会社のITインフラ改革〜テレワークを4月に要求され4月に強行！〜

雑談

2019年12月武漢でコロナ感染者が報告され、中国内で収まると思いきや、2020年1月国内でコロナ感染者が数名報告され、その後どんどん感染者が出て、これはヤバイんじゃないの？と思った2020年2月。

ちょうど東京五輪で首都圏の交通網は麻痺するんじゃ？という予測のもとで、何かしらのテレワークを考えないといけないなーと思っていた2019年頃。情シス環境は2016年頃からSSL-VPNを入れて既にリモートワークができる体制を作っていたので、少なくとも自分はリモートワークで…という気持ちが強かった。私はデータセンターで仕事するよ宣言してた。

社外から社内のグループウエア POWEREGG が利用できると有り難いという要求が2019年初頭に上がり、2020年5月GW以降に展開しようと、色々と情報収集やらシステム評価やら作業していた。しかし、この手のものは会社にとって、テレワーク全面禁止という当社においては、実現可能性ゼロに近いという状況下であっても、急展開があるかもしれないことを祈り、地道に対応していた。

社長に呼び出された

2020年4月、コロナ拡大でロックダウン噂が流れた時、呼び出され、製品の仕組みについて質問があった。POWEREGGは利用できるが、届いた添付ファイルを加工して、それを添付するというレベルは考えていないが、そういうプランもあることを伝えた。

複数ある中で、Soliton SecureBrowserが安価で手軽だったため、それを会社に提案していたが、ファイル編集が急に要求必要され、その場合は、Soliton WrappingBoxで対応できるが検証無しでは導入は難しいことを伝え、SecureBrowserから展開した。当然、WrappingBoxは検証していなかったけれど、たまたま検証予定でVPN装置が届いていた。急遽データセンターに行き、評価版VPN機器を置き、UTMの設計をぱぱっと変更しルーティングさせた。

会社は不安を煽られない限り何もしない

これでいいじゃないの…という中、自席PCを自宅から作業したいという欲張りな要求が来た。そもそも、2019年の時、東京五輪で首都圏麻痺だよ、テレワークの環境を作らないと、急に言われても無理だよ、と会社に何度も言っていたのに、これだよ…。

ピンチはチャンス！

事前に収集していた情報は役にたつ

製品はある。あとは、自席PCはインターネット接続ができないため、どうやって自席PCに接続できるような設計をするか…。製品はSoliton SecureDesktop（SplashtopのOEM）でやった方が楽かな…と思い、早急に評価版を取り寄せ、またもやデータセンターに評価版VPN機器を設置し、UTMの設定を変更し、無理やりルーティングの変更を行なった。

自席PCは先述に記載したが、インターネットに接続できない閉域ネットワーク。でも、急遽入れようとしているSecureDesktopはクラウド製品。クラウド・社内ネットワーク間は、どうやっても繋がらないことにしている。これは、社内ポリシーによるネットワーク事情上から。会社からは一時的な利用という条件で、社内のインターネットができる環境にVMをおき、そこをクッションにして社内に接続させるという方法を取った。

得た情報は必ずシミュレーションしておくのが良い

良さそうな製品は技術資料類を取り寄せ、頭ん中で設計イメージを作り、頭ん中で走らせるとかをやったりしてる。頭ん中だと情報漏洩はしない(笑)。

ま、こういうことで、VMの設定は私が柔軟にできるため、どうにでもできた。VMというか、いわばVDI（Virtual Desktop Infrastructure：仮想デスクトップ）。VDIから自席PCへの接続を可能にさせるのは容易い。VDIからインターネットへの接続はNGにして、VPNルータへの接続できるような設定変更をした。さらに、VPNルータはクラウドへの接続に限定させ、他のインターネット接続はできない設計をした。これが、設計書を書かずに、ポンポンとUTMを弄っていたため、これ、どこを追加したっけ？という迷路状態になったのが汚点だった。

システム部隊、インフラ部隊、UTMとかのセキュリティ部隊、縦割りで組織があるはずだけど、全て私が引き受けている。つまり、私が不在になると、相当なダメージを会社は受けるに違いない。ま、そこらへんは、マニュアルは多少作成はしてるけど、縦横回転とかの業務は、体感で覚えないと無理だろうなーと思ってる。その時がくれば、その時だ。

さて、一時的な利用といいながら、2022年の春先まで、クラウドを利用した。もう、これ以上耐えられん、という私の主張から、SecureDesktopはクラウドからオンプレに変更した。これにより、SecureDesktopをDMZに配備させ、自席PCへの接続をシンプルに変更させたのは言うまでも無い。このオンプレでも結局アプライアンス（イメージファイル）であって、Nutanix AHV上に乗せられるとラッキーと思い、AHV上にデプロイしたけれど動かなかった。結局、リソースを見ながらNutanix ESXi上に乗せてデプロイし、現在稼働中。

ここで一つ、言えないリスクがあり、Let’s EncryptionのSSL証明書の適用に失敗する。これは時間かかりそうだなーと思ってる。

この急遽、会社の要求がすんなりいけた背景としては、前述に記載した通り、インフラ全体を私が基本的に対処しているのが大きい。まさになんでも屋。計画して実行までの期が長いものは、ベンダーに委託し現場監督ちっくで仕事を楽するというのが私の方針だけれども、いざという時は、やるんだよ（笑）

SSL-VPN

テレワーク環境、SSL-VPNっていう方法もあったけど、情シス向けのSSL-VPNは、Fortigate 60Dとかいった、小さいモデルを利用していたため、断念した。システムのアップデートも、そんなに行なっていないため、脆弱性に懸念をもっていた。

テレワークが一気に加速し、（うちの会社もすげーだろ、と自慢しながら）他の会社もすげーなーと思いながら、2020年後半、SSL-VPNの脆弱性を悪用した攻撃・不正アクセスが急増したニュースを耳にした。SSL-VPNでの展開を見送ったのは大正解だな、とつくづく感じた。

この脆弱性をほったらかしすればランサムウェアに感染した、あの病院と同じになるとこだった。あぶねぇ。

まあ、テレビで報道される情報リスクは、本当にあぶねーぞ！という知らせと思ってるので、2020年度中に情シス御用達SSL-VPNもアップデートを実施した。これは壊れても、しょうがないね、という想定のもと、私が実施したんだっけな？なんとかアプデできた。アプデすると重くなるね…、言われた通りだった。

こういったSSL-VPNの脆弱性によるシステムアップデートリスク、面倒だなーと思い、2021年かな？ドコモビジネス（NTTcom）のモバイルコネクトといったF5 BIG-IP AccessをベースとしたVPNサービスに切り替えた。F5なんて、高価すぎて結局導入できなかったシステムだ。これをサービスで利用できるのはでかい！また、FortigateではMobileTokenを利用して多要素認証をしていたため、MCOP認証オプションを採用したセキュリティの二重化を図った。

このモバイルコネクトでの接続は、2022年11月現在も現役で、変更することは考えていない。非常に使い勝手がいい製品と思っている。

まとめに入る。

会社がいうことは当てにならない。一旦入れたものは、止めることはできない。十分検証しても、想定外の使い方をされて、非常に困っていることがある。

暫定的に入れたテレワーク環境。2020年4月に呼び出され、5月GW以降に展開する予定が、すぐ入れろ、という無理な要求が来たため、設計が評価で作った手抜きの状態だった。そのため、インターネットができるPCから閉域ネットワークに接続されているグループウエアPOWEREGGへのアクセスが、本来であれば社内ネットワークでルーティングすれば良いのに、一旦、インターネットに抜けてクラウドサービス経由で社内に再度入り込むという、想定していない通信が発生した。

もう手遅れ。会社環境から、このソフトを利用されたくなかった。

結局、カネのため仕事を頑張る

しかしながら、会社要求通り、即実行したことにより、「評価が得られた」。データセンター契約に続けて２年連続の快挙だ。この評価は、給料の査定に大きな影響が出るので、必ずスーパーマン（S査定）でなければならない。S査定は会社で数名しか得られない特権階級。カネのためなら、頑張りまっせ（爆）

給与査定については、2022年度は残念ながらAクラスに留まった。

これが、まとめ

結局、2020年4月に呼び出され、当月に導入したぜ！と格好よく言ったものの、たまたま東京五輪対策で2018年ごろから、色々なテレワーク向け製品を探し、2019年にはある程度セレクト完了させていた。それが、たまたま、コロナ禍で急遽対応になっただけのことである。

私の過去のnoteを何度も読んで頂いている方であれば、何を言おうとしているのかが、ピン！と来ると思うけど、事前の情報収集は絶対必要。会社から要求される前に、幾つでも調査しておいておけば、仮に呼び出されたとしても、その中から適した製品をセレクトすれば良い。

また、検証にあたっては、やっぱり仮想化システムがあった方が良い。気軽に検証環境が作れ、終われば削除ができるからだ。これをクラウドでやっちゃうと、通信上の課金とかが発生してしまうため、できることなら、オンプレが良いかも。最悪、自分に貸与されたPCでやるのも１つ。

事前の情報収集・実際の評価は無駄にならない。情シスの皆さん、頑張れ。