全3208文字
PR

 新型コロナウイルスの感染が拡大した2020年4月以降、NTTコミュニケーションズでは6000人の社員に契約社員や協力会社の従業員も含めた最大1万4000人が在宅勤務を継続している。それを支えているのが、VPN(仮想私設網)やVDI(仮想デスクトップ環境)への過度の依存を排したゼロトラスト型のテレワーク環境だ。

テレワークするNTTコミュニケーションズの従業員
テレワークするNTTコミュニケーションズの従業員
出所:NTTコミュニケーションズ
[画像のクリックで拡大表示]

 NTTコミュニケーションズが新しいテレワーク環境を構築したのは2018年のこと。それまでも同社はシンクライアント端末を使うテレワーク環境を従業員に提供していたが、使い勝手が悪いという大きな問題点を抱えていた。

 従来のテレワーク環境においては、従業員はオフィスの外で業務をする場合、必ずシンクライアント端末を使用し、VPN経由で社内にあるVDIにアクセスし、仮想デスクトップを使ってオフィスソフトウエアや社内の業務アプリケーションを使用していた。携帯電話やスマートフォンを使って業務する場合もVPN機能を搭載した「セキュアブラウザ」という仕組みを使わせ、必ずVPNを経由させていたほか、端末へのデータのダウンロードなども禁止していた。

 こうした仕組みの問題点は、使い勝手が悪かったことだ。例えば電子メールを確認する場合でも、シンクライアント端末では端末を起動してVPNに接続し、仮想デスクトップでメールソフトを立ち上げてメールを確認するまでに7~8分かかっていた。セキュアブラウザを使ってモバイル端末でメールを確認する場合も、VPN接続などを済ます必要があるため、端末上でメールを確認するまでに40秒を要していた。

シンクライアント端末からFAT端末へ以降

 使い勝手の悪いテレワーク環境は従業員の生産性を落とす――。そう考えて2018年に構築した新たなテレワーク環境では、従業員がオフィス外にノートパソコンやスマートフォンを持ち出して、端末にデータを保存し、端末上でアプリケーションを動かして業務ができるようにした。いわゆる「FAT端末」を社外でも利用できるようにしたのだ。

NTTコミュニケーションズにおけるテレワーク環境の変化
NTTコミュニケーションズにおけるテレワーク環境の変化
[画像のクリックで拡大表示]

 NTTコミュニケーションズは従業員がパソコンやスマホを社外に持ち出せるようにするために、デバイス保護やアプリケーション管理、ファイル暗号化などのツールを導入し、端末をサイバー攻撃から守る包括的な対策を施した。従来は境界型セキュリティーで守られた社内でなければFAT端末が利用できなかったのを、境界型ではないセキュリティー対策を導入することでどのようなネットワークにあってもFAT端末が利用できるという、ゼロトラスト型のやり方に切り替えたわけである。

 具体的には、まずデバイスの保護にエンドポイント・ディテクション&レスポンス(EDR)であるMicrosoft Defender Advanced Threat Protection(ATP)を採用した。国内外でセキュリティー事業を展開するグループ企業のNTTセキュリティと連携しながら、デバイスへの攻撃をいち早く検知し対策を講じる体制を整備した。また、Windowsパソコンに関してはTPMセキュリティーチップを使った暗号化機能であるBitLockerや、生体認証のWindows Helloも利用している。

 モバイルデバイス管理/モバイルアプリケーション管理(MDM/MAM)のIntuneによって、デバイスの利用をアプリケーション単位で細かく制御している。例えばスマホの利用はIntuneによって「会社領域」と「個人領域」に仮想的に分割。業務で利用するSaaSは会社領域でなければ利用できず、会社領域のアプリのデータを個人領域に持ち出せないようにしてある。このほか外部に機密ファイルが漏洩する事態を想定し、データを自動的に暗号化する「Azure RMS」も利用している。

暗号化などの対策が十分ならFAT端末が利用可能に

 NTTコミュニケーションズがテレワーク環境をシンクライアント端末からFAT端末に移行した背景には、2017年5月の個人情報保護法改正に伴う情報漏洩の扱いに関する国の方針の変更があった。新しい指針においては、高度な暗号化などの秘匿化が情報に対して施されている場合であれば、その情報を保存した端末を紛失したような場合であっても、情報そのものは外部に漏洩していないと見なされるようになった。セキュリティーを犠牲にしてシンクライアント端末を使う必要がなくなったため、使い勝手の良いFAT端末に切り替えたわけだ。