vSphere+NSX+Horizon+DeepSecurityな環境で自らテレワークしてみた

Confidential
Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
富士通クラウドテクノロジーズ株式会社
プリンシパルエンジニア
五月女雄一
vSphere+NSX+Horizon+DeepSecurityな環境で
自らテレワークしてみた
～富士通クラウドテクノロジーズの場合～
×

本日お話する内容（アジェンダ）
◼発表者バックグラウンド
◼弊社テレワーク導入状況
◼テレワーク導入における工夫と対応
• テレワーク導入に必要なサービスやセキュリティ対策
• コミュニケーション方法の改善（ユースケース）
◼テレワーク導入で大事な事
• 反省も込めて
2Copyright 2020 FUJITSU CLOUD TECHNOLOGIES LIMITED
※資料は後ほど公開します
※気になる点は随時チャットへ

発表者バックグラウンド
◼名前
• 五月女雄一(SAOTOME Yuichi) / @ysaotome
◼所属
• クラウドインフラ本部
• エンジニアタスクフォース(ETF)
◼仕事
• ニフクラ何でも屋（インフラエンジニア）
• 企画・設計・開発・運用
• 物理作業からサービス開発、顧客提案
• 本執筆、記事投稿、講演
• ニフクラパーカー作ったり
• vExpert 2020
• 社内業務環境改善
• ChatOps環境整備
• 「会社をエンジニアリングで回す」ための施策推進
◼その他
• 趣味はインフラ設計構築とアウトドア

富士通クラウドテクノロジーズにおける
テレワーク導入状況

原則出社禁止後のオフィス(2020/04/01)
02/03注意喚起（テレワーク推奨開始）⇒ 03/30原則出社禁止（原則テレワーク開始）
弊社が原則テレワーク実現に至った実践例を紹介
2020/04/01 2020/04/01

テレワーク導入における工夫と対応

弊社テレワーク導入の歴史
～2000年代
夜間コール・外出時の
み対応可能な端末が一
部に配布される
（VPNベースの環境）
～2010年代
24/365システム保
有部隊を中心にマ
ネージャー単位毎
に適用範囲拡大
2017年～
社給スマホ・社給モバイル
ルーター・シンクライアント
配布開始。部門単位でのテレ
ワークトライアル開始
（DaaS/VDIベースの環境）
2018年～
テレワーク・デ
イズへ参加開始
2019年～
トライアル内容
を人事制度等に
も反映し
正式制度化
2020年
03月30日～
原則テレワーク継続
(ゼロトラストな環境
を目指す)

利便性とセキュリティ（とコスト）の両立が求められる
◼銀の弾丸は無い
• 利用規模や会社の状況に応じて段階的に対応していく事が現実解
◼弊社テレワーク導入の歴史から学ぶ段階対応（メリット・デメリットの一例を記載）
1. クラウドVPNベースの環境
• メリット：とても安いコストで短期間に開始出来る、エンドユーザーへの教育も比較的低コスト
• デメリット：VPNのスケール、インシデント発生に至るリスク範囲が広い
2. DaaS/VDIベースの環境(一部ゼロトラストを導入)
• メリット：準備さえ終わればスケールやエンドユーザーサポートが容易、インシデント発生範囲をかなり絞れる
• デメリット：それなりの導入コストと環境準備が必要
3. 完全なゼロトラスト環境を志向
• メリット：インシデント発生範囲を極小化、導入さえ終わればシンプルなシステム構成を実現可能
• デメリット：対象となる社内環境やツールがゼロトラストの考え方に対応している必要

補足：ゼロトラスト(Zero Trust)とは何か
Zero Trust 5つの基本原則
1. ネットワークは常に脅威にさらされていると考える
2. 外部だけでなく内部ネットワークにも常に脅威が潜んでいると考える
3. 内部ネットワークだからといって必ずしも安全では無い
4. 全てのデバイス、ユーザー、ネットワークトラフィックやフローには認証・認可が必要
5. アクセスを制御するポリシーは動的に適用され、できるだけ多くの情報ソースから作成する必要がある
「盲目的に信頼せず、すべて常に検証する」
というセキュリティへの考え方
Never Trust , Always Verify

1. クラウドVPNベースの環境
クラウドVPNを活用したテレワーク環境
テレワーク利用者
リモート
アクセスVPN
拠点間
VPN
業務サーバー
VPN接続数の増減を
コンパネから柔軟に設定
RDP環境やADサーバなどを
クラウド上に柔軟に配置
ファイアウォール機能に
よるセキュアな接続制御
社内サーバとクラウド間
は拠点間VPNで接続
社内のルーター機能に拡張性が
なくても、クラウドにさえ
接続すればOK
クラウドVPNのメリット
社内

リモートアクセスVPNゲートウェイとは
リモートアクセスVPNゲートウェイはL3 VPNとしてお客様オフィス、外出先などから
ニフクラのプライベートLANへセキュアに接続できるリモートアクセス型のVPNサービスです。
クライアントソフトウェアを使い、社外よりクラウド上の社内シス
テムへセキュアにアクセスが可能
閉域網の敷設・機器の設置・ネットワーク改修などの導入負荷なく、
セキュリティ対策を実現
同時接続50、100、1000ユーザまでの3プラン
複数の部署や業務ごとなど、業務に応じた柔軟な利用が可能
ニフクラ環境のシステムへのメンテナンス回線として利用、社外か
らセキュアにアクセスできるのでメンテナンス作業の負担を軽減
利用料金は、月額または従量制！
利用頻度に応じて選択可能（※）
お客様環境
プライベート環境
リモートアクセス
VPNゲートウェイ
物流センターで外出先で
社内システムサーバー
SSL-VPN
お客様オフィスで
SSL-VPN
※リモートアクセスVPNゲートウェイ利用料金のほかにプライベートLAN利用料金と SSL証明書費用（SSL証明書をお持ちでない場合のみ）が必要です
50/GW

コントロールパネルから作成
12
Step1
ネットワーク設定から
「リモートアクセスVPNGW作成」を選択
Step2
プラン、トンネルモードなど基本設定と暗号ス
イートを設定し、確認画面にて「作成」
Step3
ネットワークに反映されたら、作成完了
※サーバー証明書・クライアント証明書は別途用意が必要です

リモートアクセスVPNゲートウエイ接続までの流れ
13
Step1 Step2 Step3
コントロールパネルからリモートアクセスVPN
ゲートウェイの「ユーザー作成」
ポータルサイトからクライアントソフトウェアを
ダウンロード、インストール
クライアントソフトウェアでSSL-VPN接続

構成例：社内システムへセキュアかつシンプルに接続したい
自宅環境等
リモートアクセス
VPNゲートウェイ
VPNゲートウェイルーター
業務サーバー
業務端末
社内（オフィス）
L2TPv3/IPsecにて接続
項目
数
量
月額費用備考
リモートアクセスVPN
ゲートウェイ(small)
1 ¥9,800
コネクション数 50
接続まで可能
10TB/月まで転送量
無料
プライベートLAN 1 ¥5,000
拠点間VPNゲートウェ
イ(small)
1 ¥12,000
ニフクラ環境からオ
ンプレミス環境への
L2延伸に利用
ファイアウォール
（ゼロトラスト構成）
1 ¥0
拠点間VPNゲート
ウェイのグローバル
NW側、プライベー
トNW側両NICに対
して適用
合計 ¥26,800
＜ご利用イメージ＞
①自宅PC（モバイルPC）からニフクラへSSL-VPN接続
②拠点間VPNゲートウェイとオンプレミス環境に設置のルーターをVPN接続
③ニフクラ環境とオンプレミス環境をVPNGW経由でL2接続
ニフクラ上にセキュアなネットワーク接続ポイントを構築
プライベートLAN
必要に応じて
ADサーバーな
ども設置可能
14
ニフクラ

デスクトップの基盤に
オールフラッシュ型ストレージを採用
ローカルPCと遜色ない
ユーザーエクスペリエンスを提供
VMware NSX × Trend Micro Deep Securityによる
マイクロセグメンテーションとマルウェア自動検知を組み込み実装
面倒なNSXとDeep Securityの管理・運用不要
仮想デスクトップ毎のアイソレーションを実現する事により、
最新セキュリティ攻撃への耐性を高めている
7,000件以上の導入実績を持つ
ニフクラIaaSと同等の品質
ニフクラの各種機能と連携できますので、
柔軟なVDI環境を構築できます
ニフクラデスクトップ 3つの特徴
ハイパフォーマンス
高い品質と柔軟性ゼロトラスト・セキュリティ
2. DaaS/VDIベースの環境
ニフクラデスクトップサービス（専有型）を活用したテレワーク環境

概要：ハイパフォーマンス
16
ローカルPCと遜色ないユーザーエクスペリエンス（使い勝手）を実現
起動が遅く操作も緩慢な事で、事務用途に限られていた従来型VDIから脱却
https://youtu.be/pr8z1UA5RsA

自宅環境等
特徴：ゼロトラスト・セキュリティ
17
プライベートNW（論理的に分割）
FW
Internet
グローバルＮＷ
閉域網VMware
NSX
Trend Micro Deep Security
FW FW FW
ダイレクト
ポートFW
DHCP
FW
DNS
FW
FS
FW
AD
デスクトップ毎のマイクロセグメンテーション、
マルウェア感染時の自動隔離により、高い攻撃耐性を実現
デスクトップ領域サーバー領域
マルウェア感染し、駆除出来ない場合、
対象デスクトップのネットワークを
自動で遮断します（デフォルト設定）
デスクトップ基盤
IaaS基盤
Horizon DaaS
NIFCLOUD
VPNゲー
トウェイ
隣のデスクトップへ
接続出来ない
（デフォルト設定）

vSphere + NSX + Deep Security で実現する構成
お客様が利用するデスクトップ
ネットワークとストレージへのI/Oを
インターセプトしてインフラ基盤でチェック
引用元：https://blogs.vmware.com/vmware-japan/2018/03/nsx4v-and-trend-micro-deep-security_03.html

vSphere + NSX + Deep Security で実現する機能
Webレピュテーション動作イメージ図
エージェントレスWebレピュテーションサービス(透過Proxy)
Webからの脅威の出所である不正URLアクセスを未然にブロック
自動/手動ブラックリストリスト・手動ホワイトリスト

vSphere + NSX + Deep Security で実現する機能
エージェントレス不正プログラム対策(アンチマルウェア)
リアルタイム検索/手動検索
◼ 各仮想デスクトップへエージェントインストール不要（通知エージェントのみ）
マルウェア検索はFJCTがサービス提供（FJCT管理下の専用リソースで処理）
◼ マルウェア対策管理ソフトウエアの運用不要（デフォルト設定も提供）Q
パターンファイル更新設定など、各種コンポーネントの設定・運用はFJCTがサービス提供
（FJCT管理下の専用リソースで処理）
◼ ウイルススキャンなどでデスクトップ動作が遅くならない
■エージェント型の場合
• 各デスクトップにウイルス対策ソフトをインストール
• パターンファイルも各デスクトップに配信される
• ウイルススキャンなどで動作が重くなる
■エージェントレス型の場合
• マルウェア対策はFJCTが提供する専用リソースで実施
• パターンファイルも各デスクトップに配信されない
• デスクトップ利用者は、ウイルススキャンなどでデスク
トップ動作が重くならず、快適に利用できる。

自宅環境等
特徴：高い品質と柔軟性
21
プライベートNW（論理的に分割）
FW
Internet
グローバルＮＷ
VMware
NSX
Trend Micro Deep Security
FW FW FW
ダイレクト
ポートFW
DHCP
FW
DNS
FW
FS
FW
AD
NIFCLOUD
デスクトップ領域サーバー領域
ADDNSDHCP FS
お客様オフィス
VPNゲー
トウェイ
VPNゲー
トウェイ
デスクトップ基盤
IaaS基盤
Horizon DaaS
閉域網
ニフクラで実績ある接続方法により、既存環境（オンプレミス等）と柔軟な連携

構成例と価格感
ベーススペック
1vCPU/4GBメモリ
/80GBディスク
1vCPU/4GBメモリ
/160GBディスク
10パック ¥77,000 ¥119,000
20パック ¥148,000 ¥230,000
30パック ¥210,000 ¥327,000
50パック ¥330,000 ¥510,000
100パック ¥600,000 ¥930,000
200パック ¥1,100,000 ¥1,700,000
月額費用
「2vCPU/8GBメモリ」をご利用の場合は、
1vCPU/4GBを2スペック消費。
「4vCPU/16GBメモリ」をご利用の場合は、
1vCPU/4GBを4スペック消費。
パックを購入して自由に組み合わせて利用可能
1vCPU/4GBメモリをベーススペックとして必要な合計リソースを購入
合計リソースの範囲で業務に応じて自由に組み合わせを選択し仮想デスクトップの生成が可能

テレワーク導入に必要なサービスやセキュリティ対応
対象者の明確化と認証・認可徹底
• 弊社ではOneLogin(IDaaS)連携し、Slackおよびその他システム間連携時の認証・認可・トレーサビリティを管理
• 氏名、所属、その他情報を人事情報と連動して自動Provisioning
• 認可分類：社員、スタッフ、協力会社、協業会社
• 利用者は全員OneLoginで管理（約650名分を管理）
社給VDI・社給スマホ・社端末頒布とアクセス制御
• オフィスでも出先でも自宅でも活用可能
• ホワイトボード撮影 ⇒ Slackで議論継続
• 顧客先からSlackで議事メモ作成・リアルタイムにQA
デスクトップサービス
（専有型）
潤沢な開発環境
社給スマホ
個人端末(BYOD)
社給端末
最大4vCPU/16GB提供

サポート
コミュニケーション方法の改善～ChatOpsとは？～
運用エンジニア(SRE)
開発エンジニアマーケティング
セールス
バックオフィス
ChatBot
API
API
API
API
API
• 社長を含む、全社員へ公開されたチャンネル（場所）での情報交換強制（ためらい排除）
• 「音声（口伝）」でなく「文字」でメタ情報付きで残す。何時、誰が、何のために。
• ChatBot/API連携を推進し、情報処理の自動化および属人化排除
情報のオープン化・データ化

原則テレワーク前と後での変化：チーム会編
リモート参加者も同等
対策どうし
よう?
暫定対処
は・・・
Before(前) After(後)
みんなでGitLabの画面を見てディスカッション
・リモートワークの人にも画面配信
・アクションアイテムやメモやSlackとGitLabへ
対策どうし
よう?
暫定対処
は・・・
リモートになっても基本は同じ
・全員へ画面配信
・アクションアイテムやメモやSlackとGitLabへ

テレワーク導入で大事な事（反省も込めて）
テレワーク導入は自社や自分だけでは成り立たない
• チームメンバー、家族、お客様、取引先、協力会社等、事業を構成する全ての方々の協力が必要
推進にあたり課題が沢山出るため、大方針が大事（トップダウンでの方針策定）
• 端末、ネットワークのパフォーマンス問題 ⇒VPNで手軽に開始し、DaaS/VDI、ゼロトラストへ
• サービス連携時のセキュリティポリシー問題 ⇒人的では無く、システムでの担保に投資すべき
• 自宅の机や椅子などの什器・通信費や光熱費の問題 ⇒通信費補助、テレワーク備品補助
• 派遣・委託を含む社員の勤怠管理やメンタルケア、身体ケア問題 ⇒関係各社調整、Virtual保健室
• 物理業務の管理（請求書、実機対応等）問題 ⇒関係各社調整、適材適所での出勤との組み合わせ
追加情報
• 第25回ニフクラエンジニアミートアップ
『全社でテレワークやってみてわかったこと話します。』
• https://blog.pfs.nifcloud.com/20200520_engineer_meetup
• 動画アーカイブにて、現場視点の事例を交えた工夫を共有

テレワーク環境構築支援で最大8万円までニフクラを値引き！
ニフクラ相談窓口検索お問い合わせはこちらまで
特典1
新規申込特典として、申込月から
最大3カ月間、最大3万円まで値
引き
特典2
テレワークキャンペーン特典とし
て、申込月の3カ月後から最大3
カ月間、最大5万円まで値引き

本資料で利用されている文章、イラスト、ロゴ、写真、動画、その他のすべての情報は、
富士通クラウドテクノロジーズ株式会社、または第三者が著作権を有しております。
個人的な利用など著作権法によって認められる場合を除き、著作権者の事前の許可なく、
これらの情報を利用 (複製、改変、配布、公衆送信等を含みます。) することはできません。

vSphere+NSX+Horizon+DeepSecurityな環境で自らテレワークしてみた

Recomendados

Recomendados

Más contenido relacionado

Más de 富士通クラウドテクノロジーズ株式会社

Más de 富士通クラウドテクノロジーズ株式会社 (20)

vSphere+NSX+Horizon+DeepSecurityな環境で自らテレワークしてみた