テレワーク全社展開、準備は出来ていますか?

2020年03月23日



この新型コロナウイルスによるパンデミックは、大手企業のみならず幅広い業種・業態の企業にテレワーク対応の検討を強いることとなりました。限定的なテレワークへの対応は多くの企業で既に行われていますが、全社規模となると現状の社内運用規約などの再検討が必要となります。特に課題となるのが、ネットワークトラフィック特性の劇的な変化です。これには関連する運用上およびセキュリティ上のさまざまな課題が伴います。

EUのチェコ共和国に本社を置くFlowmon Networks社でも、グローバルの全社員が自宅や出先から本社のIT資産・サービスに接続し、通常業務を継続して行う体制を整備し、非常事態宣言下で通常通りの業務を継続しています。この記事では、Flowmon Networks社でのこの業務変革に伴うIT基盤の経験をもとに、代表的に懸念される3つの課題についてお伝えさせていただきたいと思います。

図1:パンデミック等急激な社会変化への対応

図1:パンデミック等急激な社会変化への対応


十分なVPN容量を確保する

VPN(Virtual Private Network)は、リモート接続を保護するための重要なソリューションです。Flowmon Networks社ではこれまでも一部の社員は外部からの社内リソースへのアクセスのために使用していましたが、元々の社内IT基盤は今回のような規模の利用シナリオには対応できていませんでした。それが全社テレワーク形態へのシフトにより、そのユーザ数が一挙に増加することになりました。これまでと比較すると、これは平日の通常のトラフィックが通常の10倍になったことを意味します。この増加率は企業により異なると考えられますが、ほとんどの企業では10倍またはそれを超えるものとなるでしょう。

Flowmon Networks社は、以下のような検討事項を経て対応を実施し、スムーズな業務移行を実現することができています。

  • トラフィック構造を確認する。
    同時ユーザ数と帯域幅に関して、どのくらいの容量を使用し必要とすることになるかのアセスメントを実施。
  • ソリューションのライセンスを確認する。
    利用しているソリューションに関して、そのライセンスを取得したいユーザ数などが不足している場合は、提供ベンダに問い合わせてライセンスのアップグレード等を確認。
  • 帯域幅を確認する。
    ハードウェアリソースが不十分であるために帯域幅が制限されている場合は、そのアップグレードの可否や必要に応じた部品の入手を当該ベンダに確認。
  • VPN基盤とセキュリティのベストプラクティスを確認する。
    一部のユーザは、業務上より多くのネットワークリソースを使用する可能性があるため、OpenVPNなども含めたより広いVPN基盤の選択肢を検討。特にこのような場合、セキュリティリスクへの担保が重要となるため、VPNの2要素認証などのセキュリティのベストプラクティスの適用を検討。
  • インターネットトラフィックのルーティングを確認する。
    セキュリティポリシーが許す限り、クライアントの設定により、インターネットトラフィックを直接ルーティングし、VPNキャパシティの一部オフロードを検討。当然のことながらセキュリティトレードオフが発生するため、その妥当性アセスメントを実施。

またシステム視点のみならず、VPNを経由し利用するサービスについては、大容量なデータ転送を伴うものは、控えるまたは適切な利用時間を考慮するなどの、運用ガイドの徹底などの教育面も重要となります。

図2:VPNのボトルネック

図2:VPNのボトルネック

アップリンク使用率の管理

図3:キャパシティとセキュリティの課題

図3:キャパシティとセキュリティの課題



VPNの構成方法に応じて、インターネットアップリンクの使用率が増加または減少します。 Flowmon Networks社では、ユーザが自宅から直接アクセスする多くのクラウド配信アプリ(Google Suite、Salesforceなど)を使用しています。これは、当社のインターネットアップリンクの使用率が、テレワーク移行により低下することを意味しています。実際、VPNアクセスを必ずしも必要としていないユーザも多くいます。これは、クラウドサービスの積極的利用を進めてきた利点といえるでしょう。

ただし、社内のサービスにアクセスするために、ユーザが通常よりもアップリンクを使用するような要件がある場合は、関連する社外サービス提供者(ISP)との調整が必要となる場合があります。通常そのようなサービスのアップグレードは可能な場合が多いため、一時的にでも対応を依頼すると良いでしょう。また、たとえば、ストリーミングアプリのブロックなど、使用を許可するサービスの制限なども検討の必要があるかもしれません。アップリンクのオーバースケール傾向を考えると、サービスの制限などまでは不要と予想できるため、その必要性を検討の上判断してください。

個人所有のIT機器によってもたらされるリスクを最小限に抑える

社員が自宅から個人のデバイスで社内リソースにアクセスしたり、または資料作成などで任意のソフトウエアを利用する場合、深刻なセキュリティ上の問題が懸念されます。通常、これらのデバイスを完全に制御することは困難で、セキュリティポリシーの漏れのない適用が課題となります。この場合、次の視点から対応策を検討してください。

  • トラフィックを適切に監視します。
    多くの企業ではトラフィック監視ソリューションを導入していますが、特にVPNホストとVPNトラフィックに注意してください。また、その時々の社会現象を利用した攻撃に注意が必要です。 直近では今回の新型コロナウィルスに対する世間の警戒心の高さを利用し、Emotetと呼ばれるマルウェアを感染させる攻撃手法に気をつける必要があります。特にグローバルで見ると、日本にその事例報告が多くみられています。
  • 適切なアクセス管理が必要となります。
    それぞれのユーザが、自分の役割で必要なデータとサービスのみにアクセスできるようにします。一部のマルウェアによる権限昇格の場合、影響を最小限に抑えることができます。
  • 通信を保護する他の方法を検討します。
    1つのオプションはターミナルサービスを使用することです。この場合、ユーザはVPN経由でセキュリティで保護されていない個人用デバイスから、たとえばRDPを介してWindowsサーバに接続します。アプリケーションの実行はセキュアなサーバ管理下で行われていることになるため、一定のセキュリティは保たれていると言えます。セキュリティの観点では優位性は高いと考えられるでしょう。
  • 終わりに

    これらの対応は、特殊なものではなく既に多くの企業で取り入れられています。テクノロジー的にもまたセキュリティ的にも、現実的な対応として実績のある構図となります。テレワークの全社展開が、今回の新型コロナウィルスのパンデミックにより避けられないものとなった場合、または今後求められてくる業務運用の柔軟性に対応するためにも、ビジネス形態変革のご参考にしていただければと考えます。

    当コラムはFlowmon Networks社の The Upsurge of Home Office: Best Practices to Keep Your Network Secure and Runningを参照して書かれています。Flowmon製品はここでご紹介した、セキュリティやパフォーマンスの可視化にお役に立つ製品です。

    関連ページ

    ■製品紹介
    Flowmon コレクタ
    Flowmon ADS(プラグイン/オプション)

    Flowmon製品に関する
    お問い合わせはこちらからどうぞ

    • お見積依頼、お問い合わせはこちらからどうぞ
    • 03-6205-6083
    • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)