誰も「外から本社にアクセスする方法」を知らなかった
大阪に本社を置く、従業員45人の食品卸売会社があった。創業から18年、ずっと大阪の本社ビルの中だけで完結していた仕事が、名古屋に営業所を出したことで一変した。名古屋の営業所には3人が配属され、初日から仕入れ状況を確認しようと本社の受発注システムを開こうとした。だが、社内のパソコンからしかアクセスできない設定になっていることに、その場で初めて気づいた。
情報システム担当と呼べる人間は社内におらず、総務部長が片手間でパソコンの面倒を見ていた。「じゃあ名古屋からはどうすればいいんですか」と聞かれた総務部長は、答えを持っていなかった。結局その日から数か月、名古屋の営業所は在庫と受注の状況を紙にメモし、FAXで本社に送り、本社の担当者がそれをシステムに手入力するという運用が続いた。毎朝8時、FAXの前で名古屋の営業所長が数字を読み上げ、本社の女性社員がそれを打ち込む。電話越しに「今の伝票番号もう一回言ってください」というやり取りが、何か月も繰り返された。
拠点を増やす、在宅勤務を認める。これは会社が前に進んでいる証だ。だが、その前進を支えるはずの「システムに外から安全にアクセスする仕組み」が整っていないと、現場で汗をかいている人たちの努力は、FAXの前で足止めされてしまう。壁を越えて働こうとする人を、壁の外に立たせたまま放置しないこと。それがこの記事のテーマだ。
なぜ「社外からのアクセス」は中小企業にとって高いハードルになるのか
大企業であれば、情報システム部門が専任で存在し、リモートアクセスの設計も日常業務の一部になっている。しかし中小企業では、そもそも「社外からアクセスする」という発想自体が想定されていないまま基幹システムが構築されているケースが非常に多い。受発注システムも会計システムも、最初から「社内の決まったパソコンで使うもの」として導入されているため、外から使うための入り口そのものが存在しないのだ。
加えて、中小企業特有の事情が二つ、ハードルをさらに高くしている。一つは、専門知識を持つ担当者が社内にいないこと。ネットワークやセキュリティの設計は専門用語が多く、総務や経理の兼任担当者が独学で判断するには荷が重い。もう一つは、失敗したときの被害への恐怖だ。「社外からアクセスできるようにした結果、情報が漏れた」というニュースを見聞きしているぶん、担当者は及び腰になりやすい。何もしなければ怒られないが、動いて何か起きれば自分の責任になる。この心理が、拠点拡大やテレワーク導入のたびに「とりあえず紙とFAXでしのぐ」という選択を生んでしまう。
だが、社外アクセスの整備は、正しい手順を踏めば決して手の届かない技術ではない。必要なのは、難解な専門用語を覚えることではなく、「誰が、どこから、何に、どうやってアクセスするのか」を順番に整理していく判断力だ。以下、その判断軸を一つずつ組み立てていく。
VPNとは何か、専門用語を使わずに説明する
VPNという言葉を聞くと身構えてしまう担当者は多いが、仕組み自体は驚くほどシンプルだ。会社のオフィスの中には、専用の廊下でしかたどり着けない部屋がある、と想像してほしい。受発注システムや会計データは、その専用の廊下の先にある部屋に置かれている。社内の人間は建物の中にいるので、普通に廊下を通って部屋に入れる。しかし、名古屋の営業所や自宅にいる人は、そもそも建物の外にいるので廊下にたどり着けない。
VPNとは、この建物の外にいる人のために、外からその専用の廊下まで一直線につながる、目に見えないトンネルを掘る仕組みだと考えればいい。トンネルの中を通っている間は、外部から覗き見られたり、途中で誰かに割り込まれたりしないように鍵がかけられている。トンネルの入り口でIDとパスワードを確認し、本人であることが確認できた人だけがトンネルに入り、その先の部屋、つまり本社のシステムにたどり着ける。
名古屋の営業所や自宅から、まるで本社の建物の中にいるかのように受発注システムを操作できる。それがVPNの正体だ。難しい暗号技術や通信プロトコルの名前を覚える必要はない。経営者やシステム担当者が押さえておくべきなのは、「外から安全に社内のシステムにつながるための専用トンネルを用意する」という発想そのものであり、その実現方法は複数あるということだ。VPN機器を使う方法もあれば、クラウド上のサービスがその役割を代行してくれる方法もある。自社の規模や予算、扱う情報の重要度に応じて選べばよい。
権限管理の基本的な考え方 – 誰が、どこから、何にアクセスできるべきか
トンネルを掘って外から入れるようにしただけでは、まだ半分の仕事しか終わっていない。次に必要なのが権限管理、つまり「トンネルに入れた人全員に、建物の中のすべての部屋の鍵を渡してよいのか」という問いへの答えだ。
実際によくある失敗が、ここで手を抜いてしまうことだ。名古屋の営業所の担当者に、本社の経理システムまで含めたすべてのアクセス権を与えてしまう。理由を尋ねると「個別に設定するのが面倒だったから」という答えが返ってくることが多い。だが、営業所の担当者が本当に必要としているのは在庫と受注の情報であって、給与データや取引先の与信情報ではない。必要以上の権限を渡すことは、その人にとっての利便性を少し上げる代わりに、会社全体のリスクをまとめて背負わせることになる。
権限管理の基本は、次の三つの軸で整理することに尽きる。
- 誰が(役職や担当業務によって、必要な情報の範囲は本来違うはずだという前提に立つ)
- どこから(本社内からのアクセスか、営業所からか、自宅や外出先からかによって、許可する操作の範囲を変える判断もありうる)
- 何に(受発注データだけなのか、会計データも含むのか、システム設定の変更まで許すのか)
この三つを、部署や役職ごとに一覧表として書き出してみるとよい。最初は完璧でなくていい。「営業所は受発注の閲覧と入力のみ、会計データは閲覧不可」「経理担当は自宅からでも会計システムにアクセス可、ただし振込操作は本社内からのみ」といった形で、実態に即して線を引いていく作業そのものが、会社にとって初めての棚卸しになる。名古屋の営業所長が「自分たちに必要なのはここまでで十分です」と自ら線引きに参加してくれることも多い。壁を越えて働こうとする人ほど、無用な権限より、必要な情報に迷わずたどり着ける環境を求めているものだ。
安全にアクセスを広げるための実践ステップ
トンネルを掘り、権限の線引きを終えたら、次は日々の運用に落とし込む段階だ。ここでの実践ステップは、決して難しいものではないが、地道に積み重ねる必要がある。
まず取り組みたいのが多要素認証だ。IDとパスワードだけの認証は、パスワードさえ盗まれれば誰でも突破できてしまう。多要素認証は、パスワードに加えて、スマートフォンに届く確認コードの入力や、専用アプリでの承認操作を組み合わせる仕組みだ。名古屋の営業所長が自宅からログインしようとすると、パスワード入力の後にスマートフォンへ通知が届き、そこで「はい、自分です」と一度タップする。この一手間が、パスワード流出だけでは突破されない防波堤になる。導入の手間はさほど大きくなく、効果は非常に大きい。
次に重要なのがアクセスログの記録だ。誰が、いつ、どこから、何のデータにアクセスしたかを記録として残しておく。これは疑うための仕組みではなく、何かがおかしいと感じたときに事実を確認できる仕組みだと捉えてほしい。深夜3時に見慣れない場所からのアクセスがあれば、それは異変の兆候かもしれない。記録があるからこそ、早期に気づき、対処できる。
そして忘れてはならないのが、退職者・異動者のアクセス権限の見直しだ。人の異動や退職は、会社が動き続けている証拠であり、決して特別な出来事ではない。だからこそ、それに合わせてアクセス権限を見直す作業を、人事の手続きの一部として組み込んでおく必要がある。退職の連絡を受けたら、最終出社日までにアクセス権限を停止する。異動があったら、旧部署の権限を外し、新部署の権限を付与する。この作業をチェックリスト化し、誰が担当しても抜け漏れなく実行できる状態にしておくことが、地味だが最も効果の大きい対策になる。
よくある失敗パターン
ここまで整えても、運用の中でつまずきやすいポイントがいくつかある。実際に多くの中小企業で見られる失敗パターンを挙げておく。
- 全員に同じ強い権限を与えてしまう。「とりあえず全部見られるようにしておけば、後で困らない」という発想は、実は後になって最も困る原因になる。誰が何にアクセスできるのか把握できなくなり、問題が起きたときに原因の切り分けができなくなる。
- 退職者のアクセス権限が残り続ける。退職の手続きは、私物の返却や社会保険の処理には目が向くが、システムのアクセス権限の停止は後回しにされがちだ。半年前に辞めた人のIDが、まだ生きたまま社内システムに残っているという状態は、決して珍しくない。
- パスワードを使い回し、共有してしまう。「営業所全員で同じIDとパスワードを使っている」という運用は、誰が実際に操作したのか分からなくなるだけでなく、一人のパスワードが漏れれば全員分が漏れたのと同じ被害につながる。
- 導入したきり見直さない。拠点が増えたり組織が変わったりしても、最初に決めた権限設定のまま何年も放置されているケースがある。会社の実態と権限設定はセットで動かすべきものであり、年に一度は棚卸しの機会を設けたい。
これらはどれも、特別な技術力がなくても防げる失敗だ。必要なのは、最初に決めたルールを「決めっぱなしにしない」という運用の意識であり、それを支える最初のひと手間を惜しまないことだ。
まとめ
新しい拠点を出す、在宅勤務を認める。それは会社が壁を越えて前に進もうとしている証だ。その前進を、FAXと電話のやり取りに押し戻してしまうのか、それとも安心して力を発揮できる環境として支えられるのか。その分かれ目にあるのが、社外からのアクセスをどう設計するかという、今回のテーマだった。
VPNは、外にいる人のために安全なトンネルを掘る仕組みであり、権限管理は、そのトンネルの先にある部屋のどこまで入ってよいかを決める作業だ。多要素認証、アクセスログの記録、退職者・異動者の権限見直し。どれも派手な取り組みではないが、一つずつ積み重ねることで、名古屋の営業所長が自宅からでも安心して仕事に集中できる環境がつくられていく。
拠点を広げること、働き方を柔軟にすること。それ自体は前向きな挑戦だ。その挑戦を支える土台を整えるのは、地味に見えて、実は経営そのものを支える仕事だ。壁を越えて働こうとする人たちの背中を、システムの側から押してあげてほしい。