中小企業テレワークの“現実解” ガイドライン準拠でコストをかけずに実現する方法：手間をかけずに安全に始めるには

テレワーク実施には複数の方式が考えられる。だが、コストや手間などを考慮すると中小企業が選択できる施策は限られる。テレワーク実施のセキュリティガイドラインに準拠しながら、低コストで効率良く運用できる方法を探る。

[PR／ITmedia]

PR

主要なテレワーク方式はコストなどのハードルが高い

　テレワークにおいてセキュリティ対策が重要であることは言うまでもない。コロナ禍をきっかけにテレワークの導入を急いだ結果、セキュリティ対策が甘い企業のテレワーク環境が攻撃者に狙われる問題が生まれた。テレワーク環境はオフィスにおけるセキュリティ対策とは異なる対策が必要とされることから、新たなIT投資も視野に入れなければならない。手間も予算もかけられない中小企業にとって、テレワーク環境の整備はハードルが高い問題だ。

　コストをかけずにセキュアなテレワークを実現するための現実解を探る中でヒントとなるのが、総務省が2021年5月に公開した「テレワークセキュリティガイドライン （第5版）」だ。同ガイドラインはテレワークで検討すべきポイントを基本から解説するとともに、さまざまなテレワーク方式のメリット／デメリットも評価している。企業ごとの事情にマッチしたテレワーク方式を選定する際に参考となる資料だ。

7つのテレワーク方式（出典：総務省「テレワークセキュリティガイドライン（第5版）」）

　テレワークセキュリティガイドラインで取り上げられている7つの方式の中で、中小企業にとって導入しやすいのが「スタンドアロン方式」だ。同ガイドラインの定義に沿えば、スタンドアロンといってもネットワークを一切遮断するのではなく、オフィス内のネットワークに接続しない環境として位置付けられている。

　テレワークの主要な方式としてよく挙がるのは、オフィスにVPNで接続する「VPN方式」や、リモートデスクトップによって社内のPCに接続する「リモートデスクトップ方式」、仮想デスクトップ（VDI）を利用する「VDI方式」だ。

　しかし、これらはいずれもネットワーク環境の整備やリモートデスクトップ用中継サーバ、VDI向けの環境整備などのシステム構築が必要となり、コストがかかる点がネックとなる。

　これらの方式は導入する機器の性能やキャパシティーの影響を大きく受ける。性能不足によって処理が遅くなってしまうと業務に支障が出ることもある。さらに、常時ネットワークに接続して業務を進めることが前提となるため、個々の従業員のネットワーク環境に大きく影響される。

導入のハードルが低い「スタンドアロン方式」

　前述のスタンドアロン方式は大きなシステム投資が難しい中小企業がテレワークを進める際に有効だ。

　通常「スタンドアロン」は一切ネットワークに接続しないPCを指すが、テレワークセキュリティガイドラインでは「社内ネットワークに接続せずにテレワークをする方法」として定義されている。つまり、「出社時に会社支給PCにデータをコピーして持ち帰る」「何らかの方法でデータを持ち帰り私物PCで作業する」などの形だ。これならば、新たな投資なしで既存資産を生かしてテレワークをすぐにスタートできる。

スタンドアロン方式（出典：総務省「テレワークセキュリティガイドライン（第5版）」）

　だが、現代の業務環境において全くインターネットに接続しない業務は想定しにくい。メールサービスやグループウェアなど、業務上利用するSaaSもあり得る。「そこで推奨したいのが、スタンドアロン型のようにオフィスのシステムへの接続は制限しながらも、メールやチャットなどのクラウドサービスの利用を許容する方式だ。総務省のテレワークセキュリティガイドラインに合わせて例えるならば、“インターネット接続型スタンドアロン方式”とも呼べるだろう」と、ジャスミーの萩原 崇氏（取締役ソフトウェア開発統括）は語る。

　このようにスタンドアロン方式とクラウドサービスの良いところ取りをするテレワーク方式であれば、スタンドアロン方式よりもセキュリティ統制のリスクが高くなる。データを持ち出すことによるリスク、端末の紛失・盗難による情報漏えい対策などは別途検討しなければならない。

ジャスミーの萩原 崇氏（取締役ソフトウェア開発統括）

　この問題を解決するのが「Jasmy Secure PC」だ。これは、PCに専用のエージェントをインストールすることで情報漏えい対策や従業員の稼働管理などを実現するソリューションだ。萩原氏は「スタンドアロン方式にJasmy Secure PCを組み合わせることで、テレワークセキュリティガイドラインにおけるセキュリティ統制などのスコアを高めることができる。具体的には、“通信集中時の影響度”“システム導入コスト”“システム導入作業負荷”というスタンドアロン方式ではS評価となるメリットはそのまま、 “オフィス業務の再現性”はクラウドサービス方式と同等のB評価、 “セキュリティ統制の容易性”ではB評価は実現可能と考えている」と話す。

　「メールやチャットなど、コミュニケーションツールに関してのみ利用を許可するなど、用途を限定してクラウドサービスを利用する『クラウド方式』との間を取る形が現実的ではないか。Jasmy Secure PCならばチャットツールの利用状況も確認できる。テレワークにおけるコミュニケーションの状況を確認でき、場合によって別途フォローするなどの対応も可能になる」（萩原氏）

スタンドアロン方式＋Jasmy Secure PCで実現するテレワーク

　Jasmy Secure PCは次に示す3つの機能によってテレワーク時のセキュリティ統制強化を支援する。

　まずは、エージェントインストール時に端末に専用のデータ領域を用意する「ゴーストドライブ」だ。事前に登録したネットワークに接続しているなど一定の条件をクリアしなければ該当する領域にアクセスできないため、万が一紛失したり盗難に遭ったりしても第三者はデータにアクセスできず、情報漏えいを防ぐ。管理者側から制御コマンドを実行し、ロックをかけることも可能だ。

　「従業員の私物PCを利用する場合も、USBなどで持ち帰ったデータはゴーストドライブのみに格納する運用で対応できる。ゴーストドライブは制御コマンドの実行によってアクセス可能な時間を制限できる。仮に家族共用のPCを使っていて、指定の業務時間外に家族がPCに触れてもゴーストドライブ内のデータを見られる心配がない」（萩原氏）

　「リモートハンドリング機能」は、対象PCの情報をまとめて管理する。OSのパッチの適用状況も把握できるため、テレワーク中でも適切な状態で利用しているかどうかをチェック可能だ。

　PCの操作履歴を取得してブロックチェーンで管理・保護する「ドライブレコーダー機能」は、従業員がどのような操作（作業）をしているのかを管理できる。不正な操作も記録されるため、情報漏えい時の原因究明が可能になる他、不正抑止の効果も大きい。

PCの情報を可視化する「ドライブレコーダー機能」の例（出典：ジャスミーのWebサイト）

　費用面も魅力だ。「コストを抑制する目的でスタンドアロン方式を選んだにもかかわらず、セキュリティ対策として高額な投資が必要になるのでは本末転倒だ。Jasmy Secure PCは初期費用がかからず、フル機能が利用可能な有償版の「エージェントPro」が1台当たり月額440円（税込み）、対象者の稼働状況やPCの状態をリモートで確認する「マネージャー」は1ID当たり月額2640円（税込み）と、リーズナブルな価格で利用できる」と萩原氏は説明する。

　大きな投資が難しく、人的リソースも限られた企業におけるテレワークでは、スタンドアロン方式とJasmy Secure PCという組み合わせは有効といえるだろう。

　なお、総務省のガイドラインにのっとったスタンドアロン方式においては、オフィスのネットワークには接続しないもののインターネット利用は許容されているため、一般的なウイルス対策などの予防策は別途必要であることに注意したい。

　「Jasmy Secure PCでセキュリティ統制を強化できるが、これだけで全て対策できるわけではない。自宅のインターネット回線に接続する以上、マルウェア感染などのリスクはあるのでPCのウイルス対策や予防的措置は併用してほしい」（萩原氏）

テレワークにおける“コミュニケーション問題”解決にも有効

　テレワークでは上司や部下の様子が分からないことから、「気軽に質問できない」「周りの様子が分からない」「負担が偏っていても分かりにくい」などコミュニケーションの課題が指摘されることもある。この点もJasmy Secure PCはフォローできる。

　「同じオフィスにいれば気軽に周囲に相談したり、雑談の中で問題を共有したりといったことが自然にできる。だがテレワークではそうはいかず、個々の従業員が抱えるストレスが大きくなりやすい。従業員の作業状況を確認して、誰かの負担が大きくなっていないかどうか、残業が増え過ぎていないかどうかなどをフォローする必要がある。Jasmy Secure PCのドライブレコーダー機能によって作業状況を詳細に把握することで、部下のフォローアップがしやすくなるはずだ」（萩原氏）

　スタンドアロン方式はインターネット経由で業務サービスを一切利用しないものとされているが、メールも含めて一切使わないのは難しいだろう。「メールやチャットなど、コミュニケーションツールに関してのみ利用を許可するなど、用途を限定してクラウドサービスを利用する『クラウド方式』との間を取る形が現実的なのではないか。Jasmy Secure PCならば、チャットツールの利用状況も確認できる。テレワークにおけるコミュニケーションの状況を確認でき、場合によって別途フォローするなどの対応も可能になる」（萩原氏）

情報漏えいのリスクは想像以上　対策は慎重に

　設計図面や取引データなど、日々の業務で一般の従業員が触れるデータの中にも機密情報は多数含まれている。情報システム担当者はセキュリティソフトウェアを使った標的型攻撃やランサムウェアなどはもちろん、データの不正持ち出しにも警戒が必要だ。日本企業でも情報漏えいをきっかけに取引先から数百億円規模の賠償を求められたケースが複数ある。

　経済産業省が公開する「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」によれば、対策は「接近の制御」「持ち出し困難化」「視認性の確保」「秘密情報に対する認識向上」「信頼関係の維持・向上」の5つが挙げられている。

　Jasmy Secure PCは、ゴーストドライブや管理コマンドを使って機密データへのアクセスを制御でき、持ち出しなどの不審な操作がないかどうかも監視できる。また、作業状況を従業員も管理者も可視化することで視認性に加えて組織としての情報管理への意識づけを徹底する。加えて、可視化した情報を基にコミュニケーションも推進することから、情報漏えいリスク対策としても有効だろう。

　テレワークやクラウド利用が進む中で、セキュリティ対策は重要性を増している。大規模なIT製品導入が難しい組織であっても、できるところから手を打つことが肝要だ。