AWS を使った働き方改革 : 第 1 回 - 仮想デスクトップで情報漏えいを防ぎ、リモートワークを推進

2020-04-20
ビジネスxクラウド

Author : 柳 嘉起

builders.flash 読者の皆さん こんにちは !「ビジネス×クラウド」カテゴリを担当する、ソリューションアーキテクトの柳です。

本カテゴリでは "ビジネス課題をクラウドで解決する" ことをテーマに、複雑に入り組んだ現代社会に鋭いメスを入れ、さまざまな謎や疑問を究明していきます。取り上げるトピックは、働き方改革、クラウドマイグレーション、デジタルトランスフォーメーション、システム開発方法論などを予定しており、エンタープライズでよくご相談頂く内容や、これからクラウドを使いたいと思っていらっしゃる方にも役立つような情報をご紹介します !

まず最初は「AWSを使った働き方改革」シリーズとして、リモートワーク環境をサポートするサービスをご紹介させて頂きます。

第 1 回目の今回取り上げるのは、マネージド型のデスクトップ (DaaS) ソリューション "Amazon WorkSpaces" です。リモートワークに必要なインターネットを介した仮想デスクトップ環境をすぐに整え、そして使い始められるため、クラウドを今まで触ったことが無い方にもクラウドの魅力を感じて頂きやすいサービスではないでしょうか。ではさっそく中身に入っていきます !

Amazon WorkSpaces について

仮想デスクトップ (VDI) とは ?

仮想デスクトップとは、一般的に PC で稼働する OS やアプリケーションをサーバ上に集約して管理し、実行する仕組みです。仮想デスクトップへのアクセスは、専用のアプリケーションをインストールしたハードウェアで、ディスプレイ表示・キーボード入力・マウス入力を、ネットワーク経由で行います。実際に稼働する OS やアプリケーション、データはサーバ側で実行、保存され、その実行画面データのみを端末側に配信して利用します(画面転送)。

仮想デスクトップにより、散在する個別の端末の管理を最小化し、OS やアプリケーションのセキュリティパッチなどの対応をサーバ上で一元管理できるため、PC 管理者の負荷およびセキュリティリスクを低減させることが可能になります。また、データをサーバ上に保存し、クライアント端末に保存しない運用を実現できるため、セキュリティレベルが向上します。これにより、端末を社外に持ち出す際の情報漏えいリスクを低減させ、在宅勤務やリモートワークをよりセキュアに行うことができます。

オンプレミスで仮想デスクトップ環境を導入済または導入検討された方からよく聞くお悩みとして、仮想デスクトップを提供するシステムは、構築に時間もコストもかかる、というものがあります。これは、ハードウェアの調達とインフラ構築に時間がかかることと、必要な性能と台数が分からずオーバープロビジョニングに陥りやすいことに起因しています。また逆に、使用アプリケーションやユーザー数の増加に対応できず、いざというときにうまく使えなかった、というようなお話も伺います。これらの課題の解決方法として、Amazon WorkSpaces をご紹介します。

Amazon WorkSpaces の特徴

Amazon WorkSpaces の特徴をひとことで言うと、「今日から・1 台から」始められるというところでしょう ! オンプレミスでしばしば求められるような、大がかりな設備投資が不要となり、すぐに始められます。また、Amazon WorkSpaces ユーザーには、追加料金なしで ファイル共有を円滑に行えるサービス Amazon WorkDocs へのアクセス権限と 50 GB のストレージが付与されます。これにより、すぐに複数人でのビジネス・コラボレーションを開始することが可能です。今現在 AWS アカウントをお持ちでない方でも、仮想デスクトップ環境を作成し、実際に利用状態にするまで、1 時間もかからないでしょう。そして、"プラスアプリケーションバンドル" として、Microsoft Office、Trend Micro Worry-Free Business Security Services などが予め用意されている Amazon WorkSpaces を起動することもできます。

クリックすると拡大します

一方エンタープライズのお客様の場合、Amazon WorkSpaces (と Amazon WorkDocs) を単独で使うのでは無く、社内ネットワークを連携したいという要件をお持ちの場合が多いと思います。その場合はもちろん、上記に加えて考慮しなければいけないことがあります。以下の図の流れに沿って、エンタープライズにおける Amazon WorkSpace 構築・展開・運用の流れとして代表的なものをこれからご紹介していきます。

① ネットワーク環境構築

まずは要件を実現するために、ネットワーク環境をどのように構成・構築していくかを検討します。Amazon WorkSpaces から社内システムに通信する場合、クライアントから Amazon WorkSpaces への接続を含めた全体の接続イメージは次の図のようになります。

クリックすると拡大します

クライアントから Amazon WorkSpaces への接続については、モバイル環境やリモートオフィス等、どこからでもデスクトップ環境が利用できるように、インターネット経由でアクセス可能な Public エンドポイントを提供しています。通信はインターネット経由ですが、認証 (多要素認証可能)、セッション、デスクトップストリーミングとも通信は暗号化されており、安全に利用することができます。
(※インターネットアクセス回線の品質が悪い場合や、セキュリティーポリシー的にインターネット接続が NG の場合は、AWS Direct Connect (パブリック接続) でアクセスすることも可能です)

そしてユーザーがクライアントから接続した Amazon WorkSpaces から、オンプレミスネットワークへの基本的な接続形態は、Site-to-Site VPN (オンプレミスネットワークと AWS を IPSec VPN 接続によりプライベートに接続) と AWS Direct Connect (オンプレミスネットワークとAWSを専用線接続によりプライベートに接続) の2種類となります。ネットワーク品質、帯域、コスト、敷設前のリードタイム、セキュリティ要件、可用性 (冗長性) などを考慮し、適切なものを一つもしくは複数選択する必要があります。

その他の考慮ポイントとしては、ディレクトリサービス、ファイルサーバなどの機能をオンプレミスもしくはクラウド上のどちらに持たせるか、そしてそれらへの接続方法の検討があります。
また、Amazon WorkSpaces からインターネットへの接続が必要かどうか、オンプレミス側の DNS を参照する必要があるかも整理しておきましょう。

② 認証設定

次に、認証の設定です。
Amazon WorkSpaces は、ディレクトリに紐づけてユーザー情報を保存し管理します。ディレクトリは AWS Directory Service によって構築される、Simple AD、AD Connector、または AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) から選択できます。ディレクトリ構成に応じたそれぞれの選択方法は次の図をご参照ください。

クリックすると拡大します

また、Amazon WorkSpaces では、接続元の制限としてデバイス証明書認証や、接続元 IP アドレスの制限、またどのようなプラットフォームからのアクセスを有効にするかなどを、紐づけたディレクトリ単位で設定することも可能です。(図参照)

さらに、RADIUS サーバー等を構築することによって、多要素認証を実現することもできます。

クリックすると拡大します

③ マスター作成 (オプション)

Windows または Amazon Linux WorkSpaces を起動してカスタマイズした場合は、その WorkSpaces からカスタムイメージを作成できます。共通の初期設定を行い、必要なミドルウェアなどをインストールしたものからカスタムイメージ (マスター) を作成し、同じ構成の WorkSpaces を迅速に展開することが可能です。

カスタムイメージを作成するための要件は複数ありますので、失敗しないためにも、必ず下記をチェックして下さい。

カスタム WorkSpaces イメージとバンドルの作成 »
(上記ページの英語版から、カスタムイメージ作成の要件を満たしているかチェックする Amazon WorkSpaces Image Checker がダウンロードできます)

ここまで完了したら、いよいよ展開です。対象ユーザーの WorkSpaces をマネジメントコンソールから作成することで、ユーザーに対して利用開始の案内通知が行われます。

ユーザーの利用画面は次のようになります。

クリックすると拡大します

WorkSpaces では、ユーザーの追加削除や、リソース変更などを簡単に行えるため、利用状況に応じて常に仮想デスクトップインフラストラクチャを最適化していくことができます。運用負荷が軽減されることも、クラウド導入のメリットと言えるでしょう。

まとめ

Amazon WorkSpaces を使うことで、安全で使いやすい仮想デスクトップを、今日から・1台から準備することができます。そして、エンタープライズユース等で社内システムと連携させる場合にも、AWS のサービスを組み合わせることにより、スピード感を持って構築することが可能です。

Amazon Workspacesの料金はこちらからご参照いただけます。

Amazon WorkSpaces は無料利用枠も提供していますので、まずはお試しください !
(2020 年 4 月現在、無料利用枠を拡大したテレワーク向けオファーも用意されています。詳細はお問い合わせください。)

本日ご紹介した内容につきましては、下記のリンクもご参考ください。


いかがでしたでしょうか。"ビジネス×クラウド" カテゴリでは、次回も「AWS を使った働き方改革」の第 2 回目として、クラウドコンタクトセンターソリューション "Amazon Connect" をご紹介します。

Amazon Connect は、100 % クラウドベースで提供しており、コンタクトセンターを数分で即座に立ち上げて、すぐに利用する事ができるサービスです。この特徴から、コンタクトセンターのリモートワーク (在宅勤務) を素早く・簡単に実現する事が可能です。次回は、"Amazon Connect で実現する在宅勤務" について詳しくお話させていただきます。

この連載記事のその他の記事はこちら

第 1 回 - 仮想デスクトップで情報漏えいを防ぎ、リモートワークを推進

第 2 回 - Amazon Connect で実現する在宅勤務

第 3 回 - Amazon Chime を使った組織コラボレーション


builders.flash メールメンバーへ登録することで
AWS のベストプラクティスを毎月無料でお試しいただけます

筆者プロフィール

柳 嘉起 (やなぎ よしき)
アマゾン ウェブ サービス ジャパン合同会社
ソリューションアーキテクト

AWS 入社前は IT アーキテクトとして、システムのインフラ全体について、方針策定や最適化、設計を行っていました。開発と運用を同じくらいの期間、何度も繰り返し経験してきたため、上流工程から実運用を意識して開発を行うこと、また運用で得たことを確実に開発にインプットとしていくことを大切にしています。
好きな AWS サービスは マネジメント & ガバナンスサービス全般。好きな言語はPython。趣味はボウリングと庭いじり (ビオトープの構築 / 運用含む) です。

AWS を無料でお試しいただけます

AWS 無料利用枠の詳細はこちら ≫
5 ステップでアカウント作成できます
無料サインアップ ≫
ご不明な点がおありですか?
日本担当チームへ相談する