Tech Summit 2018参加レポート(PR06) 本当に VDI じゃなくて大丈夫なの!? セキュアで生産性を向上させる Windows 環境を実現する方法

こんにちは。Cloud Solutions Engineerの花野です。

前回の投稿に引き続いて、Tech Summit2018の参加セッションのご紹介をさせていただきます。

PR06_本当に VDI じゃなくて大丈夫なの!? セキュアで生産性を向上させる Windows 環境を実現する方法

DSC_0100

ここまで聴いたセッションはサーバ側の観点がメインだったのですが、こちらは一転、クライアント側の話です。

強固なセキュリティ対策がなされたサーバ環境を管理者が構築したとしても、クライアント側の対策が不十分だとセキュアなシステムにはなりません。また、よく言われますが、セキュリティと利便性はトレードオフになりがちです。

そんな課題に対して「セキュア」と「生産性」をキーワードに、クライアントで取れる対策を紹介していただいたのがこのセッションになります。演者の方はクライアントやOffice365 ProPlusなどのプリセールスエンジニアとのことで、現場をよくご覧になった上での、地に足が付いた内容だと感じました。

DSC_0103

クライアント環境をセキュアに保とうという話でまず出るのがVDIです。VDIの基本概念は、OS、アプリ、データの全てをサーバ側であるVDI基盤の方に持たせ、クライアント側は画面転送でその機能を使うだけ、というものです。一見よさそうに見えますが、現状ではまだパフォーマンスが悪い、コストがかかる、特定のアプリがサポートされない、などの問題が出がちだということです。

また、「VDIを採用しているから大丈夫」とばかりに思考停止してしまい、結局は片手落ちな対策となってしまうこともあるようです。

DSC_0111

VDIに頼りきるのではなく、結局は何をどうやって守るのかという視点が大事ということですね。というわけで、ここからは「VDIではなく従来の端末、いわゆるFAT端末のままでいかにセキュリティを担保するか」という説明がなされました。

DSC_0131

クライアント端末のセキュリティを考えるにあたり、クライアント端末を「デバイス」「OS」「アプリケーション」「データ」のレイヤに分けた上で、それぞれのレイヤに対してセキュリティを担保するためのアプローチがあるそうです。

DSC_0112

まずはデバイスのレイヤでディスクを守るにはBitLockerです。BitLocerによりディスク全体が暗号化されるため、ディスクを盗まれて他のPCに接続されたとしても中身が読まれることはありません。

と、ここまでは単純にBitLockerの話であり、ご存知の方も多いかもしれません。

このセッションの特徴は、スライド右上に「生産性矢印」なるものが表示されているところです。生産性矢印は演者の方が独自に開発した指標とのことで、そのセキュリティ対策を取ることで生産性にどう影響を与えるかを表しています。

例えば上のBitLockerの例では横這い、つまり影響はありません。生産性に影響を与えずセキュリティが向上するということなので、これは導入した方がよいソリューションということになります。

DSC_0116

BitLockerで暗号化したデバイスはWindows HelloとPINが関連付けられるため、ユーザーはWindows Helloでログインするだけで特に意識せず利用することができます。また、Windows Helloの特徴として、Windows10バージョン1709以降は多要素認証が構成できるようになったそうです。

DSC_0117.JPGデモではこのWindows10の多要素認証を見せていただきました。第一要素は顔認証、そして第二要素は事前にペアリングしておいた特定のスマートフォンの「信頼された信号」による認証です。

照明の関係か残念ながらデモではどうしても顔認証が通らなかったのですが、うまく動くとユーザーとしては「いつものスマートフォンをポケットに入れてパソコンに顔を見せるだけ」でWindowsが使えるということです。

これはユーザーとしては利便性が高く、悪用しようとしている人にはハードルが高いという、まさにセキュリティの理想形が実現されていて感心しました。

DSC_0123DSC_0122

リモートワイプについては軽く紹介され、続いてはOneDrive for Businessの話でした。

OneDrive for Businessのアプリを使用することにより、ローカルのデータとクラウドのデータをシームレスに扱えるというものです。

OneDrive for Businessと同期したローカルのフォルダをエクスプローラで見ると「状態」という項目が増え、アイコンが並んでいます。それぞれのアイコンの意味は以下となります。

  • 緑色のチェック→同期済みの項目
  • 矢印→同期中の項目
  • 雲アイコン→クラウドのみに保存されている項目

雲アイコンのファイルを開こうとするとすぐにデータのダウンロードが行われ、ローカルのデータのように閲覧することができます。また、ローカルで更新したデータは自動的にクラウドに同期されます。データがクラウドなので万が一端末が壊れても安心ですし、履歴が自動的に取得されてユーザー自身で復元することができます。

実はこの機能、私も業務で使用していますが非常に便利です。実際にこの原稿もOneDrive for Business上に写真およびテキストを格納して執筆しています。

Office365などを購入したもののOneDrive for Businessを活用されていない企業様には、個人的には是非この機会に導入を検討いただきたい一押しの機能となります。また、ポイントとしてはSharePoint Online(Teams含む)のファイルも同じように同期して使用することができます。これにより、SharePoint Onlineをファイルサーバのように利用することもできます。

この後、ATPの紹介やAIPのデモもなされ、FAT端末でできるセキュリティ対策を色々と知ることができました。

セッションを通して、VDIはVDIで使いどころがあるものの、VDIありきで考えると世界が小さくなるため、あくまでもVDIは選択肢の一つとしてセキュリティを考えるのが大事というメッセージでした。

いかに素晴らしいシステムを管理者が構築したとしても使うのはエンドユーザーなわけです。エンドユーザー、つまり人と一番に接するクライアントまわりは要望が多く、これからも大いに進化する余地がある領域なのではないかと感じました。

まとめ

  • クライアント端末のセキュリティを実現するには、VDIが唯一の回答ではなく、またVDIだけでは不十分
  • FAT端末でもセキュアな環境を実現するための機能が色々と提供されている
  • 利便性は数値にしづらいが重要なファクター

番外編:PR14_アンドキュメンテッドAzure AD ~現場で遭遇する予期せぬ事態と対応~

DSC_0222

Identity界隈では有名なブログ「IdM実験室」の富士榮さんのセッションです。

これがもうレベル200とはとても思えないマニアックな内容で抱腹絶倒でしたが、残念ながら。

DSC_0231

というわけで、ご紹介できません。

個人的には、「よりによって、ここ!?」な際どいスライドの瞬間、Microsoft運営のカメラマンが入ってきて盛大にフラッシュを焚きながらバシャバシャ写真を撮っておられたのが熱かったです。

まさか〇〇〇〇〇〇〇 〇〇〇〇〇〇〇を魔改造して運用する人がいるなんて……。

それにしても魔改造とか、久しぶりに聞いたなあ。

これだけだと撮れ高がないので、お弁当の写真を載せておきます。ランチセッションで、お弁当がとても豪華でおいしかったのです。

まとめ

  • 現場でないと聴けないセッションもある
  • いろんな方がいらっしゃって世の中の広さを感じる
  • TechSummitのお弁当は豪華でおいしい

Tech Summit 2018参加レポート(DA52) ビッグデータソリューション構築のための適切な技術選択とは?

こんにちは。Cloud Solutions Engineerの花野です。

前回の投稿に引き続いて、Tech Summit2018の参加セッションのご紹介をさせていただきます。

DA52 ビッグデータソリューション構築のための適切な技術選択とは?

DSC_0287

こちらは「セッション」ではなく、「チョークトーク」でした。チョークトークとは講義形式で進む通常のセッションとは異なり、演者と聴衆がインタラクティブにディスカッションをしながら進む形式の一コマです。会場の設えも工夫されており、演者の方と参加者との距離が近くて新鮮でした。

開始時間ギリギリに行ったらほぼ満席で、なんとか端っこに潜り込ませてもらいました。

そんな大人気のチョークトークのテーマは、「ビックデータのソリューションを構築するにあたってのベストプラクティスやアンチパターンを議論しよう!」というものでした。

現在、ビッグデータを活用するソリューションをAzureで構築しようとすると、Microsoft製品だけではなく、オープンソースのソフトウェアも利用できるようになっています。利用者としては選択肢が広がって便利ですが、その反面、数々のテクノロジを理解して適切に使いこなすことが求められ、敷居が高くなっているとも言えます。

そんな状況をサポートするためにMicrosoftからはビックデータのアーキテクチャガイドが提示されていますが、そうは言っても現場では当てはまらない場合も出てくるわけで。そんなノウハウをシナリオに応じて会場のみんなで議論できれば、ということでした。

まずは最初のテーマとして、以下のようなスライドが表示されました。

ひとくちにデータと言っても、現在のシステムで扱うデータの形式は構造化データ、非構造データ、バイナリ、動画などなど、多様になってきています。そんな多様なデータを適したところに入れて行くという概念が「Polyglot Persistence」ということです。

それをふまえて「ECサイトを構築する際に、それぞれのデータはどの形式で格納するのがよいでしょうか」という問題でした。

DSC_0294

シンキングタイムスタート。静まりかえる会場。通常のTechSummitセッションではずっと演者の方の声が響いているのに比べると、異様な雰囲気です。

私も「全部RDBMSで……だと問題にならないから、ええとクラスター分析は分析って名前がついてるしHDFSかなあ」なんてもごもごと考えてみます。

しばらくして演者の方が、誰か案はありませんか、と促します。正解はないので、と。さらに静まりかえる会場。

ここで率先して何か言えればよかったのですが、正直そんなに詳しくない自覚がありますし、下手に発言すると「なんであんなこと言っちゃったんだろ」と後悔がぐるぐるしてその後の話に身が入らない予感がしたため、ここは聞く係になると決めて潜伏させてもらうことにします。

緊張感溢れる時間が流れた後、やっと一名の方が発言されます。素晴らしい。

その方が選択されたのがこちら。やはりRDBMSが多めです。

DSC_0295

それに対し、一つの例として演者の方々から示されたのがこちら。

商品履歴はJSONでドキュメントデータベースに入れる、購入履歴はレコメンデーション機能を実現するためにグラフデータベースに入れる、など。

DSC_0296

引き続き、議論は「SQLに適するものと適さないもの」という視点で進みます。

少しだけ会場が温まってきて、ちらほらと声が上がります。SQLはトランザクションが必要なもの、とか、NoSQLはIoT、とか。ひとしきり意見が出揃ったところでまとまったものが出されます。なんとなく認識はしていましたが、こうやって言語化されるとすっきりしますね。

DSC_0297

そこからデータレイクの紹介があり、最後は「過去のデータとお天気情報をもとに航空機の遅延予測をするシステムを作るには」というテーマとなりました。

これもまた参加者の方々からぽつぽつとあがる声を元にその場で構成が書き起こされ、最後は回答例が提示されました。

DSC_0307

DSC_0308

普段はWebや書籍なんかで完成したアーキテクチャ例を見て「まあ、そういうことだろうな」なんて思っているのですが、いざ真っ白な所から描いてみるとなかなか難しく、できあがった時に達成感があることが分かりました。

よく考えてみると実際の案件でも同じことが起こります。お手本として示されるアーキテクチャはあるのですが、それがそのまま案件に使えるわけではなく、要件に応じて選択して行くという過程が必ず発生しますし、そこが我々ベンダの腕の見せ所だと感じました。

それにしても、チョークトークは初めて出たのですが、なかなか難しいですね。せっかくのチョークトークという形式を最大限に活かすには自分もそのテーマについて一言あり、演者や他の聴講者と積極的にディスカッションするくらいの準備があってこそだと感じました。

まとめると

  • Azureでビックデータを活用するソリューションを構築するには、色々なテクノロジを選べるからこそ恩恵も悩みも多い
  • ビックデータのアーキテクチャガイドが提示されているが、実際はシナリオに応じてうまく選択する過程が発生する
  • チョークトークは準備して参加するともっと楽しい

でした。

Tech Summit 参加レポート CI31

はじめまして。9月1日付けでJOINした花野です。
「時間が7倍で流れる」と言われるくらい変化の激しいFIXERで日々刺激的に楽しく過ごしています。
そんな中、11月5日~7日に開催されたMicrosoft TechSummit2018に行って来たので、面白かったセッションを紹介させていただきます。

 

Azureクラウドインフラストクチャで実現する高可用性アーキテクチャ

続きを読む