社内SEから見たテレワークのやり方
世間ではコロナウィルス騒動が今もなお続いており、損してしまった人もいればチャンスをとらえて成長した方など様々と思います。
社内SEたる私は初めての緊急事態宣言発令の時期に、やれWEB会議だのやれテレワークだのをできるようにしろと言われかなり大変でした。
それまでWEB会議のウェの字も出さずに拠点間を平気で会議のために出張していた経営層が、期限付き且つなるはやでWEB会議を要望したのは内心、複雑な気持ちではございましたが。
愚痴っぽいプロローグはさておき、今回はテレワークのやり方についていくつか社内SE目線でご紹介します。
『なにをいまさら』とか『もううちは出社オンリーだわ』などなど聞こえてきそうですが、そんなあなたも参考になる部分はあるかもしれません。
『そんな方法があったのか』とか『その方法なら課題が解決しそう』と感じて頂ければ、投稿者冥利に尽きるというものです。
本記事は総務省発行の”テレワークセキュリティガイドライン第5版”を参考にしています。
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
テレワークとは
そもそもテレワークとはtele(離れたところで)+work(働く)の2単語をくっつけた造語です。
この通りテレワークとは会社以外の場所で働くということですので、自宅でも出張先のホテルでもネットカフェでも働いていればテレワークです。
よく混同されがちな単語として在宅ワークがありますが、これは働く場所を自宅と限定しています。
ですのでテレワーク≠在宅ワークであり、在宅ワークはテレワークの一種と考えられます(そういえば昔SOHOとかいう言葉があったなあ)。
今回の記事では在宅ワークに限定せず、会社以外という意味のテレワークを軸としています。
それではテレワークのやり方について社内SE目線でご紹介します。
VPN方式
言わずと知れた代表的なテレワーク手段の1つです。
社外に持ち出したPCと会社のネットワークを仮想的に接続する技術(Virtual Private Network:VPN)を利用します。
一口にVPNと言っても色んな種類がありますが、大抵の場合はPCに専用ソフトをインストールして接続するソフトウェアVPNの場合が多いです。
理由としては何より新規ハードウェアを購入しなくてよいため、導入しやすいからと思います。
他にVPNとは若干異なりますが、社内ネットワークに接続可能なSIMカードをISP(Internet Service Provider、NTT comとかauひかりとかBIGLOBEとか)が企業向け契約プランとして提供している場合があります。
このパターンは正確にはVPNとは違いますが、”社内ネットワークに接続するネットワークインフラ”という性質は同じです。
また、テレワークする人が数人レベル+自宅のみというパターン限定でVPN機器(YAMAHAのRTXとかAllied TelesisのARシリーズとか)そのものを設置してしまう方法も、かなり珍しいですが可能です。
社内SE的にはオーソドックスでテレワーク方式の候補として一番に挙がってきますが、VPNは基本的に低速(10Mbps台のものもある)なことが多いです。
この方式をとる場合は、業務上大容量通信(特にPCのデータバックアップ)が発生しないのか十分注意してください。
また、細い回線を複数人でシェアする場合もあるので契約しようとしているサービスの詳細確認を忘れないように。
回線が低速であるがゆえにPCのローカルにデータやソフトウェアを保存しがちになりますが、それはそれで紛失リスクはかなりでかいのでドライブ暗号化(Bitlocker)が有効になっているかなど、紛失・盗難対策も再検討しましょう。
リモートデスクトップ方式
こちらもテレワーク手段としてはよく知られた方法です。
社外に持ち出したテレワーク用PCから社内に置いている業務用PCに遠隔操作する方法です。
遠隔操作は従来、サーバー管理目的がほとんどでしたが、やっていることはそのまんまテレワークに応用できるので、この度のコロナ禍でもよく利用されています。
Windowsのリモートデスクトップ機能を利用する場合は、社内とネットワーク接続するインフラが別途必要になるため、上記のVPN方式と組み合わせることもあります。
社内SE的に考えると、まずリモートデスクトップ方式は突発的な通信量の増加(バーストトラフィックといい、大容量ファイルの転送やデータバックアップ時に発生する)がほぼ発生しません。
遠隔用PCと社内PCの間で発生する通信は”マウスやキーボードの操作と画面の状況”のみです。
遠隔操作で10GBのデータを社内サーバへ転送しても、遠隔用PCと社内PCの間の通信量は”10GBのデータをサーバへ転送せよ”という指示のみなので、通信量はわずかです。
そのため、実は通信速度の低いVPNとの相性が良かったりします(とはいえ、あまりにも低速すぎると画面が乱れたり遅延したりしますが)。
また、データの漏えいリスクは低いのでセキュリティ的にも安心できる部分があります。
注意点として、会社PCを遠隔操作するためにユーザーの操作に対する応答には遅延が発生します(いわゆるラグというやつ)。
Wordで文書作ったりExcelで集計する程度なら許容範囲のラグと思いますが、設計や作画といった入力に対して速いレスポンスが要求される業務には向きません。
こういった業務をしているユーザーから『パソコンの反応が遅くてストレスが溜まる』とか『こんなんじゃ仕事になんねえ』と言われるでしょう。
業務効率変わらず文句を言っているだけならスルーでもいいかもしれませんが、実際に業務効率低下が発生するので、こういう仕事をする人たちにこの方式を使うのはやめてあげてください。
また、忘れられがちな注意点ですがPCの電源の問題があります。
遠隔操作しているユーザーが間違えて会社PCの電源を切ってしまうと、誰かが電源ボタンを押さないといけません。
Wake on Lanという仕組みを使えば遠隔電源ONとかできますが、BIOS/UEFIやネットワークドライバの設定変更の必要、さらにWOLサーバーの設置などがあり社内SEさんは結構苦労します。
実務的には”会社に一切誰一人として出社しない”というのは珍しいでしょうから、何かあった場合はその人が電源を入れる、というぐらいが妥協点です。
なお、2021年7月現在であれば、NTT東日本とIPAが共同開発した”シン・テレワークシステム”というものが無償(期間限定)で利用できます。
https://telework.cyber.ipa.go.jp/news/
このシステムは会社のPCへ接続するために必要なVPNゲートウェイやら中継サーバやらをオープンソースのSoftEtherとIPA設置のRasberry Piで代用します。
無償でありながら遠隔操作ソフトメーカー顔負けの品質なので、このテレワーク方式を考えている人は参考にしてみてください。
仮想デスクトップ(VDI)方式
これはテレワーク以前から”持ち運びPCを紛失したり盗難されたときに情報を漏らさない”というセキュリティの課題をクリアするための技術として存在していました。
同じような悩みはテレワークでも発生しますので、テレワークにおいてもその技術が注目されています。
方法としてリモートデスクトップ方式とかなり似ています。ユーザーサイドからすると操作上の違いはほぼ分かりません。
システム的な話をすると、ちょうど1つのサーバー機器内で複数のサーバーOSを立ち上げる仮想マシン(Virtual Machine:VM)と同じ仕組みです。サーバーOSの代わりにクライアントOSを立ち上げると思ってください。
また、リモートデスクトップ方式と比較すると接続元によって使えるアプリを分けたり、リモート通信の詳細なログを記録したりと制御事項が比較的豊富なことが多いです。
が、正直お値段が高い
まず社内だかクラウドだかにVDI基盤を立てないといけないので、ここでそれなりの費用が発生します。
また、いくらPC1台買うより安いとはいえVDI用にWindows Proを揃えると、これまたかなり費用が発生します。
リモートデスクトップ方式と比較すると、豊富な監査オプションぐらいだと思うのでセキュリティ要件が厳しくないのであれば、私はリモートデスクトップ方式がおすすめかなと思います。
セキュアコンテナ方式
私自身、この単語はあまり聞きなれていませんが、特定のアプリケーションを別の領域(違うOSや違うフレームワーク)で動かすコンテナ技術を利用します。
類似の言葉としてセキュリティ用語のサンドボックスというものがありますが、”隔離された場所でアプリを動かす”という特徴に関してはセキュアコンテナと一致しますので、感覚的には近しいものがあります。
遠隔用PCとは隔離されたコンテナで業務アプリケーションを動かすので、遠隔用PCにはデータが残りません。
また、万が一遠隔用PCにマルウェアが侵入しても業務アプリケーションはコンテナによって保護されるようになります(当然、されない場合もあるので完璧な防御ではないです)。
顧客のデータを扱ったり販売や請求入金といったお金がかかわるようなアプリケーションで、セキュリティ要件が厳しい(自宅での印刷を禁止したい、とか)業務アプリの安全性を確保するために利用されます。
この”アプリ単位で隔離できる”のがミソです。もしすべての業務アプリを遠隔用PCから隔離したいのであればリモートデスクトップ方式かVDIを選択しましょう。
回線負荷としては特定のアプリだけをVPN経由で社内ネットワークに接続することができるので、調整がかなりやりやすいです(当然、単一のアプリケーションが大容量通信を始めると遅延の原因になります)。
導入のハードルとしては遠隔操作用PCが必要ではありますが、仮想デスクトップ方式のように専用基盤を整備する必要はないのではるかに導入しやすいと思います。
仮想デスクトップ方式やリモートデスクトップ方式を選択する判断の分かれ目としては、”いくつの業務アプリケーションを遠隔用PCから隔離する必要があるか”によります。
全業務アプリの隔離が必要なら仮想デスク or リモートデスクでしょうし、特定のアプリだけならセキュアコンテナ方式がよいと思います。
セキュアブラウザ方式
セキュアコンテナ方式と発想は同じですが、分離する対象が一般的なデスクトップアプリケーション(exeで動くようなもの)ではなくブラウザアプリケーション(HTMLとかjavascriptとか)、いわゆるWEBアプリに焦点をあてています。
セキュアブラウザ方式は、PCの領域とは隔離された専用のブラウザを利用します。
WEBアプリで業務を行うときに、通常PCにインストールされているブラウザ(EdgeとかChromeとか)とは別にセキュアブラウザを起動します。
この時点でPCとは隔離された領域で業務を遂行します。事前設定によってWEBアプリからのデータダウンロード禁止や印刷禁止、スクリーンショットを取ろうとしたら黒塗りつぶしになる、みたいな制限をかけられます(この辺はセキュアコンテナと同じかも)。
ここまで説明すると『セキュアコンテナの中でEdge起動して業務アプリ使っても同じじゃね?』という疑問がわくかもしれません。
そこで明確にセキュアコンテナ方式と違うのは、セキュアブラウザはWEBアプリ用に準備されているので通信量がさらに少ないです。
また、費用的にもセキュアコンテナよりセキュアブラウザの方が低価格なことが多いです。
導入のハードルもさらに低く、もし制限したい業務アプリがWEBアプリだけならばセキュアブラウザ方式一択です。
とはいえ、やはり隔離できるのはWEBアプリのみなので業務アプリすべてを隔離したい場合はリモートデスク方式かVDI方式を検討しましょう。
クラウドサービス方式
社内ネットワーク依存のシステムなんかやめてクラウドサービスを利用する方法です。
クラウドサービスということは、インターネットさえ接続できれば利用できるので社内SEさんは何もしなくていい場合すらあります。
ただ、実情としては長いこと使ってきた社内イントラ依存システムが数カ月程度でクラウド対応できることはまれです。
そのため、VPN方式と併用する場合もあります。その場合、VPNだと通信速度が遅い点がひっかかりますがクラウドの通信はVPNを通過する必要がないので負荷分散することができます。
もしくは社内ネットワークとの通信をバイパスさせるクラウドサービスを導入することで、イントラの壁を乗り越えることもできます(当然、社内システムにもよりますが)。
新しいPCやハードウェアを準備する必要がないので初期投資はかなり低く、始めやすい方式ですが月額発生費用をしっかり把握しておかないと、いつの間にやら大量出血になりかねないので注意しましょう。
セキュリティ的な面を考えると、クラウドサービスとの通信は社内ネットワークを一切介さない(テレワーク先から直接、クラウドサービスのサーバと通信)ので、社内にIDS,IPSやプロキシを導入していて何らかのフィルタリングをしている場合は注意が必要です。
そういったフィルタリングのクラウド対応サービスとしてCASB(Cloud Access Security Broker:キャスビー)というサービスもありますが、結構お高いのと初期設定・運用と社内SEの負荷は高めなので注意しましょう(この辺は組織のセキュリティポリシーでどこまで許されてどこから許されないかの線引きが大切。あとお金の話も)。
スタンドアロン方式
PCの持ち出しはするけどVPNもインターネットも接続しない強気な方法です。
割と小規模かつ限定的な業務の場合に有効(というかそうでないとムリ)です。一切社外ネットワークに接続しないので、盗難紛失にさえ気をつければデータの漏えいとか盗聴とかマルウェア侵入の心配はほぼありません。
導入のハードルにしても”業務利用しているパソコンに業務データを入れて持ち帰るだけ”なので、社内SEの負荷は限りなくゼロです。
この単純明快なセキュリティの強さと導入のしやすさが最大のメリットですが、代償はかなりでかいです。
なにしろネットワーク通信を一切行わないのでメールの送受信はおろか業務の成果物すら会社のサーバーにアップロードできません。
会社のサーバーにアップロードする必要がなかったり、個人PCの範囲内ですべてが収まれば取れる手段です。
が、やはりそんなやり方は長続きしないので何日か経過すると業務データの共有・更新や次の業務データのダウンロードのため会社に出社する必要が生じます。
そのため、冒頭の”小規模かつ限定的な業務”という条件がくっついてきます。
そこまでして”一切の追加費用を発生させずセキュリティを確保しながらテレワークをすぐに開始する”という条件を達成しなければならないのなら、この方法も視野に入れてみましょう。
社内SE的私見を包み隠さず述べると、『どうせ不便さに耐えかねて勝手にネットワーク接続して勝手に無料のクラウドサービス使われてシャドーITが増殖するのがオチだからやめとけ』(あくまで個人の見解)。
まとめ
色んな方式の説明をしましたが、全部知っている方は珍しいのではないでしょうか?
少なくとも私は調べてみていくつか知らない単語もあったので、勉強しつつ記事作成しました。
既に全部知ってた人には真新しい情報は少ないかもしれませんが、参考になった部分が少しでもあれば幸いです。
なお、参考にした総務省のテレワークセキュリティガイドラインはかなり役に立つので、見たことない方は是非、目を通してみてください。