特集 情シス事情を知る
Withコロナでの働き方を徹底検証
~テレワークの導入・運用見直し編~
2020年6月
新型コロナウイルスの感染拡大は短期間で終息しそうにない状況にあり、企業は当分の間は新型コロナウイルスと共存していかざるを得ない「Withコロナ」の世界で、新しい業務体制を確立する必要がある。そうした状況において有効なのがテレワークを基本とする働き方だ。現状のITインフラを利用しながら、いかにテレワーク環境を構築することができるかを考察する。
なし崩し的なテレワークへの移行は多大なリスクを発生させる
人材系シンクタンク大手のパーソル総合研究所は、新型コロナウイルスの感染拡大に伴い東京都ほか6府県に緊急事態宣言が発令された2020年4月7日以降のテレワークの実態について、全国2万5000人規模の調査を実施した。4月17日に発表されたその結果によると、正社員のテレワーク実施率は全国平均で27.9%だ。ちなみに3月半ばに行われた同調査の結果は13.2%で、この1カ月で2倍以上に急増したことになる。 一方、7都府県における正社員の出社率は4月10日時点で58.5%だ。政府が各企業に要請している「最低でも出社7割削減」にはまだほど遠い状況にはあるものの、急ピッチでテレワークの導入が進んでいることは見てとれる。
もっとも、すでにテレワークに移行した企業といえども、準備万端でそこに至ったわけではない。
近年の働き方改革への機運の高まりを受けて、自宅で育児や介護を担っている社員などを中心に、部分的にテレワークを許可する企業は増えつつあった。国から要請されていた「テレワーク・デイズ2020」に対応すべく準備を進めていた首都圏の企業も少なくない。
そんな企業にとっても、今回の新型コロナウイルスの感染拡大はあまりにも突然の出来事だった。全社員をテレワークに移行できるように準備が整っている企業は少ないだろう。
社員が会社で使っているPCをそのまま自宅に持ち帰るといった、なし崩しに近いテレワークが行われている場合、テレワークを想定した制度やインフラが整っておらず、そのPCを社員が自宅で使うことを認める資産管理や人事管理の制度も追い付いていないというのが実情だろう。
また、ここで特に気を付けなければならないのが、持ち帰ったPCのHDDやSSDの中にはさまざまな機密情報が保存されている場合、それが漏えいしないようにすることだ。そのPCをそのまま自宅に持ち帰り、何も対策をせずに使用してしまうと、情報漏えいなどの多大なリスクを発生させてしまいかねない。
短期間で導入できるテレワーク環境の3つのパターン
急を要する事態であっても、情報セキュリティ対策のほか、運用上のガバナンスや業務継続性は確保しなければならない。そんな観点から比較的短期間で導入することが可能なテレワーク環境を検討してみたい。
まずは「リモートデスクトップ方式」だ。会社から別途提供された端末、あるいは社員の個人所有端末から、オフィスの自席に設置されたPCにリモートアクセスし、デスクトップを閲覧して操作するのである。
オフィスにいるのとまったく同じアプリケーションや情報システムを利用できるため、テレワーク環境でも自然な形で業務を継続できるのがメリットだ。できればWindows 10に標準搭載されているリモートデスクトップ機能ではなく、情報セキュリティに配慮した専用のリモートデスクトップ製品を導入してほしい。社員が作業途中で閲覧・作成・編集したデータをオフィス側のPCにしか残さない運用が可能となるためだ。万が一、テレワーク側の端末が盗難にあった場合や、紛失してしまった場合でも情報漏えいのリスクは最小限に抑えることができる。
ただし、テレワーク側と端末とオフィス側のPCの間は、インターネット回線でデスクトップの画面情報をやりとりすることになる。多くの社員が一気にテレワークに移行した場合、契約している回線の帯域をオーバーし、レスポンスが低下することがある。また、ネットワーク機器の性能が低くてレスポンスが遅くなったり、VPNで接続している場合、同時接続数が足りずに社内システムにつながらなかったりする可能性もある。こういう事態を避けるために、事前に回線容量の追加やネットワークの整備など、様々な準備を行っておく必要があるだろう。
運用上のガバナンスを重視するなら「仮想デスクトップ方式」がおすすめだ。会社のサーバー上で運用するデスクトップ環境(VDI)、もしくはクラウドサーバー上で運用するデスクトップ環境(DaaS)に、テレワーク側の端末からリモートでログインして利用する方法である。リモートデスクトップ方式と同様にテレワーク側の端末には一切データが残らないため、情報漏えいのリスクを最小限に抑えることができる。加えて仮想デスクトップ方式の場合、各社員のデスクトップ環境をシステム管理者が一括して管理するとともに、OSのアップデートやアプリケーションのパッチ適用を実施し、均一かつ最新状態のユーザー環境を保つことが可能となる。
こちらもメリットばかりではなく、VDIの場合は、リモートデスクトップ方式よりコストがかさむ点を考慮しておきたい。すでにサーバー仮想化を導入している企業であれば比較的短期間で導入することができるが、VDIのホストとして利用する物理サーバーやストレージの導入にはそれなりの投資が必要となる。また、DaaSの場合は、ネットワークに対する負荷が高く、動作が遅くなる可能性がある。さらに、クラウド上のサーバーに不具合が発生した場合、接続する全クライアントに影響が出てしまう。
また、近年多くの企業で導入が増えているのが「クラウドアプリ利用方式」だ。Office 365やG Suite、Salesforceなど、クラウドからSaaS(Software as a Service)として提供されているアプリケーションを利用するものである。これならテレワーク側かオフィス側かといった場所の違いを問わず、インターネット接続環境さえあればどこからでもアプリケーションを利用することができる。
だが、端末にデータ保存ができる場合は、情報漏えい対策も重要。端末の紛失や盗難、外部デバイスの利用制限、悪意のあるソフトウェアへの感染対策など、企業内で使用する場合と同じセキュリティガイドラインなどをしっかり作っておくべきだろう。
※上の図版3点は、総務省『テレワークセキュリティガイドライン第4版』の情報を基に作成
上記のようなITソリューションを企業ごとの業務や条件にあわせて選択し、活用することで、オフィスにいるのと遜色のないテレワーク環境を導入することができる。
一方で、これらの技術だけでは会社の情報資産を守り切れないこともしっかり認識しておいてほしい。「ルール」「人」「技術」を三位一体としたバランスのとれた対策を実施することで、はじめてテレワークの情報セキュリティレベルを向上できる。
特にテレワークを行う場合、オフィスと異なる環境で仕事を行うことになるため、情報セキュリティ確保や超過勤務防止などのために新たなルールを定める必要がある。在宅ではどのように手順に則って、どんな点に留意しながら仕事をすべきか、新しい人事制度や勤怠管理を含めた明確なルールを定めておくことで安全にテレワークを進めることができる。
さらに、そのルールを徹底させるためには、社員に対する継続的な教育や啓蒙活動を通じてルールの趣旨や重要性を周知するとともに、ルールを遵守することが社員自身にとってもメリットになることを自覚させることが必要だ。
裏を返せば、どんなに厳格なルールを定めたとしても、実際にそれが守られないことにはまったく意味をなさない。特にテレワークに移行した社員は上長や同僚からも目の届きにくいところで作業をすることになるため、事あるたびにルールの遵守状況を部門内やチーム内でお互いに確認しあうといった努力が求められる。
そして、これらの「ルール」や「人」では対応しきれない部分を補完する要素として「技術」が生きてくるわけだ。先に紹介したテレワークの導入方法をベースに、「認証」「検知」「制御」「防御」をトータルにカバーする情報セキュリティ対策ソリューションを導入することで、テレワーク環境の多様性を考慮しつつ、悪質化・巧妙化の一途をたどる種々のサイバー攻撃から情報資産を守ることが可能となる。また、個々の社員の勤務実績をPCの操作ログに基づいて可視化するシステムもこれを機に導入しておきたい。
今回のコロナへの対応は一過性のものではなく年単位で長期化すると予想されており、企業は今後もテレワークを前提とした業務体制を整備していく必要がある。その意味では、ここまで紹介したポイントはあくまでも「最低限」として考慮すべきスタート地点だ。
情報システム部門としては、ネットワークインフラの再整備、クラウド移行が可能なアプリケーションの選定、チームワークを支えるコミュニケーション環境の導入、社員の役職や職種に最適な端末環境(大型ディスプレー、フルピッチのキーボードなど)の提供など、テレワークを行う社員がより快適に働ける環境づくりをリードしていく必要がある。
こうした継続的な改善への取り組みこそが、結果的にコロナ対策のみならず災害対策を含めた事業継続強化や、個々の社員の生産性向上につながっていくのである。