office 365 や EMS のご提案などを聞いている方はよく
「Exchange 管理者作業を決められた時間のみ割り振る」
「申請制で特権ロールを割り当てられる」
等々で聞いている機能だと思いますが、 恥ずかしながら Azure リソースの管理も同様に出来るのは知りませんでした。
Microsoft 系のシステムでまとめられている企業様では特に運用負荷の軽減に役立ちそうです。
②AzureAD と AD の認証方法はやっぱり闇
安納さんにもお尋ねしたのですが、認証方法は「パスワードハッシュ同期での SSO」がオススメとの事。色んな方にお話し聞いたりブログ読むのですがやっぱり意見分かれますねぇ。。
パスワードハッシュ同期って実際は厳密に SSO にはなっていない為、実は AzureAD と AD のパスワードポリシーが有るため 2 重管理になってしまう点が個人的には実運用的にどうかな?と思っています。
※パスワードハッシュ+ADFS or パススルー認証、の組み合わせで解決は出来ますがそうすると結局費用が、ね。
日本企業では「会社が認めた端末でしかアクセスさせない」等々のポリシーを設ける所が多いので
・ADFS + 証明書での端末制御
⇒ADFS は豪勢な構成で構築にかかるショットの費用が高い
・パスワードハッシュ同期+ Azure AD Premium の条件付きアクセスで端末制御
⇒Azure AD Premium のランニング費用がずっとかかる
の比較はどこの企業もされるのかな、と思います。
個人的に ADFS を利用しての同期は「Windows Hello for Business で生体認証を利用したSSO」、「SmartCard 認証をしたい」といった要件が無い限りは
EMS を利用して、Office 365 をもっとセキュアにするシナリオを活用する選択の方が賢明かな、と思います。
さいごに
AzureAD はやっぱり奥が深い。
安納さんの Webiner 2017 年 5 月版でお聞きしていたものの、この 1 年近くで相当 Update したなぁ、と思いました。
これからも逐次ウオッチしていきます。