プロジェクトの進め方は、システム部と情報セキュリティ部が個人情報保護法の改正などに適合するための条件や、採用可能な新しい技術要件を出し合い、セキュアドPCの基本的なコンセプトを作りました。

　そのコンセプトをもとに、システム部がセキュアドPCの実装の検討を行いました。そしてその実装で不足している要件や条件を情報セキュリティ部と共に確認しあうというものでした。

　システム部と情報セキュリティ部で合意したコンセプトは、「使いやすさとセキュリティの両方を兼ね備えた環境をつくる」ということでした。

　しかし、こうした環境の実現のためには、社内のセキュリティ規定で「原則社内情報は持ち出せない」というルールになっていた社内情報を「持ち出しOK」に変える必要がありました。このルール変更をするに当たり、情報セキュリティ部とシステム部が目標とした条件は3つあります。

　1つが「従業員のマックを捨てさせること」。ここでいうマックとは、アップル社のノートPC「Mac Book」のこと。より具体的にいえば、先に挙げたような、シンクライアントの遅さに辟易した従業員がシャドーITとして使用していた開発・検証用のMac Bookのことを指します。つまり、シャドーITを利用するまでもない、便利なITを作ってほしい、というメッセージが込められています。

　2つ目が、「セキュリティレベルは下げてはいけない」。利便性を高めながら、セキュリティレベルを維持することは、簡単なことではありません。メール添付による情報流出や、悪質サイトによるマルウェア感染、未知の攻撃への対策など、現状のセキュリティレベルは死守しなければならない、ということになります。

　3つ目が、「突っ込まれないよう理論武装をしよう」です。たとえ監督省庁に新しいPCの安全性を問われたとしても、胸を張って「大丈夫」と答えられるようなものにしなければならない、という思いが込められています。

　セキュアドPCのプロジェクトは2017年10月にスタートし、11月までには前述のようなコンセプトとプロトタイプを作成。以後、検証とプロトタイプの再作成を繰り返しました。

　このプロトタイプの検証部分で、特に難しかったのが、PCが社外にあるときの「通信経路」です。

　セキュアドPCの通信経路としては、選択肢が2つ考えられました。1つは、PCからダイレクトにインターネット通信を行うパターン、もう1つが、社内を経由してインターネット通信を行うパターンです。前者はスピードが早いものの、セキュリティを担保するのが難しくなります。一方で後者は、セキュリティを担保しやすいものの、スピードは遅くなり、従業員の不満につながる恐れがあります。

　そこでセキュアドPCでは、社内のセキュリティレベルを社外でも担保できるよう、この両者の「良いとこ取り」をする仕組みとしました。

セキュアドPCの構成概要

　まず、社外から社内のネットワークにアクセスする際には、データを暗号化して送受信する「SSL技術」を使用したVPN「SSL-VPN」を自動的につなぐ仕様としています。これにより社外から社内ネットワークを利用することが可能になります。

　グループウェアにはクラウド型の「Office365」を使用。メールの脆弱性対策として、メールゲートウェイを独自に構築し、スパムやウィルスのチェックをしたうえで送受信しています。さらに、Office365のOneDriveを使い、PCのユーザー保存可能な領域のファイルを、クラウドと同期しています。これは、PCを紛失した時にどんなデータが保存されていたのかをチェックすることと、PCを交換した時に、ログオンすればデータが自動的に戻り、業務が継続できるようにする狙いがあります。

　インターネットに接続する際には、クラウド上のプロキシを必ず通る設定になっています。このクラウドプロキシは、社内プロキシのポリシーと同期しており、危険なサイトにアクセスできない仕組みになっています。加えてクラウド上からは、PCの振る舞いを常に監視し、怪しげな挙動があった時にはすぐに検知できる「Windows Defender ATP」が、PCをマネジメントしています。

　さらに、社内のログに加えて、クラウドプロキシと「Windows Defender ATP」のログ情報や通信内容を元に、不正アクセスなど怪しげな動作がないかどうかを常時チェックする「SIEM分析」も、グループ会社のNTTセキュリティの支援により実施しています。これによって、今までの社内における不正アクセスを検知する仕組みから、インターネット上のPCも含めて検知する仕組みになっており、社内・社外全体でセキュリティマネジメントができるようになっています。

　これらの機能により構成されたセキュアドPCは、2018年4月に詳細仕様が確定。7月から導入が進み、現在は1万台を配布している途中といいます。

　実際にセキュアドPCによって、利便性は高まったのでしょうか？ システム部が従業員100名にアンケートを取ったところ、約9割が「効率的な業務が可能になった」「業務開始までの時間が短くなった」「隙間時間が有効に活用できた」「満足できるPC」と回答しています。

　これに加えて、コストも抑えられました。セキュアドPC1万台分の導入コストは、シンクライアントPC1万台分の導入コストと比べ、約65%の削減となります。もちろんセキュアドPCはセキュリティ運用費用がかかりますが、シンクライアントはそれ以上に、サーバーの運用・保守コストがかかるため、大きなコストメリットがありました。

セキュアドPCによる業務効率化

社内利用者アンケート

　開発に携わった、情報セキュリティ部のセキュリティ・エバンジェリストである小山覚氏は、システムの仕上がりについて「従来は、ユーザービリティを抑えて、その分セキュリティを高めていく考えであったが、それはもはや通用しない。生産性向上や従業員のチャレンジを支えるセキュリティが求められており、セキュアドPCはそれに応えられるものである」と、自信を見せています。

　ここまで紹介してきたセキュアドPCですが、NTT Comではこの取り組みで得た知見をもとにお客さま企業に展開する体制も整えているといいます。

　セキュアドPCは社内を良くしようとして始めたプロジェクトでしたが、働き方改革を進めている企業や、シンクライアントを導入している企業、Windows10化を検討している企業から「非常に良いソリューション」という声がありました。そのためこの9月からは、企業それぞれの環境に合わせて、セキュアドPCのノウハウを展開するソリューション「モバイルワークスペースソリューション」をスタートしています。

　これまでは働き方改革を実現するために、セキュリティレベルを高め、利便性や自由度を抑えるという、従業員に不便を強いる仕組みになっていました。しかし、セキュアドPCによって、セキュリティレベルを維持しながらも、社外でも社内にいる時と同じように仕事ができる環境が整えられます。

　さらに、今回取り上げたセキュアドPCをさらに進化することで、働き方改革をもう一歩進めた“真の働き方改革”も可能になります。

　使いやすさの面でいえば、インターネットゲートウェイの負荷を減らすために通信をローカルブレークアウト（※）したり、複数のクラウドサービスへの「シングルサインオン」の導入が挙げられます。セキュリティ面でいえば、モバイルネットワーク時でもインターネットアクセスのセキュリティレベルを担保するために、クラウド型のセキュリティサービスを採用する、といったことも可能です。

※ 特定クラウドサービスへの通信に限って、直接のインターネットアクセスを許可すること

構成イメージ

　テレワークを始めたものの従業員から不満の声があがっている企業や、そもそもセキュリティ面や利便性の面から自宅・外出先のPC利用を許可していない企業は、セキュアドPCという新たな選択肢を用いることで、一般的な働き方改革よりも、さらに効果的な働き方改革を目指してみてはいかがでしょうか。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。