MENU
AWS

Amazon WorkSpaces(ワークスペース)を活用したセキュアで堅牢なテレワーク(在宅勤務)環境

kuni

新型コロナウイルスの感染防止対策としてテレワーク(リモートワーク、在宅勤務)の導入についてご相談をいただく機会が増えています。

MMMではAWSが展開する 仮想デスクトップ基盤(DaaS) サービスのAmazon WorkSpaces(ワークスペース)を活用したソリューションを提供しております。

本記事では『早期にテレワーク環境を構築したい!』という皆様へ、WorkSpacesの特徴とテレワーク導入の構成案をご紹介いたします。

Contents
  1. 目次
  2. Amazon WorkSpaces(アマゾン ワークスペース)とは?
  3. 用途
  4. 利用環境(WorkSpacesへの接続)
    1. 1-1. 専用クライアントアプリケーションサポート環境
    2. 1-2. Webブラウザサポートバージョン
    3. 2. 通信要件
  5. WorkSpacesのスペックと価格/ライセンス
    1. 1. 課金オプション
    2. 2. サポートOS
    3. 3. Windowsライセンス形態
  6. 利用できるアプリケーション
  7. イメージ配布
  8. ユーザー認証(Active Directory)
    1. 1. オンプレミス / 既存Active Directoryを利用(AD Connector)
    2. 2. 専用Directory Serviceを利用(AWS Directory Service)
  9. セキュリティ対策
    1. 多要素認証(MFA: Multi-Factor Authentication)
    2. IPアドレス制御
    3. デバイス制御
  10. テレワーク(遠隔勤務)ソリューション例
    1. テレワークの要件例
    2. サンプル・アーキテクチャ(テレワーク構成案)
    3. AWS月額利用料試算
  11. 仮想デスクトップ・テレワーク環境導入に関してお気軽にご相談ください

目次

Amazon WorkSpaces(アマゾン ワークスペース)とは?

AWSがマネージドサービスとして提供している仮想型のデスクトップコンピューティングサービス(VDI: Virtual Desktop Initiative)となります。

  • Windows/MacやiPadのモバイルアプリからクラウドに配備された専用デスクトップパソコンにアクセスして業務で利用可能
  • 必要なタイミングでデスクトップを即時に立ち上げ、不要になれば破棄できる「いつでも・どこでも」といったクラウド弾性を持つ

このような特徴を持ち、従量課金で1台あたり月額$30/から利用可能です。

用途

  • セキュリティを維持しながら必要数を即時に準備したいテレワーク(在宅勤務)環境
  • コールセンターやキャンペーンといった一定期間のみ専用のPC環境が必要なケース
  • 持ち出しPCや重要データの消失を防ぐ社内セキュリティ対策
  • PC購入・運用や災害対策向けのトータルコスト(TCO)最適化

主に「テレワーク(働き方改革)」「セキュリティ対策」そして「コスト最適化」」用途で導入されるケースが多く、AWSが持つ高い弾性と、堅牢なデスクトップ環境が数多くの企業で評価されています。

利用環境(WorkSpacesへの接続)

WorkSpacesが提供する仮想デスクトップを利用するには

  1. 専用クライアントアプリケーションもしくはウェブブラウザの準備
  2. ブロードバンドネットワークの環境

という2つの要件があり、接続元のサポート環境詳細ついては AWS公式サイト をご確認ください。

1-1. 専用クライアントアプリケーションサポート環境

専用のクライアントアプリケーションは、下記OS・機器をサポートしています。

  • Windows
  • macOS
  • Ubuntu Linux 18.04
  • Chromebook
  • iPad
  • Android
  • Fireタブレット

1-2. Webブラウザサポートバージョン

ChromeもしくはFirefoxの下記バージョンが必要です。

  • Chrome 53以降のバージョン
  • Firefox 49以降のバージョン

2. 通信要件

接続元(専用クライアントアプリ or Webブラウザ)の環境から下記通信の開放が必要です。

ポート番号 プロトコル 方向
443 TCP アウトバウンド(外向き)
4172 TCP アウトバウンド(外向き)
4172 UDP アウトバウンド(外向き)

WorkSpacesのスペックと価格/ライセンス

業務や用途に応じてスペック、タイプ、OSが選択でき、参考価格(2020年3月時点)を記載いたします。

最新の価格についてはAWS社公式サイトをご確認ください。

1. 課金オプション

月額料金 or 時間料金の2種類の課金オプションを選択可能です。

"一日2時間、週3日程度の利用"のような低頻度の場合、時間料金での契約がお得になりますが、最も安いバリュープランの例では"月次80時間以上利用するケース"では、月額料金のほうがお得になります。

よって、契約前に、月間で想定している利用時間を算出した上で、お得なプランを選択しましょう。

2. サポートOS

仮想デスクトップで利用可能なオペレーティング・システム(OS)は下記2種類です。

  • Amazon Linux 2 LTS
  • Windows 10

3. Windowsライセンス形態

WorkSpacesで利用できるWindowsライセンスは下記2種類です。

  1. バンドル(WorkSpaces契約時に付随)
  2. Bring Your Own License(BYOL)

BYOLについては、マイクロソフト社のライセンス要件を満たす場合、企業で保有しているWindows 7 or Windows 10 のWindowsライセンスを持ち込みWorkSpacesで利用することが可能です。

BYOLのメリットとしては

  • WorkSpacesコスト削減($4/月ディスカウント)
  • 企業で利用している同バージョン・エディションが利用可能

となりますが、BYOL適用時の要件として「毎月200台以上のWorkSpaces実行の確約」が必須となりますので、注意が必要です。

利用できるアプリケーション

WorkSpacesでは、Internet ExplorerやFirefoxが標準提供されますが『プラスアプリケーションバンドル』を追加($15/月)契約することで

  • Microsoft Office Professional
  • Trend Micro Worry-Free Business Security Services

を追加で利用可能です。

その他のアプリケーションについても、独自にカスタムイメージを作成・配布することで利用可能ですが、ソフトウェア毎にライセンス確認が必須となりますので、ご注意ください。

イメージ配布

WorkSpacesではカスタムイメージを活用することで、同一構成のデスクトップを素早くクラウドに展開(複製)できます。

バックオフィス、開発者、コールセンターなど、用途別イメージを作成することで、仮想デスクトップの配布・管理コストを削減できますが カスタムイメージはリージョン毎に5つ という上限が設けられています。

ユーザー認証(Active Directory)

WorkSpacesでは仮想デスクトップ接続のユーザー認証にディレクトリサービス(Active Directory)を準備する必要があり、下記2つの方式から選択できます。

1. オンプレミス / 既存Active Directoryを利用(AD Connector)

Active Directory Connector(AD Connector)を利用し、オンプレミス(自社保有)や既にAWS上に構築しているActive Directoryと連携します。

既存のActive Directoryと連携することにより、既に登録済みのユーザー情報をそのままWorkSpacesへの接続ユーザーとして利用することができます。

2. 専用Directory Serviceを利用(AWS Directory Service)

新規にユーザー認証用のディレクトリを設ける場合は、AWS Directory ServiceをWorkSpacesと併せて導入します。

AWS Directory Serviceでは

  • Simple AD
  • Microsoft AD

の2つのタイプがあり、Microsoft ADと比較して、Simple ADではいくつかの制約が存在します。制約の詳細は AWSドキュメント をご確認ください。

また、Simple ADを選択時は多要素認証(MFA)を使用できない ため、MFAを活用したセキュリティ施策を検討している場合は注意が必要です。

セキュリティ対策

WorkSpacesでは複数のレイヤーでセキュリティ強化を実施可能です。

多要素認証(MFA: Multi-Factor Authentication)

Active Directoryによるユーザー認証(ユーザー名とパスワード)に加え、ハードウェアやソフトウェアによって生成されたワンタイムパスワード(OTP)を用いた多要素認証(MFA)を加えることで、確実な本人確認を実現します。

WorkSpacesでMFAを有効化する際はRADIUSサーバーが必要となりますが、独自にサーバーを構築する他、OneLogin,DuoなどのSaaS(Software as a Service)が提供するRADIUS機能と連携することも可能です。

IPアドレス制御

標準で全トラフィックが許可となっているWorkSpacesへのアクセスを、信頼できるネットワークからのみに制限することが可能です。

デバイス制御

標準では全デバイスからWorkSpaceへアクセス可能ですが、クライアント証明書を使用した厳密なデバイス制御が可能です。

証明書ベースでのデバイス制御では、許可するデバイス毎にクライアント証明書をインストールする必要があるためSCCM(System Center Configuration Manager)や MDM(Mobile Device Management)など証明書を配布・管理できるサービスを併せて導入することが一般的です。

また、証明書ベースでの制御の他に、デバイスタイプ(ブラウザ、iOS、Android)毎にアクセス制御を実装可能です。

テレワーク(遠隔勤務)ソリューション例

WorkSpacesの主要機能を簡単に紹介しましたが、より具体的に「企業でテレワーク(遠隔勤務)環境をAmazon WorkSpacesを用いて導入する」ケースを想定した構成案と、AWSの想定月額利用料についてご紹介いたします。

テレワークの要件例

  • 新型コロナウイルスの感染防止対策のため、従業員向けに早期にテレワーク(在宅勤務)環境を提供したい(2週間以内に立ち上げる)
  • 対象となる従業員は50名で、業務上、Windows 10 + Microsoft Officeの利用が必要
  • オンプレミス(自社保有)にあるファイルサーバーとメールサーバーへのアクセスが必要
  • 私用PCによる社内リソースへのアクセスは情報漏えいの対策上、許可させない(直接接続NG)
  • テレワーク環境への接続は社内Active Directory認証の他に、多要素認証を必須としてセキュリティを向上

サンプル・アーキテクチャ(テレワーク構成案)

構成ポイント

  • 従業員向けの仮想デスクトップ環境をWorkSpaces x 50台で準備(平均利用4時間/日を想定)
  • 全仮想デスクトップはスタンダードWindows(vCPUx2, メモリ4G, ディスク80GB/50GB)+アプリケーションバンドルプランを想定
  • 同一構成のWorkSpace環境を迅速に配備できるようにカスタムイメージを利用
  • WorkSpacesは自宅・別拠点など場所を問わず利用できるようにインターネットから接続(接続元制限を設けない)
  • WorkSpacesの認証は既存Active Directoryによるユーザー認証 + OneLoginによるMFAで確実な本人確認を担保
  • 2つのAD Connector(社内AD/OneLogin)を導入し、ユーザー認証とMFAを実現
  • AWS(VPC)とオンプレミスはDirect Connectを用いて閉域網接続(既設回線を流用)

AWS月額利用料試算

上記50台の仮想デスクトップを利用する構成で、概算$1,800/月前後のAWS月額利用料となります。

※AWS(VPC)とオンプレミスを接続するDirect Connect(データ転送含)及び回線費用は含まれておりません
※OneLoginの利用料は含まれておりません

仮想デスクトップ・テレワーク環境導入に関してお気軽にご相談ください

Amazon WorkSpacesはテレワーク(在宅勤務)の他、ローカルPCへのデータコピーの禁止や不要なアプリケーションの利用制限など、社内セキュリティ向上にもご利用いただけます。

また、クラウドならではの「必要なときに、必要な台数だけ、利用」不要になったら「即廃棄」という俊敏性・弾性を活用して、貴社のデスクトップ運用のトータルコスト(TCO)最適化が可能です。

Amazon WorkSpacesを活用した仮想デスクトップ基盤(DaaS) に関しては、MMMへお気軽に ご相談 くださいませ!

AUTHOR
kuni
kuni
記事URLをコピーしました