2020年は、控えめに言っても激動の年でした。多くの組織にとって、COVID-19がワークスタイルを再考する契機になったと思われます。アルファシステムズも例外ではなく、全社規模のリモートワーク環境を見直すことになりました。この記事では、1年間で改善した取り組みを紹介します。

リモートアクセス

当社には、顧客先に常駐して開発業務を行う技術者がいます。このため、かねてからリモートアクセスの仕組みは用意していました。インターネットから社内リソースへのアクセスを限定的とはいえ開放するにあたって、以下のセキュリティ要件がポイントとなります。

• 二要素認証：パスワード以外の要素を組み合わせた本人確認を必須とする
  • Authenticatorアプリ等によるワンタイムパスワードとの併用
• 端末制御　： 業務情報が社外の接続元端末に流出しないこと
  • コピー・ペーストやプリンタのローカルリダイレクトを禁止できるか
  • 接続元端末でファイルを扱う場合は、暗号化領域での一時保持に留められるか
• Webアクセス制御：
  • 業務中のインターネットアクセスを、社内のWebプロキシ経由にできるか

以上を踏まえて3つの方式があり、利用シーンに応じて使い分けてもらっています。

社内の個人端末へのリモートデスクトップ

当社では「alpha Teleworker ⧉」というリモートデスクトップ製品を開発・販売しており、自社でも利用しています。接続元端末にインストールされたOSを利用せず、USB等の外部メディアから専用のクライアントOSを起動します。ゲートウェイサーバーでの認証、VPN接続を経て、接続先の画面がVPN経由で転送され、接続元端末にデータを残さない仕組みです。接続元端末のOSを起動しないため、この分野の製品のなかでも、強固なセキュリティレベルを実現しています。

従来は主に外回りの営業担当者や顧客先と当社事業所を頻繁に往来する管理職が利用していました。しかし、COVID-19の感染拡大を受けて多くの社員が利用するようになったことから、ゲートウェイサーバーの負荷が一気に上がりました。そこでゲートウェイサーバーを増設して負荷分散を行いました。またユーザーからのフィードバックを受けて、Web会議のための音声デバイス対応、ハードウェア認識の改善、転送画面の圧縮率調整などの機能強化も実施しました。

alpha Teleworker ⧉の使用にあたっては、社内に個人用端末を確保している必要があり、起動してから接続までのステップも多いですが、慣れれば快適・安全に使える方式です。この1年で利用が急増したことから、リモートデスクトップの重要性が改めて感じられます。

ブラウザベースでのリモートデスクトップ

Webブラウザで、社内のLinuxデスクトップを利用するタイプのリモートアクセス方式です。社内に個人用端末が不要で、自分の端末を持ち出して社外で作業する技術者でも使える方式です。LinuxデスクトップのGUI・操作性に慣れれば、比較的容易に社内サイトやファイルサーバーへアクセスできます。

このサービスでは、オープンソースのリモート接続中継サーバーと、LinuxでRDP接続を実現する仕組みを組み合わせています。中継サーバーでコピーペーストを塞げるうえ、後述のリバースプロキシ経由でアクセスするので二要素認証も手当できます。中継サーバーは画面転送プロトコルの変換部分にサーバーリソースを割くことで安定稼働していますが、Linuxデスクトップはかなりの人数で同時接続して利用するためか、ときには負荷に耐えられずに暴走するプロセスが発生します。運用面では苦労の絶えない方式でもあります。

なお、中継サーバーはWindows端末への接続も可能なので、ユーザーと接続先端末の組み合わせを認識させられれば、使い所は拡大できそうな期待があります。

リバースプロキシ経由での社内サイトアクセス

一部の社内サイトは、リバースプロキシ経由で社外からのWebアクセスが可能です。統合認証基盤と連携しており、社外からのアクセスの場合は二要素認証を必須としています。ただし、認証以外のセキュリティ要件は満たせないので、アクセス可能なサイトは社内ポータル、勤怠管理システム、各部署のブログサイト等に限られています。とはいえ、確認したい社内情報によってはこの方式で事足りることが多く、最も手軽な手段として利用されています。

オンラインミーティング

社内ミーティング用途として、安価なAmazon Chimeを全社的な標準ツールとして活用しています。2020年は４月以降約7,000回開催されました。料金は開催者ごとに1日あたり3ドル、月額の上限が15ドルのため、管理職がチャンネルを用意しておく運用で節約できます。機能や品質はそれなりですが、最近のアップデートで背景ぼかしやノイズキャンセリングが搭載されて改善しました。スマホアプリ版で通信品質が良くないとダイヤルイン切替えを推奨してきて、しかもデフォルト設定が国際電話になっている点だけは要注意です。

部署によっては、ZoomやMicrosoft Teamsを採用しているケースもあります。Zoomは通信品質が非常に安定しており、この分野のデファクトスタンダードになった感もあることから、顧客とのWeb会議で使われています。Teamsは、Microsoft 365サービスとの連係を視野に利用されています。

なお、昨今のWeb会議システムは何らかのファイル共有機能を標準で備えている傾向にあります。便利な反面、情報流出の穴になりかねない要素でもあるので、どのようなセキュリティポリシー・運用対処で臨むか、留意する必要があります。

ペーパーレス化

紙で出力していた一部の帳票を廃止しました。当社の基幹業務システムは独自開発したWebアプリケーションで、幸いなことにシステム側で備えていた承認機能で代替できるケースが少なからずありました。現時点でペーパーレス化できたものは限定的ですが、今後も拡大していきたいところです。

会議資料は、従来よりペーパーレス化が進んでいましたが、電子化した際のセキュリティを強化するため、Azure Information Protectionでファイルを保護できるようにしました。ファイル保護時に設定された権限と期限の範囲でのみ閲覧可能なので、万が一ファイルが流出しても、情報漏洩のリスクを低減します。

導入を見送ったもの

クラウドの仮想デスクトップサービス（Amazon WorkSpaces）の活用を検討しましたが、こちらは見送りになりました。Active Directoryによるポリシー制御でセキュリティ要件はクリアできるのですが、そこそこのスペック（4コア、メモリ16GB、ディスク50GB、Officeバンドル）でも一人あたり月額126ドルという価格感がネックでした。スポットで使う用途なら、手軽に調達できて経済的です。しかし、リモートワークが恒常化する可能性を考えると、PCの新規購入のほうがランニングコストの点で合理的です。さらに、このスペックであっても、ウィルス対策ソフトを常駐させてOfficeソフトとWebブラウザとIDE（統合開発環境）を併用するという当社での典型的な使い方だと、「使えなくはないけどサクサクでもない」という印象でした。

また、EMM/MDM（モバイル端末管理）製品を導入して、制御されたモバイル端末から専用のリバースプロキシ経由で社内サイトへアクセスできる仕組みも検討しました。端末のセキュリティレベルが向上するので、前述のリバースプロキシよりもアクセス可能なサイトを増やせる期待がありましたが、EMM製品と連携する認証基盤サービス側のライセンスも必要なことから保留中です。

今後の課題と展望

リモートアクセスとWeb会議システムの利用が増えたことで、インターネットとのトラフィックが上下ともに拡大しました。現在はWANを経由してデータセンターからインターネットへ抜ける構成ですが、トラフィックの多い事業所から直接インターネットへアクセスする構成変更を検討中です。

さらに、リモートデスクトップとWeb会議システムの併用ニーズが多く、その際の品質も課題です。前述の通り、強固なセキュリティを実現するために、当社ではリモートアクセス専用のOS環境を利用しています。そのため、自宅の端末から直接インターネット上のWeb会議サービスにつながず、トラフィックが会社の端末を経由することになるので、なかなか難しい問題です。

また、これはパンデミックが本格化する以前から決まっていた方向性なのですが、オンプレミスにあるサーバーの大半をクラウドへ移行する計画も進行中です。今後の情勢次第では、緊急時の実地での機器メンテナンスが難しくなるリスクも否めません。ITシステムのクラウド移行は、技術者の安全確保の観点からも理に適っているのかもしれません。

終わりに

当社におけるリモートワークの取り組みについて、紹介しました。今日ほどワークスタイルと向き合う時代はかつてなく、人やシステムがオフィス以外に分散していても社会的に珍しくなくなりました。ネットワークにつながって共通の目的で安全に仕事ができる環境なら、そこは会社と呼べるのでしょう。どこにいても協働してビジネスを前進させるエンジニアリングカルチャーを大切にして、困難な時代を乗り越えたいと思います。