テレワーク特集~ ネットワーク製品担当キーマンが語る!テレワークに必要な設備と製品選択のポイントとは
- テレワーク
- インタビュー
- ネットワーク
- ../../../article/2020/06/telework01.html
テレワークを実施中の企業が抱える課題のひとつに、社外へ持ち出されたクライアントPCのセキュリティ対策があります。テレワーク環境の整備を優先し、PCなどの調達・配布を急ぐあまり、セキュリティ対策や管理が充分に行えていないケースも少なくないようです。
そこで今回は、SCSKグループのこれまでの経験やノウハウをもとに、社外でもクライアントPCをセキュアに保つためのポイントや注意点、取り組み方について、製品担当者を交えた座談会でお届けします。併せて、SCSKグループが提供しているデータレスPC™やセキュアPC、資産管理ツールなど、課題解決につながるさまざまなソリューションもご紹介します。
目次
堀場 テレワークを実施する企業が増えていますが、社外に持ち出されるクライアントPCのセキュリティ対策について、具体的にはどのような課題があるのでしょうか。
大野 以前は限定的にテレワークを行っている企業がほとんどでしたが、現在では業種、業態を問わず社員全員を対象としている企業が増えました。テレワークを行う人の数が増えると、管理する工数が増加し、統制が困難になります。そのような状況の中、物理的なセキュリティの脅威をいかに回避するかは、非常に重要な課題と言えるでしょう。PCを覗かれたり、Web会議中に映ってはならないものがカメラに映り込んだり、周りの人に話の内容を聞かれてしまったりなど、日常にはさまざまなリスクが潜んでいますので、それらを一つひとつ考慮していく必要があります。また、BYODを採用している企業では、USBメモリなどのメディアによるデータの持ち込み/持ち出し対策も必要です。
磯浦 これまで、社員が利用するクライアントPCは、社内のネットワークで管理することを中心に考えられてきました。そのため、自宅に持ち帰ったPCを管理するための手段やツールを持たない企業も少なくありません。短い間なら大きな問題は無いかもしれませんが、長期間に渡る場合、これまでのようにセキュリティパッチやソフトを配布することができないだけでなく、パッチの適用状況が確認できず、運用ルールが守られているのかどうかすらわからない事態に陥ります。
小野寺 データの取り扱いも大きな課題です。ExcelやWordなど業務で作成したデータを自宅のPCでも扱うケースが増えれば、情報漏洩が起こる可能性も高まるのではないかと懸念しています。
堀場 現状、企業は社外に持ち出されたクライアントPCのセキュリティ対策について、どの程度取り組みを進めているのでしょうか。
小野寺 2020年は突然テレワークの必要に迫られたこともあって、充分な時間をかけて準備することができず、何よりもまずはテレワーク環境を整備することを優先した企業が少なくなかったようです。
磯浦 私の肌感覚でいうと、テレワークを行う社員へのPCの調達・配布が行き渡り、ようやくセキュリティ面に目を向ける段階に入った、といったところでしょうか。
大野 テレワーク環境における新たなポリシーの策定を含め、具体的な対策に着手するのはこれからでしょうね。
磯浦 大企業を狙ったサイバー攻撃が新聞紙上をにぎわせたこともありましたし、どの企業もセキュリティ対策の必要性は強く感じておられると思います。
堀場 ここまでクライアントPCのセキュリティ対策の現状と、それに対する企業の取組み状況を伺いました。では、セキュリティ対策は具体的にどこから手を付ければいいのでしょう。
磯浦 まずはセキュリティパッチをしっかり適用させることですが、現状では実施できていない企業が多いのではないかと思います。というのも、一般的には社内ネットワークに接続されていることを前提としたクライアントPC管理を行っているからです。たとえば従来と同じようにすべてのPCへ一斉にパッチを適用しようとしても、VPN接続ではネットワークがパンクしてしまいます。従来の仕組みのままではテレワーク環境も含めて完全に適用させる手段がないのですね。
もう一つは、どこで誰がどのPCを使用しているのかを把握する、IT資産管理です。システム部門としては、業務で利用するPCの状況が把握できていないことは大きな問題です。基本的な取り組みではありますが、最近はこのIT資産管理に関する問い合わせが非常に増えています。
石井 情報システム部門の方々からは、ユーザーの利便性に配慮すべきという声も多く聞きます。セキュリティを徹底して強固なルールを定めてしまうと使い勝手が悪くなり、結果として生産性が大きく落ちることにもつながりかねません。ユーザーの利便性とセキュアな環境をどう両立させるか、私たちSIerとしての実力が問われるところです。
小野寺 利便性に関わる話ですが、ユーザーエクスペリエンス(UX)も大切です。ユーザーが快適にPCを使えなければ、業務が上手く回りません。
堀場 そういった意味では、お客様がいわゆるモダンPC(※)のような高機能製品を選択される傾向もあるのでしょうか。
※モダンPC
マイクロソフトでは、高速起動でストレスが少ない、どこへでも持ち出せる、創造性や生産性を向上が期待できる(スペック・機能を備えた)ノートPCのことをそう呼んでいる。
小野寺 従来は必要最低限の機能が備わったシンプルな製品が支持されていましたが、Web会議をスムーズに行うため、モダンPCはもとよりカメラやサウンドなどの周辺デバイス機能を重視して選定される企業が増えています。
大野 全社でテレワーク体制に入ってからは、社外でもさまざまな業務をこなす必要が出てきたため、高性能なCPUやSSDの搭載など、高性能な製品の需要が高まってきています。
堀場 SCSKとしては、お客様の課題にどのような提案を行っているのでしょう。
磯浦 私達の部門に寄せられる問い合わせで多いのは、やはりクライアントPC管理です。そのためには、管理を可能にするインフラを整備することが最優先です。そこで、テレワークを前提とした環境でも社内と同様にクライアントPCを管理可能なハイブリッド管理をご提案しています。その際にポイントとなるのがSaaSです。つまり、クラウドを活用して仕組みをつくり、社外からでも社内と整合性がとれる環境を構築していくことが重要とお客様にはお話ししています。
大野 ハードウェアの販売を行っている立場からすると、デバイスの調達にあたっては、セキュリティ対策が充実した製品を強くお勧めしています。例えば、OSが乗っ取られるといった万が一のリスクにも対策がとられたセキュアなPCを採用しましょうと提案しています。
小野寺 セキュアなクライアントPCということでは、シンクライアントが注目されています。ただ、シンクライアントはクライアント環境全体を見直すことになるため、どうしても高額な投資になりますので、かなり時間をかけて検討されるケースがほとんどです。しかしお客様によっては、速やかな課題解決に十分な時間を掛けるだけの余裕がないケースも多いですから、そのときは短期で対応できる別のソリューションを提案しています。
堀場 テレワークの導入に向けて、こんなアプローチをするとスムーズに進むといったアドバイスはありますか。
磯浦 まずは、自社の現状を把握するところからスタートしましょう。その上で状況を分析し、優先順位を決めて対策を進めていくことが肝要です。これにより、以後の対策も打ち出しやすくなります。
堀場 それでは最後に、それぞれの立場から、お勧めのソリューションを紹介してください。
大野 セキュリティ機能が優れている日本HPの法人向けPCをお勧めしています。HPのPCは、3~4年前から米国国立標準技術研究所(NIST)のサイバーセキュリティ標準に準拠するなど、非常にセキュアな製品です。その大きな特徴は、独自に開発した「HP Endpoint Security Controller」と呼ばれるセキュリティ機能と、自己回復機能を実装したチップの搭載にあります。チップがOSの重要なプロセスを監視し、攻撃によってOSの防御機能が機能しなくなった場合は、自動的に再起動。OSを正常な状態に回復させます。
Web対策としては「HP Sure Click」を備えています。これによりWebブラウザやOfficeを仮想化技術で隔離し、マルウェアにアクセスしてしまった場合はアプリケーションを閉じるだけでマルウェアを消滅させることが可能です。
小野寺 私が紹介するデータレスPC™「Flex Work Place」は、既存のPCにインストールできるソフトウェアで、導入後は端末のハードディスクに一切データを残さず、すべてのデータがファイルサーバまたはクラウドに保存されるようになります。これは新規のデータだけでなく、既存のデータも同様です。これにより、データの一元管理が可能になるとともに、PCの紛失・盗難時の情報漏洩リスクを防止し、自宅や外出先でも会社と同等の作業をセキュアに行うことができるようになります。
シンクライアントやVDIとコスト面を比較すると、「Flex Work Place」は既存のPCが利用できるため、圧倒的に安価で済みます。また、スケーリングが不要ですぐに導入できますし、他のユーザーの使い方がパフォーマンスに影響することもほとんどありません。さらに、シンクライアントはネットワークに接続していなければ使用できませんが、データレスPC™はオフライン時にはRAMディスクで使い続けることも可能です。
磯浦 私が紹介する「IVANTI(イヴァンティ)は、以前、LANDESKと呼ばれていた製品で、IT資産管理・セキュリティ管理・端末管理・ITサービス管理をワンストップで提供します。製品の利用にあたって、お客様には3つのステップをお話ししています。まずは「現状の把握」、続いて「把握した状況を基にした対策の実施」、最後が「端末におけるライフサイクル管理の提供」です。
IVANTIはすぐに利用開始できるSaaSで提供され、お客様がお持ちのPC管理ツールとも連携して、全体を把握できる仕組み(NEURONS)も備えています。また、インターネット経由で社内と同様にパッチを適用することができますが、この際メーカーサイトへ直接アクセスするためネットワークに負荷を掛けません。これはWindowsのアップデートでも同様です。ライフサイクル管理では、資産管理がWeb上ででき、社外のPCをインターネット越しに社内と同じポリシーで管理することができます。
石井 また、ユーザーが不正にPCを利用することがないよう、USBメモリなどメディアの制御に加え、マルウェアやスパイウェアなど外部から侵入してくるファイルの実行を制御する仕組みも備えています。しかも、ファイルの所有者情報を元に動作をコントロールする独自技術を採用しているため、ブラックリストの更新といった運用負荷なく対策が可能です。
堀場 皆さんありがとうございました。
SCSKグループでは社外に持ち出したPCを安心・安全にお使いいただくためのソリューションを多く取り揃えています。どのような課題をお持ちのお客様にも最適なソリューションを提供すべく、今後も取り組んでまいります。