テレワークのクラウドサービス方式とは？責任分界・認証・共有設定・BYODの注意点を解説

テレワークのクラウドサービス方式は、テレワーク端末からインターネット上のクラウドサービスへ直接アクセスし、業務を行う方式です。メール、チャット、オンライン会議、ファイル共有、ワークフロー、グループウェア、業務用SaaSなどを、オフィスネットワークへ戻らずに利用します。

総務省の「テレワークセキュリティガイドライン（第5版）」では、VPN方式、リモートデスクトップ方式、仮想デスクトップ（VDI）方式、セキュアコンテナ方式、セキュアブラウザ方式、スタンドアロン方式と並ぶ7方式の一つとして整理されています。通信を社内回線へ集中させにくく、クラウド上で完結する業務では有力な候補になります。

一方、中小企業等向けの手引きでは、会社支給端末のクラウドサービス方式と、個人所有端末のクラウドサービス方式を分けて整理しています。総務省ガイドライン第5版の7方式はシステム構成の分類、中小企業等向け手引きの8方式は端末所有形態を含めたチェックリスト用の整理です。この記事では、両者を混同しないように扱います。

ただし、クラウドサービス方式は「クラウドを使えば安全」という話ではありません。管理対象が、社内ネットワークからクラウド上のアカウント、権限、共有範囲、認証、ログ、端末条件へ移ります。IDとパスワードだけに頼るのではなく、多要素認証や端末認証を組み合わせ、許可された利用者と端末だけが業務データへアクセスできる状態を作ることが重要です。責任分界を曖昧にしたまま導入すると、共有リンクの公開、退職者アカウントの残存、私物端末への保存、外部ゲスト権限の放置が事故の原因になります。クラウドサービス方式では、サービスを契約することよりも、利用者・権限・保存先・ログを継続管理できるかが重要です。

• 適した場面：メール、チャット、オンライン会議、ファイル共有、共同編集、申請承認、グループウェアなど、クラウド上で完結する業務
• 適しにくい場面：社内専用アプリ、重い基幹系システム、オフライン前提の業務、特殊な周辺機器を使う業務
• 導入前の確認点：責任分界、情報区分、共有設定、認証・端末確認、端末保存、ログ、退職者対応、障害時の代替手順

7方式全体の違いはテレワーク方式の比較、自社条件から方式を絞る手順はテレワーク方式の選び方で整理しています。この記事では、クラウドサービス方式の仕組み、適した業務、他方式との違い、認証や共有設定を含むセキュリティ上の注意点を解説します。

クラウドサービス方式とは

クラウド上の業務環境へ直接アクセスする方式

クラウドサービス方式では、テレワーク端末からインターネット上のクラウドサービスへ接続し、クラウド上のアプリケーションやデータを使って業務を行います。オフィスネットワーク内のファイルサーバや社内PCへ接続する方式ではありません。

利用するサービスは、メール、チャット、オンライン会議、クラウドストレージ、共同編集ツール、ワークフロー、顧客管理、プロジェクト管理、勤怠管理など多岐にわたります。ブラウザから利用する場合もあれば、専用アプリから利用する場合もあります。総務省ガイドラインでは、テレワークでSaaSを活用する場面が増えていること、メール、チャット、オンライン会議、ファイル共有などが具体例になることも示されています。

この方式の本質は、働く場所ではなく、業務システムとデータの置き場所にあります。在宅勤務、サテライトオフィス勤務、モバイル勤務のいずれでも採用できますが、業務の処理先はクラウド側です。勤務場所の分類と、システム構成方式を混同しないことが前提になります。

社内ネットワークに戻らない構成を取りやすい

VPN方式では、テレワーク端末からオフィスネットワークへ接続し、社内のサーバやシステムを利用します。クラウドサービス方式では、その経路を取らず、端末からクラウドサービスへ直接接続します。

そのため、利用者が増えた場合でも、オフィス側のVPN装置や回線だけに通信が集中しにくい構成を組めます。テレワークの対象者が増える企業、拠点が分散している企業、業務アプリのクラウド化が進んでいる企業では有力な選択肢になります。

一方で、社内ネットワークの内側で守る前提は弱まります。オフィスネットワーク上のセキュリティ機器だけでは、直接クラウドへ向かう通信を十分に管理できない場合があります。利用者、端末、アプリ、データ、アクセス元、操作ログを条件にして制御する設計へ切り替える必要があります。条件付きアクセス、端末管理、強い認証、ログ確認などを組み合わせ、クラウド側と端末側の両方を管理対象にする必要があります。

利用者認証と端末確認が境界になる

クラウドサービス方式では、社内ネットワークに入ったかどうかよりも、誰が、どの端末から、どの情報へアクセスしているかが重要になります。認証は単なるログイン手続きではなく、業務データへ入るための境界です。

そのため、ID・パスワードだけで利用を許可する構成は避けます。多要素認証を基本にし、管理者アカウントや重要情報へアクセスするアカウントでは、端末条件やアクセス元、利用アプリも確認対象にします。許可端末を明確にしたい場合は、デジタル証明書を使った端末確認も有力な選択肢になります。

クラウドサービス方式に適した業務

コミュニケーションと共同作業

メール、チャット、オンライン会議、スケジュール共有、掲示板、社内ポータルのようなコミュニケーション系の業務は、クラウドサービス方式と相性があります。出社している人、在宅勤務の人、外出先の人が同じ情報へアクセスできるため、働く場所の違いを吸収しやすくなります。

ただし、会議URLの共有範囲、録画ファイルの保存期間、会議資料の外部共有、ゲスト参加者の管理は設計対象です。オンライン会議やチャットは便利ですが、設定次第では機密情報が想定外の相手へ届きます。

ファイル共有と共同編集

クラウドストレージや共同編集ツールを使うと、テレワーク中でも資料の共有、レビュー、更新履歴の確認を行えます。ファイルをメール添付で往復させるより、最新版の所在をそろえやすく、共同作業の負担も減らせます。

ここで問題になるのは、共有範囲です。社内限定、部署限定、案件メンバー限定、外部ゲスト許可、リンクを知っている全員など、設定の違いがそのまま情報漏えいリスクの差になります。クラウド上に置く情報の区分と、共有を認める条件を先に定めます。

申請承認・グループウェア・軽量な業務アプリ

ワークフロー、経費精算、勤怠申請、顧客管理、プロジェクト管理など、ブラウザや専用アプリで完結する業務にも適しています。承認者が出張中でも処理できるため、紙の申請や対面承認がボトルネックになっている組織では効果が出やすい領域です。

ただし、業務アプリがクラウド化していても、添付ファイル、マスターデータ、出力帳票、エクスポートデータがローカル端末へ保存される場合があります。アプリ本体だけでなく、業務データがどこへ移るかまで確認が必要です。

クラウドサービス方式に適しにくい業務

社内専用アプリ、重い基幹系システム、特殊なクライアントソフト、CADや動画編集のように端末性能や周辺機器に依存する業務は、クラウドサービス方式だけでは成立しにくい場合があります。クラウド上の代替アプリがあっても、既存業務の操作性、処理速度、データ形式、連携先を満たせるとは限りません。

オフラインで作業を続ける必要がある業務にも注意が必要です。クラウドサービス方式はネットワーク接続を前提にします。移動中、災害時、通信障害時にも業務を止められない場合は、代替手順や一時保存の扱いを決めておきます。

また、法令、契約、取引先要件、社内規程でデータ保管場所や外部共有に制約がある業務では、サービスの保存先、サポート体制、監査ログ、データ削除、契約終了時の移行方法まで確認対象に含めます。クラウド利用そのものより、扱う情報の条件が選定の制約になります。

クラウドサービス方式のメリット

導入までの時間を短くしやすい

クラウドサービスは、サーバ調達や大規模なネットワーク変更を行わずに始められるものが多くあります。小さな部門や特定業務から試し、運用が固まってから対象を広げる進め方を取りやすい点は利点です。

ただし、短期間で使い始められることと、正式運用に耐えることは別です。最初からアカウント発行、管理者権限、共有設定、ログ確認、退職者対応を決めておかないと、試行利用の設定が本番運用に残ります。

利用者の増減に対応しやすい

ライセンスやアカウントを追加しながら利用範囲を広げられる点も特徴です。全社一括導入だけでなく、部署単位、プロジェクト単位、拠点単位で始めることもできます。

一方で、利用者が増えるほど、権限の棚卸しが難しくなります。利用していないアカウント、異動前の権限、外部ゲスト、共有リンクが蓄積すると、クラウドサービスの利便性が管理負債に変わります。

社内設備への依存を減らせる

業務アプリやデータをクラウド側へ移すことで、オフィス側のサーバ、VPN装置、回線に依存する範囲を抑えられます。災害、出社制限、拠点移転、短期プロジェクトなどでも業務環境を用意しやすくなります。

ただし、クラウド事業者がすべてを代行してくれるわけではありません。サービス基盤の運用と、自社の利用設定は別です。責任分界を確認しないまま契約すると、認証、権限、ログ、データ共有の管理が抜け落ちます。

クラウドサービス方式のデメリットとリスク

設定ミスが外部公開につながる

クラウドサービス方式では、共有設定の誤りが大きな事故になります。ファイル共有リンクを広く公開する、外部ゲストを招待したままにする、部署異動後も権限が残る、管理者権限を広く付与する。こうした設定は、社内ネットワークの外側からでも情報へ到達できる経路になります。

特にファイル共有サービスでは、リンクの公開範囲、ダウンロード許可、編集許可、有効期限、パスワード、外部共有の承認フローを点検します。初期設定のまま運用しないことが前提です。

責任分界を誤解しやすい

クラウドサービスのセキュリティは、事業者側の対策と利用企業側の対策に分かれます。サービス基盤、データセンター、アプリケーションの保守を事業者が担っていても、自社の利用者管理、権限設定、認証、共有範囲、端末条件、ログ確認は利用企業側に残ります。特に、強い認証を有効にするか、管理者アカウントをどう守るか、許可していない端末からのアクセスをどう扱うかは、利用企業側で決める項目です。

「クラウドだから安全」という見方は危険です。正確には、正しく設定し、継続的に管理できる場合に、安全に使える余地がある方式です。無料プランや低価格プランでは、監査ログ、管理者機能、アクセス制御、データ保護機能が不足する場合もあります。

認証を弱くすると不正アクセスに直結する

クラウドサービス方式では、ログイン画面がインターネット側に開かれる構成になりやすく、認証情報を狙った攻撃の影響を受けやすくなります。パスワードの使い回し、フィッシング、退職者アカウントの残存、管理者権限の過剰付与は、外部からの不正アクセスに直結します。

多要素認証を必須にし、管理者アカウントは通常利用と分けます。端末を限定したい業務では、端末認証やデジタル証明書も検討します。クラウド側の共有設定だけでなく、入口となる認証を強くしておかないと、共有範囲を正しく設定していても突破されるリスクが残ります。

端末に保存した後の統制が弱くなる

クラウド上では権限を制御できていても、利用者がファイルをダウンロードした後の扱いは別です。ローカルフォルダ、私用クラウドストレージ、私用メール、USBメモリ、印刷物へ移ると、クラウド側の設定だけでは追えません。

ダウンロードを認める業務、禁止する業務、一時保存だけ許可する業務を分けます。必要に応じて、端末暗号化、画面ロック、MDM、DLP、条件付きアクセス、セキュアブラウザなどを併用します。

クラウド障害の影響を受ける

クラウドサービス方式では、利用サービスの停止や認証基盤の障害が業務停止につながります。メール、チャット、ファイル共有、認証、ワークフローを同じクラウド環境へ寄せている場合、障害時の影響は広くなります。

可用性の高いサービスでも、障害がゼロになるわけではありません。サービス停止時の連絡手段、代替作業、データ閲覧の手順、復旧後の確認、障害時に止めてよい業務と止められない業務を決めておきます。

他方式との違い

会社支給端末とBYODで変わる確認点

会社支給端末で使う場合

会社支給端末でクラウドサービス方式を使う場合は、端末の標準設定を統一しやすくなります。OS更新、ウイルス対策、画面ロック、端末暗号化、MDM、業務アプリ、証明書、ブラウザ設定を会社側で管理できます。許可端末だけに業務アクセスを認める設計を取りやすい点も、会社支給端末の利点です。

それでも、端末へファイルを保存する運用を認めるなら、保存先、保存期間、暗号化、バックアップ、紛失時の対応を決めなければなりません。会社支給端末だから安全なのではなく、会社が管理できる前提を作れる点が利点です。

BYODで使う場合

BYODでクラウドサービス方式を使う場合は、利便性と統制の差が大きくなります。私物端末は、OS、アプリ、画面ロック、マルウェア対策、家族利用、私用クラウドとの混在が端末ごとに異なります。

利用を認めるなら、対象業務を絞り、扱える情報を限定し、業務データの端末保存を制限します。可能であれば、条件付きアクセス、端末認証、多要素認証、MDMまたはMAM、セキュアブラウザ、アプリ制御を組み合わせます。重要情報を扱う場合は、デジタル証明書などで許可端末を確認する方法も検討対象になります。

退職時や契約終了時の対応も決めておきます。アカウント停止だけで十分か、端末内の業務データを削除できるか、私用領域へ保存されたデータをどう扱うか。BYODでは、この境界が曖昧になりがちです。

導入前に決めるべきセキュリティ項目

情報区分と保存先

まず、クラウドへ保存してよい情報と、保存してはいけない情報を分けます。個人情報、営業秘密、契約書、設計情報、顧客データ、経理情報などは、共有範囲と保存先を明確にします。

情報区分がないままサービスだけを導入すると、現場ごとに判断が分かれます。「とりあえず共有リンクで送る」「個人用ストレージに退避する」といった運用が残り、管理できない経路が増えます。

認証・端末確認とアカウント管理

クラウドサービス方式では、アカウントが業務環境へ入るための主要な接点になります。パスワードだけに頼らず、多要素認証を前提にします。管理者アカウント、外部共有を扱うアカウント、重要情報へアクセスするアカウントは、特に強く保護します。あわせて、アクセスを認める端末条件を決め、必要に応じて端末認証やデジタル証明書を使います。

入社、異動、兼務、退職、委託終了に合わせて、アカウント発行、権限変更、停止、削除、ログ保全を行う手順も必要です。退職者アカウントが残ると、外部からのアクセス経路が残ります。

共有リンクと外部ゲスト

ファイル共有では、外部共有を誰が許可するのか、リンク有効期限を何日にするのか、パスワードを付けるのか、ダウンロードを許可するのかを運用ルールに落とします。ゲストユーザーを招待する場合は、案件終了後に削除する手順まで含めて管理します。

共有リンクの棚卸しは後回しにされがちです。月次や四半期で確認する、管理者が外部共有一覧を確認する、重要フォルダでは外部共有を既定で禁止するなど、運用に落とし込む必要があります。

ログと監査

誰が、いつ、どこから、どのファイルやサービスへアクセスしたか。誰が権限を変更したか。誰が外部共有を作成したか。こうしたログを確認できるプランと設定を選びます。

ログは事故後だけでなく、平時の点検にも使います。不審なログイン、深夜の大量ダウンロード、海外からのアクセス、権限変更の集中などを確認できなければ、クラウド利用の実態を把握できません。

障害時と契約終了時の手順

クラウドサービスの停止時に、どの業務を止めるのか、どの連絡手段へ切り替えるのか、どのデータを参照できるようにするのかを事前に定めます。認証サービスが止まると、複数サービスへ入れなくなることもあります。

契約終了時のデータ書き出し、アカウント削除、ログ保存、外部連携解除も確認対象です。導入時に出口を見ないと、移行時にデータ形式や権限情報が問題になります。

導入前チェックリスト

クラウドサービス方式では、サービス契約だけでなく、アカウント、共有、端末、ログ、障害時対応まで運用項目として持つ必要があります。次の表は、導入前に最低限そろえる確認項目です。

クラウドサービス方式の採用可否を分ける条件

クラウドサービス方式を選ぶかどうかは、「有名なクラウドサービスか」ではなく、「その業務をクラウド上で完結できるか」で分けます。対象業務、扱う情報、端末条件、通信環境、管理体制を並べて検討してください。

既存の社内アプリが多い企業では、クラウドサービス方式だけで全業務を置き換えようとすると無理が出ます。メール、会議、ファイル共有、申請承認から始め、社内システムが残る業務はVPN方式やリモートデスクトップ方式と併用する方が現実的です。

反対に、業務アプリの多くがSaaS化されている企業では、クラウドサービス方式を軸にしやすくなります。その場合でも、認証、端末確認、権限、ログ、端末保存、外部共有、退職者対応を軽く扱ってはいけません。クラウドサービス方式の成否は、サービス選定より運用設計で決まります。

参考情報

• 総務省：テレワークにおけるセキュリティ確保
• テレワーク総合ポータル：関連資料

よくある質問