テレワーク ICT環境の整備【図解】

テレワーク ICT環境整備 業務改善
テレワーク ICT環境整備

ICT環境整備のステップ

テレワークのためのICT環境整備にあたって、手順と留意点を解説します。

 ICT環境導入のための手順

テレえもん
テレえもん

テレワーク環境を構築するにはコストの検討だけでなく、システム導入に係る関係部門の 業務調整やシステム導入完了までに係る期間等を確認し、導入スケジュールを策定します。

職場から離れているテレワーク利用者と職場が円滑に業務を進めるため、労務管理ツー ルや Web 会議システム等のコミュニケーションツールを導入して、オフィス勤務時と同様に仕 事が円滑にできる環境をつくります。

導入手順の例としては、以下が考えられます。

①現在のICT環境の調査

② テレワーク環境の方式選択、各種ツールの選択 ⇒環境・ツール導入のためのサービスの選定

③導入に必要な期間の確認

④導入中の業務の停滞箇所・要調整箇所の確認

⑤導入期間の全社周知(システムの利用に関する従業員向け研修)

⑥システム導入~システムの実際の稼動

実際の進め方および具体的なスケジュール作成(ガントチャート)については下記の記事を参照してください。

関連記事:問題解決型手法 QCストーリーとは?【図解】

テレワークのためのICT環境調査

テレえもん
テレえもん

テレワーク導入に当たり、まずは従業員が現在 利用している端末の種類や、回線、サーバ等のシステム環境について調査します。

利用端末

現在利用している端末の種類について調査します。端末の種類は、主に PC やタブレ ット端末、スマートフォン等があります。 特に PC については、以下のように、PC の種類によって機能やセキュリティの内容が異 なります 。

ファットクライアント(リッチクライアント)型PC

「ファットクライアント」とは、内蔵しているハードディスク内に情報を保存することができる 端末のことです。書類の作成を行うアプリケーション(機能)等の操作も、この端末単体 で行うことができます。

オフィスに設置されたデスクトップPCの多くは、このファットクライアントです。

ファットクライアント(英: fat client)とは独立に豊富な機能を提供するクライアントコンピュータである、つまり太った端末の事。

-シンクライアント「Thin(痩せた)+Client(クライアント)」の反対語。

ファットクライアントは少なくとも定期的なサーバまたはネットワークへの接続を必要とするが、多くの機能を接続なしで実行できるのが特徴である。対照的にシンクライアントは一般に自前での処理は必要最小限に抑え、入力データの処理や検証には毎回サーバにアクセスする必要がある。引用:Wikipedia

 

シンクライアント型PC

シンクライアント」とは、ほとんどの機能がサーバで処理され、入出力程度の機能しか 持たない端末のことです。書類の作成も保存もサーバ上で処理されるので、データが端 末内に保持されません。

したがって、端末が盗難・紛失した場合でもデータの漏えいが起 きません。そのため、従業員に対しテレワーク用に貸与する端末として有効です。 シンクライアント端末の利用方法は以下の 2 種類です。利用に当たっては、シンクライ アントサーバの用意が必要ですが、ここでは端末について解説します。

シンクライアント端末とは?

Thin(薄い・少ない)+Client(クライアント)」と表され、サーバ側で処理のほとんどを行い、クライアント端末では必要最低限の処理しか行わせないシステムのことです。

シンクライアントは、サーバー側のみで処理を行い、その結果をテレワーク端末に表示するという仕組みなので、データを端末に残すことがありません。

ファットクライアント専用システムを利用

ファットクライアント とは『 fat client 』の事で1980年代頃まではネットワークや通信回線の伝送速度が低く、クライアント側に大きな比重を置くファットクライアントがほとんどを占めていたが、1990年代になると入出力機能だけの軽量なクライアントがサーバ側のデータや機能を高速回線を通じてリアルタイムに呼び出して処理を進める「シンクライアント」(thin client)が登場。

ファットクライアント専用システム型を使用する場合はUSB型等の専用機器(USBキー)が必要です。既存の端末をシンクライアント 化でき、新たな端末の購入が不要というメリットがある一方、専用機器の紛失リスク やシステムの管理コストがかかります。

おすすめ商品 3RソリューションUSB指紋認証キー

指を触れるだけですばやくログイン:指紋認証だから触れるだけでパソコンにログイン|面倒かつ忘れがちなパスワードやPINはもう不要

シンクライアント専用PCを利用

端末を新しく購入する場合には初期投資が必要です。テレワーク導入時点での 利用対象者人数に合わせて手配することで、必要なコストを分散して徐々に導入し ていくのがベターです。

シンクライアント専用PCとして現在、人気なのがGoogleのオペレーティングシステム「Google Chrome OS」を搭載しているノートパソコン Chromebookです。

起動が早く、クラウドとしてGoogleドライブが使用できるのでウイルス対策は不要です。

Chromebook(クロームブック)は、Googleが開発しているオペレーティングシステム「Google Chrome OS」を搭載しているノートパソコンのシリーズである。Chromebox(クロームボックス)は、そのデスクトップのシリーズ。

2017年8月には企業向けの「Chrome Enterprise」も選択できるようになっている。一括管理のための管理コンソールが提供されており、端末を集中管理しやすいため、学校や会社での導入を Google は紹介している。

特徴は下記のとおり。

同スペックのWindows機と比較して動作が軽い。
ユーザー側でウイルス対策する必要がない。
Android端末とBluetoothペアリングしていればログイン時パスワード入力を省略できる(Smartlock)。
HID準拠のマウス・ヘッドセット等、USBマスストレージクラス準拠のUSBメモリ・外付けHDD等はそのまま使える。
プリンタを直接接続することはできない。
Windows用ドライバのインストールが必要になる周辺機器は使えない。
ファイルシステムは、ダウンロードフォルダを除いてGoogleドライブそのものである。

引用:Wikipedia

紹介動画 税込み三万円台! Chromebook がキター!

おすすめ シンクライアント専用PC
  • Chromebookとは、Chrome OSを搭載した簡単で高速起動のパソコンです。Office:なし
  • ウェブやメール、動画視聴からオフィスソフトが無料で利用可能。Androidをお使いの方はすでにお持ちAndroid アプリもそのまま使えます。
スマートフォン・タブレット

スマートフォン・タブレットは営業職等が、移動中に E メール対応や決裁業務等の簡単な操作をするために導入 すると便利です。業務に必要なアプリケーションしか使えないように機能を制限することで、 セキュリティが確保できます。

端末の種類は、機能による種類分けの他に、利用している端末が会社から貸与され た端末か、あるいは私用の端末かによっても、システム 構成が異なるので確認が必要です。

MDM(Mobile Device Management)モバイルアプリケーション管理が可能である環境を構築することで、 従業員が端末を紛失した場合等、遠隔からデータを消去したり、ロックをかけたり、端末 の位置情報を把握したりすることが可能です。

MDMはMobile Device Managementの略、日本語では携帯端末管理(けいたいたんまつかんり)とも言われる。スマートフォンは、パーソナルコンピュータ (PC) と同様な汎用性を持つことから、情報セキュリティの観点からPCと同様に管理を行う必要性が増しており、それを実現するするソフトウェアや情報システムなどをいう。スマートフォンを企業に導入する場合には検討が必要なシステムの1つです。

MDMの主な機能には、「リモートロッくク/リモートワイプ」、「端末へのセキュリティ設定の強化」、『IT資産管理』などがある。

MDM管理

MDM管理

 

紹介動画 MDMとは?

MDMとはモバイルデバイスを管理するツールで、各端末のセキュリティ対策等の管理を容易にするものであり、テレワーク活用に伴う情報漏洩、不正利用等の危険を防ぐことができる。そして、実際のオプティム社の製品を紹介しながら、MDMによって可能になるセキュリティ対策、機能制限、端末セットアップ等の機能について具体的に解説している。

BYOD PCの業務利用

「BYOD」とは、「Bring Your Own Device」の略称で、従業員が私物のPCやスマ ートフォン等の端末を業務で利用することです。私物の端末から、企業の用意する専用 システムにアクセスしてデータの操作や閲覧を行います。

従業員は使い慣れた端末を利用でき、企業側は従業員ごとに端末を用意するコスト や手間を省くことができる利点があります。

ただし、設定によっては、端末中に業務に使ったデータが残る場合があるため、端末が 盗難・紛失した際の情報漏えいが懸念されます。セキュリティの確保には、リモートデスク トップ等の端末にデータが残らない遠隔操作システムを併用したり、端末自体をシンクラ イアント化することが効果的です。

BYODを取り入れている企業もあり、その際は手当としてBYOD手当を支給している会社もあります。

BYOD

BYOD

 

テレワークシステム方式

テレえもん
テレえもん

テレワークを実現するためのICTシステムとは、会社内での業務環境と同等の環境を、会社以外の場所(自宅、サテライトオフィス、及び営業などの出先)において、安全に提供するシステムのことです。

テレワークシステムには、いくつかの方式がありますが、大きく分けて、次の2つの方式に分かれます、この分類は、セキュリティポリシーの視点で極めて重要になります。

① データを外に持ち出す方式

 画面転送方式:データは会社から持ち出さずに社内のパソコンで実行して、そのパソコンの画面(とマウス・キーボード等の操作入力)だけを外部に転送する方式

データー持出し方式

データを社外に持ち出す方式にも、持出し方によって次の3つの方式に分類することができます。

① 会社のパソコンに入れて持ち出す方式

② VPN (Virtual Private Network)で接続して持ち出す方式

③ クラウドアプリを介して持ち出す方式

会社のパソコンに入れて持ち出す方式

会社で使っているパソコンの中に必要なデータを入れたまま会社の外に持ち出す方法です。普段使っているパソコンそのままなので、慣れていて使い勝手は良いし、そのままいつもどおりの環境で業務を行うことができ便利です。

ただし、外部に持ち出した時には社内の共通サーバーなどの社内ネットワーク資源とは接続されてないので、作業環境は自分のパソコンに閉じたものに限られます。

一方、セキュリティの視点では、会社内の安全な環境から外に出ているので、非常に危険な状態になっています。物理的に盗まれたりなくしたりするリクスクが大きくなります。これに対しては、持出しリスクの対処等が必要になります。

さらにこの会社から持ち出したパソコンを外部にあるネットワーク(インターネット等)につなぐことは、ウイルス感染などの接続リスクが生じ、非常に危険です。これに対しては、接続リスクの対処等が必要になります。

社外に持ち出したパソコンはインターネットには接続しないというのが一番安全確実な方法です。万一インターネットにつなぐ場合は、社内のファイアウォールで守られた環境と同等以上のセキュ
リティ対策を取る必要があります。

社外に持ち出したテレワーク用パソコンを再び社内で使う可能性があるのなら、なおさらです。
これから述べる他の方式についても共通にいえますが、社外に持ち出して外でインターネットにつないだテレワーク用端末を、再び社内に持ち込んで社内のネットワークにつないで使用する、という
ことは、会社全体を汚染した状態にしてしまう可能性があり、非常に危険です。禁止すべき行為だといえます。

会社のパソコンに入れて持ち出す方式

会社のパソコンに入れて持ち出す方式

VPN (Virtual Private Network)方式

社外のパソコンからVPNを介して社内ネットワークに直接つなぐ方式です。社内のサーバー等のリソースにも(アクセス権の範囲で)自由にアクセスできるので、社内で作業するのとほぼ同じ環境
で社外から作業できます。

具体的には、作業に必要な時だけ社内のサーバーから社外のパソコンにデータをコピーして持ち出し、作業が終了したら書き換えたデータを社内のサーバーに書き戻します。

この方式でも、作業中は社外のパソコンにデータがありますので、持出しリスクの対処等が必要になります。

持ち出している期間は作業中だけとなるので、「会社のパソコンに入れて持ち出す方式」より時間的に短い分、リスクも少ないです。また、社外に持ち出すデータの管理を行うツールも販売されて
います。

この方式では、VPNにつなぐパソコンの安全性が問題になります。専用のシンクライアントのパソコンでインターネットにつないだことがないものが安全かつ確実です。

ファットクライアントのパソコンで外部のインターネットにつないだことのあるパソコンを使用する場合は、接続リスクの対処等が必要になります。

汚染された可能性のあるパソコンをVPNを介して社内のネットワークとつなぐことは、会社全体を汚染した状態にしてしまう可能性があり、非常に危険です。禁止すべき行為だといえます。

VPN (Virtual Private Network)方式

VPN (Virtual Private Network)方式

 

VPNとは? Virtual Private Network バーチャル プライベート ネットワークの事。

インターネット(本来は公衆網である)を利用して、プライベートネットワークを拡張する技術、およびそのネットワークである。VPNによって、イントラネットなどのプライベートネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される、仮想プライベートネットワーク、仮想専用線とも呼ばれる。引用:Wikipedia

動画 【ネットワーク】VPNとは?

インターネットVPNの種類である、IPSec-VPN、SSL-VPN、L2TP/IPSec、PPTPについての内容です。

クラウド型アプリ方式

この方式は、資料作成などの業務に用いるデータをクラウトサービス内に置き、クラウド上のクラウドアプリを用いてテレワークを行う方法です。クラウトサービスを利用できる通常のインターネット環境があれば、どこからでもテレワークが可能です。

クラウドアプリは、企業側が用意したサーバーではなく、サービス提供事業者側が用意したクラウドサーバー上にあるWebアプリケーションです。クラウドサービスとも呼ばれています。サービス自体が、社内外に限らず自由にアクセスする前提で作られています。

利用するデータはクラウド内に保存され、必要な時だけ外部のパソコンにデータをダウンロードして持ち出すことになります。

この方式では、作業中は社外のパソコンにデータがありますので、持出しリスクの対処等が必要になります。

ネットワークセキュリティに関しては、作業用のパソコンを直接社内のネットワークとつなぐ訳ではなく、ネットワークが分離されていて独立しているので、会社内部を汚染する可能性はありません。

但し、この方式は、そもそも日頃から会社内での作業自体が外部のクラウドアプリを用いた処理になっていることが前提です。自社内の独自のアプリなどグラウトサービスとして提供されていないア
プは使えないので、テレワークの内容が限定されます。

また、データを社外のクラウトで保管することになりますので、それがセキュリティポリシー上許されるかどうかなど、確認が必要です。

企業における一般的な業務はWeb・クラウドアプリケーションで対応できます。文書作成・管理には「Microsoft Office 365」、ファイル管理には「Dropbox」や「box」、グループウェアは「CACHATTO」「desknet’s NEO」や「サイボウズ ガルーン」などが有名です。

 

動画 CACHATTO Desktop

関連記事:クラウドアプリケーションサービス(SaaS)の選び方

 

画面転送方式

テレワークを実現するための、ファイル持出し方式ではないもう一つの大きな分類は、画面転送方式です。
画面転送方式では、アプリそのものや使用するファイルなどのデータは全て社内のパソコンにあり、その上で実行されます。実行した結果の画面イメージだけが社外のテレワーク用端末に転送さ
れ、表示されます。

また実行に必要なマウス操作やキーボード入力だけが、テレワーク用端末から社内のパソコンに転送されます。

画面転送方式は、テレワーク端末と社内ネットワーク環境とが分離されていることが大きな特徴です。すなわち、テレワーク端末から社内のパソコンを「操作」することはできても、ネットワーク的
にはどのレイヤーにおいてもつながっておらず、テレワークをしているローカルな環境と社内環境とは、ネットワーク的に分離されています。

また、ファイルなどのデータを社内環境から外に持ち出さないことも大きな特徴です。画面転送方式は、ネットワークセキュリティ・リスク及び持出しリスクを最小限に抑えることが可能です。

一方で、画面転送方式では、実行結果の画面やマウス及びキーボード操作等の入出力データを、何らかの方法で安全に社内環境とやり取りする必要があります。

やり取りをする具体的な方法は、転送する画面等の情報をクラウト上のサーバーを用いた専用の転送サービス(クラウドアプリ)を用いるなどの特別な方法を用いることが多いです。さらに、特定通
信などの方式を用いてセキュリティを確保しています。

画面転送方式には以下の2つの方式があります。

リモートデスクトップ方式

自分がいつも使っている社内のパソコンに対して、画面転送方式を用いて接続する方式です。自分のパソコンを、社内にいる時とほぼ同様に操作できるので、簡単に利用できます。

テレワーク端末としては特に制約がなく、BYODの利用も可能です。前もってアプリをダウンロードしておくか、あるいは専用のUSBキー(書込み不可)をパソコンに差し込んで使います。 USB
キー方式なら、サテライトオフィスなどにある貸パソコンを使うことも可能で、パソコンを持ち歩かずにテレワークができる利点もあります。

セキュリティ上は、なりすましを防止することが重要になります。 USBキーの認識と生体認証、端末IDなどの物理認証とパスワードなど、多重認証を行うことが多いようです。

1ユーザから導入でき、BYODも利用できるので、安価なスモールスタートが可能です。大企業での大規模導入の例も見られますが、中小企業にとっても導入しやすい方式と言えます。

画面や入出力等の情報をやり取りする仕組みがセキュリティ上重要になりますが、ネットワーク分離を目指すのなら、HTTP ト ンネリングではなく、多段の特定通信を組み合わせること等が望ましいといえます。

業務効率化や多様な働き方を実現できるリモートデスクトップ、多種多様な製品が販売されていますが人気なのはMicrosoft Windows標準とGoogle Chromeのリモートデスクトップ接続方式。

リモートデスクトップ chrome windows10 比較
Chrome リモート デスクトップ接続

GoogleのブラウザChromeの拡張機能を無料でダウンロード、ブラウザを起動しなくても動きます。
googleが提供してるのでセキュリティは安心できる。

ホスト(操作される側)に設定する場合は別途ダウンロードし、指示に従い設定、特に難しい設定がない、Chromeリモートデスクトップはわずか5分程度特に調べることなく簡単にに導入可能。

Chrome リモート デスクトップ アプリ

動画 【Chromeリモートデスクトップ】たった5分で出来る!

Windows10 純正リモートデスクトップ

ホスト側がWindows10Proでないと接続できない、又 ルーターのポート開放やセキュリティソフトの設定などあれこれ、調べながら1時間以上かかり、専門知識が必要。

ユーザーがWindowsHomeの場合、そしてVPN接続、IPマスカレードの設定がの知識がない場合はChromeリモートデスクトップが圧倒的に使いやすい。

しかし、Chromeリモートデスクトップは遠隔操作しているとき、画像が劣化しWindows純正の精細な表示には及ばない。

動画 ネットワーク経由でWindows 10を操作する(リモートデスクトップ編)

仮想デスクトップ方式 VDI(Visual Desktop Infrastructure)

個人ごとのパソコンの代わりに、社内のサーバー上の「仮想デスクトップ(仮想マシン)」に対して、画面転送方式を用いて接続する方式です。自分の仮想デスクトップに対して、社内にいる時とほ
ぼ同様に操作できます。

この方式は、もともとテレワークのためではなく社内で物理的なパソコンの利用をやめてサーバー上の仮想マシンを個々に割り当てることを目指したものです。

パソコンのOS等のバージョン管理を共通にして管理を容易にし、社内網のどこからでも仮想マシンを自由に使えるので、オフィスのフリーアドレス化に適した方式であること等の利点があり導入されたものです。

通常はシンクライアント端末を利用し、アプリやデータは全てサーバー上で実行するために画面転送方式が用いられます。

この方式でそのままシンクライアント端末を社外に持ち出して、テレワークシステムとして利用したのが仮想デスクトップ方式によるテレワークです。

画面や入出力等の情報は、シンクライアント端末をVPNで社内環境に接続してやり取りすることが多いようです。 VPNは通常インターネット上のサービスなので、ネットワーク分離をするには特
定通信を組み合わせるか、あるいは仮想ではない物理的な専用網を用いることが必要になります。

また、テレワーク端末自体が汚染されると社内環境が汚染されるリスクが高い直接接続なので、厳密なシンクライアント端末としての管理が重要になります。

仮想デスクトップ方式は仮想化のため、個々のパソコンを廃止して社内のICT環境を全面的に置き換えるので、システムの価格が高価になります。大企業がオフィスのフリーアドレス化などと合わ
せて大規模に導入する例が多く見られます。最近では、クラウトサービスの一つとして仮想デスクトップのメニューも出てきており、初期投資を抑えた1台からの導入も可能になっています。

 

仮想デスクトップ方式

仮想デスクトップ方式

仮想デスクトップ方式には仮想PC方式、SBC方式(サーバーデスクトップ共有方式)、HDI方式(ホスト型デスクトップインフラ方式)およびDaaS方式(パブリッククラウド方式)の種類があり各方式の利点、欠点がある。

その中で現在、DaaSの市場規模は拡大が予想されています。

理由は古いOSでしか動作しないアプリケーションや、古いブラウザでしか動作しないWebシステムが依然として残っている会社が多い為、それらを使い続けざるを得ないために仮想デスクトップ環境が必要になっているという事情あるからです。

DaaSは「Desktop as a Service」の略語です。IaaS・PaaS・SaaSなど、インターネット経由で提供される様々なクラウドサービスと同様なサービスです、読み方は「ダース」と呼びます。

DaaSは簡単に説明するとデスクトップ環境そのものをサービスとして配信するというものです。利点は①初期投資が不要 ②運用コストが抑えられる事です。

代表的なDaaSサービスにAmazon WorkSpacesがあります。

Amazon WorkSpac

アマゾンはAWS(Amazon Web Service)のようなクラウドサービスを展開していますので、このクラウド環境にVDIを構築して提供しているのが「Amazon WorkSpaces」です。

動画 クラウド型仮想デスクトップ「Amazon WorkSpaces」ご紹介 

関連記事:テレワーク セキュリティ対策【図解】

参考文献:

テレワーク導入・運用の教科書

テレワークで働き方が変わる! テレワーク白書2016

できるテレワーク入門 在宅勤務の基本が身に付く本

コメント

  1. […] 関連記事:テレワーク ICT環境の整備【図解】 […]

タイトルとURLをコピーしました