テレワークのためのリモートワークソリューションたち

以前SSL-VPNについて書いたように、リモートワーク系ITソリューションにはなかなか詳しいと自負している。

私がIT業界に入った2005年頃はIP-SecとSSL-VPNのどっちがいいとか、インターネットは信用ならないからキャリア閉域網を使うんだとか、非金融系民間企業がそんなことを真剣に議論していた時代だった。

時は流れ、今や2020年、令和である。メール・グループウェア系パブリッククラウド両巨頭であったMicrosoftとGoogleの戦いはとっくにMicrosoftに軍配があがり、Office 365はMicrosoft 365になり、MDMはタダ同然となり、通信キャリアが旧式iPhoneをSIMカードとセットで大手企業に叩き売りしている。

エンタープライズレベルにおいては、ソフトバンクがiPhoneを日本で売り出した10年前と比べて技術的に圧倒的な違いが生まれたいう印象はないが、ビジネスとしてはクラウドやスマートフォンが完全に世の中に根付いたのは間違いない。なにせ官公庁が「クラウド・バイ・デフォルト」とか言っているし、メガバンクが堂々とMicrosoft 365 導入を公言しているのである。

CIO補佐官が今明かす、日本政府の「クラウド・バイ・デフォルト」の全貌と実践

パブリッククラウドは銀行システムに広がるか

今日は、こんな時代にあり得るテレワーク環境を解説したい。

ACLをかけず、オールパブリッククラウド

生産性の観点で言えばこれが最強の構成だ。まさにSalesforceが2000年初頭に提言したクラウドコンピューティングそのものであろう。

「サーバーを持たない・運用しない、水道高熱費のごとく毎月ITサービス利用料だけを払う、インターネット経由でアクセスする、どこからで使える。」

クラウドサービスをはじめる会社の殺し文句だった。日経新聞の見出しを飾った。折よく当時の最新モバイル端末であるスマートフォンが普及し始めた。
そして、多くの大企業のIT部門やコンプライアンス部門は「そんな怪しいもの業務で使えるか。ダアホ。」と思ったものである。

とはいえ、これはガバナンスレベルが低く、そもそもIT部門なんて存在しないといったノリの中小企業にとっては最高だ。
担当者をアサインする必要はないし、なにか問題があったらそれはクラウドサービスプロバイダーの責任なのだ。ブラウザでアクセスする、動く・動かない、それだけだ。まさに水道や電気と同じだ。

そもそもが、それまでISPのPOP/IMAPベースのメールホスティングサービスやDropboxを使っていたような人たちである。
ノートPCを社員に渡して、あとはそれ使ってメールや会計ソフト家でもオフィスでもカフェでも仕事をしておけというのは非常に合理的だ。もっと言えば個人のPCだってスマホだだっていいわけだ。仕事で使う携帯電話だって個人もので、通信費を払ってくれたら優良な部類だ。とにかく端末も経路も物理的ロケーションもどうでもいいから仕事しておけという、とてもビジネス効率が高いのがコレである。

多くの中小企業のテレワークの実態はこんなところだろう。

パブリッククラウド＋社給端末＋ACL＋端末認証

これはセキュリティに真面目な中小企業～大企業まで幅広く適用できる王道ソリューションだ。

前述した「ダアホ」と言う大きな予算を持ちつつセキュリティに厳しい大企業向けに、クラウドサービスプロバイダーやそのパートナー企業たちは色々なセキュリティ機能・オプションを提供し始めた。例えば・・・

・IPアドレスをホワイトリスト登録して、それ以外のソースIPからのアクセスは禁止
・クライアント証明書やMDMを配布して、それらが入っていないユーザーデバイスからのアクセスは禁止
・指定のクライアント証明書やMDMが入っていれば、IPアドレス制限は無視してよい
・Active Directlyのパスワードを使わせる（それまでのパスワードポリシーを踏襲できる）
・それらを複数組み合わせる

本音を言えば大企業の社員だってこんな面倒なことはしたくないのだが、そういうことをさせないためにIT部門のセキュリティ担当という人たちがいるのだから仕方がない。

面倒ではあるが、このソリューションの優れたところは、端末が安全に保たれている(暗号化、Windowsサインインパスワード桁数、アンチウィルスアップデートなどが担保されている)前提であれば、業務用クラウドサービスにアクセスしていいところだ。

2000年初頭ではいちいちVPNで一度社内ネットワーク入って、自社のFWに差し込まれている回線のグローバルIPがソースIPでないとアクセスできないとかその手の構成が主流だった（当時クラウドという言葉はなく、ASPと呼ばれていた）。
当然ながら、そんなことをしているとVPNライセンスのコストが高くなるし、遅いし、自社回線が逼迫してしまう。そんなことするなら端末認証かけて、自宅回線でも4Gでも使って直接クラウドにアクセスしてくれとする方が遥かに合理的だ。

ただしこのソリューションには決定的な弱点がある。全社員にノートPCを配布しないといけないので、ものすごくお金がかかるのだ。仮に1台10万円のWindows 10 Pro端末を社員2000人に配布したら、それだけで2億円の出費だ。さらにそれらをキッティングして、社員向けヘルプデスクを開設なんてしたらとてつもないコストになる。（逆に言えばノートPCメーカーにとっては千載一遇のビジネスチャンス。）

お金持ちの会社でしかこんなことはできないが、とはいえ社員1人1台PCを持つのが普通ではある。つまり、はじめからデスクトップPCではなくノートPCを配っていた会社にとってはその問題は発生しない。社員のモビリティを重視する重役がいる会社はとても先見の明があったことになる。

リモートアクセスVPN

基幹系などいくつかのシステムが未だにオンプレミスで運用されているケースにおいてはVPNなどが必要になるのは今も昔も変わらない。この分野には下記ポストで詳しく書いてあるのでもし興味がある人はどうぞ。

仮想デスクトップ＋シンクライアント

シンクライアントってもう20年くらい前からあるんじゃないか。とはいえ相変わらず全然普及しない。これはシンクライアント端末自体が（Thin Clientのくせに）重いとか高いとかいう端末側の話もあるんだが、本質的にはVDI (Virtual Mobile Infrastructure)と呼ばれる仮想デスクトップ環境を構築するのに必要なライセンス費用が高すぎるせいだ。

その諸悪の根源はMicrosoftであり、たくさんのWindows PCを世界に流通させたいから、仮想的にWindowsを使う際には税金のごとくものすごく高いCALと呼ばれるライセンスをチャージする。

そんなことをしているからトータルコストが高くなりすぎて、ユーザー企業はなんとか予算内に収めようと仮想 Window 10 にRAM 3GB割り当てるとか無茶な構成を組んでしまい、「VDI＝高いくせに遅くてユーザーがキレる」みたいな構図が出来上がってしまった。

それに、テレワークとなるとシステムがクラウド化されているのにいちいちVPN経由で社内のVDIに入って、そこからまたインターネットに出ていくという冗談のようなことをしないといけない。「おいおい、それならこの手元のPCから直接クラウドサービス使わせろよ」と思うのは至極もっともだ。

この問題は2020年の今となっても解決されていない。真剣にシンクライアントとVDIを使っているのは、シンクライアントとVDIを売っているメーカーやSIerくらいだろう。

リモートデスクトップ＋個人PC

これはVDIのように仮想デスクトップを大規模構築するのではなく、既にオフィスのデスクに置いてあるPCへ、自宅の個人PCからリモートデスクトップする。その際、オフィスPCには「受け」となるプログラムをインストールしておく必要がある。有名どころはこのあたりだ。

TeamViewer - リモート接続ソフトウェア

Splashtop Remote Access | Remote Computer Access Connection Software | PC, Mac

Main

この業界が長い私がかなり真剣に驚いたのが、このようなトラディショナルなソリューションを好む企業がかなりの数存在しているということだ。
なにせ「受け」プログラムを社員の各オフィスPCにインストールしていかないといけない。PCが1000台あれば1000回インストールするんだ。ユーザーにインストールさせるとしても、サポートする側にはそれなりの手間がかかる。

これは「いつも使っているPC環境をそのまま遠隔操作する」という点が大きい。業務アプリケーションがWebベースであれば社内では物理PC、テレワークではDaaS/VDIという使い分けでもよさそうだが、「いつもデスクトップにおいてあるファイルがない」とか「ファイルサーバーショートカットがない」とかその手の不満がかなり根強いらしい。
ITベンダーとしては「おいおい、ファイルなんてみんなファイルサーバーやBoxに入れておけばいいっしょ」と思うのだが、世の中そんな高尚なことを徹底できる人ばかりではないということだろう。

SplashtopやRemoteViewだって月額1000円/月くらいはするので、1000人で使ったら100万円/月＝1200万円/年だから決して安い金額ではないWindows 10 Homeの安いノートPCなら5万円くらいで買えてしまう世の中だ。

個人的には後述の「パブリッククラウド＋社給端末＋ACL＋端末認証」が本格普及する前の過渡期のソリューションという気がする。今のデスクトップPCがリースアップになれば、ノートPCを買って渡してリモートデスクトップサービスを解約する方が理にかなっているように思える。

ゼロトラスト型リモートアクセスサービス

最後に2020年以降大フィーバーするんじゃないかというサービスを紹介したい。

これはクラウドサービスへのアクセスではなく、社内システムへのアクセスのためのものだ。なのでリモートデスクトップやVPNの代替になり得るものである。

一つ目はZscaler Private Accessだ。これはおそらくこのカテゴリにおいては一番新しい。

Zscaler Private Access

VPNを使わず、端末を社内ネットワークに入れないのに、リバースプロキシやローカルプロキシ・フォワーディング型のようにアプリケーション制限がないというとんでもないやつだ。完全なVPN殺しである。私がCiscoやDellのSSLVPN製品プロダクトマネージャーだったら絶望して転職を考えるレベルだ。

ただ、やっぱりというか何というか、Windowsへのプログラムインストールは必要。VPNを使わず上記のようなリモートアクセス環境を作るというのは、明らかに一般的なWindowsとTCP/IPの法則を無視しており、レジストリをガリガリ書き換えないとできないはず。もしこんなことが簡単にできていたらクラッキング天国になってしまう。Windows 10 アップデートの影響をモロに受けそうな印象だが、使ったことがないのでこれ以上のコメントは控える。

次に紹介するのが、MicrosoftのAzure AD Application Proxy。これはもう更に反則じゃないかと叫びたくなる。こんなものをMicrosoftに出されたらリモートアクセスサービスベンダーは商売あがったりだ。

Azure AD アプリケーション プロキシを使用してオンプレミス アプリを発行する

・Windows ServerのConnectorをいう機能をEnableにして設定する
・外向け通信のみでOK、インバウンドアクセスなし
・アクセスできるのはWebアプリケーションだけだが、クライアントアプリケーションインストールは不要
・ゼロトラスト構成
・Azure AD Premium 1/2を持っていれば追加ライセンスコストはかからない
・Micosoft 365 (Azure AD)と認証ポリシーが同一・一本化されている
・スマホでも利用可能

という恐ろしいほどの凶悪さである。穴としてはクライアント・サーバー型アプリケーションが使えないとかファイル共有ができないとかあるが、Webアプリが使えればよい且つ既にMicosoft 365とAzure AD P1/2を使っている層にはメリット大。Intune入りWindowsノートPCを配って、Micosoft 365 とこれを使っておけばコスパ最強だ。私が大企業の情報システム部員だったら間違いなく導入提案する。

終わりに

前回のSSL-VPN編を大きく上回るボリュームとマニアックさになってしまったが、一度書き始めたらノンストップでここまで書き上げてしまった。果たして何人の人が最後まで読んでくれたのだろう・・・。

こんなにマニアックな話に最後までついてきてくれた方に感謝したい。