2020年9月1日 / 最終更新日 : 2022年12月9日 MikoshibaHiroyuki セキュリティ

テレワーク導入を検討するときに、初めに考えることについて

高齢者向けで、普段の生活の様子を確認するWebカメラを使ったモニタ用のネットワークシステムを運用していたが、それをテレワーク向けに機能追加をした。

今年後半には協業する知り合いと「テレワークシステム」として、システムのオプションとして稼働できるようにする予定です。

どのように組み込むかはプロトタイプをすでに動かしているので、作成した設計資料からおおよそイメージがつくようになったが、導入時の現状把握のための情報吸出をどう行うかも考えておかないといけない。

と思っていたら、少し前にIT企業を経営している方から、テレワーク導入の仕事をユーザから受注したときの実情をお聞きする機会があった。

その時の所感から、テレワーク導入検討時に、構築を受注する側は、依頼ユーザからどう情報を吸い上げれば良いのか。
テレワークを導入する側では、何を考えておけば準備になるのかを挙げてみたいと思います。

その時に聞いた話では、今、東京では助成金が使える事情から今のうちに、とりあえず、「テレワークを始めたい」と考えて、下調べなどなく仕事の依頼がくるそうです。

この場合、どのような方法を取るかというと、従業員が使う業務用のサーバがあるところに、ルータという、外部から社員が接続する入り口を用意して、とりあえず接続することになります。

聞いた方の話では、多くはセキュリティは最小限で・・・/後から考えるとして・・・」で、まず接続するストーリーになるそうです。

前提条件がなにも考えられていない状態で依頼がくるので、受注するほうも「じゃー接続だけ」となるようで、たぶん動かしながら調整やら、考えていなかった問題が出てくるのでは。

少なくとも、テレワーク導入の仕事を受注する側では、以下を知らないと作業が始められないはずです。

まず、現状把握

①社内のネットワークはどのようになっているか?
②社内の仕事をするために、どのサーバに、なんのプログラムが入っているか?

使っているサーバなどのマシン → 社内のLAN → 外部への接続点 → インターネット

の流れがはっきりしていて、マシンのIPアドレス、LANのIPアドレス範囲付けがわかる資料が用意できていると良いです。

また、どのサーバに何のプログラムが入っていて、なんの仕事が行われているのかがわかる資料が表などに落とし込んであるか、サーバと仕事の流れがわかる絵などがあると良いです。

(サーバ/マシン名)———(業務)——-(プログラム)—-
ServerA(192.168.1.50)—– 人事/給与 —- 人事給与スカッと管理
ServerB(192.168.1.80)—– 販売管理  —- 販売エースシステム

そのうえで・・・

テレワーク実施した場合の運用イメージを思い浮かべます

①テレワークで実施できる仕事はなにか?
②テレワーク対象となる仕事は、どのサーバに接続すれば遠隔で仕事ができるか?
③テレワークで作業できる人はどの人にするか?
④テレワークできる人を決めた上で、どのマシンから外部接続させるか?

これを考えると、仕事をする上でのデータをどうするかが問題になります

①データをクラウドなどに置くか
(重要なデータをクラウドに置いて良いか?どのデータであればクラウドで良いか?)
②社内LANにあるデータにアクセスさせる構成とするか
(社内の職責などによって、アクセスを許可したり、拒否したりするか)
③社内に、触っていいデータだけ抜き出したストレージを追加して運用するか

一般に使われているDropboxやGoogleドライブなどのオンラインサービスで済ますか?
それでは個人に対する責任・負担が大きいので、より責任者が管理できる機能を持ったownCloudなどのオンラインサービスを使うか、さらには社内に自前でオンラインストレージの機能を構築できるNextCloudなどのOSSを使う手もあります。

このようにデータのことも考えだすと、

セキュリティにはどこまでお金をかけるか!!!

という難しい問題が出てきます。
こちらは、経営陣の判断でかけられるお金と、どこまでリスクを見積もっておくかで、実施する施策のバランスをどう取るかという究極の課題です。

①セキュリティを専門機器で面倒を見るFireWallやUTMを導入して、選任者が管理する
②接続する端末で、2段階認証、もしくはデジタル証明書認証を行う

セキュリティ事故を起こしてしまうことを想像すると、①の専門機器を入れて置いて、安心したい、手は打っていると納得したいところはあると思いますが、お金をそこまで出さなくても実は事故の確率は低いのでは・・・とか。セキュリティはどうしても上層部の意向で決まってるものかも知れません。

テレワーク導入を、運用としてどこまでやるか

で考えると、社員の自宅からサーバに接続して仕事を行うという基本のかたちに加えて、

Web会議も行うか

も検討に挙がるのではないかと思います。

ただし、最近は「ZOOM」を使ったWeb会議を良く聞きますが、

プロトコル上で公表の強度よりも弱い設定で通信がされていたとか、
実は中国国内の中継サーバを経由した通信になっているとか

のリスクが指摘されています。良く利用されているWeb会議の中には、システム構成が外から見てわからないので、わからないものを使って、これから大きな支障が出てきたら、どう影響するかとても怖い側面があると思います。

この課題に関しては、NextCloud に Talk なるWeb会議ツールが使えるので、たとえば、SoftEtherVPNなどのVPNソフトを使った仮想通信網内で、自分が構築したプライベート網内で安全に運用することができます。
(NextCloud Talk以外でもWeb会議を構築できるオープンソースもあります。試してませんが、Rocket.Chatなるものも発見!)

試しに、AWSクラウド上にSoftEtherVPNサーバとNextCloud をインストールして、Web会議をやってみましたが、通常のインターネット経由のWeb会議とVPN経由のWeb会議を切り替えて運用できました。

通信的な負荷の問題もありますが重要ではない大人数の会議はZOOMなどで行い、重要な意思決定の会議はVPN内Web会議という切り替え運用もできそうです。

以上のようなストーリーについて考えておけば、導入検討の打合せ時に、話がスムーズに進むと思います。

カテゴリー
セキュリティネットワーク
Linux

前の記事

WordPressサイトのホームページで、容量不足となった
2020年7月15日
セキュリティ

次の記事

ラズパイに、NextCloudをインストールして、自前のオンラインストレージをセットアップしてテレワークで使う
2020年9月25日