技術の進歩、グローバル化、社会情勢の変化など、ビジネスを取り巻く環境は目まぐるしいスピードで変貌を遂げています。そんな現代の企業に求められているのが、従来のオフィスに縛られるワークスタイルにこだわらず、モバイル端末やクラウドを有効活用した機動力の高さです。クラウドサービス普及の流れは、運用コストを抑えながらより堅牢なシステムとしてりようすることで、多くの企業におけるモバイルワークの導入を後押ししています。
一方で、多様化するモバイルワークのニーズや高度化するセキュリティ対策といったハードルの高さから、利用できる業務の範囲を狭めていたり、社員によっては引き続きオフィスでの業務を強いられているケースなどもいまだ少なくはありません。
本稿では、モバイルワーク導入プロジェクトにおける成功のコツ、考えるべきセキュリティのポイントを紹介していきます。
改めてトップのリーダーシップが求められる
モバイルワークの有効活用を考えたとき、メンテナンスや操作性といった維持・運用の手法、コストの負担などに目を奪われ、つい忘れがちになるのが利用者となる社員の意識の改革です。
どんなに優れたシステムを導入しても、利便性とセキュリティ対策の両立は不可欠で、どちらかも疎かにするわけにはいきません。つまり、社内システムの導入や刷新を検討する上では、「モバイルワーク」や「テレワーク」を前提にシステムのあり方を見直す必要があります。
そのためには、システム部門のセキュリティ担当者のみが検討する事項ではなく、「新しいワークスタイルを実現する」といったトップや経営判断がとても重要な要素となります。
必要なセキュリティレベルと犠牲にしたくない利便性
モバイルワークとセキュリティの問題は、多くの企業で課題とされるポイントです。情報漏洩防止のため、業務用ノートパソコンの社外への持ち出しや私物端末からの自社サーバーへのアクセス、スマホなどプライベートな端末での業務用メールの送受信を禁止するなど、社外でのITツールの制限を設けている企業もあります。
しかしセキュリティの強化のみに焦点を当てたこうした対策は、モバイルワークのもたらす利便性の活用という面では大きな障害となります。導入はしてみたものの制限が多すぎて使える場所が限定されるということでは本末転倒です。社員がより自由かつ効率的に業務を行うというモバイルワーク本来の目的を果たす対策を練ることは、効果的なシステムの構築に不可欠な要素です。
自社にとって必要なセキュリティ、また優先すべき利便性と得られるメリットを考え、双方ともにベストなバランスでの活用を目指しましょう。クラウドサービスを利用すれば、必要なセキュリティ機能を自社にて一から構築する必要はないため、高いレベルでのセキュリティ対策とモバイルワークへの柔軟な対応が同居する高度なシステムも難なく取り入れることができる点は、クラウド技術の進歩がもたらした大きな恩恵です。
たとえばMicrosoft 365やGoogle Workspaceを利用することで、サーバーへの多重認証や独自の専門機関を駆使したウイルスの排除、アプリケーションの自動アップデートなどによる高いセキュリティと、チャットやWeb会議などを含む多彩なコミュニケーション機能、スケジュールやファイルの共有に役立つ機能といった便利さを同時に得られるシステムが提供されています。
運用のルールや具体的なフローを策定し継続的にフォローする
モバイルワーク導入の目的は柔軟なビジネス環境の構築による生産性や効率の向上です。モバイルワークに対応したシステムやデバイスを揃えるだけでは運用の成功には至らないことはしっかり意識しておきたいものです。
自社の業務に合った社内ルールや利用フローなど運用のための決まりを策定し、社員に共有することもモバイルワークの導入成功に大きく貢献する要素です。
モバイルワークを導入すべき業務とそうでない業務の線引き、各種データへのアクセス権限の判断、社員の利用状況の把握の仕方など、各々の課題に対するルールを決め利用者の疑問や不安を解消することで、システムのわかりやすさや使いやすさが向上し、積極的な活用を促すことができます。
なお、こうしたルールは一度作成すれば終了というわけではありません。日々の運用で生じた問題や不便を修正し、より適したルール、使いやすい仕組みを構築していくことが重要です。
クラウドサービス利用時の課題と注意点
モバイルワークを前提に考える場合、やクラウドサービスを利用することは、効果的であるばかりか、すぐにその恩恵を受けることができます。
自社システムとして構築することを考えると、セキュリティ対策で考慮すべき点は山ほどあり、導入後も継続して対策していく必要があります。
ところが、当然のことながら、クラウドサービスを利用する場合もセキュリティ面の考慮が不要になるわけではありません。アクセス経路やデータベースの暗号化、ユーザ認証やパスワード設定のポリシーなど、いくつも気になる点がありますが、基本的にはサービス提供事業者の定めた仕様に従って使用することになります。
モバイルワークにマッチしたセキュリティポリシーを定める
ご存知の通り、セキュリティー対策は多種多様で、システムの構造や仕様、利用携帯によって、さまざまな対処が必要になります。
一方、「モバイルワーク」の実現に限定すると、考慮すべきセキュリティ対策の優先度も自ずと変わってきます。
強固な認証基盤
外部からアクセスする前提で社内システムを利用することになるため、多要素認証やデバイス証明書など、セキュリティ強度の高い認証基盤がまずは求められます。HENNGE OneのようなIDaaSを利用すれば安価にこのような要件を満たすことができます。
多様なクラウドサービスをサポートする
社内のシステムとはActive DiretoryやLDAPなど、個別の認証システムとの連携が必要となりますが、クラウドサービスの場合は、それぞれ異なる認証手順でアクセスするので非効率で、統一された手順やユーザ管理でSSOを実現できることが望まれます。
アクセス状況の監視や監査対応
社内ネットワーク利用時はオフィスへの出入りである程度ユーザを特定することができますが、外部からのアクセスが前提となるモバイルワークでは、ユーザ毎のアクセス状況を正確に把握する必要があります。内部・外部の監査に対応できることも条件となります。
セキュリティポリシーを一定に保つ
利用するクラウドサービスに合わせて、ポリシーを拡大解釈したり、一部例外措置を認めるといった運用では、セキュリティレベルを保つことはできません。利用ユーザに求めるセキュリティポリシーはどのサービスを利用しても一定に保たれている必要があります。
一元管理で運用負荷を最低限に抑える
モバイルワーク利用の前提に立つあまり、サービスごとにことなるセキュリティ要件に対応していては、システム部門の負担は増大していき、迅速な対応も期待できません。各システムへのアクセス管理を包括的にとらえ、その仕様(またはポリシー)で実装することで管理の一元化をはかる必要があります。
まとめ
いかがでしょうか。一般的に企業に求められるセキュリティ対策は、考慮すべき点が多岐に渡り、自社システムで完結することはもはや限界と言えます。
一方、モバイルワークの環境を整え、多様化する社員の働き方をサポートすることも、企業側に求められる常識にもなってきています。
いまやセキュリティ対策の考え方が、社員の働き方、さらには企業におけるビジネスのあり方を決める時代に投入しています。いち早く自社にマッチしたセキュリティソリューションを採用することが、モバイルワーク実現に向けた一歩となります。
