フレキシブル ワークスタイルを支えるセキュリティ (1) ~ 柔軟性と安全性は両立する


2011 年も残すところあとわずかですが、今年は様々な事象によってビジネス上の大きな決断を迫られた年だったのではないかと思います。たとえば、米国や欧州経済の危機、新興国の経済成長の失速などにより発生した急激な円高に対応するため、海外に拠点を展開して生産コストを下げるため、拠点の早急な整備が求められたり、東日本大震災やタイの洪水により拠点の移動を行ったり、生産体制の変更を行うなどの柔軟な対応が求められたのではないかと思います。

マイクロソフトが提唱する「フレキシブル ワークスタイル」とは?
IT の観点から言うと、新しい拠点を整備するにしてもIT投資は最低限に抑えたい、できれば本社側からITインフラを統制したい、セキュリティを確保したい、ということなどが求められたり、災害対策でいうと、災害復旧計画の策定はもちろんのこと、しばらくの間出勤ができなかったり仮の事業所で働かなくてはならない場合、会社のPCを外に持ち出して安全に運用したり、自宅のPCや従業員が持っているスマートフォンやタブレットなどのデバイスを有効活用する方法の検討が必要になってきています。これらを簡単にまとめると、「どこからでも」さまざまな「デバイス」から「すぐに」「安全に」働くことのできる環境が求められている、ということになります。

マイクロソフトでは、このような働き方を「フレキシブル ワークスタイル」と呼んでいます。フレキシブル ワークスタイルは、前述のような様々な環境に適応するため、さまざまなデバイスを合理的に活用することで、働き方の多様性や事業継続性に対応できるようになることを目的としています。フレキシブル ワークスタイルについては、利用者側の視点とIT管理者側の視点にわかれ、それぞれ主に 3 つのシナリオがあります。
  

フレキシブル ワークスタイルの阻害要因
さて、フレキシブル ワークスタイルはITテクノロジーをただ導入すれば実現できるわけではありません。一人一人の働き方をあわせていくことはもちろん、勤怠管理や評価制度、労災認定基準などの人事制度も変えていく必要があります。働き方の合わせ方や評価制度などについては、既出の記事「フレキシブル ワークスタイル実現のポイント(1) ワークプレイスの形態と課題」「フレキシブル ワークスタイル実現のポイント (2) ~ 組織と仕事の作り方の関係」をご参照ください。この記事では、IT側のもうひとつの大きな課題である「ITポリシー・セキュリティ」についての考え方に対する課題について掘り下げてみたいと思います。

日本企業では、多くの企業でIT部門が「PC 社外持ち出し禁止」「USB メモリー使用禁止」「個人 PC の利用禁止」などのポリシーを定めています。これらのポリシーは、パスワードの漏えい、情報の流出、マルウェアへの感染、などのセキュリティ上の脅威や、社内ITポリシーからの乖離、IE、Office、OSなどの互換性によるトラブル発生などを懸念して定められているものと推定します。しかし、これらの問題はノートPCやUSBメモリーのテクノロジーが出始めのころとは違い、最新のテクノロジーを使ってきちんと対応すれば防げる懸念なのです。

柔軟性と安全性は両立できる!
「ルール」や「ガイドライン」については、色々なものを設けたところで、それがITで実装されていない限りは水物です。「ガイドライン上禁止しておけば安全だ」というのは単なる安全神話にすぎません。ITでガイドラインを実装するに当たっては、物理的に強制できる手段で、かつ手順を簡素化しておくことが、現実に効果があり、かつ使われるしくみを実装する上で欠かせないポイントです。

たとえば、システムには常に「複雑なパスワード」を設定しなければいけないようにしておき、かつ「パスワードを定期的に変更」する必要があるようにしておきます。「スマートフォンにはPINを設定」するようデバイスポリシーを設定して、「ストレージの暗号化」を強制します。機密情報は自動で「転送禁止」「長期保存禁止」のポリシーがかかるようにしておきます。このようにしておくことで、強制を拒否すれば利用できない、かつ覚える必要がなく無理がないから使われるしくみを実装することができます。

これらのことを実現してくれるのが、Windows 7 Enterprise、Office Professional Plus 2010、Windows Phone 7.5などの最新のプラットフォームです。これらは近年のビジネス ニーズを実現するためのソリューションを具現化したひとつの “かたち” となっています。これらの製品に組み込まれている要素技術をうまく実装していくことで、柔軟性があり、かつ安全なワークスタイルを実現することが可能となるのです。必要なポリシーがきちんと適用されるようにしておけば、デバイスの持ち出し禁止や使用制限を必要以上にかける必要はありません。

  

以下に、フレキシブル ワークスタイルを実現するための主要な要素技術を挙げておきます。

  • Virtual Desktop Infrastructure (VDI), RemoteApp: クライアントPCの環境を仮想化する技術で「シンクライアント ソリューション」として注目されている。仮想的なクライアントPCは、サーバー側の仮想マシン Hyper-V にインストールされ、画面だけをクライアントPCに表示します。VDIはクライアントPCのデスクトップ全体の画面を転送するのに対し、RemoteAppはアプリケーション単位で画面を表示します。Windows Server 2008以降に搭載されています。
  • DirectAccess: VPNをはらなくてもインターネットを使ってリモートからシームレスで安全な社内リソースへのアクセスを実現。接続時にコンピュータの健全性 (特定の更新プログラムの適用、パスワード有効期限、マルウェア対策プログラムの導入など) を検証し、アクセス制限・許可を行うことができます。Windows 7 EnterpriseやWindows Server 2008 R2に搭載されています。
  • BitLocker, AppLocker: ハードディスク全体の暗号化、リムーバブル ディスクの暗号化、および特定プログラムの実行禁止。PC紛失時の状態確認、PIN紛失時の対応、暗号化状況の可視化を行うためのレポート機能などが搭載されています。Windows 7 EnterpriseやWindows Server 2008 R2に搭載されています。
  • Lync, Office 365: Lync によりプレゼンス、外線電話、内線電話、チャット、オンライン会議などをPC上のOffice製品に統合することで、離れた場所からもいつでも会議や共同作業に参加できます。Office 365はLyncもクラウドの形で搭載しており、海外拠点にすぐにかつ安全に展開することができます。
  • Information Rights Management (IRM): 企業向けエディションのOffice 2010において、Word/Excel/PowerPointなどのファイルやOutlookで送受信をする電子メールに対して暗号化を行い、Active Directoryの情報に基づいて特定の権限設定や有効期限を設定 (印刷禁止、スクリーンショット禁止、コピー禁止、オフライン利用制限など)、改ざん防止をおこない情報を安全に管理することができます。Office 365 に含まれる Office Professional Plusも対応しています。Windows PhoneからもIRMのかかったドキュメントやメールを閲覧可能です。Office 2003以降の企業向けエディションに搭載されています。
  • Exchange Active Sync (EAS): 主に携帯デバイスとExchangeとの間でメールや予定などのアイテムを同期するためのプロトコルです。携帯デバイスのセキュリティポリシーの設定やリモートワイプも同時に実現します。

これらの技術については、日本マイクロソフトの中でももちろん実装され使われています。次回は、日本マイクロソフト社内でこれらがどのように実装されてどのように運用されているのか、ということについて解説していきたいと思います。

記事

Comments (0)

Skip to main content