マイクロソフト事例: 社内 PC を社外から〜社外からでも社内同様の作業環境を実現する〜更新日: 2011 年 9 月 5 日 場所や時間にとらわれずに、個人の能力を最大限に発揮してもらえる柔軟なワークスタイルを実現するために重要なことは、社外にいるときでも、社内と変わらない IT 環境を利用できるようにすることです。光ファイバなどによる高速インターネットや、公衆無線 LAN が幅広く普及し、VPN (仮想プライベート ネットワーク) 機能などが標準で PC に搭載されるようになった現在では、社外から社内ネットワークにアクセスできるようにすることは、それほど困難ではありません。問題は、情報システムの柔軟性や使い勝手を高めるだけでなく、同時にそうした多様なシステム利用を管理掌握し、システムの安全性を確保しなければならないことです。 手軽でシームレスな社外から社内ネットワークへのアクセスを実現しながら、安全性を同時に確保するために、日本マイクロソフトでは、Windows 7 Enterprise/Ultimate と Windows Server 2008 R2、IPv6 を組み合わせた DirectAccess による接続を可能にしています。この DirectAccess では、特別なハードウェア (認証用の IC カードなど) や特別な手続きがなくても、正しいデジタル証明書がインストールされた PC で、正しくログオンに成功したユーザーなら、あたかも社内の無線 LAN に接続するかのように、社外からでも社内ネットワークにアクセスできます。あまりにも手軽に接続できるため、当初は安全性に不安を感じるシステム管理者もいらっしゃいますが、PC が社内ネットワークに接続したときには、社内と同じセキュリティ ポリシーが強制されます。つまりどれだけ手軽であっても、セキュリティ面では、社内で PC を接続しているのと変わらない安全性が確保されているのです。 DirectAccess では、IPSec over IPv6 のトンネルを使って社外の PC と社内ネットワークを IPv6 で接続します。これ以後は、Active Directory ドメインの認証が実行され、必要なポリシーの適用や更新プログラムの適用などが実施されたのち、社内リソースが使えるようになります。接続に必要な一連の手続きは自動的に実行されるため、ユーザーは煩雑な手続きに悩まされることはありません。\\Server\Share のように、社内で通常使用している UNC 名を使用してファイル サーバーに接続することもできます。 社内と変わらない作業環境を社外でも提供するうえで、どうしても必要になるのが電話などのコミュニケーション機能です。現代のデスク ワーカーは、電話や電子メール、テキスト メッセージング、ビデオ会議などを目的と場面に応じて使い分けています。歴史的な経緯もあり、多くの場合、これらは統一されたプラットフォーム上ではなく、異なるプラットフォーム上で運用されていることが多いでしょう。このような環境で、社外と社内のコミュニケーション環境を同一レベルにするのは困難です。電子メールやテキスト メッセージは社外でも送受信できるが、電話やビデオ会議には対応できないなど、社外で対応できる業務が大きく制限されてしまいます。 日本マイクロソフトでも、自分の座席が決まっていないシェアード オフィスでどうやって個人別の内線電話を受発信できるようにするか、在宅勤務など社外で作業する場合でも、いかにシームレスな通話を可能にするかが問題になりました。これを可能にしたのが、コミュニケーション プラットフォームの Microsoft Lync Server 2010 です。Lync Server 2010 は、Office Communicator 2007 R2 の後継製品で、ビジネス環境におけるコミュニケーション機能を幅広く、統一的にサポートします。 具体的に Lync Server 2010 は、メンバーの在席確認や電話、テキスト メッセージング、複数メンバーによるボイス会議、ビデオ会議、アプリケーション共有と、エンタープライズ環境で求められるほとんどのコミュニケーション要求に応えます。Lync Server 2010 は Active Directory のユーザー情報やポリシー情報を利用するため、個別の管理は必要ありません。Lync Server 2010 の管理ツールは Web アプリケーション ベースなので、特別な管理ソフトウェアを PC にインストールしなくても、どこからでも管理が可能です。またシェル ベースのコマンドライン ツールも豊富で、Windows PowerShell によるスクリプトで管理作業を自動化することもできます。 日本マイクロソフトでは、音声電話をこの Lync Server 2010 に完全に統合し、PC さえあれば、社内のどこにいても、Lync 経由で個人用内線電話の発着信ができるようにしました。社外にいても、DirectAccess によって社内ネットワークに接続していれば、社内にいるときとまったく同様に、電話の発着信ができます。たとえ在宅勤務している場合でも、電話をかけてきた取引先相手は、その社員が自宅で作業していることはわからないでしょう。こうして日本マイクロソフトの各社員には、出社しても在宅でも、どちらでもまったく変わらないコミュニケーション環境が提供されています。 .gif)
<用語解説と導入のための資料>■ DirectAccessWindows Server 2008 R2 から搭載されたリモート アクセス機能。IPSec over IPv6 のトンネルを利用して、VPN を利用しなくても、インターネット経由で社外環境から社内ネットワークに安全に接続できるようにします。従来、社外 PC から社内ネットワークへのアクセスでは、VPN (Virtual Private Network) を利用するのが一般的でした。しかしこの方式では、安全のために長いパスワードを覚えておく必要があるだけでなく、社内での接続は LAN、社外からの接続は VPN として、利用者がそれぞれを意識して使用しなければなりません。これに対し DirectAccess では、接続してきた PC の環境 (社内か、社外か) を自動的に判別し、適切なネットワーク接続が使われます。DirectAccess を利用するには、クライアント PC は Windows 7 である必要があります。 <関連リンク> 【情報収集・提案】
【設計・導入・メンテナンス】 ■ Network Access Protection (NAP)Windows Server 2008 で搭載されたネットワーク管理機能の 1 つ。クライアント PC ごとにアクセスできる社内リソースを管理できるようにします。システム管理者は、そのクライアント PC が使われる部門はどこか、どのような立場のユーザーがクライアント PC を使うのかなどに応じ、組織のセキュティ ポリシーに従ってアクセスできるリソースなどを制限できます。また接続時の PC の状態 (ソフトウェアのバージョンや、アンチ ウイルス ソフトウェア、更新プログラムの適用状況) を検出し、それらが社内リソースに接続するための要件を満たしていなければ、要件を満たすように自動的に構成変更を強制してから、社内接続を許可します。こうした NAP の機能は、社内でのネットワーク接続はもちろん、DirectAccess を使用した社外からの接続に対しても機能します。NAP を利用することで、クライアント PC から社内リソースへのアクセスの柔軟性を高めつつ、ネットワークの安全性を確保することができます。 <関連リンク> 【情報収集・提案】
【設計・導入・メンテナンス】 【さらに詳しく】 ■ Microsoft LyncMicrosoft Lync は、PC をベースとする共通プラットフォーム上で、電話やテキスト メッセージング、ビデオ通話、Web 会議、アプリケーション共有などといった、人との人とのコミュニケーションを統合的にサポートするシステムです。通信は IP ベース (VoIP) で実行されるので、インターネットさえあれば場所によらず共通のコミュニケーション環境をユーザーに提供できます。また一般に、従量課金の電話回線を使った通話や、専用のビデオ会議システムと比較すると、通信コストを削減できます。Lync は Active Directory と完全に統合されているため、Active Directory に集約されたユーザーや PC の管理情報をそのままコミュニケーション環境にも適用できます。電話とテキスト メッセージング、ビデオ会議など、手段によって別の管理が必要になるのは煩雑ですが、Lync でそれらを統一すれば、管理コストを圧縮できるとともに、それらの通信はすべて共通する暗号化通信プラットフォーム上で実行されるため、安全性の確保や安全管理の面でも非常に有効です。 <関連リンク> 【情報収集・提案】 【設計・導入・メンテナンス】 【評価版】
|
.gif){kind=icon}
ページのトップへ