10. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
テレワークの課題
10
NRI
社員
常駐
BP
請負
BP
VPN
テレワークの
仕組みが無い
11. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
テレワークの課題
11
NRI
社員
常駐
BP
請負
BP
VPN
テレワークの
仕組みが無い
6,000人 8,000+人
12. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
テレワークの課題
12
NRI
社員
常駐
BP
請負
BP
VPN
テレワークの
仕組みが無い
6,000人 8,000+人
VPNの代わりになる
数千人規模の
仕組みづくりが急務!
13. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
テレワーク構築にむけて
13
クラウドIDEは
利用できない
VPNと同水準の
セキュリティ
社内のOA環境
開発環境と
連携が必要
14. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
テレワークの様々な要件
14
分類 要件
セキュリティ パスワード以上の認証
データの持ち出し・持ち込みは禁止
統制 限られたメンバーのみ接続可能
許可された端末にのみ接続可能
監査 「いつ誰がどこに接続したか」が分かること
ネットワーク 利用者毎に帯域制限がかけられること
(最大利用可能帯域2Gbps)
OA環境・既存の開発環境と連携が可能なこと
可用性 原則24時間365日
拡張性 数千人の同時利用まで対応
アジリティ 申請から利用開始までのリードタイムを短縮
15. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
テレワークの様々な要件
15
分類 要件
セキュリティ パスワード以上の認証
データの持ち出し・持ち込みは禁止
統制 限られたメンバーのみ接続可能
許可された端末にのみ接続可能
監査 「いつ誰がどこに接続したか」が分かること
ネットワーク 利用者毎に帯域制限がかけられること
(最大利用可能帯域2Gbps)
OA環境・既存の開発環境と連携が可能なこと
可用性 原則24時間365日
拡張性 数千人の同時利用まで対応
アジリティ 申請から利用開始までのリードタイムを短縮
これらの要件を満たした
テレワーク環境を
1ヶ月で構築!
19. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
Amazon Appstream 2.0
• デスクトップアプリのストリーミングサービス
Windowsのアプリのみをマネージドに提供できるサービス
今回は「RDPクライアント」のみ利用
• フルマネージド・スケーラブル
Amazon Workspacesと異なり、デスクトップを意識しなくていい
スケーリングにより、数千の規模まで拡張可能
• SAML2.0によるSSO
特定のIdPと連携してSSOが可能
19
20. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
20
• Jira Service Desk
Atlassian社製のIT Service Managementソリューション
チケットベースの問い合わせ管理
BI機能もあり、問い合わせ品質の可視化や向上に活用
• 社内サービスデスク
テレワークの統一的な窓口として活用
問い合わせやステークホルダーとのやり取りも一元管理
21. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
OpenStandia KAID
• IGA(Identity Governance and Administration)基盤
認証/認可の統合的な基盤(統制やガバナンス機能も保有)
すでに社員・BPを含む統括的なID管理を実現済み
• OIDC/SAMLに対応
IdPとして別サービスと連携しSSOが可能
Appstream 2.0と連携
• 多要素認証
OTP等のMFAに対応
今回は独自カスタマイズし、クライアント証明書によるMFAを追加
21
22. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
蓄積したノウハウ
• Gitlab
Gitサーバ。CICDも可能。
高速なリリースサイクルを実現
• Ansible
構成管理ツール。リリースを完全に自動化
• Prometheus
監視ツール。リリース後の正常性を速やかに確認
• Nginx
リバースプロキシ。RDPの通信を中継させる
接続先の制限やログによる監査を実現
22
26. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
Appstream 2.0 中継サーバ 業務PC
CloudWatch
Logs
ヘルプデスク担当
S3
私用PC
テレワークシステム概要
27. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
Appstream 2.0 中継サーバ 業務PC
CloudWatch
Logs
ヘルプデスク担当
S3
私用PC
テレワークシステム概要
27
CI/CD
MFA/SSO
申請/承認
ログ監査
28. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
Appstream 2.0 中継サーバ 業務PC
CloudWatch
Logs
ヘルプデスク担当
S3
私用PC
28
Appstream 2.0にアクセス
KAIDにリダイレクトしSSO
Appstream 2.0にリダイレクト
NginxにRDP ポートに応じて
特定のIPに転送
テレワーク利用時
29. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
29
Appstream 2.0にアクセス
KAIDにリダイレクトしSSO
Appstream 2.0にリダイレクト
NginxにRDP ポートに応じて
特定のIPに転送
テレワーク利用時
30. Copyright(C) Nomura Research Institute, Ltd. All rights reserved.
Appstream 2.0 中継サーバ 業務PC
CloudWatch
Logs
ヘルプデスク担当
S3
私用PC
30
テレワーク利用に向けた申請
利用開始申請
申請内容確認
権限付与