業務する環境をセキュアにした話 その2

f:id:k725a:20210517165616p:plain

こんにちは✋

テクノロジー本部サービス開発部(!)でエンジニアをしている @_k725 です。 ※前回と部署名が異なりますが、4/1から中身は変わらないまま部署名が変わっています。

前回出した記事(業務する環境をセキュアにした話 その1)の続編となります。

デバイスの管理

前回の記事の締めくくりでデバイス管理について触れたので、今回はデバイスの管理について少しお話ししようと思います。

現在、サービス開発部では会社非標準のMacBook Pro 15/16インチを開発, デザイン目的で利用しています。

業務をする上で GitHub でのチケット管理や esa での同時編集・文書管理、 Google Workspace の各サービスを利用してサービスの企画や開発などを行いますが、上で触れたのはあくまでもエンジニア・デザイナーのみです。

会社標準のネットワークに接続されている、会社標準のPCでは様々なサイトにアクセスが行えないので、プランナーとチケットのやり取りや、文書の同時編集などを行う際に問題が発生してしまっていました。

そこで、MacBook Pro 15/16インチほどスペックは高くない、MacBook Pro 13インチ, MacBook Air (Intel, M1)を購入して利用して貰っています。

しかし、簡単に使える macOS とはいえ、業務で利用する上ではアンチウイルスソフトのインストールであったり、定期的なOSのアップデートなどを行わなければなりません。

前回の記事でも少し触れた、Google Workspaceへのデバイス登録機能を利用して、PCの簡易的な状態はわかる状態だったので、古いOSを利用しているメンバーには声かけなどを行って対応をしましたが、お互いにとって大変なこともあり、すこしゆるめにルールを運用しています。

f:id:k725a:20210517165834p:plain
Google Workspace上から確認できるデバイス情報

基本的にアップデートは長いです。 PCは仕事道具ですし、勿論業務時間にアップデートを行うべきですが、大型アップデートとなると大量の通信・長い時間が必要になってしまいます。

プランナーの現状の業務ではブラウザを使用した操作が多いので、安価かつ標準でGoogleの保護が受けられるChromebookでも耐えられるのでは?と思い、実験してみることに。 追加で調べたところ Chrome Enterprise Upgrade という企業向け機能もあったので一緒に利用してみることにしました。

f:id:k725a:20210517165915p:plain
試しに購入した Chromebook (ASUS C425TA)

本体のレビューなどはレビューサイトに譲るとして、自分自身がChromebookで開発業務以外を行ってみました。

業務の例としては以下がありました。

  • Outlook (メール・カレンダー)の操作
  • GitHubでのIssueやPRの操作
  • Slackでのコミュニケーション
  • Google Meet, Zoom, Microsoft Teamsを利用したビデオ会議
  • 仮想デスクトップ基盤(VDI)へのアクセス・操作

購入したモデルが Intel Core m3-8100Y, メモリ 4GB と少し心許ないスペックだったので不安でしたが、上記の業務を並列で行っても意外と問題なく行えました。

また、購入時に入っていたChrome OSのバージョンが少し古く、実際にアップデートを試しましたが通常のGoogle Chromeと同じくらい簡単にアップデートが行え、ストレスが少なかったです。

本命のデバイス管理機能ですが、Google Workspace上からデバイスの状態を把握することが可能で、様々なポリシーも適応可能でした。

なお、初期セットアップ時のGoogleアカウント入力時に Ctrl + Alt + E を押さないと、Chrome Enterprise Updateが利用できませんでした。

Chrome Enterprise Upgrade がバンドルされ、Chrome バージョン 80 以降がプリインストールされている Chrome OS デバイスでは、ユーザーがエンドユーザー使用許諾契約に同意すると、登録を促すプロンプトが自動的に表示されます。 登録後、ユーザーはログインしてデバイスを使用することができます。登録を求められない場合は、Ctrl+Alt+E キーを押します。

Chrome OS デバイスを登録する - Google Chrome Enterprise ヘルプ

f:id:k725a:20210517170025p:plain
Google Workspace上から見たChromebookの状態

メモリの状態であったりCPUの使用率が確認できるのは、運用する上で性能的に問題ないかを確認するのに役立ちそうです。

f:id:k725a:20210517170121p:plain
Google Workspace上から様々なポリシーが設定可能

発生する費用ですが、今回はPC本体の代金とChrome Enterprise Upgradeのライセンス費用が発生しました。 現在は検証を行った上で、セットアップの容易さや業務に必要なツールなどが使えるのがわかったので、実際に導入を進めている最中です。

なお、現状エンジニア・デザイナーのmacOSも管理した方が良いのではということで、Jamfの検証なども進めていましたが、予算の都合上、まだ導入に至っていません。

次回はパスワードマネージャーの導入についてお話ししようと思います。

@_k725

@_k725さんのプロフィール

エンジニアリング統括部 第2開発部 第3グループ エンジニア

お寿司が好きです🍣

※2021年5月現在の情報です。

▶エンジニアリング統括部の求人ページはこちら