近年の新型コロナウイルスの感染拡大の影響もあり、企業のDX(デジタルトランスフォーメーション/以下:DX)推進は加速しており、その一環として感染防止の観点からも推奨される「テレワーク」を導入した企業も多いかと思います。
しかし、政府や自治体からの呼びかけのもと、半ば強制的にテレワークを実施せざるを得なかったため、十分なセキュリティ対策やシステム構築が出来ないまま導入した企業も少なくありません。
そこで今回は、総務省が発行した『テレワークセキュリティガイドライン第5版』及び『中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)第2版』を参考にしながら、改めてテレワーク導入と必要なセキュリティ対策について解説します。
これからテレワークを導入しようと考えている企業、または導入はしたものの上手く機能していない企業の方は、ご一読いただき今後の参考として下さい。
目次
総務省が進めるテレワーク導入
テレワークはコロナ禍の感染症対策として生み出された概念ではありません。
総務省ではこれまでも、働き方改革やBCP*、業務効率化のためのDX推進を実現する手段の1つとして、テレワーク導入を推奨してきました。
ところが、実際にテレワークを取り入れている企業はごく一部に限られており、テレワークという言葉自体も社会的に浸透しているとは言えない状況でした。
その状況が一変したのは、感染症対策として政府が打ち出した出勤者数の大幅な削減要請です。
コロナ禍では、通常の勤務体制の継続が困難となり、多くの企業がテレワーク導入の動きを加速せざるを得なくなりました。
*BCP:「事業継続計画」(Business Continuity Planning/以下BCP):企業や組織が災害やテロ等の緊急事態に際して、損害を最小限に抑えながら中核となる事業の継続、あるいは早期復旧を目的として、日頃行う活動や緊急時の事業継続のための方法・手段を定めておく計画のこと。
引用:中小企業庁/中小企業BCP策定運用指針~緊急事態を生き抜くために~
テレワーク導入とセキュリティに関する総務省の2つの資料
テレワークを導入するためには、セキュリティ対策が欠かせません。
企業や顧客の大切な情報を守るためのセキュリティ対策については、様々な機関や企業が情報を発信をしていますが、特に、コロナ禍を機にテレワークを導入する中小企業に参考になるのが、総務省が発行する次の資料です。
- 『テレワークセキュリティガイドライン第5版』
テレワーク導入にあたって検討すべきことや実施方式、セキュリティ対策やトラブル対策に関する解説などが記載されている。
- 『中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)第2版』
テレワーク導入にあたって、まずは何から着手したら良いかの解説や、どのような導入方式があるか、導入方式に応じて必要となる製品などについて記載されている。
DX時代のテレワーク導入プラン
総務省が推奨する通り、働き方改革や業務効率化、BCP対策を実現するDX推進として、企業のテレワーク導入は必須です。
テレワーク導入はコロナ禍で加速され、多くの企業がテレワーク導入に踏み切りました。
ところが、この流れに水を差すような出来事がありました。
新型コロナウイルスの感染状況が多少なりとも落ち着きを見せていた2021年11月8日、経済団体連合会(経団連)が政府に対して「テレワークなどによる出勤者数の7割削減について見直すべきだ」との提言を行ったのです。
政府もこの提言を受けて目標撤廃の発表を行ったことから、コロナ禍を機にテレワーク導入を行った企業でも出勤割合を増やすなどの見直しがされました。
しかし、「テレワークはコロナ禍だから実施する」というDXプランではありません。
テレワークを活用して多様な働き方を実現することは、DX推進における重要なファクターであるため、コロナ禍であるか否かに関わらず、企業はそれぞれの環境に応じたテレワーク導入プランを検討する必要があるのです。
テレワーク導入の大前提
テレワークを導入するにあたっては、まずはテレワーク導入が可能なのかや、どの業務にどの程度導入するかなどを検討する必要があります。
そのうえで自社に最適なテレワーク導入プランを策定して下さい。
テレワークの3形態
テレワークは、ICT(Information and Communication Technology:情報通信技術)を活用することで、時間や場所に捉われることのない柔軟な働き方を実現する方法です。
テレワークの実施には、具体的に次の3つの形態があります。
- 在宅勤務
自宅で勤務する方法となり、通勤時間の短縮や、通勤のストレスを低減することが可能。
- サテライトオフィス勤務
「サテライト=衛星」の名のとおり、本社や支社以外に設けられたテレワーク専用のオフィスでの勤務。その設置場所により「都市型」・「郊外型」・「地方型」に分けられ、従業者に与えるメリットが異なる。
- モバイル勤務
ノートPCなどを使用することで、場所に捉われずにどこでも勤務が可能。カフェやリゾート地、行楽地などのオフィス以外の場所で、余暇を楽しみながら業務を行う『ワーケーション』もこれに分類される。
テレワークの7方式
上図のように、総務省の『テレワークセキュリティガイドライン第5版』では、テレワークの実施方式を7つに分けて説明しています。各方式に関する詳細は次の通りです。
7つの方式の中から、自社にとって最適な方式を検討・選択し、導入を目指してください。
①VPN方式
VPN(Vietual Private Network/以下:VPN)とは、暗号化技術を用いて、公開されたインターネット上に仮想の専用ネットワークを構築することを指します。
本方式では、テレワークを行うPCなどの端末からオフィスネットワークへVPN接続を行ない、ファイルサーバーやクラウドサーバーにアクセスすることで遠隔による業務実施が可能です。
オフィスネットワーク内の機器に接続して業務を行なうため、オフィスで業務を行なう場合と同等のセキュリティを担保することが出来ます。
テレワーク端末上にデータ保存を行なうことも可能なため、通信が不安定な状況でも保存したデータを用いて作業出来ます。
ただし、裏を返せば、端末の紛失・盗難等による情報漏えいのリスクもあるため、この点には注意が必要です。
②リモートデスクトップ方式
テレワークを行うPCなどの端末から、オフィスネットワーク内に設置されたPCなどの端末のデスクトップ環境にアクセスし、遠隔でデスクトップを操作することで業務を行なう方式です。
オフィスネットワーク内の機器に接続して業務を行なうため、オフィスで業務を行なう場合と同等のセキュリティを担保することができるとともに、テレワークを行なう端末へのデータ保存を制限することができるため、データ管理が容易になり、端末の紛失・盗難による情報漏洩のリスクを押さえることができます。
一方で、勤務時間中は、勤務者が一斉かつ常時オフィスネットワークへアクセスすることになるため、データ通信量によっては通信が不安定になることが弱点です。
③仮想デスクトップ(VDI)方式
テレワークを行うPCなどの端末から、オフィスネットワーク内に設置された仮想のデスクトップ(VDI/Virtual Desktop Infrastructure)基盤に接続し、仮想デスクトップを操作することで業務を行います。
リモートデスクトップ方式と同じく、オフィスネットワーク内の機器に接続して業務を行なうため、オフィスで業務を行なう場合と同等のセキュリティを担保しながら、テレワークを行なう端末へのデータ保存を制限することが可能です。
更に仮想デスクトップ方式では、セキュリティの管理者が仮想デスクトップ環境を一括管理できるため、リモートデスクトップ方式よりもよりセキュリティ統制が図りやすいというメリットがあります。
一方、勤務者が一斉かつ常時オフィスネットワークへアクセスするため、通信帯域が不足したり、データ通信量によっては通信が不安定になります。
④セキュアコンテナ方式
テレワークを行うPCなどの端末上に、端末上で使用しているローカル環境とは独立したセキュアコンテナという仮想的な環境を設け、環境内でアプリケーションを操作することで業務を行なう方式です。
アプリケーションはローカル環境に接続できないため、テレワーク端末にデータを残さずに業務を行なうことができます。
そのため、データ管理が容易であるとともに、アプリケーションはテレワーク端末上でしか作動しないことから、インターネットの通信回線の影響を受けにくいのが特徴です。
一方で、セキュアコンテナ上で作動するアプリケーションで実施可能な業務に限定されるというデメリットもあります。
⑤セキュアブラウザ方式
テレワークを行うPCなどの端末上で、セキュアブラウザと呼ばれる個別のインターネットブラウザを利用し、オフィスネットワークを利用している社内システムやアプリケーションにアクセスすることで業務を行なう方式です。
セキュアブラウザを利用することで、データのダウンロードや印刷、テレワーク端末へのデータ保存を制限することができるため、データ管理を容易にします。
また、セキュアブラウザはテレワーク端末上でしか作動しないことから、インターネット回線の影響を受けにくいのが特徴です。
一方で、セキュアブラウザ上で作動するアプリケーションで実施可能な業務に限定されるというデメリットもあります。
⑥クラウドサービス方式
テレワークを行うPCなどの端末からオフィスネットワークに接続するのではなく、インターネット上のクラウドサービスに直接接続することで業務を行なう方式です。
本方式では、オフィスネットワークに接続しないため、アクセスが集中せず、通信が不安定になることを回避できます。
ただし、企業のクラウドサービス導入の程度によって実施可能な業務の範囲が変わってくるほか、クラウドサービスを通じてテレワーク端末にデータ保存が可能なため、端末の紛失・盗難等が発生した場合には情報漏えいのリスクがあるので注意が必要です。
更には、オフィスネットワークに接続する方式ではないため、勤務者の状況把握が困難な側面もあります。
⑦スタンドアロン方式
テレワークを行うPCなどの端末からオフィスネットワークに接続せず、あらかじめ端末に保存しておいたデータやファイルを編集するなどして業務を行なう方式です。
本方式ではオフィスネットワークへの接続もないため、通信状況の影響を受けません。
しかしながら、実施可能な業務の範囲があらかじめ保存しておいたデータやファイルに関するものに限定されるため、長期間のテレワーク実施には不向きです。
また、テレワーク端末にデータ保存を行なっているため、端末の紛失・盗難等が発生した場合には情報漏えいのリスクもあります。
