Special
» 2019年05月29日 10時00分 公開

意識しなくてもセキュリティが守られている:ユーザーの声に応える 「さりげない」テレワークを実現する3つの現実的な選択肢

さまざまなツールやサービスが登場し、以前よりずっと身近な存在になった「テレワーク」。だが過去を振り返ってみると、セキュリティを万全にするために煩雑な運用にしてしまい、使われずに終わったプロジェクトもある。その失敗を繰り返さないための新たな選択肢があるという。

[PR/@IT]
PR

 会社の自分の机だけでなく、自宅や移動中など場所を問わずに必要な資料データやシステムにアクセスし、オフィスにいるときと同じように業務ができる環境を実現する「テレワーク」は、働き方改革の流れの中でさらに注目を集めている。

 ただ振り返ってみると、言葉は違うもののこうした取り組みは過去何度かあった。うまくいった企業もあるが、環境や制度、従業員の理解などの面で受け入れられずに満足のゆく結果を残せぬまま頓挫してしまったプロジェクトもある。最近のテレワークブームにも同じ傾向が見られる。セキュリティを過剰に意識し、従来とあまりにも異なる操作や仕組みを利用者に押し付けた結果、投資しても使われないテレワークが出来上がる、ということもあるようだ。

 日々の働き方の礎となるテレワークにおいて、理想を語る派手なキャッチフレーズは不要だ。オフィスで使っているのと同じ操作感で日常業務を進められ、それと意識しなくてもセキュリティが守られている環境を実現する――そんな「地味」なテレワークこそが必要とされているのではないだろうか。

テレワークに欠かせない「セキュリティ」、でもやり過ぎると……

 2019年3月にソリトンシステムズがマクロミルに委託して実施した調査によると、テレワークに取り組み始めている、あるいは検討している企業は回答者の7割近くに上った。背景には従業員の士気を高めたり、柔軟な働き方を通じて優秀な人材を確保したりとさまざまな理由があるが、やはり大きな理由は「生産性の向上」だ。

 一方、実現を阻む要因は何かをテレワーク未着手の企業に尋ねたところ、「必要性を感じない」「経営者の理解がない」といった理由が並び、続いて「推進のための時間や人材が確保できない」という回答が浮上した。IT部門の人材不足はあらゆる企業に共通する課題だが、既にテレワークに全社的に取り組んでいる企業が約4割に上る。「実施に踏み切れない企業の中には、もっと楽にテレワークを実現できる手法があるのに気付いていないケースがあるのではないか」と、ソリトンシステムズの宮﨑洋二氏(ITセキュリティ事業部プロダクト部)は指摘する。

 この調査からは、テレワーク導入が失敗する理由も見えた。

 担当者がテレワークに求める要素には、利便性をはじめ、コストや導入、運用の容易さなどいろいろな条件があるが、やはり気になるのはセキュリティだ。導入や運用が煩雑でも、いざとなればIT担当者の頑張りで何とかなる。だが「個人情報などの機密情報が簡単に持ち出せる状態で、いつ情報漏えいが起きてもおかしくない」といった事態だけは何としても避けたい、そう考える企業が大半だろう。

画像 テレワークに求められる要素

 だからといって、過保護なまでのセキュリティ対策を講じると別の問題が生じる。「暗号化だ」「端末ログも収集しないと」「いやワンタイムパスワードによる認証の強化が先だ」……と幾重にも対策を施し、利用者をがんじがらめにしてしまうと、いざ利用するときになって利用者に大きな負担をかけてしまう。「オフィスにいるときと同じような操作」という理想から遠くなる。ユーザーから敬遠されてしまっては、誰のためのテレワーク導入か分からないといった事態になり得る。

 宮﨑氏も「『セキュリティが大切だ』と意気込んで仕組みを導入したものの、利用者に歓迎されず、誰も使わないテレワーク環境ができてしまった企業の失敗例もある」と振り返る。

 利用者は、日々の業務の延長で普通にファイルを開いたり、業務アプリケーションを使ったりしたいだけだ。それなのに、セキュリティツールからあれこれ注意を受け、時にはやりたいことを邪魔され、気持ち良く仕事ができない。その上、もし端末の紛失や盗難、マルウェア感染といった問題が発生すれば「機密情報の漏えい」に対しての全ての責任を押し付けられてしまう。これでは、利用者が得られるメリットに対してあまりに大き過ぎる責任を負うことになり、「理不尽だ」「テレワーク制度を利用しないでおこう」と考えても無理はない。

テレワークの選択肢は「安価だが不安」「万全だが高価」の2択だけなのか?

 テレワーク市場は製品やサービスが大きく2択になってしまっている背景がある。現在市場で広く認知されているテレワークは、「導入しやすいがセキュリティ面では不安が残る基本的な方法」か「セキュリティ的には万全だが高価で多くの企業にとっては手が出せない方法」かである。

 総務省は2018年4月に「テレワークセキュリティガイドライン 第4版」を公表しているが、その中でテレワーク方式を大きく6種類に分けている。このうち「会社PCの持ち帰り方式」「クラウド型アプリ方式」「仮想デスクトップ方式」の認知度が高い。

画像 6種類のテレワーク方式(出典:総務省「テレワークセキュリティガイドライン 第4版」)

 「会社PCの持ち帰り方式」は、普段使っているPCを持ち帰り、インターネットを経由してVPNで接続するやり方だ。その手軽さから長年にわたって使われており、多くの実績がある。だが、この方法ではユーザーが意識していなくても端末内に情報が保存される可能性があり、外出先での紛失から情報漏えいにつながる恐れがある。「クラウド型アプリ方式」を利用しても、この問題は共通だ。かといって、あれこれ対策を追加してがんじがらめにすると、束縛が増えてユーザーに敬遠される恐れがあることは前述の通りだ。

 「仮想デスクトップ方式」は、そもそも端末側には一切データが保存されない。仮に端末を紛失しても情報漏えいは起こらず、安全を確保できる。しかし、導入するためには大規模なシステムが必要になり、他の方法と比べるとコストがかかる。想定を大幅に上回る見積もりを提示され、採用を見送った経験のあるIT担当者も少なくないはずだ。

複数の方式を活用して「暑苦しくない」「さりげない」テレワークを実現

 「導入は容易だがセキュリティに不安が残る」か「セキュリティは万全だがあまりに高価」――そんな極端な2つの選択肢だけでなく、残る3つの方式にこそ「現実解」があるのではないか。ソリトンシステムズはそう考え「リモートデスクトップ方式」「セキュアブラウザ方式」「アプリケーションラッピング方式」という3つのテレワーク方式に準じた製品ラインアップ「Soliton SecureAccess」(以下、SecureAccess)を開発、提供している。

画像 テレワークの現実解は「リモートデスクトップ方式」「セキュアブラウザ方式」「アプリケーションラッピング方式」の組み合わせ

 環境や予算に応じて柔軟に組み合わせられるため、自社に合った現実的な導入方法を検討できる。いずれの製品も、専用のゲートウェイ「SecureGateway」を活用して「漏えいして困るようなデータは端末側に置かない」というセキュリティの原則を守りつつ、必要十分な形でテレワークを実現する仕組みだ。

 「暑苦しくもなく、派手でもない、ごく普通のさりげないテレワーク」。それがソリトンシステムズの目指す新しいテレワークの選択肢だ。

画像 3つのテレワーク方式を組み合わせられる

 例えば従業員は、打ち合わせの前に、端末内に情報を残さない専用ブラウザ「SecureBrowser」を用いて、社内イントラネットで運用されているWebベースのスケジューラーを確認する。汎用(はんよう)ブラウザと同じ使い勝手を実現しているので特別な操作は必要ない。

 打ち合わせが始まったら、オフィスに置かれた自分のPCを遠隔操作する「SecureDesktop」を用いて、手元の端末内にデータを保存することなく、重要なファイルを開いてプレゼンテーションなどを実施する。

 顧客先への訪問が終わり、日報作成業務をする際も会社に戻る必要はない。Microsoftと共同で開発した特許技術を実装した「WrappingBox」ならば、Microsoft WordやMicrosoft Excelといった普段使い慣れたアプリケーションを、ラッピングした形で利用できる。

 「IT担当者は、アプリケーションをWindowsの操作感に寄せた作りに改修し、従来と同じように利用させることができる。その上でローカル端末への保存や印刷といった操作は制限し、操作終了後は保護領域内のファイルを削除する。端末にデータは残らないため、外部への流出を防止できる」(ソリトンシステムズ ITセキュリティ事業部プロダクト部 長束育江氏)

画像 従来と同じようにアプリケーションを利用できるWrapping Box

 こうして仕事をテキパキと終わらせた後は、端末を持ったまま飲み会に行ってもいいし、家に帰って自分の時間を過ごしてもいい。もし飲み過ぎて端末をどこかに置き忘れたとしても、SecureAccessで取り扱ったデータは一切保存されていないため、問題になるのはハードウェア自体の価値のみ。IT担当者は「過度な責任を負わされることなく、安心して仕事ができる」環境を従業員に提供できる。

ユーザーの使い勝手にこだわる

 SecureBrowserにしてもSecureDesktopにしても「ユーザーの使い勝手」に注目していることが特長だ。サンドボックス上でのアプリケーション実行や証明書による認証といったセキュリティ対策を講じているが、それらはユーザーに見えない部分で実施する。

 「ユーザーにはこれまでと同じ見え方、同じ操作感を再現し、ストレスなく使えるようにしている」(ソリトンシステムズ ITセキュリティ事業部プロダクト部 プロダクトマネージャ 新井ひとみ氏)

 SecureDesktopはRDP(リモートデスクトッププロトコル)ではなく、高速に通信できる独自プロトコルを用いる。この独自プロトコルによってユーザーが違和感なく使える「滑らかな操作感」を実現しているという。

 ポイントは、これら3つの製品が個別に動作するのではなく連携して動くことだ。「社外からはWebアプリケーションさえ使えればいい」という人にはSecureBrowserが適しているし、もっとさまざまなアプリケーションを使いたい場合にはSecureDesktopやWrappingBoxを組み合わせればいい。

 「総務省が示す6つのパターンのうち両極端な方法だけでなく、この3つを知っておくと適切な選択ができるし、カバー範囲が広がる。無理に1つを選ぶ必要はなく、組み合わせればいい」(宮﨑氏)

 多様な働き方を支えるテレワークは、企業の力を伸ばすためにぜひ取り入れたい仕組みだ。セキュリティが不安だからと何もしないままでは、大きな機会を失うことにつながる。だからといってテレワーク導入と同時にセキュリティ対策をやり過ぎると、誰も使わないまま終わることになり、これまた大失敗となる。

 こうした状況を回避するには、違和感なく利用でき、ユーザーに負担を押し付けることなく安心して使える「さりげない」方法にも目を向けたい。派手さはないかもしれないが、今会社でやっている作業を変えることなく、必要十分なテレワーク環境が実現できるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年6月28日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。