前回の記事では、従来の業務環境から大きな変化を伴うことなくハイブリッドワークを行う方法として、Windows PC(Windows 10/11)と「Microsoft 365 Business Premium」を組み合わせる方法を紹介した。

 前回でも少し触れたが、Windows PCとMicrosoft 365 Business Premiumの組み合わせでは、初期導入コストが少し高く付きやすい。また、管理者にはWindowsの管理に関する知識も求められる。

 もしも企業や組織で使っている業務システムがWebブラウザで稼働するもので、かつOSやブラウザに依存しないものであれば、Windows PCにこだわる必要はない。Windowsに固執しないことで選択肢は増える……のだが、だからといってスマートフォンやタブレット“だけ”で業務をこなすことは難しいことも少なくない。

 そこで検討したいのが、Googleが提唱する「ChromeOS」を搭載するPC(主にChromebook)と、同社のSOHO/法人向けサービス「Chrome Enterprise」「Google Workspace」を組み合わせる選択肢だ。この組み合わせなら、高いセキュリティレベルを維持しつつハイブリッドワーク環境を構築できる。

●Chromebook+Chrome Enterpriseを選ぶメリットは?

 ご存じの人も多いかもしれないが、ChromeOSはGoogleのWebブラウザ「Google Chrome」を基盤としている。そのため、同ブラウザの企業向け管理機能である「Chrome Enterprise」にも対応する。

 ChromeOS搭載PCをChrome Enterpriseで管理すると、Googleにセキュリティ対策や運用を大きく任せられる。Windows PCと比べるとシンプルに管理できることもあり、運用コストも抑えられることもメリットだ。

 EMM(エンタープライズモバイル管理)でWindows PCを管理する場合、基本的な管理は「管理コンソール」でも行えるが、詳細な設定をするにはスクリプト処理を要するケースも散見される。しかしChromeOSの場合、元々のOSの設計がシンプルであることから、Chrome Enterpriseの管理コンソール「Google 管理コンソール」でポリシーを作るだけで高いセキュリティレベルを実現できる。

●「シンプルながらもセキュア」な秘密は?

 ChromeOS搭載PCをChrome Enterpriseで管理すると、シンプルなのにセキュア――その秘密は、大きく以下の5つの要素に支えられている。

・OSの自動更新

・アプリのサンドボックス稼働

・OSの改ざん保護

・データの暗号化

・セーフブラウジング

 それぞれの機能について、概要を説明していく。なお、説明はChromeOSをプリインストールするChromebook/Chromeboxを前提としている。既存のPCなどにインストールできる「ChromeOS Flex」を使う場合の差異は、このセクションの最後でまとめて紹介する。

OSの自動更新

 ChromeOS搭載PCでは、Windowsと同様にバックグラウンドで最新のセキュリティパッチの適用やソフトウェアの更新が行える。

 Windows PCとの大きな違いはOSを常に「二重化」していることで、パッチや更新は起動“していない”方のイメージ(系統)に適用される。適用後に再起動を行うと、起動に使われるイメージが入れ替わり、パッチや更新を適用したイメージから起動する。これにより、再起動で“待たされる”ことを防いでいる。

 ただし、パッチや更新の適用で不具合が生じることもある。万が一、そのような事態が発生してしまった場合は、適用前の(元々使っていた)イメージに戻して再起動するので、フェイルセーフもばっちりである。

 Windows PCの「Windows Update」の場合、OSのコアや起動中のシステムプロセスに対するパッチ/更新は再起動しないと適用できない。昔と比べれば適用にかかる時間は短くなったとはいえ、この再起動中はPCを使った作業を行えない。

 パッチや更新のためのダウンタイムが気になるという声が多い場合は、ChromeOS搭載PCを検討する余地が大いにあるといえるだろう。

アプリのサンドボックス稼働

 PCのセキュリティを確保する観点から、最近のPC向けOSはアプリを「サンドボックス」と呼ばれる仮想環境で稼働させる機能を備えている。

 サンドボックスは日本語にすると「砂場」という意味である。砂場といえば、公園や幼稚園/保育園の園庭において子どもが遊ぶ場所というイメージがある。さらに具体的に想起してみると、そのような砂場は公園や園庭の他の区画から“ハッキリと”区別されていることが多く、教職員/保育士や保護者が見守りやすい、見通しのよい場所である傾向にある。

 砂場のイメージになぞらえると、OSにおけるサンドボックスは他のアプリ(=区画)から明確に独立したメモリ領域でアプリを実行することで、悪意のあるアプリからの攻撃を防ぐ(=見守る)機能といえる。逆に、この区別は自分が他のアプリを攻撃してしまう(あるいは巻き込んで不具合を起こしてしまう)リスクを防ぐことも意図している。

 ChromeOSでは、Chromeブラウザ上のウィンドウやタブはもちろん、他のアプリもサンドボックス上で稼働するようになっている。このことでアプリ(プロセス)間でのデータのやり取りには一定の制限は生じるものの、悪意のあるサイトやアプリを開いたとしても、他のアプリに与える影響を最小限に抑えられる。

 最近のランサムウェアは、手口が巧妙化している。万が一、ランサムウェアやマルウェアの脅威に引っかかってしまったとしても、サンドボックスによって被害をある程度封じ込めることが可能だ。

OSの改ざん保護

 ごく一部の例外(※1)を除き、ChromeOS搭載PCにはGoogle独自のセキュリティプロセッサ「Titan Cチップ」が搭載されている。ChromeOS搭載PCでは、Titan Cチップ、フォームウェアとOSが連携して起動時の「改ざんチェック」が行われる。

 最近はOSレベルだけでなくファームウェアレベルで攻撃を仕掛けてくる“たちの悪い”マルウェアも存在する。もしもOSレベル、あるいはファームウェアレベルで潜伏するマルウェアに感染したとしても、改ざんが検知されると自動的に正常なOSやファームウェアに書き戻されるようになっているので、企業や組織のPCを“クリーン”に保ちやすい。

(※1)Lenovo(レノボ)製の「Lenovo 100e Chromebook 2nd Gen」と「Lenovo 300e Chromebook 2nd Gen」(両モデルにはTitan Cチップとは異なるセキュリティチップを搭載している)

データの暗号化

 ChromeOS搭載PCに備え付けられたTitan Cチップは、デバイスに保存するデータの暗号化も担っている。ローカルストレージ(eMMC/SSD)に保存されるファイルも暗号化されているので、ストレージだけ盗み取られたとしても、データを取り出すことは不可能だ。

 Titan Cチップはストレージやメインメモリから“独立”した暗号化/復号処理と暗号鍵の管理を行うため、非常に強力である。ハードウェアレベルのクラッキングへの体制も非常に強い。

セーフブラウジング

 Chromeブラウザを基盤とするChromeOSでは、標準機能としてフィッシングサイトや危険なサイトにアクセスした際の警告、危険なファイルのダウンロードの遮断を行うようになっている。利用者が使っているパスワードが漏えいした場合に通知を行う機能も備える。

 管理者がいちいち注意を促さなくても、ユーザーが“うっかり”悪意のあるサイトにアクセスしてしまっても、システムとして一定のセキュリティを確保しやすいのがChromeOS搭載PCのメリットといえる。

●ChromeOS Flexを利用する場合の注意点

 今回の主題である「Chrome EnterpriseとGoogle Workspaceを使ったハイブリッドワーク」は、ChromeOS FlexをインストールしたPC/Macでも利用できますが、ChromeOSをプリインストールするChromebook/Chromeboxとは以下の点が異なりますので注意してください。

OSの改ざん保護

 ChromeOS FlexではOSの改ざん保護機能は利用できません。ただし、UEFI(BIOS)の「セキュアブート(Secure Boot)」には対応しているので、OSの起動時におけるセキュリティはある程度確保できます。

 Googleでは、ChromeOS Flexを利用する際にセキュアブートを極力有効化することを推奨しています。

データの暗号化

 ChromeOS FlexはTitan Cチップの代わりにPCのTPM(Trusted Platform Module)を使って保存ファイルの暗号化を行います。

 同OSはTPMを搭載していない(有効化されていない)PCでも稼働できるようになっており、データの暗号化も行いますが、TPMを搭載しているPCと比べるとセキュリティ面で脆弱(ぜいじゃく)になる可能性があります。

その他の注意点

 ChromeOS Flexでは、以下の点も異なります。使いたい機能が利用できない場合は、Chromebook/Chromeboxの導入も検討してください。

・Androidアプリをサポートしません

・「Parallels Desktop for ChromeOS」をサポートしません

・「Linux開発環境」が利用できないことがあります(ハードウェアスペックによる)

●Google Workspaceを活用し、ブラウザ上でコラボレーションを行う

 Windows環境では、「Microsoft 365」に付帯するOfficeスイートを利用することでデータの作成や共有(コラボレーション)を行える。しかし、コラボレーションを前提にデータを共有してみると、思わぬ壁にぶつかることもある。例えば「Microsoft Excel」の場合、ブックを共有にすると「セルの結合」を利用できなくなる。

 その点、Google Workspaceに含まれる「Googleスプレッドシート(表計算)」「Googleドキュメント(文章作成)」「Googleスライド(プレゼンテーション)」を利用すれば、複数人が同時に編集する場合でも編集上の制限は特にない。それぞれのスプレッドシート、ドキュメント、スライドには細かい共有設定を行える他、「Googleドライブ」上に共有ドライブを作成すれば、その共有ドライブ内のデータアクセスを一元的に管理する事も可能だ。

 ここで気になるのが、外部の取引先がGoogle Workspaceを利用していない場合のコラボレーション方法である。「連携が滞ってしまうのでは……?」と思う人もいるかもしれないが、Google WorkspaceはMicrosoft Officeで使われるファイル形式のインポート/エクスポートに対応している。よほどの事がない限りは大きな問題にはならないだろう。

 Google Workspaceでは、スケジューラーとしても利用できる「Googleカレンダー」、電子メールサービスの「Gmail」、ビデオ(Web)会議に利用できる「Google Meet」など、ハイブリッドワークに便利な機能やサービスも網羅している。冒頭でも少し触れたが、PCを使った業務をWebブラウザ上で(おおむね)完結できる企業や組織なら、使い方によってはMicrosoft 365よりも便利ともいえる。

 ……と、気になるのはGoogle Workspaceの費用だが、標準的なセキュリティと管理機能を利用する場合の1ユーザー当たりの月額利用料金は以下の通りとなる(いずれも最大300ユーザーまで契約可能で、料金は税別)。

・Business Starter(30GBストレージ付き):680円

・Business Standard(2TBストレージ付き):1360円

・Business Plus(5TBストレージ付き):2040円

 「Microsoft 365 Business Premium」が1ユーザー当たり月額2390円(年額支払時の税別)であることを考えると、Google Workspaceのお得さは目立つ。ただし、企業や組織の業務内容によっては、追加のソリューションやSaaSを用意する必要があることもあったり、Windowsでしか実施できない業務が存在したりもする。そのため「いろいろと用意したら、Google Workspaceに移行するとむしろ割高になった」というケースも考えられる。

 特にChromebookをGoogle管理コンソールで管理する場合、「Chrome Enterprise Upgrade」のライセンスを取得する必要があることに注意を要する。

 一般的なChromebook/Chromeboxを購入した場合、このライセンスは有償で購入する必要がある。標準価格は年間ライセンスで50ドル(約7370円)、永続ライセンスで150ドル(約2万2100円)だ。

 一方、法人向けのChromebook/ChromeboxにはChrome Enterprise Upgradeの永続ライセンスを付属するモデルもある。一気に数十〜数百台のChromebookを導入する場合はライセンス付きモデルを購入すると割安になる可能性もあるので、よく検討したい。

 ハイブリッドワーク化を計画する前段階で現状の業務の棚卸し(洗い出し)をしっかりと行った上で、Webブラウザ(またはAndroid/Linuxアプリ)で業務が完結できると判断できれば、「Chromebook×Google Workspace」への全面移行は“アリ寄りのアリ”だろう。そうでなければ、Windowsを使った環境構築を並行して検討して、作業効率とコストのバランスをしっかり取れる方を選択すればよい。

●ビジネス向けChromebookの選び方

 ここまでChromeOS搭載PCの「一般論」を交えて説明してきたが、この先は働く場所を選ばないというハイブリッドワークの特性を鑑み、「ビジネスで使うChromebookの選び方」を考えていきたい。

 Windows PCと違って、Chromebookは基本的にローカルにデータを保存しないという考え方に立っている。どこに保存するのかといえば、Googleドライブである。

 そのこともあり、Windows PCと比べるとChromebookは内蔵ストレージの容量を少なめとする傾向にある。ただし、ローカルで稼働する仮想マシンを使ったり開発業務を行ったりしない限りは、大きな問題にはならないだろう。

 今回の記事では2つのChromebookを例として取り上げるが、検討段階でChromebookを1〜2台ほど購入(借用)し、企業や組織のニーズに合致するのかどうかを実際に使って検証した上で導入するか否か、導入する場合はどのような機種を選定するのかを決定することを強くお勧めする。

●HP Pro c645 Chromebook Enterprise

 日本HPの「HP Pro c645 Chromebook Enterprise」は、同社の企業向け14型Chromebookで、ディスプレイ解像度はHD(1366×768ピクセル)とフルHD(1920×1080ピクセル)から選べる。Chrome Enterprise Upgradeが付属するモデルもある。

 全モデル共にメインメモリは8GB(DDR4-2666規格)、ストレージは64GBのeMMC 5.0を備えている。CPUはAMD製で、モデルによって「Athlon Silver 3050C」(2.3GHz〜3.2GHz、2コア2スレッド)または「Ryzen 3 3250C」(2.6GHz〜3.5GHz、2コア4スレッド)を搭載する。

 「少し貧弱過ぎるのでは……?」と思うかもしれないが、ChromeOSはWindows 10/11よりも軽量設計であるため、このスペックでも意外と快適に動作する。ただし、用途によっては力不足になる可能性もあるので、CPU性能が気になる場合はGoogle Meetの「ユーザーシナリオ」と照らし合わせて選ぶとよい。

 画面共有をしながら会議に参加する場合は。4コア(4スレッド)CPUに4GB以上のメモリが1つの要求ラインとなりそうである。HP Pro c645 Chromebook Enterpriseの場合は、Ryzen 3モデルならこのラインをおおむね満たせる。

 もっとも、Google Workspaceを併用すれば、Meet以外にも協力なコラボレート機能を使える。資料は投影ではなくリンクを共有して各自見てもらうといった工夫をすれば、事務作業が中心の職種ならAthlon Silver 3050Cモデルでも快適に利用できる。

Dell Latitude 5400 Chromebook

 デル・テクノロジーズの14型法人向けChromebook「Latitude 5400 Chromebook」は第8世代Coreプロセッサを搭載する比較的ハイスペックなモデルだ。CPU、メインメモリの容量、ストレージの容量、ディスプレイのスペック、キーボード配列、バッテリーの容量、モバイル通信(ワイヤレスWAN)……など、多岐にわたるカスタマイズを行えることも特徴である。

 法人向けストアで購入する場合は、Chrome Enterprise Upgradeを付属する構成も選択できる。

 カスタマイズを行えるということは、業務内容に合わせて必要なスペックの取捨選択をしやすいということでもある。例えば開発業務に使う場合は、メインメモリを32GBとしておけば仮想マシンやLinux開発環境を快適に動かせる。

 極め付きは、モバイル通信に対応する構成が用意されていることで、営業職にはモバイル通信付きの個体を割り当てれば出先でも快適に仕事をこなせる(モバイル通信の契約は別途必要)。

 HP Pro c645 Chromebook Enterpriseと比べると、スペックが高くなる分1台当たりの調達コストは増加するが、ハイブリッドワークの成功のカギは利用する端末(PC)が過不足のないスペックを備えることにある。事業の成功に何が必要なのかを見極めて、それにふさわしいPCを用意することが、何を置いても重要なのである。

 ここまで、3回に渡ってハイブリッドワーク時代のPCの選び方や、ハイブリッドワークを実現するための土台をどう用意すれば良いか解説してきた。

 ハイブリッドワークを行うためには何を用意すれば良いのか、どういった基準でPCを選べば良いか、という疑問に対して本連載が少しでも役に立てていたら幸いだ。