見出し画像

リモートワークを見据えた社内インフラ

新型コロナウイルスが国内で一気に感染拡大の兆しを見せはじめ、感染拡大を避けるためにリモートワークなど会社としての対応が必要となるケースが急増しています。
noteでも #リモートオフィス というタグで、リモートワークに関する知見や事例の共有をしようという試みが始まったので、私も情シス観点から記事を書いてみました。

なお、リモートワークを実現するためには、それを見据えた社内インフラを事前に構築しておく必要があり、一朝一夕で実現することは難しいということをご了承ください(セキュリティを一切考慮しないのであれば、強引に実現できるかもしれませんが)。

■なぜ出社しなければ仕事ができないのか

サービス業や医療関係など、対面でサービスを提供する必要がある職種を除き、「出社しなければ仕事ができない」という環境面での理由は以下のようなものが考えられます。
(生産性についての話は今回は割愛します)

1.会社のPCでなければ仕事ができない
 ※スペックが必要、専用の業務用ソフトウェアやデバイスが必要など
2.オフィスからでなければ接続できないシステムがある
 ※IPアドレス制限、オンプレミスのシステムなど
3.社内で密にコミュニケーションしながら仕事をする必要がある
4.会社のPCの持ち出しが禁止されている
5.出社しなければ勤怠として認められない

4~5については会社の規則・ルールによる制限の場合が多く、今回のような緊急時には例外が許容されたり社内制度の見直しのみで対応可能な可能性もあります。
1~3については、ITで解決できる問題だと考えています。
3についてはチャットやビデオ会議などのツールを導入している会社も多いと思いますので、1~2の対策について考えてみました。

■オンプレを持たずクラウドのみで業務を完結させる

以前に以下の記事でも書いた内容と重複しますが、オンプレでサーバーやシステムを持つこと自体が足かせになります。

対災害面だけでなく、今回のようなパンデミックの際にも「オンプレを持たない身軽な構成」は非常に強力です。
オンプレの情報資産を持つことで、「LANに接続しなければシステムが利用できない」といった大きな制約を抱えることになります。
また、オンプレの機器の運用・保守も必要となるので、障害時は情シスが現地に駆けつけて対応する必要があるというのも大きなリスクとなるでしょう。

上記のようなリスクを認識した上で、「オンプレを持たずにクラウドで完結する業務環境を構築する」というポリシーを持って社内インフラを構築していくことが重要になってきます。

■ロケーションに依存しない業務環境を構築する

クラウドで業務が完結するようになっても、まだ制限は残ります。
それは、セキュリティの為に「クラウドに接続可能なIPアドレスを、オフィスのグローバルIPアドレスに制限している」というパターンが非常に多いためです。
接続元のグローバルIPアドレスを制限することで一定の防止効果はあるかもしれませんが、送信元IPアドレス偽装やマルウェアによる内部PCを踏み台にした攻撃には無力です。

IdPやIDaaSを導入して各クラウドサービスと連携し、「多要素認証を必須にする」「信頼されたデバイスからのみアクセスを許可する」といった構成にした方が、利便性もセキュリティも向上すると考えています。
※各用語の説明は以下の記事を参考にしてください

■会社貸与PCをポータブル&セキュアにしておく

最後は業務を行うPCについて。
自宅にPCが無い人や、家族と共用で使っている人など、様々な環境の従業員がいますし、十分にセキュリティ対策がされていない私物PCではなく会社貸与のPCでのみ業務を行ってもらいたいものです。
とはいえ、会社の普段使いPCとは別に持ち出し用のPCを全員に用意するのもコスト的に厳しいですし、「会社貸与のメインPCをポータブル&セキュアにしておく」という方が現実的かと思います。

最近はノートPCでもデスクトップと謙遜ないほどハイスペックになってきており、WebエンジニアはMacBookProが主流です。
ノートPCであればオフィス内でも場所を変えて仕事ができますし、デザインやCADなど特別なスペックが求められるPC以外は「ノートPCを社内標準にしておく」のが好ましいと思います。

ノートPCは容易に持ち運びができるため、持ち出しリスクを懸念する人もいますが、デスクトップPCであろうがその気になれば持ち出し可能です。
「持ち出し用PCを用意しておき、そのPCのみセキュリティを強化する」といったアプローチもあるかもしれませんが、同じ理由で意味が無いと考えています。
よって、「持ち出し用PCに特別なセキュリティを用意する」のではなく「どのPCが持ち出されても問題ないようにしておく」のが理想でしょう。

持ち運びにより盗難・紛失のリスクは当然上がるので、そのような事態を考慮して以下のような仕組みが必要となります。
・ディスクの暗号化
 ※WindowsはBitlocker、MacはFileVaultなど
・MDM/EMMなどのデバイス管理ツール
 ※インベントリ情報の収集、ソフトウェアのインストール・アップデート
  状況の確認、リモートワイプなど

なお、Chromebookはストレージを持たずに内部データが暗号化されており、マルウェア感染のリスクもなく、G SuiteがMDMとして利用できるので、比較的安価に導入できるセキュアなノートPCです。
実際に一部の部署の業務用PCをWindowsからChromebookにリプレースしておいたことで、今回も在宅勤務にすんなり対応できたので、業務用PCとして導入を検討してもいいかもしれません。
※Chromebookについての詳細は以下の記事を参照ください

■暫定対応手段

ここまで理想を語ってきましたが、実際にはそこまで綺麗な社内インフラを構築できている会社は少数だと思います。
特にエンタープライズな環境や非IT企業では、クラウドで業務完結させることが難しくオンプレが残っていたり、全員にノートPCが用意できなかったり、PC持ち出し前提のセキュリティ対策を用意できなかったりといったケースも多いでしょう。
社内インフラの整備よりも喫緊でリモートワーク環境の構築を求められている状況だと思いますので、いくつかの暫定対応案を考えてみました。

・VPN
VPNを使用して、会社貸与PCを社内LANに接続し、社外からもオフィス内と同様に業務が可能になります。
一般的なルーターであればクライアントVPN機能は標準で備えていることが多いので、必要に応じてアカウント発行・設定を行いましょう。
ただしVPNはPCを直接社内LANに接続するのと同義なので、接続PCがマルウェア感染していると接続した途端に社内に被害が発生するリスクがあります。そのため、VPNは会社貸与PCなど、最低限のセキュリティ対策が実施された機器にのみ許可することを推奨します。
また、VPNは各家庭のネットワーク環境やPCなどの接続環境要因のトラブルが多く、現地で切り分けもできないのでトラブルシュートに非常に手間がかかります。
「VPN利用者が増えれば増えるほど、情シスの負担も増える」ということを忘れず、あくまで暫定措置としての利用を推奨します。

・DaaSの活用
VPNや会社貸与PCを用意できず、やむなく私物PCから業務を行う必要がある場合、仮想デスクトップ環境(VDI)を利用する方法があります。
ただしVDIを自前で構築するのはコストも時間も非常にかかるため、DaaS(Desktop as a Service)を利用するという手段もあります。
DaaSは初期費用が費用で実際に使用した分だけが月額料金として請求されるので、一時的な利用やミニマムスタートに適しています。
Amazon WorkSpacesWindows Virtual Desktopの2つが有名でしょうか。
※WVDは国内ローンチされて日が浅いので、パフォーマンスなどは要検証Amazon WorkSpacesはAWSのVPCとサイト間VPNを張ることも可能なので、「自宅PCからWorkSpacesに接続して社内システムを使う」といった使い方も可能です。

・リモート接続ツールの利用
これは最終手段だと思いますが、TeamViewerなどのリモート接続ツールを使用して会社のPCに自宅から接続する方法もあります。
使用するツールの安全性や、商用利用に関するライセンス違反には十分注意してください。
統合管理が難しいツールだと思いますので、個人的には推奨しません。


上記のような仕組みを使わず、「とりあえずセキュリティは二の次でいいから、PCを持って帰って仕事させよう!」といった意思決定をする経営者もいるかもしれませんが、様々なリスクについて認識した上で意思決定するように情シスが説明責任を果たすことも大切です。
また、このようなトップダウンでの例外と暫定運用を認めると厄介なのが、「前にできてたから、これからもこのままでいいじゃん」という意識が根付いてしまうこと。
災害やパンデミックで一時的にセキュリティレベルを落とした運用を認めたとしても、それが恒久的なものではないことをきちんと理解してもらうことも大切です。

■おわりに

自身の過去記事の引用が多く手前味噌な感じになってしまいましたが、「その先に実現したい世界観は同じなんだな」ということに改めて気付かされました。

よく「利便性とセキュリティはトレードオフ」という言葉を耳にしますが、そうとも限らないケースも増えてきています。
利用者がセキュリティを意識せずとも、どこでも安全かつ便利に使える社内インフラが理想ではないでしょうか。
もちろんそれを実現するためには、コストをはじめとした様々な課題が出てきますが、「いつか必要になったら考える」ではなく「今のうちから整備しておく」といった意識が大切です。
そしてそれらを実現するためには、それ相応のコストやリソースが必要になり突貫で構築できるものではないということを、経営する立場の方々にも分かっておいていただきたいです。

リモートワークが普段から可能な会社は、オフィス移転や災害などの突発的事象の影響も少なく、非常にフットワークが軽く動ける強みがあります。
もちろん「普段から全員リモートワークで仕事をすべき」という訳ではなく、対面でのコミュニケーションやカルチャー醸成を重視している会社も沢山あります。
非常時や家庭の事情などによって通勤できないケースも想定し、あくまでも選択肢のひとつとしてリモートワークが可能な環境を用意しておくことが、会社としての強みになると思います。

また、今後5Gが普及してくると、ますますロケーションに依存しない働き方が求められるようになってきます。
そのような将来を想定し、従来の境界型セキュリティの考え方ではなくゼロトラストネットワークを見据えた社内インフラの環境がこれからは大切になってくるのではないでしょうか。
なお、「ゼロトラストネットワークの実現に向けて、具体的にどういうソリューションがあるのか?」といった疑問には、クラウドネイティブ社が発信している情報が非常に参考になります。(特にこちらの記事とか)


新型コロナウイルスが今後どのような広がりを見せるのか、先が見えない不安も大きいですが、早く現状が落ち着いて日常が戻ることを切に願います。

この記事が気に入ったらサポートをしてみませんか?