MOVEit リソースセンター

「ソーシャルディスタンス（社会的距離）」という言葉がすっかり定着した今、完全に業務を停止するわけにはいかない企業にとっての最適な選択肢は社員に在宅勤務を指示することです。ただし、テレワークは様々な IT 問題をもたらします。

シャドー IT とは、簡単に言えば、IT 部門の承認や許可なしにソフトウェアやデバイスを使用することですが、在宅勤務、遠隔勤務、テレワーク、リモートワーク、など、呼び方はどうあれ、社員にオフィス以外からの勤務を許可する状況に慣れていない会社は、シャドー IT や潜在的な運用上およびセキュリティ上のリスクを考慮する必要があります。特に、初めて在宅勤務を実施する場合は、関連する潜在的なリスクまで配慮が及ばない場合が多々あります。

テレワークへの計画

ほとんどのビジネスプロセスに共通する最初のステップは計画です。緊急時のテレワークは、リスクを最小限に抑えるための詳細な IT 計画が整っている場合にのみ実施されるのが理想です。その計画は、起こり得るどのような問題をも想定した上で練られるべきであり、セキュリティ上のリスクを軽減するソリューションを含める必要があります。シャドー IT によるリスクを排除するには全社員からの協力が得られなければなりません。企業のポリシーや接続されたデバイスをどこが所有するかなど、種々の要因が関係してくるので、採用される手段は様々です。このブログでは、起こり得る潜在的な問題と、それぞれに対する可能な解決策を考察します。

1. ユーザーとの情報共有

問題：ユーザーは自分にセキュリティを守る責任があることを認識していない。

データとネットワークのセキュリティへの責任は、IT 部門にあります。IT 部門は、セキュリティの責務を果たすため、可能な限りリスクを軽減するのに必要なことを実施する公式の許可を与えられていますが、セキュリティ対策は、すべてをコントロール下に置こうとしたり、権限があることを誇示したり、生産性を制限したりする試みではありません。根気がいる作業ですが、ユーザーにセキュリティへの自覚を促すことが大切です。

テレワークを成功させるための計画は、すべての部門からの情報に基づいて決定されるべきであり、計画はすべてのユーザーに周知する必要があります。何かしなければならないことがあれば、そうしなければならない根拠を説明します。そういった努力を怠ると、セキュリティ意識が低いユーザーは勝手に回避策をとってしまいます。たとえば、在宅勤務者にクラウドストレージの使用を禁止したい場合は、計画に、その合理的な理由を含めてその旨を明記します。周知徹底して正式にリリースされると、ユーザーはテレワークのセキュリティポリシーを知らないと主張することができなくなります。

2. データ・ガバナンス

問題：企業ネットワークの外部とデータ共有する必要がある。

管轄区域に関係なく、どのような企業も、様々なデータのプライバシーと保護に関する法律を遵守しなければならず、企業の IT 計画にはすでにデータ・ガバナンスに関する事項が含まれているはずです。電子情報開示やコンプライアンスの要件を満たすため、誰がいつデータにアクセスしたかを、いつでも把握できなければなりません。データ・ガバナンスは、 BYODによって複雑化し困難になっていますが、さらにリモート環境へも対応しなければならなくなると、困難さは増大します。テレワークでは、家族全員が共通にアクセスできるファミリーコンピュータなどの機器を使用する可能性があります。クラウドで、未承認のファイル共有やストレージサービスを使用する可能性もあります。困難な問題であることは明らかです。IT 部門は、どのようにすれば企業データを保護できるのでしょうか？

このため、在宅勤務によるほとんどの作業には、会社のネットワークへのリモート接続、または Basecamp などの承認済みプラットフォーム（テレビ会議が必要な場合は、信頼できるソリューションを選択しなければなりません）を介したリモート接続が必要です。企業データはシステム外に移動できないようにし、完全なトレーサビリティを維持する必要があります。

3. デバイス監視のレベル

問題：IT 部門でデバイスの管理をコントロールできない。

ユーザーの一人として言わせてもらうと、私は会社の管理者にデバイスの管理をコントロールされたくありません。しかし、コントロールされることを許容して、BYOD ポリシーに従う人もいます。IT 管理者は、パーティション分割して、割り当てたパーティションにデバイス監視ソリューションをインストールすることで、ある程度のコントロールを実現できます。また、会社所有のデバイスを社員に提供すれば、交渉したり許可を得たりする必要なしにフルコントロールが得られます。

4. ソフトウェアのライセンス

問題：ソフトウェアライセンスの数がインストールされている数と一致しない。

多くの企業はユーザーにソフトウェアのインストール権限を与えていませんが、個人用デバイスを使用しているユーザーは生産性を向上させるためにソフトウェアをインストールするかもしれません。もちろん悪意があってのことではありませんが、ライセンス監査が行われてライセンス数を上回ってインストールされていることが判明すれば、会社は責任を問われます。違反した企業に対する罰則は、非常に高額になる可能性があります。

さらに、特にソフトウェアが不正にダウンロードされた場合、キーストロークの記録、パスワードの取得、または会社のネットワークへのアクセスを許可するマルウェアが含まれている可能性があります。IT 部門から承認されたソフトウェアソリューションは、更新とパッチが速やかに実行されている限り、信頼性と安全性を備えていると考えられます。一番わかりやすいのは、「承認済み」としてリストされているソフトウェア以外は使用しないという原則を守ることです。モバイルアプリもこれに含まれます。まったく無害のように見えるアプリやゲームでさえ、意図しないデータ侵害を引き起こす可能性を否定できません。

5. 制限と許可

問題：警告しても、ユーザーは未承認のソフトウェアやサービスを使用してしまう。

周知の徹底、教育、警告などではどうしても統制できない場合は、システムで制限を加え、許可制にする方法があります。これは、IT 部門がセキュリティ対策を確実に実施できるようユーザーを監視していることを意味するので、本当に最後の手段です。デバイスに対して十分な権限を持つ IT 部門は、サービスプロバイダのブラックリストを作成することもあり得ます。これには、ファイルストレージ、VoIP ソフトウェア、CMS ソリューションなどが含まれるかもしれません。強権行使は両刃の刃で、不服に思うユーザーが代替ソリューションを見つけようとすることを完全に阻止することは不可能です。

6. ソフトウェアリポジトリ

問題：IT 部門からの応答を待っていると時間がかかり過ぎ、結局自分でソリューションを見つけなければならない。

時間がかかり過ぎるから自分でやる以外に方法がないというユーザーの論理は、場合によっては正しいと認めざるを得ません。ソフトウェアの購入を承認するためには、IT 部門とは無関係の部門（財務など）の関与が必要であり、不効率な官僚的形式主義を敢行する企業もあります。ソフトウェアが無料であっても、IT 部門でタスクへの優先順位付けを行うなら、多くの場合一般ユーザーからの要求は優先順位が低く、保留されて遅延が発生します。IT 部門が、在宅勤務が増えたときに、本気で全社的にシャドー IT を排除し、データセキュリティを維持したいのであれば、ソフトウェアリポジトリは不可欠です。

ユーザーが問題を自分自身で解決しようと試みることはよくあり、場合によっては個人のクレジットカードでソフトウェアの支払いをすることさえあります。「IT のコンシューマライゼーション」として知られている現象で、ユーザーは、不効率な官僚的形式主義をもう我慢しようとはせず、さっさと自分で新しいソフトウェアを使い始めます。自分自身の生産性が最優先で、セキュリティは二の次になります。

これは IT 部門にとって好ましい状況ではありません。そうならないよう、ソフトウェアの承認済みリストを作成することは、それほど難しいことではありません。まず、Acrobat Pro、AutoCAD、MS Office などを使用するにはライセンスが必要でコストが発生し、予算責任者の承認が必要です。つまり予算責任者、多くは部門の長、からの要請があるわけで、そのリストを作成してライセンスを適切に割り当てます。その上で、無料のソフトウェアを推奨することになります。

生産性を向上させるためのアプリは無料のものが多く、誰もが使用できるリポジトリ（または最新バージョンの URL のリスト）に簡単に収集できます。そのようなアプリとして、ファイルビューア、コンバータ、ファイル圧縮、画像編集（GIMP など）メディアプレーヤーなど、ここにはリストしきれないほど多くのものがあります。ユーザーが何かのソフトウェアを使用したければ、IT 部門に検証を依頼してもらうようにします。適切だと承認されれば、リポジトリに追加します。ソフトウェアリポジトリにないものは使わないよう徹底してください。

まとめ

在宅勤務のユーザーがリモートでネットワークに接続しているという状況において、 IT 部門が考慮すべき潜在的な問題を順不同で列挙しました。IT 部門は、BYOD ポリシーで許可が与えられていなければ個人のデバイスを監視することができませんが、サポートを提供することは可能です。個人デバイスを監視できないとしても、ウイルス対策ソリューションやサイバーセキュリティソリューションを、会社の費用負担でデバイスにインストールしてもらうといったことも可能なはずです。そうすれば、ユーザーのデバイスがマルウェアやその他の脅威から可能な限り保護されるという安心感が得られます。