東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。

こんにちは、エキサイトのインフラ全般を担当している知久(ともひさ)です。
1年掛けてオフィス環境を改善した話をします。

2019年初旬に全社効率化、生産性をあげることを目標としてインフラとしての取り組みをを模索。
ルール整備、業務フロー効率化、働きやすい環境、コミュニケーションツール見直し、無駄の除去等、様々
細かい改善を言えばキリがないので、イコールではないが、とりあえずわかりやすいゴールに置き換えた。

2020年東京オリンピックまでに全社員リモートワーク可能な環境を作る。

わかりやすいw 全員モチベアップ!
改善点を洗い出し。
  • PC端末
  • セキュリティ(認証、FW、エンドポイントセキュリティ)
  • 社内共有ファイルサーバ
  • 社内ツールもろもろ
  • etc.

デスクトップPC端末どうする?
当初の環境は
  • WindowsデスクトップPC & iMac (7:3)
サブ端末、サブ手段として
  • Chromebook(各部署に3台)
  • シンクライアント(セールスチーム)
    (VDIではなくコストを抑えたHyper-VベースのWinServerへの共有RDP環境)
  • VPN経由での社内PCへのリモートデスクトップ(全社員)
リモート業務はサブでカバーしてきたが、完全リモートワークを想定するとスペック不足で不可能と判断。

デスクトップPC→ノートPCへリプレース
約200台(MacBookPro、MacBookAir、WindowsノートPC)

この案で上層部に相談したところ、賛同+後押ししてくれた。
さらにエンジニア/デザイナーのMacBookProは最高スペックの端末を選べ!と
気持ちいいですね。モチベ上がる。
東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。_f0364156_19311386.png





でここからが技術的な課題。。。
認証どうするよ。セキュリティは大丈夫?
認証は、社内LANに設置してあるMicrosoftActiveDirectoryサーバとLDAPサーバ。
この認証に依存しているのが、
  • Windowsログイン
  • Macログイン
  • 社内共有ファイルサーバ
  • GitHub Enterprise Server
  • JIRA Server
  • Confluence Server
  • シンクライアント
  • 開発サーバのOSログイン
    • サービス管理ツールなどたくさん
    上記は"社内LAN"からの認証が前提となる。。。
    → 認証をクラウド!
    ツール関係もクラウドに切り替えよ!

    step1 ディレクトリ、認証サービスの選定
    step2 GitHubのSaaS
    step3 社内ファイルサーバの廃止
    step4 JIRA/ConfluenceのSaaS
    step5 各種ツールのSaaS切り替え+認証切り替え
    step1.ディレクトリ、認証サービスの選定
    ActiveDirectory、LDAPサーバに変わるディレクトリ、認証システム。
    選定する上で大雑把な要件として:
    • 外部から認証
    • 2要素認証
    • SAML IdP
    • LDAP
    • 端末認証
    • 可用性、堅牢性の条件
    • コンプラアンス条件
    • コスト条件
    


    Onelogin、Okta、AzureADなども検討しましたが、結果として下記に決定
    • Gmailで利用していたGsuite (SAML)
    • JumpCloud(SAML、LDAP、RADIUS、端末認証、エージェント認証、etc.)

    JumpCloudは導入事例が少ない、代理店がない。日本語サポートもない等の不安要素から迷ったが、
    最後は検証をメインで担当してくれたメンバーの要望で決めた。
    まーやってみよ!
    これで端末と認証が決まり。ベースは決まった。
    あとは様々なツールのクラウド移行と認証先を切り替えることです。

    東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。_f0364156_19514131.png









    step2 GitHubのSaaS化
    オンプレミス環境にGitHubサーバ。認証はActiveDirectory。(当然ながらパブリッククラウド、リモート環境からアクセス不可。)

    GitHub Enterprise Cloud + Gsuite SAML認証 に移行!

    開発エンジニア達が検証や移行に協力!感謝
    移行に3ヶ月(正味1ヶ月、残り2ヶ月は所有者不明のリポジトリ対応)

    東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。_f0364156_20092184.png










    いい感じ。

    step3 社内ファイルサーバの廃止
    社内ファイルサーバ (WindowsServer)
    過去20年のファイルが蓄積。たぶん重要なファイルは数%だろうw 退職者のバックアップファイル等。。
    
なんども整理を試みたが、
    • 削除判断ができない。。
    • 深い階層。。
    • エクセルのブックリンク多数。。移動するとぶっ壊れるw

    2年ほど前から新規ファイルはGoogleDrive利用を推奨してきた事もあり、GoogleDriveへの全移行で決まり。

    必要なファイルのGoogleDriveへの移行作業を依頼。
    → その後は段階的にReadOnly->アーカイブ→データ削除を実施

    2020年3月に停止
    東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。_f0364156_20361123.png














    いい感じになってきた。

    step4 JIRA/ConfluenceのSaaS
    オンプレミス環境にJIRA/Confluenceサーバ。認証はActiveDirectory。
    Confluenceはナレッジ共有ツールとして長年の情報が集約しており、特にエンジニアはエキサイトシステム関係で不明な事があれば、まずConfluenceを検索して解決する。それだけ有益なツールである。

    他のSaaSへの切り替えも検討したが、
    JIRA Cloud/Confluence Cloud + Gsuite認証へ移行に決める。

    記事が壊れたりする事が想定されたが、AttlasianのCloud Migrationツールが想定以上に優秀。
    権限付け替えやplugin差異の不具合はあったが、検証、移行を1ヶ月で完了!
    東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。_f0364156_21240745.png











    主要ツールへのリモート環境からのアクセス経路は出来てきた。

    step5 各種ツールのSaaS切り替え+認証切り替え
    - 既存SaaSツール、勤怠管理、人事、評価システムにてSAML、OAuth対応は全てGSuite、JumpCloudへ切り替え。
    - 自製ツールはAWSに移行。認証をJumpCloud LDAPに切り替え(途中)



    - セキュリティ忘れてた。。
    認証はJumpCloudによるID/passと端末識別でクリアだが、
    Firewallとアンチウイルスソフトに依存していた社内LANから離脱することでエンドポイント強化にシフト。

    Firewall、アンチウイルスソフト(PaloAlto、CiscoASA、F-Secure)から
    EDR(Endpoint Detection and Response)に移行!
    様々な製品を選定した結果、CarbonBlackに決定。
    最後は検証をメインで担当してくれたメンバーの要望で決めた。
    従来導入していた、アンチウイルスを取っ払い。FWも経由しない通信でも一定の安心感を設けました。
    東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。_f0364156_00020710.png














    とは言え、安心は出来ません。

    WAFや次世代FireWallで悩んだ、アラートやログの誤検知判断です。わかりやすくなったとは言え判断するには経験が必要。
    担当がポリシーを作成しフィックスできるまで数ヶ月はかかった。


    今後の課題
    - セキュリティログ、Auditログが分散しすぎる、誤検知は相変わらず。
    → ログの集約、分析が必要。簡易なSIEMを検討
    現在、sumologicにてSaaSログやAWSログを集約し検証中
    - バックオフィス業務のIT化。リモートワーク化
    → ツール類のSaaS化は着々と進んでいたり、ペーパーレス化も進んでいる。請求書処理や残るハンコ処理等。

    とはいえ、2020年4月時点で約95%はリモートでカバーできる環境。
    これで7月24日の東京オリンピック開会式を全社員自宅で業務できる準備が整ったが、結果的に新型コロナ対策によるリモートワーク実現になりました。
    やっててよかった。

    AcitveDirectoryやオンプレミスサーバも順次撤去。ID管理/認証周りのさらなる一元化を目指す。
    東京オリンピックまでに全員リモートワークを目指す!結果的にコロナ禍でのリモートワーク対応実現になりました。_f0364156_00414253.png


















    サービス選定でのポイントや移行でのテクニカルな情報は割愛しましたが、参考にしていただければと思います。





    by ex-engineer | 2020-06-30 17:15