AWS を使って安全で快適なリモートワーク環境を導入したお話(前編)

これはビットバンク株式会社 Advent Calendar 2020 の 7 日目の記事です。

はじめに

はじめまして、インフラチームのうえちゃんです。
ビットバンクではインフラエンジニアとして、GitLab の保守や安全・快適なリモートワーク環境の整備などを担当しています。

弊社はコロナというきっかけもあり、現在はフルリモート環境となっています。
しかしそれよりも前に、2020 年夏季五輪東京大会の開催による混雑を見据えて、全社を巻き込んだプロジェクトとしてリモートワーク可能な環境の整備を進めてきました。
リモートワークに必要なツールの選定について、二部構成でお届けします。
今回はその前編になります。

このプロジェクトは大きく分けて次の 3 つのソリューションから成り立っています。

業務用スマートフォン(内線電話 + データ通信端末)
VPN サーバ兼 UTM (ファイアウォール) (Fortinet FortiGate)
マネージドセキュアシンクライアントシステム (Amazon WorkSpaces)

全体の概要図はこちらです。

1-5

今回は、数ある類似ソリューションの中からこれらを選定した理由についてお話します。

業務用スマートフォンの導入

弊社は業務利用ツールとして様々なSaaSを利用しておりましたが、従業員個人の私用スマートフォンでそのサービスを利用しているという課題がありました。
また、これまで業務利用ツールの MFA 設定を義務付けていましたが、これまた従業員個人の私用スマートフォンに OTP を登録しているという課題がありました。
このプロジェクトではまず Android スマートフォンを導入し、全従業員に貸与しました。
このスマートフォンの用途は、主に下記の 4 つです。

業務用SaaSのモバイル利用
内線電話
業務関連 OTP の認証用

データ通信回線として NTT ドコモの MVNE 回線を併せて導入し、グローバル IP アドレスが弊社専用に割り振られています。
通常、携帯電話回線は全ユーザー共有の IP アドレスがランダムに割り振られますが、提供事業者と何度も打ち合わせを重ね、弊社向けのオリジナル仕様で提供いただきました。
これによって社外からの通信を許可しつつ、SaaS の IP 制限が可能になりました。

なお、端末の制御には Google エンドポイント管理を活用しています。

FortiGate の導入

次に VPN サーバ兼 UTM (ファイアウォール) として、Fortinet 社の FortiGate を導入しました。
弊社では拠点の UTM アプライアンスとしてオンプレミスの FortiGate を導入していますが、オンプレミスで培われた運用知見を VPN システムやシンクライアントシステムの管理にも有効活用できることから、VPN 基盤やシンクライアント（WorkSpaces）用ファイアウォールとしても ForiGate を採用しました。

FortiGate のようなネットワーク製品はベンダーによって用語やコマンド、ファイアウォールポリシーの記述方法やログの管理手法と言った思想に大きな差異があることが多く、異なるベンダーの製品を混在させるのはスイッチングコストが高いのです。
少人数のスタートアップベンチャーとしては、FortiGate に統一させることでこのようなコストが低減できることにメリットがあると考えたのです。

FortiGate の導入により、快適で安全なリモートアクセス環境が提供可能になりました。
現在では、弊社の在宅ワークに欠かせない、重要な設備になっています。
（※実はVPNに限ってはその後、更に快適なソリューションに移行しました。その話は後編で。。）

なお、FortiGate は日本の UTM 市場シェア No.1 を獲得しています。(2019 年日経ネットワーク調べ)

WorkSpaces の導入

最後に機密情報を安全に取り扱うためのシンクライアントシステムとして、Amazon WorkSpaces を導入しました。
WorkSpaces を選定した最大の理由は、弊社ですでに AWS のさまざまなサービスを活用しており、その知見を有効活用できるからです。
さらに、比較検討した DaaS/VDI ソリューションの中で最も構築・運用コストが低く、動作も快適であるなどコストパフォーマンスも高かったのです。
インスタンスタイプによって異なりますが、一般的な用途であれば Windows のライセンスがインクルードされて 1 万円/台程度で使用できます。

以前、開発用 WorkSpaces を導入した話を書いたことがあるので、こちらも併せて参考にしてください。