新型コロナウイルス感染症と「テレワーク」、次のステップは?

新型コロナウイルス感染症の影響による緊急事態宣言の発出、新型コロナウイルス感染症対策に関するまん延防止等重点措置の実施などに伴い、これまで物理的な通勤を業務スタイルとしていた会社がテレワークへ切り替えた。テレワークはこれまでも働き方改革の一環として総務省や厚生労働省が推進していたが、想定通りには進まなかった。しかし、新型コロナウイルス感染症の拡大により、一気にテレワークを経験する企業が増えた。

実際のところ、新型コロナウイルス感染症インシデントが起こる以前から、テレワークが可能な業種はある程度存在していた。もちろん程度の差がある。ほとんどの業務をテレワークに移行することが可能な業種もあれば、一部の業務だけをテレワークにできる業種もある。しかし、現場からの声だけでは、すでに稼働している業務のスタイルを変えることは難しい。新型コロナウイルス感染症は、よくも悪くもその「きっかけ」になった。

今後、新型コロナウイルス感染症を巡る状況が落ち着いたとしても、テレワークの導入で手応えを得た企業はこのままテレワークを実施、さらにテレワークを推し進める企業もあるだろう。テレワークを後押しする要素のひとつが働き方改革だ。通勤時間をカットできる勤務体制は魅力的だ。自宅や近場の作業場所からの勤務が可能であれば、そのほうがよいと考えるワーカーは増える。テレワークを実施している企業はそうした人材を得やすくなる。

企業側のメリットとしては、経費削減がある。働き方改革もさることながら、オフィスなどの賃貸料を減らせるのは魅力的だ。テレワークで現実的に業務が回っていくことが明らかになれば、本社をより賃料が安く環境的に過ごしやすい場所へ移転させたり、支店などをの閉鎖・縮小したりといったこと可能になる。物件の賃貸料は毎月発生する固定費だ。この固定費を削減できるのは大きい。

緊急事態宣言に合わせて急遽テレワークを始めた企業がまず手を付けたことは、従業員にノートPCを持たせること、ビデオ会議を可能にすることだっただろう。当初はそれでうまく行っていたと思うが、テレワークが普及し、さらに多くの業務をテレワークで行えるようにすると、クラウドの利用や社内ネットワークへのログインを確保することが必要になってくる。

社内ネットワークへのアクセスを許可する

物理的な通勤を伴う業務では、社内ネットワークにすべてのリソースを置いておいて問題がない。作業する従業員が物理的に社内ネットワークのある場所にいるので、そこにビジネスリソースがあればよいからだ。無理にクラウドにデータを移行させる必要はないし、社内ネットワークとインターネットとの接続部分を堅牢にしておけば、セキュリティもある程度担保される。

しかし、従業員が個々の自宅で仕事をするとなると、話は違ってくる。社内のリソースをクラウドに移行させて外部からアクセスできるようにしたり、社内ネットワークへ外部からのログインを許可したりする必要が出てくる。こうした場合、前提としてネットワーク・セキュリティについて抜本的に考え直す必要がある。

リソースをレベル分けし、アクセスできる対象を区切り、仮に不正侵入や従業員の誤った利用でデータ漏洩が発生したとしても影響範囲が限定的になるよう、システムを設計し直す必要がある。簡単な変更とはいかないが、テレワークを導入するしないにかかわらず、いずれは必要になることなので、このタイミングで取り組んでおくのは悪くないことだ。

ネットワーク・セキュリティについてはすでに当局やセキュリティベンダーがガイドラインを発行しているので、そちらを参考してもらうとして、ここでは外部から社内ネットワークやクラウドに接続する際に使われることになる仮想プライベートネットワーク(VPN:Virtual Private Network)を取り上げる。

仮想プライベートネットワーク(VPN: Virtual Private Network)を使う

クラウドサービスを使う時にVPNを使わないこともあるかもしれないが、信頼できないネットワークからクラウドサービスを使う場合は、まずVPNでVPNプロバイダーに接続して、そこからクラウドサービスを利用するというのがひとつの方法だ。信頼できるVPNプロバイダーを選ぶ必要があるが、セキュリティを確保する上では有用な方法だ。

自宅から社内ネットワークに直接接続するような用途では、VPNの利用が欠かせない。暗号化しない通信は論外だし、外部からログインするために複雑なソリューションを導入するのは現実的ではない。既に多くのアプライアンスやサービスが存在し、オペレーティングシステムのサポートも充実しているVPNが現実的な選択肢だ。

VPNソリューションを導入済の場合は、そのソリューションが提供しているプロトコルに対応しているクライアントをパソコンに導入して利用することになるだろうが、まだその手のソリューションを導入していなければ、会社側に導入するVPNアプライアンスなども含めて選定する必要がある。

中小企業など、担当者が自ら選定する場合、頭の痛いかもしれない。VPNを実現する「プロトコル」は複数あり、そのどれかを選択しなければならないからだ。VPN初心者にとって、この選定作業は困難を伴う。技術的な要素が強く、調査しても判断のつかないことが多い。

そこで本稿では、Malwarebytesが5月7日(米国時間)に公開した記事「VPN protocols explained and compared - Malwarebytes Labs|Malwarebytes Labs」をもとに、VPNプロトコルの選び方を整理してみよう。