LINE WORKS 管理者が最初に行う情報セキュリティの設定

この記事は LINEWORKS Advent Calendar 2020 22日目の記事です。

LINEWORKS Advent Calendar 2020 - Qiita

この記事は？

LINE WORKS を導入するにあたって、最初に設定する必要がある情報セキュリティの設定についてまとめた記事です。

想定読者は組織の情報システム部門や総務部門に所属しており、これから LINE WORKS を導入する、または導入を検討している IT 管理者（情報セキュリティ初心者）です。

IT管理者の存在する組織向け、ということで、この記事ではフリープランではなく有料のライトプラン以上の利用を前提としています。

LINE WORKS とは？といった解説は公式でわかりやすいガイドが公開されていますので、この記事では省略します。

※ Qiita は「プログラミングに関する知識を記録・共有するためのサービス」で、プログラミング以外の内容は投稿しないということがコミュニティガイドラインに明記されているため note に投稿します

LINE WORKS とは？ - LINE WORKS Guide

なぜ LINE ではなく LINE WORKS を使う必要があるのか、という観点では以下の記事で解説しているので、合わせてご覧ください。

あなたは？

Roto Vox

Twitter などでは「ろと / rotomx」として活動しています。本業では宿泊・レストラン予約サイトの運営会社で情シス・コーポーレートエンジニアとして、SaaS の導入や運用を行っており、副業ではスタートアップの IT をお手伝いしています。

2020年10月より LINE WORKS アンバサダーを拝命し、LWUG（LINE WORKS USERS GROUP）登壇などアウトプット活動をしています。

【LWUG】個人向け連絡ツールを仕事で!？考えるべき「管理」と「セキュリティ」とは? (2020/10/27 12:10〜)

Admin アカウントで管理画面にログインする

LINE WORKS の有料ライセンスを購入したら、Admin アカウントを使って 管理画面（https://admin.worksmobile.com/）にログインしましょう。

これが LINE WORKS Admin です。最近デザインが新しくなりましたが、以前のものに戻すこともできます。

左側のメニューから各種設定の確認・変更ができます。基本設定は会社情報の入力やデザインのカスタマイズができるので、最初に設定しておきます。

「セキュリティ」を設定する

利用するサービスの機能については、組織での運用に沿ったものに設定してください。この記事では情報セキュリティに関する項目を解説します。

利用状況

ここでは LINE WORKS をインストールしているデバイスの利用状況をモバイル / PC それぞれ確認することができます。利用している OS のバージョンまで分かります。

利用状況 - LINE WORKS Guide

モバイルアプリ / PC アプリのバージョンが最新ではない場合は「アップデートが必要」と表示されます。これを選択するか、左上のチャックボックスを選択すると表示される「アップデート案内」ボタンを押すと、対象者にアップデートを促すことができます。

あくまでアップデートを促すのみで強制はできないため、強制的に最新バージョンを適用させる場合は MDM（モバイルデバイス管理） 側で制御するとよいと思います。

アカウント管理（かんたんログイン）

かんたんログインとは携帯電話でログインや、LINE でログイン（ LINE アカウントを使って認証する）など、ID とパスワードの入力を不要で LINE WORKS にログインできるようにする設定です。

なお、LINE でログインと言っても、LINE アカウントと LINE WORKS アカウントが紐付いて、プロフィールや連絡先が同期することはありません。ややこしいのですが、あくまで認証方法として使っているだけです。

かんたんログインの設定 - LINE WORKS Guide

後述する IdP （アイデンティティ プロバイダー）との SAML 認証によって SSO（シングル・サインオン）の構成が組めない場合は有効にしておくとユーザーのパスワードを覚える負担が軽減されます。

モバイル管理

モバイル管理 - LINE WORKS Guide

モバイルアプリの画面ロックや、パスコードについて管理者から設定を必須にすることや、データを保管・閲覧できる期間の機能制限ができます。たとえば「パスコードは英数字8文字以上必須で、3回連続で間違えたら強制ログアウト。3日以上経ったデータは閲覧不可」といった設定ができます。

すでに MDM を導入していてモバイルデバイス自体にパスコード設定の強制ができるので、モバイルアプリ側にも設定するかは要検討です。あまり厳しく設定・制御しすぎると生産性の低下に繋がりかねません。

なお、MDM を導入していない場合は LINE WORKS を MDM として利用することもできます。

Intune や Jamf Pro などと比べるとできることはかなり少ないですが、盗難・紛失時のモバイルアプリ内のデータ削除や、デバイスの初期化をリモートで実施するなど基本的な機能は利用できます。

なお、MDM プロファイルはデバイスに対して1つしかインストールできないため、他社製 MDM と LINE WORKS MDM の併用はできません。

ネットワーク管理

ネットワーク管理 - LINE WORKS Guide

LINE WORKS へ接続する IP アドレスの制御ができます。制御はできますが、働き方が変化しつつある現代に、オフィスでしか接続できない、接続に VPN を求める SaaS の設定はナンセンスです。

ここはすべての IPアドレスを許可して、別の設定でセキュリティを担保することをおすすめします。

ファイル管理

ファイル管理 - LINE WORKS Guide

モバイルアプリからのファイルのアップロード・ダウンロードを制限することができます。会社から支給しているデバイスではなく、BYOD（私物の業務利用）で LINE WORKS を利用している場合は、情報漏えいを防ぐために設定したほうがよいかもしれません。

また、やりとりできるファイルの拡張子も制限できます。昨今 Emotet と呼ばれるマルウェアも話題になっていますが、.zip .bat .exe など疑わしい拡張子はブロックすることができます。

管理者権限

管理者権限の管理 - LINE WORKS Guide

組織によっては1人で LINE WORKS の運用すべてを行っていることもあれば、情報セキュリティの設定や監査、bot の開発は情シス、アカウント管理は人事や総務が担当と分担していることもあると思います。

担当業務が分かれる場合は、業務に沿った最小の権限を付与しましょう。アカウントをメンテンスをする総務が、監査ログを見れる必要はありません。

デフォルトでいくつかの権限の用意してくれていますが、組織や運用にあわせてカスタマイズした権限も作成可能です。

外部トーク権限管理

外部トーク権限管理 - LINE WORKS Guide

「外部トーク」とは自分の組織外の LINE WORKS、または個人向けの LINE と連携してトークを行うことです。この設定で許可されているメンバーは外部トーク連携ができるようになります。

LINE WORKS を社外（取引先・顧客）との連絡に利用する目的で導入する場合は、この設定が必須です、有効にしておきましょう。

注意事項としては、外部 LINE WORKS との連携はトーク相手側の組織でも外部トーク連携が許可されている必要があります。許可しているにも関わらず利用ができない場合は、トーク相手側の対応が必要です。

また、外部 LINE との連携は制限事項が多いです。LINE WORKS と LINE はあくまで別のアプリなので、音声通話・ビデオ通話をはじめ多くの機能は利用不可です。利用前に以下のページをご確認ください。

LINE・外部LINE WORKSユーザーとトーク - LINE WORKS

「監査」を確認する

監査 - LINE WORKS Guide

ここではユーザーのログイン情報やトークなどの監査ログを確認できます。ユーザーの情報だけではなく、IT管理者がどのような設定を変更したか、といった情報も記録されています。

有料プランでは6ヶ月保管されており、csv 出力でダウンロードすることも可能です。フリープランでも2週間までは保管されますが、ダウンロードを行うことはできません。

最上位のプレミアムプランでは10年間までログ保管期間を延長することも可能です。また、販売代理店によってはこの「アーカイブ」機能をオプションとして提供しているため、ライトプランなど安価なプランでもログを長期保管することもできます。ここは各組織のポリシーにしたがって設定します。

SAML/SSO を構築する

LINE WORKS は SAML 2.0 による SSO に対応しています。SSO を設定しておくと、情報セキュリティの向上だけではなく、ユーザーは複数のパスワードを覚える必要もなく、IT管理者にとっても管理コストが下がるため、IdP を導入していれば必ず設定しておきましょう。

SAML IdP 概要 - LINE WORKSログイン - LINE WORKS Developers Document

SSOの概要 - SSO連動 - LINE WORKS Developers Document

また、多くの SaaS が SAML連携を最上位の Enterprise 向けプランでのみ提供しているのに対して、LINE WORKS は最安の有料プランであるライトプランから提供しています。300円で SAML が組めるという、中小企業の IT管理者にとっても非常にありがたいライセンス形態です。

SSO の設定は今までの管理画面とは別の LINE WORKS Developer Console （https://developers.worksmobile.com/jp/console/openapi/main）から行います。API や Bot もここからです。

公式の Developers Document も非常に詳しく書いてありますが、IdP として Azure Active Directory（Azure AD）を導入している場合、以下の記事がわかりやすいです。少し古いですが、大まかな流れは変わりません。

AzureADでLINE WORKSにSSO(SAML)する方法 - Qiita

LINE WORKS Developers 向けのコミュニティも用意されているため、不明点がある際はここに投稿すると公式サポートに加え、他のユーザーからのアドバイスをもらうこともできます。

LINE WORKS Developers : コミュニティ

終わりに

以上、長くなりましたが LINE WORKS を導入する際にIT管理者が設定・確認する情報セキュリティの項目について解説しました。

まだまだ LINE WORKS には設定が多くあり、組織ごとに設定・運用のベストプラクティスがあります。LWUG や LWTT といったコミュニティにではそういった知見が集まっていますので、ご興味のある方は勉強会に参加してみてはいかがでしょうか。

LWUG (えるわぐ：LINE WORKS USER GROUP)

LINE WORKS Tech Talk

ぼくも何かネタができたら引き続きアウトプットしていきます。