働き方改革と新たなセキュリティリスク
トピックス・イベントレポート
キヤノンシステムアンドサポート
ITソリューション推進本部
石井雄太氏
正規・非正規労働者の格差、長時間労働、単線型のキャリアパスといった、日本の労働制度や働き方の問題が叫ばれる中で、国としても「働き方改革」の取り組みを推進しています。そんな中で、「柔軟な働き方がしやすい環境」として注目されているのが「テレワーク」です。キヤノンシステムアンドサポートの石井氏は、テレワーク環境を整備する場合に、どのようなセキュリティ対策が必要か、についての講演を行いました。
新しい働き方としての「テレワーク」
テレワークとは
日本テレワーク協会の定義では、テレワークとは「ICT技術を活用した、場所や時間にとらわれない柔軟な働き方」であり、その方法は大きく分けて「在宅勤務」「モバイルワーク」「サテライトオフィス勤務」の3種類です。
テレワークの実施によって、従来のオフィスを中心としたワークスタイルから、「人を中心としたワークスタイル」への変化が期待されています。
テレワークを支えるクラウドサービス
ワークスタイルに求められるのは、「どこにいても社内と同じシステムにアクセスできる環境」「スマートフォンから社内メールやスケジュールを確認できる環境」「社員間のコミュニケーションがとれる環境」です。
こういった環境は、これまでもVPNによってある程度実現されていました。しかし、石井氏は「あくまでも個人的な予想」とした上で、「今後はクラウドサービスが(テレワークを実現するための環境の)中心となるだろう」と語っています。
クラウドサービスのメリットは、システムやデバイスの管理コスト削減です。メール環境についても、社外からも利用しやすいことや、外出時のメール確認にスマートフォンが使われることが多くなっていることなどから、クラウドサービスへの移行が増えています。
そのほか、近年社内でのコミュニケーションに利用されることが多くなってきた社内SNSやWeb会議についても、社内にサーバを設置しなくて済むことから、クラウドサービスが利用されることが多いそうです。
テレワークに求められるセキュリティ対策
テレワークに必要なセキュリティ対策とは
テレワークを実現するには、「アクセス制御」と「データ制御」をどのように行うかが重要になります。
「アクセス制御」とは、認められた端末・ロケーションからのみ、社内システムやクラウドサービスへアクセスできるように制限するセキュリティ対策です。社内システムへのアクセスの際には、VPNやワンタイム・パスワードが利用されています。
「データ制御」とは、社外への不必要なデータ移動を制限することで、情報流出を防止するセキュリティ対策です。社内システムへのデータ制御としては、サーバベースのRDS(Remote Desktop Service:リモート・デスクトップ・サービス)環境、クライアントベースのRDS環境、VDI(Virtual Desktop Infrastructure:仮想デスクトップ)環境、端末持ち出しが利用されています。
クラウドサービスのためのアクセス制御
クラウドサービスを利用する場合、複数のサービスを組み合わせて利用することが多いため、複数のID/パスワードを管理しなければならないのが悩みの種です。「IDaaS(Identity as a Service)基盤」なら、煩雑なID/パスワード管理の問題を解決しつつ、アクセス制御を提供できます。
IDaaS基盤を利用すれば、SAML(Security Assertion Markup Language)認証に対応したクラウドサービスと連携し、シングルサインオンとID統合管理によって、より簡単なサービスへのログインが可能です。また、証明書がインストールされた端末、および許可されたIPアドレスからアクセスしている端末のみを「許可された端末」として、サービスにアクセスできるようにすることで、アクセス制御を実現します。
このほか、IDaaS基盤とActive Directoryとの連携も可能です。
クラウドサービスのためのデータ制御
オフィスでの勤務とは異なり、他人から見られていない環境で作業できるテレワークでは、どうしてもデータ漏えいのリスクが高くなってしまいます。そんな、テレワークにおけるデータ漏えいを防ぐのが「コンテナ化(セキュアブラウザ)」です。
コンテナ化とは、業務アプリケーションを専用ブラウザ内で利用させる方法で、ブラウザ内アプリケーション同士のデータ移動は可能ですが、ブラウザ内アプリケーションからローカル環境へのデータ保存を禁止することで、データ漏えいを防止できます。専用ブラウザは、IDaaS基盤との連携によるアクセス制御にも対応しており、接続後は自動的にキャッシュを削除するため、より厳重なデータ保護が可能です。
なお、コンテナ化では基本はブラウザ対応アプリケーションしか利用できません。しかし、セキュアブラウザからWindowsアプリケーションを呼び出し、分離領域で動作させる技術も出てきました。この場合も、ローカル環境へのデータ保存はできないので、データ漏えいの心配はありません。