働き方再考（第10回） DaaSでテレワーク。クラウドサービス選定基準を解説

　働き方改革の機運にコロナ禍が加わり、中堅・中小規模の企業にもテレワークが広がるなど、これまでの働き方を見直す企業は少なくない。当初はテレワークに必要なICT環境の準備も十分に整わないうちに手探りで開始したものの、コロナ禍が長引く中でさまざまな課題が浮き彫りになっている。

パソコンにデータを残さない仮想デスクトップ

　その1つがテレワークやリモートワークで利用するパソコンのセキュリティ対策だ。オフィス勤務と異なり、在宅勤務ではパソコンの管理が本人任せになりがちなため、ウイルス感染などの被害に遭うリスクが高くなる。

　セキュリティリスクを回避するため、企業の機密データや顧客情報などはテレワークで扱わないといったルールを打ち出す企業もあるが、業務データと機密データを分けて社員に管理させるのも大変だ。テレワークが常態化する今、業務で利用するパソコンのセキュリティ強化を再検討する時期にきている。

　業務データを保護する効果的な方法は、パソコンにデータを残さないことだ。それには大きく分けて2つの方法がある。1つは、自宅などのパソコンからネットワークを介して社内のパソコンを遠隔操作するリモートデスクトップだ。自宅のパソコンには業務データが残らないものの、社内のパソコンと合わせて2台分の運用管理が必要になる。

　もう1つは仮想デスクトップだ。会社のマシンルームやクラウドに置かれたサーバー上の仮想マシンに接続して遠隔操作する。ユーザーのパソコンにはデータが残らないので、不正アクセスや端末の盗難・紛失で重要データが漏えいするリスクを回避。加えて、IT管理者はパソコンの故障対応など、運用管理の負荷軽減が可能だ。

クラウドサービスの利用を第一に考える

　仮想デスクトップはVDI（Virtual Desktop Infrastructure）とも呼ばれ、自社で構築・運用するオンプレミスの形態のほか、クラウドサービスとして提供されるDaaS（Desktop as a Service）がある。クラウドサービスであれば、IT管理者の人材不足が課題の企業であっても、仮想デスクトップの導入・運用をある程度事業者に任せられる。

　クラウドサービスは「どこにデータが保管されるか分からず、抵抗感がある」、「セキュリティが心配」といった声もいまだに聞かれる。だが、現実的には企業が独自にセキュリティ対策を講じるよりも、最新セキュリティ技術などに熟知した事業者に任せたほうが安心だ。

　政府でもクラウドサービスの利用を打ち出している。「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を公表。クラウドサービスは正しい選択を行えば、コスト削減に加え、情報システムの迅速な整備、柔軟なリソースの増減、自動化された運用による高度な信頼性、災害対策、テレワーク環境の実現などに寄与する可能性が大きいとして、政府情報システムはクラウドサービスの利用を第1候補として検討する「クラウド・バイ・デフォルト原則」を明示している。

　政府情報システムとしてクラウドサービスの調達を行う際は「政府情報システムのためのセキュリティ評価制度（ISMAP）」において登録されたサービスから調達するのを原則とする。ISMAPに登録されていない場合、クラウドサービスのための情報セキュリティ管理策であるISO/IEC27017による認証を取得（ISMSクラウドセキュリティ認証）しているサービスの利用を推奨する。

　クラウドサービスの利用に関わる考え方は政府情報システムのみならず、企業のシステムにも当てはまる。テレワーク、リモートワーク時のパソコンのセキュリティ対策や運用管理の効率化に関してクラウドサービスは心配という企業は、クラウドセキュリティ認証を取得したDaaSを検討するとよいだろう。

【クラウドサービス選定基準】

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を基にBiz Clipが作成

※掲載している情報は、記事執筆時点のものです