rela1470のブログ

rela1470がブログです。

2022年 Kyash コーポレートエンジニアリング振り返り

株式会社Kyash
Information Security Team
Corporate Engineering
所属のわたなべです。

毎年恒例*1*2*3の年末振り返りです! やっていきます。

adventar.org

昨年はこちら。
rela1470.hatenablog.jp いやー1年って早いですね。
mxHero, Jamf Connect, OneLogin Smart Access導入が去年なのか。
もう長く使っている気がしましたが...そうか...
それだけ濃厚な1年だったってことですね!*4

2022年サマリ

2022年現在の社内システムはこんな感じです。

抜粋カオスマップ(主にCorp-IT分野のみ)

後述のオフィス移転があったので、拠点周りのインフラがすべて一新されています。いやーたいへんだった。
ではでは、今年もチーム全体の手柄ですが、あたかも自分の手柄のように都合よく書いていきます!

オフィスを移転した

2022年を一言で言い表すと、"オフィス移転頑張った" につきますね。
10ヶ月間に及ぶ一大プロジェクトでした。
www.kyash.co

プロジェクトが立ち上がったのは2022年1月のことでしたが、色々な外部要因によるあれこれがありまして、4月にまさかの移転先変更!*5
6月から仕切り直しすることに。いま振り返ってみると、なんと実質3ヶ月でやりきったのでした。

途中からユナイトアンドグロウさんのオフィス移転マスターな方にJoinしていただき、主に各ベンターとの交通整理で支えてもらいました。
もう手が足りない!! 明日から来てくれ!!! っていうやつです。本当にありがとうございました。

さて、自分は楽しそうな部分をやる担当*6*7なので、主に会議室ソリューションの設計や入退室管理システムの設計を行いました。

ネットワーク設計

社内でテレビ会議が増えたことや、同じビルのテナントの影響で回線速度の低下が少し見られていました。 そのため今回のオフィスでは、テレビ会議専用にフレッツ回線を引き、更に通常利用のNuro Biz、ゲスト用のNuro Biz(DHCPの方)と3回線をバランシングした構成としました。

Wi-Fiに関してもMR44にリプレイスし、Wi-Fi 6に対応しました。 meraki.cisco.com

社内配線はCAT6A。ただしルーターがRTX3500とRTX1210なので、10G対応はできていません。*8

回線障害が起きた際は別の回線に寄せる

Neatの導入

Neat BarとNeat PadでZoom前提の会議室に
会議室は3部屋すべてNeat Barを導入。Zoom Roomsでリモートメンバーとコミュニケーションする前提の設計としました。
neat.no

DTENなど3ソリューションくらい比較検討しましたが、Windows搭載の機種が思ったより多いですね。
LTSC版だとはいえ、運用面で考えることが増えるので、よりセキュリティリスクが少ないNeatを選びました。

使い勝手や画質は申し分ないですが、ちょっとマイクの音質が社内評判悪いですね。謳い文句では色々書いてあるんですが。でも大枠では満足しています。アップデートに期待です。

MeetやTeamsにも対応出来るよう、机までUSBの配線取り回しもやったのですが、NeatとLANケーブルでのUSB延長ソリューションとことごとく相性が悪いようで認識せず。なにか良い機械見つけたら教えてください。*9

配線は泥臭くやっています

まあでも、Zoom Rooms側のアップデートでTeamsに対応*10したし、Meetも2022年中に対応するって話もあります。*11
実はもう気にしなくていいのかも。
workspace.google.com

Zoom Rooms操作端末とスケジューラーもNeat Padです。前オフィスはiPadとFireタブレットを使っていましたが、約2年でバッテリー膨張。
Neat Padは常時通電を前提とした設計でバッテリーレスです。膨張する心配がなく、PoE受電でシンプルな運用ができています。再起動もMerakiのSwitchで遮断するだけ*12*13なので便利。
neat.no

iDoorsの導入

入退室管理システムはエーティーワークスさんのiDoorsを導入しました。 idoors.jp

主な選定ポイントしては、

  • クラウド型で社内にサーバーがいらない
  • アンチパスバックによる共連れ防止が実現できる
  • APIによる社内システムとの連携が出来る

といったところです。

クラウド型で社内にサーバーがいらない

以前使っていたプロダクトは、Windows PCを立ち上げて情報を同期するタイプのもので、部署異動に伴う設定変更や紛失インシデント対応など、すべて物理出社が必要でした。
特にカードの紛失時に課題を感じていて、インシデント発生からカード無効化までに数日のラグがあり、大きなセキュリティリスクとなっていました。
iDoorsはクラウド管理なのでリモートで無効化でき、更に弊社では自分で無効化が出来るようにWeb画面を作成したので、即時対応が可能になりました。

アンチパスバックによる共連れ防止が実現できる

弊社のオフィスではサーバールームの他に、ユーザーの個人情報・カード情報を扱う区画があります。そのため、アンチパスバックによる共連れ防止を必須要件としました。

前室のドアにタッチされていない際は、不正入場としてドアをロックします。
...ということは、オフィスに最後の1名が残った際など、悪意がない場合にも閉じ込められてしまう可能性がありますね。

APIによる社内システムとの連携が出来る

ということで、専用のWeb画面から臨時解錠ができる仕組みも用意しました。
このWeb画面はOpenID ConnectでOneLoginアカウントの認可・認証チェックを行っています。

臨時解錠画面

iDoors純正のWeb管理画面にも同様の機能があるのですが、ちょっと認証が弱い*14ので、弊社では利用していません。
APIがあったおかげで、代替ページを作ることができたのでした。APIがあるだけで出来ることが大幅に増えますからね! API大好きです。SAMLの次に好きです。*15*16*17 これ以外にも要望を20個くらい投げている*18のですが、そちらに関しても前向きに検討していただけており非常に助かります。良いプロダクトだと思うので、頑張って欲しいですね。

それ以外にも社内システムとAPI連携で色々やっています。
例えばICカードとユーザーの紐付けはSnipe-ITで管理。
開けられるドアの指定はOneLoginのロールで管理。
最後に入社日や退職日等をカオナビと突合して、アカウントの有効性を判断。
APIでiDoorsのユーザーデータに流し込んでいます。

わたなべ謹製のユーザー管理画面

手動でこれやるとしんどいですからね! 自動化バンザイ。

あ、1月に事例紹介出るのでなにとぞ。

それ以外にもいろいろ

それ以外にも色々やってますが、ここでは書ききれないようです。

受付タブレットをEnvoyにしたり、自動でバッジが印刷されるようにしたり

全モニターをSDIでつないで同じ映像が映るようにしたり

merakiの180度映る監視カメラを設置するときに穴を開ける場所間違ったり

まだまだ細かい対応は12月の今になってもやってます。満足できてないので、これからも頑張るぞ!

バイストラストの運用を開始した

さて、オフィス移転だけで5000文字を超えてしまいましたが、それ以外にもたくさんやっています。
次に大変だったのがデバイストラストの運用開始でしょうか。

社用PC以外での業務を制限するため、マネージドPKIであるSecure W2を導入しました。
PCとBYODのiOSはIntune、Jamf経由のSCEPで発行。AndroidやオフショアメンバーはSecure W2の独自ツールで発行しています。

www.pentio.com

ただ、このデバイストラストって茨の道でして、証明書が予期せぬタイミングでRevokeされてしまったり、AndroidがSCEPうまく動かなかったりと、今でもだいぶ振り回されています。ユーザビリティ的にも社内メンバーに迷惑を掛けていますので、もう少し改善したい。がんばります。

いろいろEnterpriseプランにした

バイストラストを行うにあたり、各種SaaSSAML認証に寄せる必要があります。
予算と工数の都合上すべてが対応できるわけでもないのですが、できるだけ影響の大きい順に対応していっています。
今年はKibela, GitHub, SlackをEnterprise対応しました。

一番大変だったのはSlackですかね... slack.com まだまだ使いこなせていない機能が沢山あるので、ここも頑張りたいです。

GitHubも面白いですね。SSHキーの認証にSAML認証が挟まって既存ワークフローが動かなくなったなど、色々大変でした。

いろいろ自動化した

社内セキュリティを向上していくに連れ、避けられない手動作業というものが増えていきます。
エンジニアは単純作業をすると爆発するのは周知の事実ですが、その点もPHPで自動化しています。

Kibelaの記事作成

ジョブカンワークフローはチケットの更新周りのAPIがないので、そこだけはPuppeteerでグリグリしてます。

サクっと書けて便利ですよね〜
PHPから呼んでるので実質PHPです。

とはいえ、自動化しすぎても形骸化してしまうので、ワークフローの承認ボタンを押す、とかはちゃんと目視で最終確認した上で押してます。責任取るの大事。

その他

それ以外にもいっっっっぱいやってます!

  • Jamf ProがUSBデバイスの制御を非推奨にしちゃったのでFalcon Device Controlを導入したり www.crowdstrike.jp
  • Zoom 背景ジェネレータを趣味で作ったり
    GDImageで愚直にやってます
  • 隠れ残業防止のためにPC起動ログをSumoLogicに転送する仕組みを作ったり
    Jamfは簡単でしたがIntuneは大変でした

いやーーがんばった。
あ、再度書きますが、チーム全体の手柄をあたかも自分の手柄のように都合よく書いています!
みんなありがとう!!!!!!

来年に向けて

Kyashは現時点で100名を超えたくらいの会社規模で、採用大拡大中のフェーズです。
アカウント管理の自動化やゼロタッチキッティングに取り組んで工数削減し、新しいことに取り組む時間を捻出してはいるものの、それも限界があります。

ということで、正社員を絶賛募集中です!
金融ドメインでゼロトラストやってやるぜ! っていう強い方、ぜひぜひよろしくお願いいたします。
まだまだヘッドカウント空いてますよ!! 助けて!!! herp.careers

*1:2019年から数えて4年目

*2:4年も書いたらもう恒例ですね!

*3:諸説あります

*4:そういうことにしておきましょう...

*5:だれもわるくない

*6:事務作業は苦手なのです...

*7:コード書いたり手を動かすほうが好き

*8:RTX1300出るの待てばよかったかなあ

*9:Kyashで39円と多大なる感謝の念を送ります

*10:11月ごろ。カレンダーにURL書けばいけます

*11:あと15日くらいしかないが??? いつなんだ????

*12:Neat側のリモート再起動は同じセグメントに居ないと駄目

*13:Zoom Rooms側の再起動でもいいけどね

*14:ID/PASS形式のみ

*15:あ、iDoorsさんSAMLも対応してください!!

*16:優先度高めで対応してくれるそうです

*17:正式情報ではないので責任は持ちません

*18:愛ゆえですよ!