PR

 多くの社員が出勤できなくなるパンデミック時には「遠隔勤務」の仕組みが欠かせない。遠隔勤務を支える技術で最も重要なのが、公衆回線を専用回線であるかのように利用できるようにするVPN(Virtual Private Network)だ。4日連続シリーズの第3回は、社員がVPN経由でアプリケーションやデータにアクセスし、重要な業務を遂行できるようにするために検討しておくべきことや、想定外の事態に対処するためのバックアップ手段などについて、「10日間で完成 パンデミック対策実践マニュアル」の著者である佐柳氏に解説してもらう。(聞き手は吉田 琢也=ITpro)



企業がパンデミック対策として遠隔勤務の仕組みを作る際に、最も重要なことは何か。

スタンダード&プアーズ Vice President 佐柳恭威 氏
スタンダード&プアーズ Vice President
佐柳恭威 氏

 パンデミック時には社員が自宅に分散して仕事をすることになる。ところが多くの日本企業では、社員がオフィスに集まって仕事をすることが大前提になっており、作業ファイルが1カ所にしかなかったり、紙の書類に書き込まなければならなかったり、ということが日常業務の随所にある。

 遠隔勤務を実現するには、こうした業務のあり方を見直し、社員がバラバラに分散した状態で、どうやってファイルにアクセスして更新したらよいのか、どのように帳簿に書き込みをしたらよいのか、といった問題を解決しなければならない。

 技術的にはリモートアクセスの手段として、特にVPN(Virtual Private Network)が重要な役割を果たす。VPNは、情報セキュリティとリモートアクセスの利便性という両面のバランスが取れており、遠隔勤務に使える通信技術として、現在最も現実的なソリューションだ。

 今でもインターネットを介して仕事をすることに不安を感じる人がいるが、何が危険な要素なのか、どうコントロールすればよいのかをしっかり検討したうえでVPNを導入すれば、オフィスで仕事をするのと遜色ないレベルの情報セキュリティを実現できる。

 私自身も日常的にVPNを活用し、オフィス以外の場所で重要な意思決定を行ったり、機密性の高い経営情報をメールでやり取りしたりしている。正しいリスク認識に基づいて運用すれば、VPNは極めて強力なツールである。

VPNの導入に当たって、具体的にどんなことを検討する必要があるか。

 VPNの導入には二つのアプローチがある。

 一つは、自前でサーバーや通信機器を導入したり、セキュリティ設計を行ったりして、リモートアクセスの仕組みを作り込む方法だ。ファイアウォールを構築し、社外から接続するエリアを決定し、VPN専用のルーターを設置するという具合に、社内で使うシステムと、VPN経由で社外からアクセスするシステムをきっちり切り分けて設計する。ただし、このアプローチが取れるのは、社内にシステム部門を持ち、一定レベルの技術力を持つ企業に限られるだろう。

 そのような技術力がない企業は、ASP(Application Service Providor)サービスとして提供されているVPNソリューションを導入すればいい。これがもう一つのアプローチだ。

 ASP方式のVPNであれば、自社でサーバーやルーターを保有したりセキュリティを設計したりする手間がかからず、初期投資を低く抑えられる、というメリットがある。どんな業務に使えるのか、どの程度のパフォーマンスが出るのか、といったことを調べるために、テスト的に導入するのにも向いている。

 試行の結果、不向きだと思えば、利用を中止すればよい。これがASPサービスならではの手軽さだ。大企業でも現在VPNを使っておらず、試行的に導入したいのであれば、ASPから入るのがいいだろう。

 ただし、ASPは初期投資を抑えられるものの、ランニングコストに注意する必要がある。ユーザーの人数が多い場合、特に数百人を超える場合は、自前方式のほうがトータルコストが低くなる。

VPNを使った遠隔勤務では、アクセス・コントロールが重要になる。

 アクセス・コントロールの方法は、大きく分けて二つある。

 一つは、アプリケーションごとにアクセス権限のレベルを設定する方法だ。例えば「社内ではアクセスできるが、社外からはアクセスできない」「社内からも社外からもアクセスできる」といったレベルをいくつか定義しておき、個々のアプリケーションにどのレベルのアクセスを許すかを設定しておく。

 この方法は、全社のセキュリティポリシーに沿った運用がしやすく、セキュリティの制御が強固になるというメリットがある。ただし、新しいアプリケーションを開発するたびにアクセス権限を設定しなければならないので、管理は面倒だ。なお、アプリケーションではなくデータに対してアクセス可能なレベルを設定する方法もあるが、ユーザーにとって分かりにくいので、私はお勧めしない。

 もう一つは、社内で日ごろ使っている自席のPCを「リモート・クライアント」として使う方法だ。遠隔地のPCから自席のPCを操作して社内のアプリケーションやデータにアクセスし、モニターには自席のPCの画面をそのまま表示する。

 この方法は、自席のPCに設定されたアクセス権限がそのまま踏襲されるので、ユーザーにとって非常に分かりやすい。また、遠隔地のPCをシンクライアントにしたり、固有の識別番号やMACアドレスを指定してアクセスに制限をかけたりすることで、セキュリティを強化することも容易だ。

 この方法では、社内でアクセスできるものと、社外からアクセスできるものが、全く同じになる、ということに注意したい。パンデミック時に社外からアクセスさせたくないものがある場合は、個別に制限をかける必要がある。具体的には、パンデミックが発生して遠隔勤務に移行する前に、ユーザーごとのアクセス権限を変更して、遠隔地から利用させたくないアプリケーションをアクセス禁止(休止状態)に設定すればよい。