テレワークやサテライトオフィス、仮想デスクトップ(VDI)の導入など、ITの進化によって、自宅や外出先でも、オフィス同様に仕事ができる環境が整いつつあります。
こうした社外でのPC利用において、必ずネックになるのが「情報セキュリティ」です。社外でのPC利用には、大事なデータが流出しないよう、さまざまなルールや対策が設けられるのが一般的です。しかし、セキュリティ面を重視しすぎると、ユーザビリティ(利便性、自由度)が落ちてしまうという欠点があります。
いま現在も、社外で仕事をする際に「反応が遅い」「不便だ」と、不満を抱えながらPCを使っている人も多いかもしれません。この状態では、たとえ「働き方改革」の一環としてテレワークを始めたとしても、生産性が高まることはないでしょう。
社外であっても、社内と同じように従業員が使いやすく、かつセキュリティ面も担保されたPC環境というのは、実現不可能なのでしょうか? 今回は、その難題に取り組み、使いやすさとセキュリティを両立した「セキュアドPC」を開発・導入した、NTTコミュニケーションズ社(以下、NTT Com)の実例を紹介します。
NTT Comでは、2011年から従業員用のPC環境をシンクライアント化しました。ネットワーク経由で社内のサーバーに接続し、従業員が使用するPCには画面情報だけが転送されるため、テレワークが可能です。加えて、たとえ社外でPCを紛失したとしても、ユーザー側の端末には情報が保存されていないため、情報漏えいの恐れはありません。
しかし、このシンクライアントに対し、従業員側から使い勝手の面で不満の声が寄せられるようになりました。たとえば、ネットワーク環境がない場所では一切仕事ができない、またネットワークが接続されていても社内のサーバーを遠隔で操作するため、動作が“もっさり”するといったようなものでした。
特に、シンクライアントの起動の遅さ・動作の遅さに不満を抱える従業員は多く、社内での幹部プレゼンやミーティングの際、ノートPCをカバーを閉じてコンパクトに小脇に抱えてスマートに歩くのではなく、カバーを開いたままの状態で、両手で持ち歩く姿が多く見られました。なぜカバーを開けたままにするかというと、一度カバーを閉じてしまうと、シンクライアントに再度接続する必要があり、もう一度接続するために数分間かかってしまうためです。そのようにノートPCを持ち歩く様子を「NTT Comの社内にはキョンシー※が出没している」と揶揄する声もあったといいます。
※中国に伝わるゾンビのこと。両腕を前に出し、飛び跳ねて前進する。
従業員の中には、遅いシンクライアントのPCを嫌い、開発・検証用PCをビジネスに利用する「シャドーIT」も増えていたといいます。
こうした状況に、NTT Comのシステム部と情報セキュリティ部は、それぞれ「どうにかしなければいけない」と考えていました。
システム部では、ちょうど2018年に現行のシンクライアントがシステム更改のタイミングを迎えていたこともあり、「もっと従業員が使いやすく働きやすい、かつコスト効率の高いPC環境が作れないか」と検討を進めていました。情報セキュリティ部でも、「“アレはダメ、これはダメ”と規制をかけると、業務・システムの自由度は下がっていく」と、“セキュリティ原理主義”による従業員の生産性の低下を問題視していました。
そんな折、2017年に個人情報保護法が改正され、PCに情報が保存されていたとしても、技術要件を満たしていれば、たとえPCを紛失したとしても、「実質上、情報漏えいに当たらないと判断される場合」では、簡易な対応が可能という解釈がされるようになってきました。
これを機に、システム部と情報セキュリティ部が連携。セキュリティレベルが高く、働きやすい環境を実現する「セキュアドPC」の開発プロジェクトをスタートしました。
プロジェクトの進め方は、システム部と情報セキュリティ部が個人情報保護法の改正などに適合するための条件や、採用可能な新しい技術要件を出し合い、セキュアドPCの基本的なコンセプトを作りました。
そのコンセプトをもとに、システム部がセキュアドPCの実装の検討を行いました。そしてその実装で不足している要件や条件を情報セキュリティ部と共に確認しあうというものでした。
システム部と情報セキュリティ部で合意したコンセプトは、「使いやすさとセキュリティの両方を兼ね備えた環境をつくる」ということでした。
しかし、こうした環境の実現のためには、社内のセキュリティ規定で「原則社内情報は持ち出せない」というルールになっていた社内情報を「持ち出しOK」に変える必要がありました。このルール変更をするに当たり、情報セキュリティ部とシステム部が目標とした条件は3つあります。
1つが「従業員のマックを捨てさせること」。ここでいうマックとは、アップル社のノートPC「Mac Book」のこと。より具体的にいえば、先に挙げたような、シンクライアントの遅さに辟易した従業員がシャドーITとして使用していた開発・検証用のMac Bookのことを指します。つまり、シャドーITを利用するまでもない、便利なITを作ってほしい、というメッセージが込められています。
2つ目が、「セキュリティレベルは下げてはいけない」。利便性を高めながら、セキュリティレベルを維持することは、簡単なことではありません。メール添付による情報流出や、悪質サイトによるマルウェア感染、未知の攻撃への対策など、現状のセキュリティレベルは死守しなければならない、ということになります。
3つ目が、「突っ込まれないよう理論武装をしよう」です。たとえ監督省庁に新しいPCの安全性を問われたとしても、胸を張って「大丈夫」と答えられるようなものにしなければならない、という思いが込められています。
セキュアドPCのプロジェクトは2017年10月にスタートし、11月までには前述のようなコンセプトとプロトタイプを作成。以後、検証とプロトタイプの再作成を繰り返しました。
このプロトタイプの検証部分で、特に難しかったのが、PCが社外にあるときの「通信経路」です。
セキュアドPCの通信経路としては、選択肢が2つ考えられました。1つは、PCからダイレクトにインターネット通信を行うパターン、もう1つが、社内を経由してインターネット通信を行うパターンです。前者はスピードが早いものの、セキュリティを担保するのが難しくなります。一方で後者は、セキュリティを担保しやすいものの、スピードは遅くなり、従業員の不満につながる恐れがあります。
そこでセキュアドPCでは、社内のセキュリティレベルを社外でも担保できるよう、この両者の「良いとこ取り」をする仕組みとしました。
セキュアドPCの構成概要
まず、社外から社内のネットワークにアクセスする際には、データを暗号化して送受信する「SSL技術」を使用したVPN「SSL-VPN」を自動的につなぐ仕様としています。これにより社外から社内ネットワークを利用することが可能になります。
グループウェアにはクラウド型の「Office365」を使用。メールの脆弱性対策として、メールゲートウェイを独自に構築し、スパムやウィルスのチェックをしたうえで送受信しています。さらに、Office365のOneDriveを使い、PCのユーザー保存可能な領域のファイルを、クラウドと同期しています。これは、PCを紛失した時にどんなデータが保存されていたのかをチェックすることと、PCを交換した時に、ログオンすればデータが自動的に戻り、業務が継続できるようにする狙いがあります。
インターネットに接続する際には、クラウド上のプロキシを必ず通る設定になっています。このクラウドプロキシは、社内プロキシのポリシーと同期しており、危険なサイトにアクセスできない仕組みになっています。加えてクラウド上からは、PCの振る舞いを常に監視し、怪しげな挙動があった時にはすぐに検知できる「Windows Defender ATP」が、PCをマネジメントしています。
さらに、社内のログに加えて、クラウドプロキシと「Windows Defender ATP」のログ情報や通信内容を元に、不正アクセスなど怪しげな動作がないかどうかを常時チェックする「SIEM分析」も、グループ会社のNTTセキュリティの支援により実施しています。これによって、今までの社内における不正アクセスを検知する仕組みから、インターネット上のPCも含めて検知する仕組みになっており、社内・社外全体でセキュリティマネジメントができるようになっています。
これらの機能により構成されたセキュアドPCは、2018年4月に詳細仕様が確定。7月から導入が進み、現在は1万台を配布している途中といいます。
実際にセキュアドPCによって、利便性は高まったのでしょうか? システム部が従業員100名にアンケートを取ったところ、約9割が「効率的な業務が可能になった」「業務開始までの時間が短くなった」「隙間時間が有効に活用できた」「満足できるPC」と回答しています。
これに加えて、コストも抑えられました。セキュアドPC1万台分の導入コストは、シンクライアントPC1万台分の導入コストと比べ、約65%の削減となります。もちろんセキュアドPCはセキュリティ運用費用がかかりますが、シンクライアントはそれ以上に、サーバーの運用・保守コストがかかるため、大きなコストメリットがありました。
セキュアドPCによる業務効率化
社内利用者アンケート
開発に携わった、情報セキュリティ部のセキュリティ・エバンジェリストである小山覚氏は、システムの仕上がりについて「従来は、ユーザービリティを抑えて、その分セキュリティを高めていく考えであったが、それはもはや通用しない。生産性向上や従業員のチャレンジを支えるセキュリティが求められており、セキュアドPCはそれに応えられるものである」と、自信を見せています。
ここまで紹介してきたセキュアドPCですが、NTT Comではこの取り組みで得た知見をもとにお客さま企業に展開する体制も整えているといいます。
セキュアドPCは社内を良くしようとして始めたプロジェクトでしたが、働き方改革を進めている企業や、シンクライアントを導入している企業、Windows10化を検討している企業から「非常に良いソリューション」という声がありました。そのためこの9月からは、企業それぞれの環境に合わせて、セキュアドPCのノウハウを展開するソリューション「モバイルワークスペースソリューション」をスタートしています。
これまでは働き方改革を実現するために、セキュリティレベルを高め、利便性や自由度を抑えるという、従業員に不便を強いる仕組みになっていました。しかし、セキュアドPCによって、セキュリティレベルを維持しながらも、社外でも社内にいる時と同じように仕事ができる環境が整えられます。
さらに、今回取り上げたセキュアドPCをさらに進化することで、働き方改革をもう一歩進めた“真の働き方改革”も可能になります。
使いやすさの面でいえば、インターネットゲートウェイの負荷を減らすために通信をローカルブレークアウト(※)したり、複数のクラウドサービスへの「シングルサインオン」の導入が挙げられます。セキュリティ面でいえば、モバイルネットワーク時でもインターネットアクセスのセキュリティレベルを担保するために、クラウド型のセキュリティサービスを採用する、といったことも可能です。
※ 特定クラウドサービスへの通信に限って、直接のインターネットアクセスを許可すること
構成イメージ
テレワークを始めたものの従業員から不満の声があがっている企業や、そもそもセキュリティ面や利便性の面から自宅・外出先のPC利用を許可していない企業は、セキュアドPCという新たな選択肢を用いることで、一般的な働き方改革よりも、さらに効果的な働き方改革を目指してみてはいかがでしょうか。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
