コロナ禍のパンデミックでテレワークが主流になったものの、最近はオフィスの再開を検討している企業もあります。テレワークからオフィスワークに切り替える社員のために、従来のオフィスのセットアップが再び必要になります。そのために、IT 部門ではどのように準備を整えるべきでしょうか?
パンデミックの第一波で全世界がパニックになったとき、多くの勤務者が、有無を言わせず突然在宅勤務を余儀なくさせられました。IT 部門は、セキュリティの問題について検討し、データ侵害が発生すれば責任を負うことになるとの覚悟を持って、必要なツールを配備しました。CIO (最高情報責任者) は、PICNIC、ハッキング、さらには災害のせいであっても、実際の原因には関係なく、データ侵害があれば常に責任を問われます。ところが、TechRepublic が報じているように、テレワークで自分のパソコンを使用する在宅勤務者も多く、セキュリティ・リスクが懸念されます。TechRepublic の記事で紹介されている Morphisec の調査によると、半数以上の在宅勤務者が自分のパソコンを使用しており、23%は自分のデバイスのセキュリティ・プロトコルについて不確かです。
最近では、在宅勤務が義務ではなくなり、社員がオフィスで作業するという勤務形態がオプションとして検討されるようになりました。IT 部門は、今度は、社員がオフィスワークに戻るための調整をする必要があります。テレワーク移行時との逆の作業をすればいいとは単純には言えないでしょう。週に1〜2日オフィスに通勤し、残りは在宅勤務を行うというハイブリッドモデルを採用する企業もあり、考慮すべきことはたくさんあります。
最初のステップ
IT 部門としての最初のステップは、何に焦点を合わせるべきか、何に関与すべきでないかを定義することです。IT 管理者は、コロナのパンデミックに関連して発生する支払いやカウンセリングといった経理や人事の事柄にはタッチしません。オフィスワーク、長い通勤、会議、マイクロマネジメントなどを好まない社員がいるかもしれませんが、IT 部門は人事には介入せず、社員の勤務形態に合わせて業務が効率的かつ安全にこなせるようにする態勢を整えることに集中すべきです。また、社員がロックダウン中にどんな体験をしたかや、Google、Facebook、Apple、Twitter などの大手テクノロジー企業がテレワークの継続を発表しているといった状況に関心を寄せることもないでしょう。純粋に技術的な分野に属す企業以外は、この選択肢を持っていません。
オンサイト準備
オンサイトのITインフラストラクチャに関して、ハードウェアの交換やアップグレードは必要ありません。サーバー、デスクトップ、およびポータブル(ラップトップ、タブレット、スマートフォンなど)は、基本的には変更不要ですが、在宅勤務をどのように許可するかの方針(対象者や頻度など)に応じて在宅勤務のための設定を調整する必要はあります。私の意見としては、「アジャイル IT」、社員がどこにいても最大の生産性を得られる仕組みを整えておくのがベストだと思います。オフィスワークになったからと言ってテレワークから完全に切り替えるのではなく、どちらにも対応できるようにしておくことで、次の緊急時にも備えられます。せっかく在宅勤務用に整えた設定を捨ててしまう必要はありません。
IT 部門と他部門との協業は常に大きな課題ですが、今回のような場合は、施設責任者と協力して、パンデミック後のオフィス環境が地域の保健当局からの制約事項を満たしていることを確認する必要があります。マスクの着用や手指消毒剤の場所は(利用可能な「スマート消毒剤」でも出現しない限り)ITとは無関係ですが、オフィスのレイアウトはソーシャルディスタンスのガイドラインを満たすために、ほぼ確実に変更する必要があるでしょう。キュービクルやパーティション、個々のオフィスを大きくしたりする必要があるかもしれません。
再配線、ダクト調整、ケーブル接続などが必要になる可能性があります。体温チェック用のワークステーションなども検討に含めるべきかもしれません。
新しいレイアウトが整ったら、社員がオフィスに戻る前に、IT 部門ですべての接続をもう一度確認します。アルコール消毒など、推奨される方法を使用した IT 機器の消毒も実施する必要があります。
社員がオフィスに戻るこのタイミングで、モバイルデバイスに対する統制を確立し、チェック事項の監査(適切だと思えば同時に消毒も)をするのが望ましいでしょう。社員が大勢いる場合は、ある程度のグループに分けて少しずつオフィスワークへの切り替えを行うようにするのが最適です。また、本当にオフィスに戻る必要があるのは誰かという点も検討が必要です。
すべてのデバイスが会社所有であるか、少なくとも BYOD ポリシーの対象であると想定し、会社のネットワークに直接接続する前に、デューデリジェンスを実行してすべてのデバイスを監査する必要があります。これを怠ると、接続したときファイアウォールの内部にマルウェアが侵入するかもしれず、データ侵害やランサムウェア攻撃の容易なターゲットになってしまいます。
様々な潜在的な問題を考慮して、次のような点を監査でチェックします。
1. デバイスのスキャン
デバイスを全面的にスキャンします。承認されたセキュリティソフトウェアが使用されているかをチェックすることを含みます。スキャンを開始する前に、すべての更新を実行することを忘れないでください。スキャンした結果、ウイルス、トロイの木馬、マルウェアなどが検出されれば削除する必要があります。
2. ソフトウェア監査
シャドーIT を、少なくとも一時的に排除する方法として、ソフトウェアレビューを実施します。許可されていないソフトウェアやゲーム、既知のセキュリティ上の欠陥があるコラボレーションツールなど、在宅中にインストールされたジャンクを削除できます。監査可能な証跡なしでファイルを転送するツールは、データ侵害が発生した場合、電子情報開示やプライバシー法で大きな罰則を科されることになるので、すべて削除する必要があります。経営陣は、 在宅勤務を継続するか、オフィスワークに切り替えるか、両者をフレキシブルに運用するハイブリッドモデルを採用するかを含め、将来の計画を IT 部門に通知する必要があります。また、コラボレーションとリモートアクセス用に承認されたツールのリストを確認する必要もあります。
3. アップデートとパッチ
オフィスワークの場合は、パッチとセキュリティアップデートが、定期的なメンテナンスの一環として全社的にインストールされていると思いますが、在宅勤務者がしっかりとこれらのタスクを実行していると想定することはできません(その権限もないかもしれません)。インストール前にすべてのデバイスを更新するといったポリシーに従って、OSおよびその他の承認されたソフトウェアを最新の状態にします。
4. 監査証跡
すべての企業は規制コンプライアンスを遵守する必要があります。特に、企業データを共有する場合には注意が必要です。社員がテレワーク中であっても、個人を特定できる情報(Personally Identifiable Information、PII)やデータ侵害に関して会社の責任がなくなるわけではありません。リモート作業者用の VPN アクセスを備えた MFT ソリューションを使用して、すべての作業環境でのデータの流れをコントロールする必要があります。
まとめ
他にも留意事項はありますが、このブログではここまでにしておきます。強調したい点は、リモートであれオンサイトであれ、すべての社員がセキュリティに関する情報や警告を受けられるようにすることが大切だという点です。そして、リモートの場合は、セキュリティソフトウェアとパッチ・アップデートが必要に応じてインストールできるよう、ユーザーに管理者アクセスを許可することも検討すべきです。
新型コロナウイルスは、私たちの働き方を永遠にそして短時間で変えました。テレワークの生産性が高いと感じている人もいれば、ほかの社員と対面で交流できるオフィスワークを切望している人もいます。企業がこの経験から何を学んだかはまだ明確にはなっていませんが、願わくば、すべての人々にとって働きやすい、柔軟な作業環境の整備につながりますように。1つ言えるのは、企業は、この経験によって、事業継続計画をテストし、将来の混乱に対してより効果的に備えるようにできるようになったはずだということです。