開発用VPN環境整備から考える――これからの働き方とインフラ

alt

東京オリンピック時期に照準を合わせて準備を進めていた「エンジニア向けの開発用VPN」が、コロナの影響によって急遽、リモートワークを支える重要なインフラへと目的がスイッチ。しかも、時期も大幅に前倒しとなって開設する必要が…!

本来は、担当外の仕事であったにもかかわらず、自分たちの開発環境を守るため、引いては提供するサービスを止めないために、その役割を引き受けたのが、デジタルテクノロジー統括部 データ&テクノロジーソリューション部 エンジニアリンググループの井上テイ子と小川由輝。キーマンである二人に、その経緯や思いについて聞きました。

ゆったりプロジェクトのはずが、、、年が明けたら急に「2週間で!」

――本日はよろしくお願いします!いつも通り、テイ子さん、小川さんの呼び方で進めさせてください!

井上:はい(笑)お願いします。

小川:その方が自分もいつも通りなんでいいっすね!お願いします!

 

――今回のテーマとなります「開発用VPN」とは一体、どういうもので、なぜ必要だったのか?概略と背景から教えていただけますか。

井上:昨年(2019年)7月くらいから、グループ内でこんな会話をしてたんです。

「来年オリンピックがはじまると、会場付近の混雑や交通規制からこれまで通りに自宅から通勤、出社が難しいかもね」と。そのために、何をしたらよいか?という議論が生まれました。

会社から支給されている標準PCに関しては、リモートワークができる基盤、すなわちVPNが整っていますが、エンジニアの皆さんは基本、標準PCではなく標準外の開発用PCとしてMacを使っているため、自宅で作業すると社内のネットワークにつながらないので、業務が回らないのですね。そこで新たに“VPNを作らないといけない”という話になりました。

alt

デジタルテクノロジー統括部 データ&テクノロジーソリューション部 エンジニアリンググループ マネジャー 井上 テイ子

小川:最初の頃は、VDI(Virtual Desktop Infrastructure)を使おうかという話も出ましたね。

井上:そうそう。。リモートワークを可能とするためにいくつかの案を出し合っていましたっけ。

小川:でしたね。PCはMacを使っているものの、接続しているVDIはWindowsになるので、結局、“自分の端末の開発環境で仕事ができない”という意見が大多数を占めてボツになりました(笑)。その後、どうしたら実現できるか?と議論を重ね、昔から信頼のあるVPNを選んだって感じでしたね。

 

――標準PCではエンジニアの業務ができないとのことですが、それはなぜですか。

小川:当社の標準PCは、メール、Skypeなどのコミュニケーションツール、AWS、クラウドサービスなど、社内のIPアドレスからのみ接続できるように制限をかけている状態です。なので開発用のMacを自宅に持ちかえっても、社内のIPアドレスに接続できないと、クラウド各種サービスやコミュニケーションツール、開発ツールなどに触れることができません。ゆえにVPNのIPアドレスでアクセスできるようにしよう、という話になりました。

 

井上:そうですね。さらに付け加えると、プログラムを組んだりする際には、標準PCはスペックが弱く、解像度も低い。そして必要な開発ソフトウェアをインストールできないという問題もありました。

 

――なるほど。だから開発用のPCでも社内IPアドレスに接続するためのVPNが必要なんですね。

小川:VPNを使うことが決まったら、今度はクラウドにつなぐためや開発ツールやIPアドレスを整理する必要があります。弊社ではAWSをメインで使っているのですが、AWSにはクライアントVPNというコンポーネントがあり、それを使えばすぐに開通できるはずだったんですね。ところが、弊社の情報セキュリティの要件として、AWSクライアントVPNにつなぐ過程で認証システムを通す必要があるという話になりました。

alt

デジタルテクノロジー統括部 データ&テクノロジー ソリューション部 エンジニアリンググループ シニアエンジニア 小川 由輝

井上:そこで、他部門との調整役である私が、情報システム部門に連絡を入れて、要件をヒアリングしつつ、どういった環境、仕組みであればOKをもらえるのか?、ということをエンジニアのメンバーと共にディスカッションを重ねていきました。最終的には、情報システム部門にもOKをもらわないといけないので、そのために必要な資料を整備していきました。その過程の中で、多要素認証の話が出てきました。ある程度、想定はしていましたが、どこまでやろうか、どんな認証システムを使うか、調べたり議論を重ねたりしましたね。

 

――外から社内のIPアドレスに接続するとなると、厳粛なセキュリティ要件が必要ですもんね。結構時間かかりそうなプロジェクトですね…。

井上:そうなんですけど、最初は、ゆっくり進行していったのですよ。そもそも小川さんも私も、これとは別にメインの開発案件を抱えていたんだよね。こちらは本当に片手間というか…(笑)

話が始まったのは昨年7月で、情報セキュリティに話を持って行ったのは10月。オリンピックは翌年の7月だから、4月にできていれば上々かなと。そこから逆算して、12月くらいまでにはシステムの構成を決めて、遅くとも3月くらいに試せる環境を作っておけばいいね、なんて話をしていました。

小川:そうそう。片手間なんで(笑)、2月いっぱいくらいまでに使用するコンポーネントやソリューションを選定しつつ、検証をしていこうかとだいぶ緩く考えていましたね。ところが、年明けになって急に風向きが変わったんですよね。

井上:そうだったね。我々の上長であるゼネラルマネジャーの斉藤が、いち早くコロナを察知して対策を検討し、1月中旬くらいに、“社員を守るためにはリモートが早期に必要になる気がする。その環境を整えてほしい”といわれまして。それも2週間くらいでって(笑)。すぐに小川さんに泣きつきました。

alt

小川:でも、基本的な構成はほとんど、すでに作ってあったので、2時間くらいで作れるかなと。問題はデバイス認証の部分がクリアできていなかったくらいで、まあ、やれないわけがないというのは最初からわかっていました。

想定通り、仕組み自体はすぐにできたのですが、Okta(オクタ)という認証基盤の契約に時間がかかりました。元々、Oktaを導入しようと思ったのは、実は今回の開発用VPNとは全く関係なく、今後のことを考えてシングルサインオンやワンタイムパスワードに対応しているのでまとめたほうが楽だという理由から検討を進めてたんです。すでにテスト的に他のサービスと連携させて調査を進めていました。今回のVPNではAWS上でCiscoの仮想アプライアンスを使っていますが、当然メジャーなCiscoだから、当然連携できるよねと仮定してて。調べてみたら、やっぱりできることがわかり、“これでやるか!”となりました。

 

――世の中にたくさんのツールがある中で、最適な組み合わせを判断する力って、どのように養われるのでしょうか。 

小川:Ciscoに関していえば、元々、過去に運用していた経験もあって、“確かそんなことが出来たよな…”と思い出した感じですかね。Oktaについては、IDaaS(Identity as a Service)で色々な認証ができるツールがあるということは、Google先生で検索したり、IT系のニュース記事を見て自分の中にストックしていて、それが思索の中でつながったんでしょうね。

井上:あとは、チーム内で共有しているSlackのニュース記事シェアも影響しているのかも。ご自身の情報源として読んでいるエンジニアの方も多いですよね。私たちの部署では、こういった情報をシェアする文化があるので、そういったところからも、情報を取りに行く仕組みができていますね。

どんな事態になっても仕事を止めないという意識が働いた

――この段階に差しかかってくると、テイ子さんの役割はどのような感じになるのでしょう。

井上:多方面に「そろそろ出来そうですよ」と言って回ったり(笑)、契約書を作ったりしていましたね。

小川:個人的には申請や調整ごとが基本嫌いなので(笑)、テイ子さんが一手に引き受けてくださって非常に助かりました。私が開発の仕事に集中できるように、GMへの報告やそのほかの周辺の業務については、テイ子さんがパパっと巻き取ってくれるので、本当に心強いですね。

alt

――先ほど、この仕事は片手間?という表現があったかと思うのですが、お二人の本業務ではなかったんでしょうか?

井上:うーん…。本業務じゃないからやらない、というわけではないです。弊社の場合、テクノロジー企画が基本的にITに関わる仕組みを考えています。そこで決まったことが、私たちに降りてくるイメージですね。ところが今回、テクノロジー企画は、全社5000人規模のテレワーク環境の整備をしなければならないことから、標準PCのVPN拡張を大急ぎで行っていたので…。エンジニア用のVPNまで手が回らなさそうだったんです。だからこちらでも自発的にやっていこうという気持ちはありましたね。

 

もちろんテクノロジー企画とも話をして、進捗の連絡を入れながら、最終的にウチがやることになりました。自分たちが働きやすい環境、どんな事態になっても仕事を止めない、というような意識があるから周りが忙しければ、自分たちがキャッチアップしてやっていこうという感覚です。

 

小川:全社標準の基盤やソリューションというのは、営業部門の方々向けの仕様になっています。全社員5000人の中で開発エンジニアは100人。最大公約数で考えた時に、どうしてもそうならざるをえないことは理解できます。しかしながら、少しずつでも良いので、今ある環境とエンジニアが求めている環境のギャップについて認識してもらえたらいいなというのは、本音としてありますね。

 

井上:それでも、自分たちがやりやすい環境を自分たちの手で作ることができるのは、ある意味、ありがたい部分はあります。会社によっては、それさえできない会社もありますから。一方的に「この状況でやれよ」と言われるよりは全然良いですよ。

alt
小川:今回の開発用VPNに関していえば、僕的には不満が残っています。自分の理想が10だとしたら、今回はおまけして5ぐらいの出来ですね。本当に突貫で作っているものなので予算、期間などがもう少しあれば…といったところです。ただ逆にいうと、今回は完全ではないけれども、これを機に、自分たちが自分たちの手で自分たちのやりやすい環境をつくる第一歩になったという感じはあります。今度はもう少し、満足度の高いレベルに持っていきたい、いけそうだという予感はありますね。

ただ、この開発用VPNに関していえば、実は僕自身が一旦フェードアウトさせていただいています。現在は、基本的にテクノロジー企画主導でという話になっていますね。 

現場の課題感を共有できる時間を持つことが重要

――今回の案件を振り返ってみて感じたことがあったら教えてください。

小川:僕自身、元々インフラエンジニアとしてキャリアをスタートして、パーソルキャリアではアプリ側の経験などインフラに閉じない仕事をしたいと思って、ジョインしました。なので、先ほど申し上げた通り、今はいったんフェードアウトさせてもらっています。

ただ今回のこの案件を通じて、実際に世の流れが想定以上に早いスピードでリモートワークに向かっていることを実感しました。この環境を整えることに、正直そこまで興味があったわけではないので、情報をインプットしはじめたのも比較的最近のことでした。もっと昔からある技術と現在の新しいコンポーネントを触って、比較検討をするともっと色々できたかな、という気持ちは残っていますね。

今この基盤をエンジニア職やクリエイター職の標準基盤にしましょうという事ではなく、我々の部署で持っている一環境という扱いです。なので、標準化する際には、いったん作り直したほうがよいと思っています。まさにトライアンドエラー、スクラップアンドビルドという感じだなと思います。

井上:作り始めたら早いということに驚きました。出来る?と聞いてから、明日できるというのが凄いなと思いました。それは全員が全員、出来るものではないと思います。改めて小川さんの力を再確認しました。最近はアプリ側に取られてしまいましたが(笑)。

alt

認証システムは2~3個の中から選ぶものだと思っていたのですが、様々なパターンでディスカッションをしているのを聞いて、私だったら選択しきれないと感じました。本来であれば作って、実際に動かして、検証しなければなりません。

机上ですべてがわかることでは無いので、まさに小川さんが言うトライアンドエラー、スクラップアンドビルドが大事だったのだろうなと思います。頼む側はあまり、そこの辺りを理解していないと思うので、頼んですぐ上がってきたら“凄い!”と評価されるのですが、実は下調べ時期がとても大事ですよね。ある程度、形になっていたものならパッと出せるという驚きもありました。

 

――もっと考えるとテレワークが進んでネットワークの在り方とか、社内の認証も含めて、それが一番大事なのかという議論が本来は必要、ということですか?

小川:おっしゃる通りです。

井上:ベースのネットワークから考えたほうが良いのではと思いました。

 

――今回はオリンピック、コロナという事象に対して皆さんが進めて、短期的に成果を上げましたが、この先、中長期的に考えれば、先ほどのネットワークやデータベースとかの在り方を色々な観点から考えて、エンジニアにとって最善な働き方、環境を整えないと、という認識が皆さんの中に生まれたということでしょうか。

小川:そうですね。今回の案件を通じて、誰がどこにいても使えるような世界観を求めたとき、今のネットワークやデータベースのあり方も考えないといけないと感じました。

弊社は基盤にしても、ネットワークのコアな部分にしてもすべてデータセンター上に格納されています。現在、エンジニアが何か新しいものを作ろうとしても、今の立て付けでは既存のシステムに引きずられてしまい、作ってみたらいびつなものが出来てしまったという事が予想されます。ですから、そもそも基盤を持たないという考え方にシフトすべきではないかという考えがあります。

クラウド型のネットワークサービスを起点に考えていくことも検討しなければいけないな、と思っています。

 

そう考えると、今回は、あまりにも短期的に進めてきたがゆえに、これが負債にならないかなという懸念があります。作り手としては、正直、そこまでの深い考慮ができていません。しかしコロナで在宅になったとしても仕事を前に進めなければならないため、環境を早く作ることを優先しました。影響範囲が自分の目の届く範囲に限定されているのであれば、リリースしても問題ない、という判断基準でした。

alt

井上:そうですね。何か新しいものを作ろうとしても、社内の規定や既存システムのこともあるので、エンジニアの人たちから「働きづらい」という声をよく聞きます。そういう意味で、エンジニアの人たちが働きやすいパーソルキャリアになっていってほしいですし、そういう方向に持っていければと思います。今働いている人たちが、開発を楽しくやれる環境の方が、よりよいサービスができるだろうと思うんですね。今は開発以外のことで時間を取らせてしまっている感もあるので、その力を100%本業に充てたら、もっとパフォーマンスがあがると思っていますね。

 

――それでも、今回サブミッションだったと思いますが様々なことを乗り越えながらこの開発用VPNを作られたと思いますが、そのモチベーションの源泉は何でしたか。

小川:何でしょうかね。“さっさと片付けて開発をやりたいな”という気持ちがホンネですかね(笑)。やっぱり僕はアプリケーション開発がやりたくてパーソルキャリアに入社したので、やりたいことを自らの手で実現していくつもりです。先ほどもお話ししましたが、まだまだこの会社ではエンジニアは少数民族なのですよ。基本的に手を動かす人、いわゆる現場感がある人が少ない。だから、僕らがどんどんアピールしていくべきだと思います。

 

井上:そうですね。これまでは担当者がベンダーさんに対して“こういう風に作ってください”と指示をしているだけでしたが、エンジニアが入ってきたことで、現場の苦労が見えるようになってきました。なので、現場の課題感を共有できる時間を持つことができれば、私たちの会社も大きく前進するような気がします。

alt

――より良いサービスを作るためにも、現場の課題を共有しながら前に進めていくことが大切ということですね。本日はありがとうございました!

(インタビュー・編集=伊藤秋廣(エーアイプロダクション)/執筆=The Text Factory(エーアイプロダクション)/撮影=古宮こうき)

alt

井上 テイ子 Teiko Inoue

デジタルテクノロジー統括部 データ&テクノロジーソリューション部 エンジニアリンググループ マネジャー

Sierで開発エンジニアとして約7年従事した後、ECサイト2社に於いてプロジェクトマネージャーを10年程勤める。
その後、2018年パーソルキャリア株式会社へ入社。プロジェクトマネージャーを経て、2019年 エンジニアリンググループ マネジャーに。 4月より自らもリモートワークをしつつ30名を超えるメンバー達と様々な課題に奮闘中。

alt

小川 由輝 Yoshiteru Ogawa

デジタルテクノロジー統括部 データ&テクノロジー ソリューション部 エンジニアリンググループ シニアエンジニア

専門学校卒業後、電気工事士として約7年間半従事。
その後キャリアチェンジし、SIer、事業会社での情シス、インフラエンジニアを経て、2018年パーソルキャリアに入社。
現在は、Webアプリケーション開発、担当案件のインフラ設計・構築・運用保守を担当。

※2020年8月現在の情報です。

▶パーソルキャリアの求人ページはこちらから