『ひとり情シスのクラウドバックアップ奮闘記』では、クラウドによるちょい足しソリューションの導入を私、山田が苦労しながら社長に提案しました。オンプレミスのWindowsファイルサーバーにクラウドのソリューションをちょい足しすることで、安価にバックアップを実現する方法です。さて今回は、予算や人手をかけず、在宅勤務環境を構築することがテーマ。どこにポイントがあるのか。実際に導入して運用してきた内容をレポートしたいと思います。

中堅中小企業は、
ニューノーマル時代の在宅勤務環境をどう構築すべきか

コロナの終息の兆しが見えない現在では、ウイズコロナを想定した働き方が求められます。多くの方が在宅勤務を余儀なくされるなか、社内と同じように仕事ができる環境の構築が急務となっています。そのために社内外のネットワークインフラを強化し、VPN回線やリモートデスクトップ系のサービスを調達するなどの投資を行う企業もあることでしょう。しかし、コロナ禍において突発的な設備投資の予算を確保できる企業ばかりではありません。私の会社も同様の状況でした。そこで、安価にファイルを共有でき、しかもバックアップにもなる Azure ちょい足しソリューションをご紹介します。

小さく始められる選択肢がたくさんあるほど、
いざという時に慌てないで済む

社外でも社内と同じように仕事ができるようにする方法は、大きく分けて2つあります。

①社内に入る仕組みを構築する
②社内のシステムやデータを社外に置く

①の「社内に入る仕組み」では、VPN回線増設やリモートデスクトップサービスなどを利用して社内にいるような状況を作ります。しかし、この方法では社内への入り口のネットワークを強化する必要があるため、一般的には大きな設備投資や時間が必要です。

かと言って②の「システムやデータを社外に移す」ことも容易なことではありません。そこで、とりあえず例えば個人のPCにファイルをコピーして持ち出すという手段をとるケースも多いようです。しかし、オープンな環境で多くのリスクにさらされるPCの中に仕事のデータを置くことは、好ましいとは言えません。

そこで、クラウドサービスを使うという選択肢が浮かびます。しかし、オンプレミス(自社保有)でインフラ環境を運用し続けてきた企業の場合、それは簡単なことではありません。システムだけではなく業務手順や品質マネージメント、社員の意識なども含めてオンプレミス環境の前提で最適化されているからです。クラウドを利用するだけといっても容易なことではなく、私の環境でもそれが高いハードルになりました。このような企業の場合、クラウドに移行するというよりも、オンプレミスへの影響を最小限にしながらクラウドサービスを足していくことが現実解になります。

オンプレミスでインフラ環境を運用してきた企業でも、ファイルを共有するだけであれば単に置き場所が変わるだけなので比較的容易にクラウドで共有できます。PCにデータをコピーする必要もなくなるので、まずはそこから始めるだけでも出社する日数を減らすことができます。出社しないと対応できない作業だけ出社するなどの工夫を進めれば、大げさなインフラ投資をせずとも徐々に在宅勤務が進むはずです。これが、在宅勤務が難しいと言われている中堅中小企業でも在宅勤務を増やす手段のひとつの方法だと思います。

重要なのは、色々な手段を持っておくことです。色々試して小さくても環境を作っておくと、いざという時にそれが役立ちます。コロナで突然在宅勤務が始まりましたが、私の在宅勤務が上手く回っているのは、コロナ以前からリモートで仕事をするための環境を試行錯誤しながら構築してきたからです。少額の費用から始められる「Azure ちょい足しソリューション」は、このように小さく始めてみることに向いているサービスだと思います。

Azure Files とAzure File Syncの組み合わせで、
共有とバックアップを安価に実現

オンプレミスの Windows ファイルサーバーとクラウドでファイル共有を実現するには、同期の仕組みが必要になります。Azure Files サービスはクラウドストレージ上でファイルを共有できますが、それに Azure File Sync サービスを組み合わせれば、クラウドストレージとオンプレミス間でもファイルの同期が可能になります。Microsoft のサポートは受けられないものの、Azure File Sync に対応したNASもあるので、オンプレミス側は Windows Server 以外を選択することも可能です。

価格体系については以下の通りです。まずちょい足しバックアップで利用した Azure Backup サービスでは容量に応じて課金されます。次に Azure Files サービスでは、容量に対する課金に加えてアクセス量による課金がなされます。そしてAzure File Sync サービスでは、同期先のオンプレミスサーバーごとに固定の月額料金がかかります。正確な金額についてはAzureのサイトを直接参照してみてください。

・Azure Backup   容量に応じた課金
・Azure Files  容量に応じた課金+アクセスに応じた課金
・Azure File Sync  サーバーごとの固定費用 ※Azure File Sync の導入には Azure Files の導入が必要

料金がかかると言っても、いずれも小規模で使う分には少額で済みます。最初にオンプレミスのデータをクラウドに同期してしまえば、容量による課金とアクセスした分の課金で運用できます。バックアップも兼ねながらファイル共有も実現できることを考えると、非常にリーズナブルなソリューションだと言えるでしょう。

「少額で済むってどのくらい?」と思う人もいるかもしれません。オプションの選択やアクセス量よってかなり変わるので明確な金額は示せませんが、ファイルサーバー1台の100ギガの共有用であれば、Azure Backup でも、Azure Files + Azure File Sync でも、およそ月額2千円~3千円から運用できると思います。Azureのサイトの計算ツールで概算見積りができるので、パラメータを変更しながら自社に最適なプランを見つけてください。

運用ルールを整備することで、
シンプルな環境と楽な運用を実現

クラウド共有ストレージのアクセスは、ストレージアカウントとアクセスキーによって認証されます。Azure に限らず、最近の主要なクラウドサービスはセキュリティ対策が取られているため、クラウドサービスを利用すること自体の不安は減ってきたと思います。しかし、社外に持ち出すPCのセキュリティが脆弱だと意味がありません。セキュリティの一番弱いところが、全体のセキュリティ強度となるからです。また、PCだけでなく、それを使う利用者の意識も重要です。セキュリティインシデントの多くは人間の不注意によるところが多いので、利用者の意識を高めるための啓蒙活動なども含めた在宅勤務への対応が必要になります。

Azure Files サービスと Azure File Sync サービスは非常に便利なサービスです。しかし利用するにあたり、実際にその環境を運用するためのルールをしっかり決めておかないと、運用負荷の増大やトラブルを招くこともあります。

例えば、同じファイルをオンプレミス側とクラウド側から同時に変更した場合、Azure File Sync サービスは両方の変更を保持するため、ファイル名を変更して保存してしまいます。そのような状況になった場合、それに気づくにはどうしたらよいか、それが発生した時にどうするかといった運用を考えて対策しなければなりません。さらに厄介なことに、オンプレミス側の変更はほぼリアルタイムで反映されますが、クラウド側の変更はすぐには反映されないという問題があります。本記事の執筆時点では、変更検出ジョブは24時間ごとに起動すると記載されていました。時間差が発生するため、最新の状態が分かりにくくなってしまうのです。

このような状況では、どちらかを基準に考えた簡素化した運用がおすすめです。オンプレミス側でもクラウド側でも変更を許可したために余計な作業が増えるのであれば、クラウド側を基準にして、オンプレミス側はAzure File Syncで同期されるだけの運用にします。社内であってもクラウド側にアクセスするように運用すれば、クラウド側が常に最新の状態になり、オンプレミス側はAzure File Syncで同期をとられたタイミングのデータがバックアップされます。社内勤務でも在宅勤務でもアクセス先は同じであるため、利用者が意識しなければならないことも減ります。

このような取り決めをすることで、非常にシンプルなファイル共有や、トラブル・混乱の回避が可能になるのです。大量のファイルをコピーしたいときなどは、オンプレミス側はユーザーからのアクセスをRead Onlyにして社内からオンプレミス側を参照すればアクセス料金もかかりません。また、同期に時間差があることを利用して、クラウド側で間違った処理をしても次の同期までであればオンプレミス側からファイルを復旧するといったこともできます。

運用を拡大する前に考えてほしいこと

ちょい足しバックアップのときは、オンプレミス側を基準としてクラウド側をバックアップにしていましたが、Azure Files + Azure File Sync でファイルを共有する場合は、その逆のほうが良いでしょう。メインがクラウドに移ったとしても社内に同じデータがあるため、クラウドサービスの乗り換えも容易であり、クラウドロックインも防ぐことができるからです。クラウドサービスはクラウド業者側の都合で仕様や料金、約款などが変更されます。クラウドサービスが必ずしも安く便利に進化する保証はありません。オンプレミスにはオンプレミスのメリットがたくさんあるので、両方の良いところを生かしながら共存環境を安価に実現するのが、中堅中小企業にとっての最適解ではないかと思われます。

このような仕組みを作って徐々に拡大しながら在宅勤務に対応すればよいのですが、その際に検討しておくことがあります。
・共有の必要がなくなった場合にどうするか
・アカウントとキーを共有する運用を続けてよいのか

共有の必要がなくなった場合にどうするか

考え方は色々ありますが、共有の必要がなくなったらオープンな共有の場所には置かないほうがよいと私個人は考えています。共有領域ごとのストレージアカウントとキーの管理が増え続けることで徐々に負荷が増大し、ミスを誘発する原因になりかねないからです。

私は自社でオンプレミスの共有ストレージ管理もしていますが、管理するなかで気にしていることは、できるだけ古いものと新しいものを区別できるようにすることです。それにより、古いデータは安いアーカイブ領域に移動して、その分高価で高速なストレージ領域を別の新しいプロジェクトで利用するなどの効率的な運用ができるからです。

この考え方は、クラウド利用でも同じだと思います。稼働中の仕事ではAzure Filesを利用して、終了したプロジェクトは Azure Backup 領域を利用するといった運用ができれば、一定数の共有を管理するだけで済むため、将来の工数増にはなりません。共有を作成するときは必ず責任者・管理者をあてて、「何かあったときに聞ける」状態を作っておきます。無駄で面倒な作業のようにも見えますが、これをやることでストレージの使い方が整理され、ユーザーの意識も変わり、結果的に統制が取れたストレージ管理ができるからです。

そのあたりを怠ったことで、私自身も痛い目に遭いました。昔、ポリシーなく自由に使わせていた一部の共有領域の整理ができなくなったことがあります。管理者もおらず、皆で好き勝手に使っていたため、本当に必要なアクセス権も分からず、新旧のファイルが混在して領域が拡大し続けてしまいました。そして、ますます整理ができず、管理不能な状態になったのです。ほんの一部のことですが、それにより余計な作業や心配が増えてしまいました。この経験から、利用させるためのルールや運用ポリシーをしっかり持つことを重視するようになりました。

アカウントとキーを共有する運用を続けてよいのか

今後もストレージアカウントとキーによる認証を続けてよいのかということについても考えなければなりません。これは、共有の必要がなくなった領域をクラウドで共有できる状態にしておきたくないという私の考え方にも繋がっています。結局は、アカウントパスワードを共有で使っているだけだからです。突発的な事態に対して一時的にクラウドを利用して在宅勤務環境を作るのは仕方がないとしても、今後もそれを続けていくかとなると、話は別です。

クラウドサービスのセキュリティの不安がないというのは、あくまでもシステムの技術的な話に限ったものです。アカウントとキーが漏れれば意味がありません。クラウドの領域は不特定多数で共有できることに意味があります。しかし逆を言えば、誰でも共有できる危険があります。安全と言われても、社内と比べればリスクが高いことは事実です。

数人で利用している分にはまだよいですが、その人数が多くなるほど、共有アカウントの運用はリスクが増します。さらに社外の協力会社が絡むと、その先で共有アカウントが漏れる可能性も出てきます。昨今機密情報保持契約などの関係もあり、必要な人にだけアクセス権を与える運用が必要です。システムによる自動化などの例外を除けば、私の会社でも原則共有アカウントは禁止にしています。

個人にアカウントを付与して運用すれば何かあったときに調査をしやすくなり、個人のセキュリティ意識を高めることもできます。アカウントパスワードの運用は共有であろうと個人アカウントであろうと技術的には同じですが、個人に紐づいているということが重要です。共有パスワードを他人に教えることには抵抗がなくても、個人のパスワードを他の人に教えることには多くの人が抵抗を感じるでしょう。インターネット上でも個人を特定しないで運営しているサイトのほうが荒れやすいのと同じです。

個人のアカウント管理は非常に手間がかかります。昔はサーバーごとにローカルアカウントを作っていましたが、多くのサーバーを抱え、人員が増えてくると管理工数も増します。サーバーごとにパスワードが異なる運用も利用者にとって不便です。だから大手企業は必ずと言ってよいほど Active Directory もしくは相応の仕組みを導入して、アカウント管理の効率化と運用精度向上を実現しています。

クラウド上のサービスでは個人アカウントが当たり前になっています。しかし、自社のクラウドファイルでは共有アカウントを許している一方でセキュリティを非常に気にしているというのは、何だか変な気がしませんか。人数が少なくサーバーの数も少ない家族経営のような企業は仕方がないとしても、そうではない企業がクラウドサービスを利用するのであれば、人数に関係なく個人アカウントの管理をしたほうがよいでしょう。

Active Directory 環境の構築にハードルの高さを感じている人も多いですが、実は Active Directory サーバーを構築するだけなら非常に簡単です。市販のパッケージソフトをインストールするのと変わらないと思います。また、個人とグループを管理するだけなら運用も簡単です。

私も昔はローカルアカウント管理をしていましたが、初めて Active Directory という言葉を聞いたときもその利点を全く感じませんでした。しかし、実際に使ってみてその価値を認識しました。アカウント管理をするだけではなく、それをすることで個人の意識が高まり、セキュリティも高くなり、社外からの信用にも繋がっていると感じたからです。だからこそ、今後クラウド利用が増える状況に備え、簡単に構築運用できる Active Directory は有効な手段だとおすすめできます。

オンプレミスで Active Directory を立ち上げてしまえば、Azure Active Directory への同期サービス(Azure AD Connect)を使って、オンプレの個人アカウント情報やグループ情報を Azure Active Directory に連携できます。Azure Firesサービスの認証はストレージアカウントだけでなく、Azure Active Directory のユーザーやグループも設定可能です。それを利用すれば共有アカウントを止めて、個人アカウントの運用に変更できるようになります。

在宅勤務環境の構築に悩まれている中堅中小企業にとって、このようにファイル共有を安全で便利に運用できるようになれば、在宅勤務も進み、生産性向上と働き方改革の実現が可能です。クラウドの普及により、コストをかけなくても少しずつ運用レベルを上げていく選択肢が増えてきたと思います。多くの選択肢を持っておくことが、いざというときの備えになります。この記事が実際に自分でやってみるきっかけとなり、ちょい足し Azure に皆さんが満足していただければ幸いです。