IT・システム全般

テレワーク・リモートワーク時代のネットワーク・セキュリティ

テレワーク・リモートワーク(在宅勤務)が進んでいますが、慌てて対応しただけという企業も多いです。この記事では、テレワークのステージと、テレワーク1.0以降に必要となるネットワーク・セキュリティの考え方についてお伝えします。

<スポンサードリンク>



テレワーク・リモートワークのステージ

『職場の問題地図』などの著書があり、ワークスタイル&組織活性化支援をされている沢渡 あまねさんによると、テレワーク・リモートワークには下図のようなステップがあります。

沢渡 あまねさんのTwitterより)

  1. すべての業務をオフィスで行う(テレワーク0.0)
  2. オフィスの業務を自宅から行う(テレワーク0.5)
  3. オフィスに依存せず業務を行う(テレワーク1.0)
  4. デジタルで新たなつながりを産む(テレワーク2.0)

このような図があると、各企業が現在の位置づけを把握して、目指す姿を設定しやすくて良いですね。

私が見ている限りですと、「テレワーク0.5」の企業が多いように感じています。
オフィスを中心に業務を行っていたものの、コロナ禍によって急いで自宅からでも仕事できるように、何とか立てつけた、という状態です。

しかし、このままではハンコをつくため、FAXを送受信するためなど、オフィスに行かざるを得ない状況も発生しがちです。
よりスタッフが働きやすく、生産性を高めやすくするためには、オフィスに依存しない「テレワーク1.0」を目指したいものです。

巷ではデジタル・トランスフォーメーション(DX)という言葉が流行っていますが、働き方の側面から見ると「テレワーク2.0」を指していると考えることも出来ます。ビジネスのデジタル化に対応するためにも、まずは「テレワーク1.0」を実現しておきたいものです。

オフィスと外で、システム環境を区別しない

オフィスに依存しない「テレワーク1.0」を目指すには、組織文化を変えるなど、トップの意思決定・旗振りが重要です。

クラウド・ファースト

その一方で、システム的にも大きく考え方を変える必要が出てきます。業務で利用するシステム(ITツール)が、物理的にオフィスにあると、「テレワーク0.5」で止まってしまうからです。

まずはシステムをクラウド化することが大前提になります。

中小企業が選ぶべきITツールは、まずクラウド中小企業におけるITツールの選択肢は、クラウド一択です。自社で購入・運用するオンプレミスには、ほぼデメリットしかありません。この記事では価格の差や得られるものの本質的な違いをご紹介しつつ、クラウドだけで得られるメリットについても解説しました。ITツールを選ぶ方、中小企業経営者は要確認です。...

システムやデータはインターネットの向こう側(クラウド)に置いておく
パソコンやスマホから、そのクラウドに接続するだけ、という思想です。

ネットワークの考え方

その際、「オフィスのネットワークは安全、インターネットは危険」という従来からの考え方を捨てなければなりません。
結論から言えば、どちらも危険なのです。

ネットワークの境界でセキュリティを守る昔からの方法は、既に破綻しています
仮にオフィスをガチガチに守ったところで、守るべきデータはクラウドにあります。

それにネットワーク境界でセキュリティを固めても、内部犯行や操作ミスは防げません。
多くのデータ漏洩事故が既に証明しています。

オフィスであろうとも、外出先や自宅であろうとも、リスクはインターネット同様に高い。
その前提でシステム設計を行うのが良いでしょう。

すなわち、VPN(Virtual Private Network)は使いません。
VPN はリスクの高いインターネットから、安全な社内へ接続するための手段です。
社内ネットワークが安全であることが前提で使われる技術なんです。
上述の通り、その神話は既に崩れています。

「テレワーク0.5」では、VPN(リモート接続)が良く利用されています。
しかし「急激なアクセスにより、VPN装置やネットワーク帯域が耐えられなくなった」と多くのシステム担当者が嘆いています。
働き方だけでなく、システム面でも限界を迎えているのが実情です。

「テレワーク1.0」を目指すシステムのあり方

「テレワーク0.5」から、「テレワーク1.0」を目指すためには、以下のようなステップでシステムを変更していくと良いでしょう。

  1. VPNを使って外出先・自宅から社内ネットワークに接続する(現状:テレワーク0.5)
  2. システム(ITツール)をクラウド化する
    (それによって、オフィスからでも外出先・自宅からでも業務を行えるようになる)
  3. クラウド化する際、ID管理を徹底する
    (1つのIDを複数人で使用するのは、利用規約に反することも多いです)

ネットワーク境界でセキュリティを守る方法が破綻したことは、ご紹介しました。
では何でセキュリティを守るのか?答えは ID です

ID(=各スタッフ)ごとに、適切な権限を付与します。
例えば、以下のようなイメージです。

  • 販売システムには、営業部だけアクセスできる
  • 会計システムには、経理部だけ利用できる
  • 各システムから出力されるレポートは、経営者は見ることができる
  • クラウドストレージの個人領域は自分しかアクセスできない

このように権限管理を行った上で、各クラウドシステム上では、誰が?いつ?何をしたのか?という記録を取ります。(多くのクラウドツールは記録を取っています)
有事の際には、この記録を遡ることにより、原因を分析します。

また Microsoft 365 や G Suite は、契約ライセンスによりますが、振る舞い検知を行うことも可能です。データをまとめてダウンロードするなど、日頃と異なる動きをしている人を発見し、管理者へ通知を行います。

このような仕組みがあることをスタッフへ通知することで、気を引き締める効果があります。仮に悪意を持ってしまったとしても、それを仕組みで防ぐことが、システムには求められているのです。

このような高度なセキュリティ環境を構築する上で、土台となるのが ID 管理(と端末管理)です。まずはシステムをクラウド化し、VPNを利用せずとも業務がまわるようにしましょう

まとめ
  • オフィスに依存しない「テレワーク1.0」を、まずは目指す
  • そのためにはシステムのクラウド化は必須
  • 社内ネットワークとインターネットを区別しない



【編集後記】
5月はバイクを中心にトレーニング。初めて1,000km以上、乗りました。
6月はスイムやランともバランスを取りながら、さらにカラダ(と精神)を充実させていきます。


メルマガ『経営は100種競技!』を毎日配信しています。
マーケティングやITを身につけたい。
ビジネスを楽しみたい。
変化・成長したいというビジネスパーソンにお読みいただいています。

渋屋 隆一
プロフィール
マーケティングとIT、そしてデータを使った「売れ続ける仕組みづくり」「業務改善」が得意。コンサルティングや研修・セミナーで中小企業の経営支援をしています。元IT企業でエンジニア→マーケティング。中小企業診断士。
\ Follow me /