ハイブリッドワークに必要なテレワーク環境構築のポイント
新型コロナウイルスの影響や働き方改革の推進もあり、オフィス勤務やテレワーク等、働く場所を自由に選択できるハイブリッドな働き方が主流になっています。 総務省の調査によると、企業のテレワーク実施率は2回の緊急事態宣言が発出されたにも関わらず、3~4割を推移しており環境整備が不十分かつ、オフィス勤務も未だ重要な位置づけを占めていることが分かります。 <参考:https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/html/nd123410.html> 本コラムでは、テレワーク環境構築の勘所を、その実現技術であるリモートアクセス手法、課題や解決策にふれながら考察したいと思います。
■CXO(CEO,CTO,CIO) ■情報システム部門役職者
1.リモートアクセスの手法
まず、テレワークに欠かせない、リモートアクセスの手法に関して整理させて頂きます。リモートデスクトップやVPNなどさまざまな手法があります。 ここでは古くから取り入れられている手法からSASEやゼロトラスト等最新の手法にも触れていきます。
リモートデスクトップ
リモートデスクトップは仮想マシンや会社にある物理PCを遠隔操作する手法です。 Windowsでは標準で搭載されている機能であり、すぐに利用したい場合には便利ですが、遠隔から端末へのアクセスを許可することになるため、マルウェア攻撃者による不正アクセスのリスクには十分に考慮する必要があります。 利用する際はアクセス制限や二段階認証を設定しておくとよいでしょう。
VPN
暗号化・トンネリングを使用した手法です。 特定の人のみが利用できで暗号化もされるため、情報の盗聴や改ざんを防止でき安全性が高いです。 しかしVPNを利用する際はセキュリティを確保するため、高額なSSLの証明書の準備とオンプレへの機材購入ももちろんですが、導入には専門的な知識が必要不可欠になり、ベンダーとの調整やスキルセットの習得などリードタイムの考慮も必要です。
踏み台サーバー
外部からアクセスできるサーバー(またはPC)を複数用意しておきそれらを経由することにより、社内のシステム等のサーバーに直接アクセスできないようにする手法です。 一度に踏み台サーバー1台にアクセス可能な人数が限られているため、リモートアクセスを利用したいユーザーが十分に接続して作業できる台数を用意しなくてはなりません。 また、シークレットキーやIAMのアクセスキーの管理や接続制限のポリシーの設定に手間がかかります。
SASE・ZTNA(ゼロトラストネットワークアクセス)
SASEはネットワークの機能とセキュリティの機能を統合するものです。 社内リソースにアクセスする際に、社外からでも社内同様のセキュリティを意識する必要があります。 しかし、データセンターに通信を集約するのも効率が悪いことは容易に想像できます。 そこでローカルブレイクアウトできる、かつセキュリティも担保できるSASEが現在注目されています。 さらにクラウド上で提供されるこのソリューションは突発的な需要にも対応することができるため、テレワークの環境整備の手段の一つとして選ばれています。
また、VPNにとって代わる存在になっているのがゼロトラストネットワークアクセスです。「すべてのアクセスを信頼しない」というゼロトラストの概念を取り入れた手法です。 VPNとは違って特定のサービスまたはアプリケーションへのアクセスの制限を行うことができます。 また、SASEに組み込むことによりリモートアクセスに必要なセキュリティを強化するとともに、ネットワーク構築後のスケーラビリティ機能や認証情報の侵害を防止するなどの監視機能も利用できるようになります。
2.テレワーク環境を構築する上での課題
ここではコスト・セキュリティ・運用の観点に分けて課題として挙げられるものを紹介します。
コスト
リモートアクセスツールのライセンス料金や機器の購入料金などの初期費用としての負担があります。 接続が必要なユーザー数の増加や帯域拡張のためのコストも考慮が必要です。 また、スキルセット不足による運用・管理のための人材育成のための費用や、やむを得ず外注する際のコストが必要になってきます。
セキュリティ
リモートアクセスの種類によって異なりますがユーザーは接続の際に、ユーザーIDとパスワードを入力するのが一般的です。 したがってパスワードを特定しやすいものにしたり流出してしまったりすると、外部の人間のアクセスが可能になってしまいます。 さらに、誰からもアクセスできてしまうといった状況がないよう、アクセス制限やデバイス制限、または認証基盤を取り入れるなどして、社内のリソースにアクセスできる人は最小限にする必要があります。 また、私用PCに社内情報などの機密データを保存できないよう、ルール化の徹底や、どのソリューションにするのか慎重に選ばなくてはなりません。
運用・管理
情シス担当者はリモートアクセスを安心安全に利用できるようにするには、PCの管理やユーザーのパスワード管理が欠かせません。 ですが単にリモートアクセスの部分のみを管理するのではなく、ネットワークインフラ基盤すべての管理が必要になります。 つまり社外からでも安全に社内ネットワークにアクセスができるよう、ルーターやファイアウォール等あらゆるインフラ設備をどのように連携させるか、どう効率的に管理していくのかまで考えていかなければなりません。 また、突発的にリモートアクセスが必要/不要になってくる場面も出てきたり、接続数が増大したためのスケールアップをしたりなど迅速に対処しなくてはいけないケースに対しても、対応できるようにする必要があります。
3.解決ポイント
上記で挙げた課題はどのように解決していくべきなのかを紹介します。
ユーザーの利用用途を把握してコストを削減
M365などインターネットサービスを利用している、クラウド上の検証環境を利用している、Web会議をよく利用するなど人によって、必要な帯域やスペックが変わってきます。 リモートアクセスの手法によってメリットが変わってくるため、導入する際はどこにニーズがあるのかも考慮することで、コスト削減や環境の最適化に繋がります。
SASE、ZTNAの要素も含める
前述にある通り、SASE、ZTNAを利用することで、社外からでも社内同様の安全なリソースへのアクセスへと、それらのアクセスを統合して管理することが可能になります。 誰がどのリソースにアクセスするのか(できるのか)を制限することは、セキュリティ面では重要な要素です。 クラウドの利用が拡大していく流れに合わせて、このようなソリューションを活用し環境を整えておくことにより効率よく制限・監視することができます。
リモートアクセスを利用する頻度を把握する
1日に数時間のみ社内ネットワークにアクセスできればよい人もいれば、1日中社内ネットワークに繋げている必要がある人もいます。 社内のネットワークへのアクセスが多ければ多いほど社内インフラのケアを、リモートアクセスが多ければ多いほどリモートアクセス環境のケアが必要になります。 快適かつ安全なハイブリッドワークを実現するために、まずユーザーの社内ネットワークへのアクセス方法と、頻度を把握し用途にあったリモートアクセスの手法を選び、さらに社内からのアクセスも社外からのアクセスに対しても同等に管理できるツールを選定が必要です。
また、SaaS製品を検討することも運用面でメリットが出ます。 オンプレ環境に機器を設置してリモートアクセスを利用する場合、物理機器の管理や拡張のための機器調達をする必要があります。 そこでSaaS製品を選択することにより、他の作業に人員を回すことももちろん、リードタイムの短縮も見込めます。また、クラウドなので従量課金の特性をいかした運用も可能になります。
どの点を重視するのかを考慮する
今すぐに利用したいけど一時的に使えればよい、利用ユーザー数が常に前後するといった利用のしやすさを重視するのか、あるいはセキュリティや運用・管理のしやすさを重視するのかという選択の方法もありますが、何より重要なのはさまざまな需要、つまり変化しつつある働き方に対応できるようなインフラの整備です。
そこで一つの選択肢となりえるネットワーククラウドソリューション「Alkira」をご紹介します。 Alkiraはユーザ、サイト、クラウドを数分で接続し、セキュリティと可視性を提供するサービス型ネットワーククラウドです。 リモートアクセスだけではなく拠点やデータセンターの通信を可視化することができるのに加え、セキュリティベンダーと連携することによりSASEとしても利用ができます。 また、ポータル画面より数クリックでネットワークをすぐに構築・削除することができるため突発的な需要にも対応することが可能になります。