Slack のセキュリティ : Slack がデータを保護する方法

Slack は、あらゆる規模の組織に安全で信頼できるビジネスの基本システムを提供するため、力を尽くしています。Slack の重層的なセキュリティアプローチ、強固な機能、コンプライアンスへの真摯な取り組みにより、情報セキュリティおよび IT 担当者は、データが保護されているという安心感を得ることができ、中核となるビジネス目標に集中できます。

Slack のホワイトペーパー「Slack のセキュリティ」は、データの安全性とコンプライアンスを維持する方法について最新の情報を得るのに役立ちます。このホワイトペーパーでは、IT 担当者のためのセキュリティベストプラクティスとともに、Slack がセキュリティをどのように維持しているかについても詳しく説明しています。ホワイトペーパーで学べることの概要について、以下でご紹介します。

Slack の多層的なセキュリティアプローチ

Slack は、基盤となるインフラストラクチャから、あなたと従業員が毎日愛用している機能に至るまで、ビジネスの基本システムのあらゆる面で多層的なセキュリティアプローチを採用しています。ここでは、Slack が実施しているセキュリティ対策の一部について詳しくご紹介します。

• 暗号化 : Slack は、TLS 1.2 プロトコルを使用した転送中の暗号化と、FIPS 140-2 準拠の暗号化規格を使用した保管中の暗号化の両方によってデータを暗号化し、データを不正アクセスから確実に保護します。
• ネットワークセキュリティ : Slack はパブリックネットワークから本番環境へのネットワークアクセスを制限し、業界標準に従ってホストのセキュリティを強化しています。
• セキュアな開発 : コードレビュー、継続的インテグレーションテスト、公開バグ報奨金プログラムを含む、強固なセキュア開発ライフサイクル（SDLC）を使用して潜在的な脆弱性を見極め、軽減しています。
• アクセスコントロール : 管理権限によるすべてのアクセスには多要素認証が必須です。特権コマンドへのアクセスは制限され、ログに記録されます。
• システムのモニタリング : Slack は、不審なアクティビティがないかインフラストラクチャを継続的に監視します。本番環境のログはすべて安全に保存され、権限を与えられたセキュリティ担当者のみがアクセスできます。
• 外部監査 : Slack のセキュリティ体制を評価し、継続的に改善するため、独立した第三者機関による監査とペネトレーションテストが定期的に実施されています。

全社的な安全とコンプライアンスの確保

Slack は業界をリードするセキュリティ標準に適合しており、数多くの証明および認証を取得しているため、お客様は Slack がコンプライアンス要件を満たすのに役立つという安心感を得ることができます。

 

Slack のセキュリティ機能によるリスクの軽減

Slack には、強固なセキュリティとデータ保護機能が組み込まれています。これにより、データ保護に必要なコントロール、可視性、柔軟性を実現しながら、アジリティも維持できます。次のような機能があります。

ID とデバイス管理

• シングルサインオン（SSO）と 2 要素認証（2FA）は、アクセスのセキュリティを強化します。Slack は、ADFS、Google Workspace（SAML）、Okta など、トップクラスの SSO プロバイダと提携しています。
• エンタープライズモバイル管理（EMM）と強固なセッション管理機能により、Slack にアクセスするデバイスを管理し、保護することができます。

データ保護

• Enterprise Key Management（EKM）は、Enterprise Grid のお客様が保護を強化するために利用でき、暗号化キーをさらに自由にコントロールできます。
• Enterprise Grid のデータ損失防止（DLP）機能や、業界をリードするサードパーティの DLP ソリューションのインテグレーションを利用して、機密データが Slack 内で共有されたり、Slack の外に漏えいしたりすることを防止できます。
• 監査ログは、ユーザーのアクティビティと潜在的なセキュリティイベントに関するインサイトを提供します。
• 異常イベントは監査ログ API の特別な部分で、環境内でリスクとみなされうる、アプリやユーザーの予期しない動作を明らかにするのに役立ちます。監査ログ API は、主なセキュリティ情報とイベント管理（SIEM）ツールおよびセキュリティのオーケストレーション、自動化、対応（SOAR）ツールと簡単に統合できるため、セキュリティチームが侵害の徴候を認識して、迅速に対策を講じることができます。

情報ガバナンス

• データ保存ポリシーと eDiscovery 機能は、規制要件や法的要件を満たすのに役立ちます。
• カスタマイズ可能なサービス利用規約（TOS）によって、ユーザーが組織のセキュリティポリシーを確実に理解し、遵守できるようにします。

Slack AI : デザインに基づく安全性

• Slack の生成 AI 機能である Slack AI は、セキュリティを第 1 に考えて構築されています。Slack AI は、安全な仮想プライベートクラウド（VPC）内に設置されたセルフホスト型の大規模言語モデル（LLM）を使用しているため、お客様のデータが Slack から出ていくことはなく、お客様のデータで外部のモデルをトレーニングすることもできません。
• Slack AI は検索拡張生成（RAG）を使用して、プロンプトを LLM に入力する前に関連する Slack データをプロンプトへ追加します。これにより、顧客データを使った追加トレーニングを必要とすることなく、LLM 出力の質を向上させることができます。RAG によってハルシネーションが最小限に抑えられ、モデルがソースを参照することが可能になるため、RAG は Slack の透明性の高い設計の主要な指針になっています。

プロアクティブなセキュリティ対策

Slack は、組織においてプロアクティブなセキュリティ対策を展開していくためのツールやリソースも提供しています。次のことが可能です。

• Slack の監査ログ API を有効化し、セキュリティツールと統合できます
• 全ユーザーに 2 要素認証を設定できます
• 社内で ID プロバイダを利用している場合は、アップグレードして Slack にシングルサインオンを設定することも検討してみましょう
• Salesforce Trailblazer コミュニティとやり取りすることで、セキュリティ体制をさらに強化し、リスクを最小限に抑えるためのさらなるセキュリティリソースや実践的なトレーニングを入手できます。
• Slack 専門サービスを活用できます。お客様と協力しながら現行のセキュリティ体制とワークスペースの設計を評価し、Slack 環境の保護を強化するための実践的な提案を行い、改善計画の実行を支援します。

私たちが何より大切にしているのは、お客様からの信頼を維持すること

Slack は、お客様からの信頼を維持することを何よりも大切にしており、信頼できる安全なプラットフォームを提供することで、チームの生産性向上に貢献するよう力を尽くしています。Slack のセキュリティ機能とベストプラクティスについてもっと詳しく知るには、新しいホワイトペーパー「Slack のセキュリティ」をダウンロードし、Slack チームにご相談ください。