ZDnetというIT系サイトが『テレワークでも押さえてほしい「Device as a Service」とセキュリティの勘所』と言う解説をしていた。テレワークが重視されるまでは、社内のネットワークはVPNで構築されていて、社外での利用は想定がいであった。そこに、テレワークが入ってくると、セキュリテウィの考えが全く異なり、社外でPCを使う人のID管理が重要になると言う。
以下、記事の要約と引用::::::::::::::::::::::::::::::
既にテレワークやモバイルワークを実践されている企業でも、それは仕事の時間の一部分であり、最近の状況から仕事の時間の大部分をテレワークやモバイルワークにするということに戸惑っている企業も多いのではないでしょうか。そして、ここには実に厄介な問題があります。
企業のPC管理環境は、一時的に社外にPCがあることを想定していても、ほとんどの時間を社外で過ごすようには考えられていません。多
くのPC管理環境を構成するシステムは、オンプレミスだったり、社内ネットワークにVPN(Virtual Private Network)で接続されているIaaS(Infrastructure as a Service)上にあったりします。ユーザーが社内にいない場合、PCと社内ネットワークを仮想的につなぐVPNで接続してこれらのPC管理環境に接続することになりますが、データサイズの大きなWindows Updateなどは実行されないようにしているケースが多いのです。
その理由は、VPN装置が高価であり、全てのユーザーに十分なネットワークの通信帯域を用意しようとすると、コストが跳ね上がってしまうためです。週1回とか、一時的な外出の合間でPCを利用する時にVPNを使い、後で社内ネットワークに戻ってくるということであれば、これで問題ないのですが、ほとんどの時間を社外で過ごすとなると、話は別です。社内と社外でできること、できないことがあるということは許されません。
これはサポートに関しても言えます。そもそも従来は、社内にPCがあることが前提です。例えば、PCが壊れて交換が必要になっても、そのPCをIT部門まで持ってきてもらって交換すればいいだけです。遠隔の拠点であれば、予備のPCを各拠点に配置しておくなどしておけば、ユーザーのダウンタイムを最小限に抑えることができます。
しかし、ユーザーが社外のどこにいるか分からない、事前に想定できないテレワークやモバイルワークは勝手が違います。日本はまだ、完全に外出禁止ということにはなっていませんが、このまま事態が収束しなければ、そういう状況になることも想定されます。PCが壊れてしまえば、本当に仕事が全くできない状態になり、外出禁止令を破る危険を冒して、会社にPCを取りに来てくれと言えるものではありません。また、IT管理者もそのためだけに出社するわけにもいきません。
それでは、テレワークやモバイルワークに最適な「Device as a Service」というのはどういうことなのでしょうか。
「Device as a Service」をPC管理業務のアウトソーシングサービスと捉えて、サービスを受ける人はPCの管理者とよく誤解されるのですが、そうではありません。「運用された状態のデバイスをサービスとして提供される」ことが「Device as a Service」であるわけですから、運用された状態のデバイスの提供を受ける人=使う人がサービスを受ける人です。故に「Device as a Service」の提供を受ける人は、利用者たるユーザー(一般従業員)であり、PCの管理者ではありません。
そして、ユーザーが直接「Device as a Service」のサービサー(サービス提供者)からサービスを受けるということは、ユーザーが社内にいようが、社外にいようがサービスを受けられるということであり、たとえ修理交換の必要があっても、ユーザーがどこにいようともデバイスが届けられるようになっているべき、ということでもあります。サービスを提供するのが社内の人ではないので当然ですね。
それ故に「Device as a Service」は、クラウドファーストであるべきです。初期投資が発生する設備をユーザーに持たせることは、サブスクリプションビジネスでは受け入れられにくいものであることは言うまでもありません。だからこそ、全てクラウドから提供されるべきでありますし、そもそも先述のようにユーザーの所在場所にかかわらずサービスを提供していく必要があるとなれば、クラウドファーストにならざるを得ないとも言えます。
そうなると従来の“社内ネットワークであれば安全”というわけにはいきませんから、“ゼロトラストネットワーク”という新しいセキュリティの概念が必要になります。
全ては密接に絡みます。要点は次の通りです。
- ユーザーが社内にいることを想定できない。社外のどこからアクセスされるか分からない中でVPN接続を前提にしてはコストが膨大になり、現実的ではない
- そもそも場所を問わずサポートするための管理環境はクラウドであるべき
- クラウドのセキュリティを社内ネットワークからのアクセスのみに制限していることで担保していると、VPNをつながないとクラウド利用できない=VPN装置に負荷がかかる
- クラウドをどこからでも安全に利用するためにはゼロトラストネットワークへ移行する必要がある。ネットワークに依存してセキュリティを担保しない
- ゼロトラストネットワークはIDを中心としたセキュリティの担保の仕方になる
- 運用された状態のデバイスをサービスとしてユーザーが直接受けるためにも、サービスを受ける人を特定するIDが重要になる
※コメント投稿者のブログIDはブログ作成者のみに通知されます