ChromebookとAmazon WorkSpacesを使った業務環境の構築

by ueta | January 15, 2020
tips | #infrastructure #infosys #windows #AmazonWorkSpaces

こんにちは、IT基盤部の上田です。
社内システムのインフラを担当しています。

以前の記事ではオンプレミス環境にあったWindows 7(Windows Server OSではなくDesktop OS)環境をAWS上に移設するにあたってAmazon WorkSpacesを利用するということを紹介しました。
今回は弊社のカスタマーサービス部(以下CS)の次期業務環境としてAmazon WorkSpacesを利用する具体的な取り組みについて紹介します。

DeNAのカスタマーサービス部の業務環境に求められている要件

CSの業務環境に求められている要件は、下記の4点に集約されます。

  • セキュリティ
    CSでは個人情報を取り扱いますので、業務端末そのものやUSB等の外部記憶媒体を利用してのデータ持ち出しができない、業務内容の記録も必要とされるなど、セキュリティに厳しい環境である必要があります。
  • フリーアドレス
    個人に端末が貸与されるのでなく、席に備え付けられた端末から業務環境にアクセスしているため、どの席からでも各自の専用の環境にアクセスできることが必須です。
  • 電話対応
    問い合わせの電話を受けるチームでは、電話応対しながらブラウザで問い合わせ内容の確認や検索ができる必要があります。
  • 遠隔サポート
    遠距離にも拠点が存在するため、可能な限りリモートでも簡単にサポートできる環境があれば運用面でメリットがあります。

現状

ユーザーはシンクライアント端末を利用しています。シンクライアント端末からWindowsのRemoteDesktopService環境にログインし、そこで業務をしています。
RemoteDesktopService環境においては、新しいツールなどが必要な場合は利用者からの申請を受けて、管理者がインストールとなどを行なっています。RemoteDesktopService環境では利用者にローカルのAdministrator権限を渡していません。これは利用環境を均一に管理するためです。セキュリティ対応としてはアンチウィルスソフトや証跡記録ツールが導入されています。
また他には電話のお問い合せ対応にPBXを利用しています。
つまり現在の環境としてはシンクライアント端末 + RemoteDesktopService + PBXとなります。

現状の課題

  • 端末管理
    既存のシンクライアント端末は管理用アプリケーションが古すぎて集中管理に難があるのが管理者として辛い点でした。特に一括での設定の配信は、長時間電源の入っていない端末が存在し、設定が確実に反映されるかの確証が持てませんでした。どれだけ長期間電源の入っていない端末があったとしても、電源が入れば確実に設定が反映される仕組みが必要です。
  • ツール類の管理
    RemoteDesktopService環境においては、近年では提供するサービスの多様化に伴い、必要な新たなツール類のインストールを頻繁に求められる様になりました。以前の様にほとんど業務環境に変更をもとめられない環境であれば問題はなかったのですが、頻繁に利用者から求められる変更に追随しなければならないことは利用者にも管理者にも大きな負担となっています。利用者が各自の環境を自由に拡張でき、かつ他のユーザーの業務環境に影響を与えないものが求められています。
  • PBX設定
    PBXでは設定の改修を行いたいと思っても、ベンダーに都度依頼する必要がありました。これを自前で管理できるようにしたいという思いがあります。またPBXサーバーと固定電話の両方に設定変更を行う必要があったため、固定電話の追加・削除の対応も大変でした。この点も簡単に変更できるようにしたいところです。

課題への対応

現状のシンクライアント端末に代わるものとして、Chromebookを採用します。
RemoteDesktopService環境に代わるものとして Amazon WorkSpacesを採用します。
そしてPBXを Amazon Connectに切り替えます。
それぞれについて少し詳しく説明します。

Chromebook

Chromebookの利点として、管理の簡易さとセキュリティの強固さが挙げられます。ChromebookならChrome Enterpriseと紐付ける事によりインターネット経由で管理者の意図した通りの設定を流し込め、キッティング作業の簡易化とセキュリティ設定の担保が可能です。USBメモリなどの外部記憶媒体が使えないようにするといった基本的なことはもちろん、OSのバージョン固定や拡張のインストールの可否もしっかりと管理できシンクライアント端末としての用途しか利用できないように制限するのも簡単にできます。またChrome OS自体が非常にセキュアな機構を持っているため脆弱性対応にかかる負担を減らすことができます。
セキュアな機構の具体的例としては下記が挙げられます。

  • Linuxをベースとした軽量なOSで、自動アップデートが標準実装されている(OS全体の更新でも10分と掛かりません)
  • サンドボックス化されたChromeブラウザ
  • Chrome OS自身の改竄を検知・自己修復するVerified Bootと呼ばれる機構
  • OS/ユーザ情報等を保管するローカルストレージの自動暗号化

多層防御の概念が採用されていることが解ります。また、現在のChrome OS搭載端末の多くがAndroidのアプリケーションをネイティブ実行することが出来るため、Android端末向けに開発された多くのアプリケーションがChrome OSデバイスでも利用可能です。Amazon WorkSpacesに接続するためのクライアントアプリケーションも、Android向けアプリケーションを利用しています。

Amazon WorkSpaces

Amazon WorkSpacesはAWSが提供するフルマネージド型のVDIサービス(DaaS:Desktop as a Service)で、容易な操作と安価なコストでWindows/Linuxのデスクトップ環境を仮想的に提供することができます。利用者に各自の専用の環境を用意し、その環境でAdministratorとして振る舞っても他人に影響を与えないという条件からVDI環境への移行を検討するようになり、白羽の矢が立ったのがAmazon WorkSpacesとなります。
以下に特徴を記してみます。

  • 各ユーザ環境のゴールデンマスターとなるイメージを、既存の環境からワンクリックで取得・更新可能(メンテナンス性が高い)
  • 東京リージョンを利用できるためパフォーマンスやレスポンスが非常に良い
  • 今回採用しているグレードの環境ではフルHDの動画を滑らかに再生できる
  • 映像と音声のズレは殆ど気にならないレベルを維持し続けることが出来る
  • クライアント側のCPU消費も少なく、画面転送型VDIでトラブルの種になりやすい帯域消費も非常に低く抑えられている
  • 更なるパフォーマンス改善などを目的とした新プロトコルが鋭意開発中

検証した限りでは非常に満足いく環境でした。
このAmazon WorkSpaces環境ではローカルのAdministrator権限をユーザーに渡してしまい、アプリケーションのインストールを自由に行えるようになります。勿論、ユーザが利用する環境がWindowsであることには変わり有りませんので、ウィルス対策や証跡記録、ソフトウェア資産管理といった対策・マネジメントは必須となりますが、既存のアンチウィルスソフトや証跡記録ツールをそのまま転用する事が可能です。またVDIのために大規模ハードウェアを導入する金銭的・物理的ハードルも無く、安定運用のための維持管理・パフォーマンスチューニング・コストの最適化等々、様々な要素が複雑に絡み合うVDI環境の構築・運用をAmazonにすべてお任せしてしまうことが出来る点もDaaSであるAmazon WorkSpacesの利点の一つと言えます。

それらの利点に着目し、Amazon WorkSpacesの利用に関しては社内利用以外への導入も検討中です。外部協力会社のメンバーに社内環境へのアクセスを許す場合、今まではVPNを設定したWindows端末を用意し貸し出していました。これは端末のリース費用が端末の利用頻度に関わらず発生し続け、また端末のキッティングに工数がかかっていました。さらにVPNへの接続がうまく行かない場合など、いちいち端末を回収してトラブルシュートにあたる事もあり非常に負担でした。これらをAmazon Workspacesに置き換えることによって、外部協力者のパソコンから社内環境アクセス可能なVDIにつないでもらう事が可能になり、利用時間分だけの課金(コスト負担)に費用を圧縮し、環境のメンテナンスの負担を軽減することを目標にしています。

Amazon Connect

Amazon WorkSpacesとの組み合わせを考えた際、最も良いと思われるプロダクトがAmazon Connectでした。電話対応の対応者レベルで自由に入電した際のフローを構築・変更できるということで、都度ベンダーに作業を依頼する必要がありません。また固定電話を利用していたいままでと異なりAmazon Connectは固定電話ではなくブラウザ上で受電し、ヘッドセットなどを用いて応対します。つまりAmazon WorkSpaces上で電話対応する事が可能です。これにより固定電話が不要になり、担当者の増減もAmazon Connect上で簡単に管理でき、より柔軟な運用が可能になることを期待しています。この電話対応関連の部分のより詳細な設計についてはまたの機会にご紹介できたらと思っております。

まとめ

最終的に我々が目指す所としては、より管理者がメンテナンスやマネジメントを行いやすい環境で、利用者の自由度が高くなる事です。Chromebook + Amazon WorkSpaces + Amazon Connectの組み合わせは、利用者が業務を行う環境が完全にAWS上のサービスによって提供され、RemoteDesktopService環境よりも自由度を高く設定できる上に、管理者としてはChrome Enterprise + AWSコンソールでより効率的に管理する事が可能になると見込んでいます。