読者です 読者をやめる 読者になる 読者になる

EPISODE 02

非ITエンジニアが取り組むリモートワーク基盤構築の記録

はてなブログに移転した

ブログサービスをはてなブログに移設した。以前のブログから記事をインポートするか、ゼロから始めるか迷ったけど、インポートするには色々手間も掛かりそう。ドメインも取ったし新たな気持で1記事目から始めてみる。

さて、ここ数ヶ月で気になっているのが、仕事で使っているiPadの使い方だ。リモートワーク、モバイルワークの支援ツールとして導入したはよいが、チーム内ではあまり統一された使い方がされていない。ドキュメントの管理方法やメールやメッセージの使い方、資産管理は個人の使い方に依存している印象で、半分おもちゃとして使っているのが実態。
せっかく組織として導入したツールなので、もう少し体系的に使う仕組みを提供できれば、より安全に便利に使えるのでは、と感じていた。

iPadの使い方については様々な導入事例があるので、それらを参考にしつつ検討していきたいと思う。かと言って小さなチームでは専任のエンジニアを入れる余裕もないため、個人的できる範囲で可能な限り費用を掛けずに試行錯誤しながら構築していく。

現状整理

現状チームで運用しているiPadは11台。10台がiPad Pro 9.7 WiFi+Cellularで、1台のみWi-Fiモデル。Wi-Fiモデルは検証用として購入してる。いずれも容量は32GBとなっていて、主な用途はセールスとマーケティングのメンバーが某ドキュメント共有サービスを使ったPDF資料の閲覧・共有とWebの閲覧程度。外出先や会議室で資料の閲覧をしたりWeb検索したりしている。メールやメッセージ系は個人で好きなものを使っていて、資産管理やセキュリティ関連のツールも入れていない。今のところ紛失・盗難などの重大な事故は起きていないが、いつ起きてもおかしくないし、起きた時の対策もされていない。

端末用途とセキュリティ対策要件

まずは以下の観点で端末の用途とセキュリティ対策の要件を定義した。

セキュリティ
紛失・盗難時には遠隔で初期化もしくはロックが行えること
iCloudのiPhoneを探すなどの個人向けサービスは利用しないこと
パスワードポリシーはチーム内で統一すること
アプリは個人の判断でインストールすることは制限しないが、インストールしたアプリは遠隔で監視できること

資産管理
誰がどのiPadを利用していて、インストールしているアプリをリアルタイムに把握できること

コラボレーション
メール、メッセージ、カレンダーは個人で契約したものは利用せず、チームとして統一されたものを利用すること

ドキュメント管理
個人がiPadで作成した資料は、iCloudやGoogleなどのクラウドサービスに保存せず、チームとして管理できる場所に保存すること

ネットワーク
信頼出来ないWi-Fiネットワークには接続せず、セキュアな通信を確保すること
iOSアップデートを行うため、オフィス内にWi-Fiネットワークが構築されていること

iOSのアップデート
チームとしてサポートするアプリが最新のiOSに対応している前提で、OSは常に最新のものを利用すること

専用アプリ
運用と開発費用の観点から導入せず可能な限りAppleが提供するアプリやサービスで基盤を構築すること
チームとしてサポートするアプリは動作検証済のものに限ること

バックアップ
iCloudやiTunesを利用した端末のバックアップは行わないこと
端末故障や初期化時にはiPadが元の状態に復元できる仕組みがあること

方針

こうして整理したはいいけど、一朝一夕で実現できるような気がしないなと。デスクに置いてあるMacやPCの管理とはまた違ってiPadはセキュリティと利便性、継続性を満たすのが本当に難しい。考えだすとキリがない中で、色々考慮した結果、まずは以下の方針ですすめることにした。

セキュリティと資産管理
端末セキュリティについてはMDMの導入で対応できそう。パスワードポリシーの設定や紛失時にリモートで初期化やロックができるのはもちろん、資産管理の側面もあるため、シリアル番号とユーザのひも付けや、リアルタイムに端末の稼働状況やアプリのインストール状況も確認できる。いくつかのベンダーを比較したが、どのMDMベンダーを選んでも機能に大きな差分はなさそう。サービスの提供はクラウドがメイン。当然だけど、1台あたり300円/月程度の費用が発生する。

ネットワーク
自宅や出先ではLTEだけで接続している分には安心だけど、出処不明なWi-Fiのアクセスポイントに意図せず接続してしまうこともあるはず。エンドユーザが意識せず悪意のあるアクセスポイントに接続してしまうことで、データの盗聴などの恐れもある。Safariを使ったWebの閲覧程度は別として、すくなくともチーム内で利用する通信だけは暗号化はしておきたい。これは上記MDMでは制御出来ないため、通信の暗号化についてはVPNの利用を検討する。あわせてOSのアップデートや大きなファイルの転送、LTEの通信容量制限も考慮し、オフィス内でのWi-Fi環境の構築も行う。

ドキュメントの作成と管理
現状はドキュメントの閲覧がメインだけど、編集もできたほうが良いはず。iPadなのでExcelで関数やマクロを使いゴリゴリ書くようなのは想定しない。新規作成したドキュメントは端末やiCloudに保存するのではなく、管理できるストレージを構築して運用する。既存のクラウドを使ったファイル共有サービスとの2重管理も面倒なので可能であれば移行してしまいたい。

メール、カレンダー、メッセージ
Gmail、iCloud、LINE、Facebookなど個人向けに提供されているサービスは利用しない。確かに個人用途では手軽で便利ではあるけど、チームで利用するにはリスクが大きい反面メリットは薄い。とは言えグループウェアを全く使わないというのは、機会損失につながるため、なんらかのグループウェアは利用する。

専用アプリ
社内の基幹系と連携する想定は今のところないため、専用アプリの開発は予定しない。ただリモートワーク促進の観点から、データベース、勤怠、費用精算、ワークフローなどは使えたほうが良いはずなので、テーマとしては認識しておき、次のステップで検討することにした。これはチーム内で収まる課題から全社的な課題に発展することで、時間も費用も膨らむことを懸念したため。

方針は固まったので、まずは運用基盤としてVPN、MDM、グループウェア、ファイルストレージ、オフィス内Wi-Fi環境を整えることにした。Wi-Fi環境以外は別として、各サービスについてクラウドサービスを利用するか、オンプレで構築するかを考えてみる。

クラウドサービスの課題

クラウドとiPadの相性はよいが、望んだサービスの全てがパッケージになっているサービスって存在しない。SIerなら要件出せば構築してくれるのだろうけど、そこまで大掛かりではないし、構築費用も発生する。

導入の課題
クラウドサービスの導入を前提とした場合、各サービスの提供ベンダを何社かピックアップして○×△で仕様を比較。やっと決まったら、VPNはA社、MDMはB社、グループウェアはC社、ストレージはD社とそれぞれのサービスが要求を満たしていることをデモサイトと実機を使って検証していく。要求仕様に不足がないことを確認し、ようやく契約。
契約しただけだと使えないので、管理画面からセキュリティパラメータとユーザ情報を登録。端末にクライアントアプリのインストールとアプリ内設定を行って、ようやく使えるようになる。一つ一つのサービスを使えるようにするまでは、オンプレでサーバを構築するのに比べて手間ではないが、3つも4つもとなるとやはり気の遠くなる作業だ。

運用の課題
エンドユーザと端末がずっと固定される前提の運用ならばまだいいけど、ユーザや端末に変更や追加があった場合は、ベンダに連絡してライセンスを追加したあと、各サービスにログインして1つずつパラメータやユーザ情報を設定する。これは異常に手間がかかりそうだ。むしろ各サービスの共通管理画面を提供するクラウドサービスが必要な勢い。運用を考えた時点で、挫折しそうな感じである。

費用の課題
費用の観点でも同じことが言える。A社に1,000円、B社に300円、C社に500円、D社に300円と積み上げていくため2,100円が毎月課金される。気がつくと2,100円×12ヶ月×10台で、年間25万2千円の費用増。支払い処理も各社に毎月行う必要があったりとかなり手間がかかる。また将来ユーザ数や端末数が増えたとしてもボリュームでディスカウントされることがなさそうなのも懸念点だ。

この辺がクラウドサービスの面倒なところ。

オンプレ構築の課題

逆にオンプレで構築する場合はどうか。

導入の課題
サーバ、通信回線、各サービスのミドルウェアを選定する。CPUとメモリ、ディスクサイズ、可用性も考慮しなければならない。OSSまで含めた構築を行うと、結構な工数が掛かりそう。セキュリティ関連も考慮する必要がある。

運用の課題
クラウドサービスと比べてユーザ管理などは分散しないため楽だけど、それと引き換えにサーバ管理という負担が生じる。1名での管理も不安なため、チーム内でもう1名は管理者としたい。

費用の課題
これは初期導入費用と通信費用、サーバ故障時の修理費、あとは電気代くらいか。運用を外部に委託する場合は、委託費用が発生する。

クラウドサービス、オンプレ構築の何れにしても一長一短でだけど、オンプレについては全て新規で購入しなくても手持ちの機材でやってみてもよいし、ハイブリッドで構築するという選択肢もある。

とりあえずオンプレを前提として構築し、デメリットが多いようであれば、クラウドに変更するという逃げ道も持ってチャレンジしてみようと思う。