私は現在、社内SEをしているのですが、2020年2月~3月ごろ、コロナウイルス禍もあって社内でVPN環境を準備しようとしていたところ、海外とのサプライチェーンが崩壊した事により思わぬリスクが露見しました。(※注:コロナウイルス禍の初期は海外渡航が全面的に禁止され、海外との貿易も完全にストップしました。)
そう。ドングル方式のVPNクライアントを採用していたので中国からドングルが輸入できず、クライアント数が増やせない!
orz.....
さあ、どうしようとなったところで、弊社は急遽別のVPNソフトも併用する方針に舵を切ることになったのでした。 (リモートの準備してなくて業務が止まるよりはさすがにマシかな・・・と。)
ここに関しては色々と比較検討をしたのですが、以下4点の理由からSoftether社のDesktopVPNを利用する事にしました。
・社内的な心理的抵抗感が少なそう 1
・私が個人的に同社の製品(PacketiX VPN)を使った事があった
・新型コロナウイルス感染防止のためテレワーク用 Desktop VPN 無償開放を実施していた (2020/6の月末まで。なお現在は導入から30日間は無償利用可能、その後は有償となります。) 2 3
・リモート接続用のソフトウェアとして枯れていた
じつは後続システムであろう、「シン・テレワークシステム」4。の実証実験が導入後にスタートし、 現在もこちらは実証実験といいながらリモート環境の提供が継続されており、更に無償での利用が可能となっています。
なお、このシステムはコロナ禍が収束するまでは提供を続けるとの事です。
公式にも「2020/10/31 以降も本実証実験を無償で継続することになりました。1 年後の 2021/10/31 までは必ず継続します。また、今後、終了する場合には 6 ヶ月前までにご案内いたします。」との発表が出ていますね。
悲しい事に弊社でリモートワーク環境を敷いた時にはこのシステムがまだ提供されておらず、検討には入れられなかったのですが、今であればこちらのシステムを使う手もありますね。
また、個人的に「シン・テレワークシステム」についても使用感を見るために利用していますが、セットアップや利用方法、使用感についてはDesktop VPNとほぼほぼ同様です。 (結局のところSoftether社で開発されているそうなので、使用感が同一になるのはうなずけるところですね。)
同じような画面・設定となりますので、適宜読み替えてもらうことで、「シン・テレワークシステム」の導入についても基本的な部分については、本項で対応できると思います。
この項以降は、DesktopVPNを導入する…という前提で検討した内容や実際にハマったポイントなどを記載します。 なお、勝手に会社のPCにこのソフトを入れても下手するとリモートワークできてしまうのですが、システム管理者に確認をとり(あわよくば巻き込んで)リモートワークを進めて頂く事をお勧めしておきます。
まずは試験用環境を1台~数台選定し、まず導入して検証してみましょう。
なお、サーバソフト、クライアントソフトは https://www.desktopvpn.net/download/ からダウンロードできます。またこの手のソフトで一番重要ともいえる、接続においての認証方式は、様々な方式が選べるようになっています。
・(このアプリで設定した独自の)パスワードでの認証方式
・(このアプリで設定した独自の)ユーザIDとパスワードでの認証方式
・匿名認証方式
・Radius認証方式
・Windowsドメイン認証方式
・証明書認証方式(※電子証明書もオレオレで良ければ自前発行できるみたい…)
※なおセキュリティ設定の「高度なユーザー認証機能の設定」の中にオレオレ電子証明書出力機能があったりします。
電子証明書をクライアント側のPCに渡して設定させるのがハードル高いですけどね…(笑)
どの運用で行くかは予め決めておき、パスワード認証を用いるのであれば長めのランダムパスワードも必要分生成しておきましょう。(ユーザリストが予め決まっているのであれば、IDとユーザパスワードなどもセットで準備しておいてしまうのが後々楽です。)
また、サーバー設定ツールにもパスワードロックを掛ける事ができます。 情シス的な運用で、管理をちゃんとやる前提であれば、パスワードも決めて掛けておきましょう。
https://www.desktopvpn.net/download/ から
・Desktop VPN共有機能有効版(Ver 2.70 Build 8600)
・Desktop VPN共有機能無効版(Ver 2.70 Build 8600)
のどちらかを導入しましょう。 なお弊社の場合は共有機能を有効にし、セキュリティ上の穴をあけても管理観点からは嬉しい要素が全くなかったので一括で無効版にしました。
なお、ソフトウェア導入の際にパスワード設定も求められるようになっています。各ユーザのリモート接続先PCをセットアップしていく段では、流れでパスワードやセキュリティ設定も併せて設定してしまいましょう。
また、サーバを設定したときに表示される
- コンピュータID
- 固有ID(右下の「固有ID」ボタンで表示される16進のコード。初期導入段階では不要ですが、30日経過後の有償登録への移行の際、このコードが必要になります。)
をメモしておきましょう。
https://www.desktopvpn.net/download/ から
・Desktop VPN 実行ファイル形式クライアント(Ver 2.70 Build 8600)
を導入しましょう。 そして、前項のコンピュータIDと、予め設定した認証要素を用い、リモート接続してみましょう。
前項までで記載した流れで一旦導入し、運用の知見を得た後、弊社では段階的に導入を行い、 順次利用者を増やしていく流れとしました。(ビッグバン導入で一気に障害がでた想定だと対応に困るのと、動き出しが早かったので緊急事態宣言までにある程度のリモートワーク環境が敷ける目処が立っていた為なのですが。)
結局、社内全体に展開するまで大きな問題や致命的な課題は出なかったのですが、詰まった点がいくつかあったので次項に記載します。
・この手のリモート接続ツールは、各種セキュリティ対策ソフトが悪さをする事が往々にあります。各種セキュリティ対策ソフトと干渉した場合、"C:\Program Files (x86)\Desktop VPN Server\DeskServer.exe" がリモートサーバのソフトウェア本体なので、このアプリケーションを各種セキュリティ対策ソフトの監視対象外に設定する事で状況が改善する事があります。(実際に問題が発生したことがあり、この設定変更により問題が改善しました。)
・内部的にはWindowsのRemoteDesktopサービスを使っているのですが、このサービスが上がってないとダメです。プロパティからスタートアップの種類を「自動」に変更しておきましょう。
・Windowsの電源設定も見直しておきましょう。1日経ったら繋がらなくなった(なぜかPCの電源が切れていた)とかはだいたいここの設定が悪さをしていることが多いです。
入り方はコントロールパネルから、電源オプションを選択し
プラン設定の変更から
詳細な電源設定の変更に入っておきましょう。
具体的な電源設定ですが、まず時間経過によるスリープ、休止を全て止めましょう。ハイブリッドスリープもしなくて良いですね・・・
スリープ解除タイマーはあまり影響無い気がするのでお好きに・・・
USBのディレクティブサスペンドに関しては、USB経由でリモート接続している(USBのNIC使ってるとかレアケースの)場合は無効のほうがいいケースはあります。
ノートの場合はカバー閉じてスリープになったりするのもあるあるなので閉じた時の動作も何もしないにしておくほうが幸せな気がします。
スリープボタンも動作しないようにしておきましょう。
リモートワークしている時は、普通はディスプレイ表示も不要なはずなので、電源Offにしておくほうが地球にもやさしいですね。
弊社で電源周りが怪しいな・・・となって検討した結果、そこで問題が起きていそうなPCに適用している電源設定は上記設定になります。
- 実時間で17時から22時ぐらいまではインターネットが全般的に重くなるようで、プロバイダによっては通信が切れるという報告が10%程度の利用者からありました。こればかりはインターネット側の帯域に依るため、どうしようもないので諦めてもらっています。
- 実際に家で使った際、おそらくルーターがダメなんだと思いますがWifiだと操作のラグがひどく、タイピングが辛かったのですが有線LAN接続に変えたところ非常にラグが減り、安定しました。(その後、Intel製の無線LANアダプタのドライバが更新され、無線でのリモート接続時におけるラグも大幅に改善しました。とはいっても有線LANの方が基本的には干渉や減衰を受けにくいはずで、有利だとは思いますが。)
- WindowsUpdateに巻き込まれるとPCが再起動したり、品質の悪いパッチが入って不安定になったりして辛いですね。WSUSが欲しくなる・・・(本来WSUSってそういうのを期待して入れるものではない気はするんだけど。)
- DesktopVPNはそれだけで集中監視できるわけではないので、そういうのが要るのであれば別のソフト使ったほうが良い気がします。(なんかサーバ立てる系の・・・) もしくはログを収集するなどの手段の検討が必要ですね。
とりあえず弊社では100人超のユーザーをDesktopVPNで捌いてますが、とりあえず狙った通りに動いてリモートワークが実現できている(実際に出社も緊急事態宣言時は7割以上減らせていたが、業務影響は発生しなかった)ので、これぐらいの規模であればちゃんと準備し、適切に運用すれば十二分に耐えられるな・・・という知見が得られました。
・・・という記事を2020/4ぐらいまでの知見をもとに記載し、その後半年ほど運用しており、現在2020/11に見返しているわけですが、1点を除き大きなトラブルもなく、安定してリモートワーク環境が維持できている状態です。
唯一ドタバタしたのが、無償提供期間終了後の有償ライセンスへの移行でした。
本章の.2.2項「会社の(リモート接続先の)PC にサーバソフトを入れる」で追記しましたが、SoftEther社のサイトにて、無償期間終了後に有償ライセンスへとライセンス設定を変更する際、前述の固有IDが必要である事が無償提供期間終了前に判明し、慌てて100台以上のPCから固有IDを集めなおすハメになったのでした…
私一人でそれぞれのユーザと調整しながら対応した事もあり、この作業だけで2週間ぐらい吹っ飛んだ覚えがあります…(^^;
なお、現在は弊社も有償ライセンスへの釣り変えも問題なく終了し、安定してリモートワーク環境が維持できています。
色々と雑多に書きましたが、あなたのリモートワークの参考になれば幸いです。
Footnotes
-
筑波大学の学内ベンチャーで国内資本の会社でもあるので…というと話が通りやすかったんですよね。心理的抵抗感を下げるのはこういうケースでは大事だと思いました。 ↩