Amazon Web Services ブログ

Category: AWS VPN

金融機関で活用される AWS のテレワーク支援サービス

金融機関の皆様においては、社会を取り巻く状況の急変に伴い、お客様及び従業員の皆様を保護しつつサービスレベルや業務効率を維持されるためのさまざまな対策を講じられていることと存じます。そして金融庁からも4月13日に「出勤者7割削減」の要請が周知され、テレワーク環境の構築は、金融業界全体としても喫緊の課題として認識されているものと思います。 欧米各国においては、金融機関の事業継続に向けて、AWS のサービスを活用したテレワーク対応を進めて頂いている事例があります。例えば、ある大手金融機関では、在宅オペレーター数を数百人から数千人に拡張したり、また、別の金融機関では、FAQ におけるチャットボットの活用を促進しています。また、従業員及びその顧客を対象に数千席規模の仮想デスクトップ環境を提供することで業務の継続を図っているケースもあります。 日本でも多くの金融機関のお客様から、テレワークのソリューションに関する問合せ・ご相談を頂いています。既に日本の金融機関でも、AWS  のテレワークを支援するサービスを活用して、数週間でコンタクトセンターのオペレーターの在宅勤務環境を構築したり、仮想デスクトップ端末を短期間で数千台規模に拡大させて社員のテレワーク対応に取組んでいる事例が出てきています。 AWS では、お客様のテレワークを支援するサービスとして、在宅コンタクトセンターの迅速な構築をご支援するフルクラウド型のコンタクトセンター Amazon Connect、社内システムへのリモート環境からのアクセスを実現する仮想デスクトップソリューション Amazon WorkSpaces、フルマネージド型のコンテンツコラボレーションサービス Amazon WorkDocs、リモートでのコミュニケーションやコラボレーションを支援する Amazon Chime、スケーラブルなリモートネットワークアクセスを可能とする AWS Client VPN などを提供しています。 いずれの AWS サービスも、クラウドならではの俊敏性と拡張性を備えており、今回のように急遽テレワーク環境構築が必要とされているケースにご活用いただけるものです。そして、AWSでは、クラウドのセキュリティが最優先事項です。AWSは、高いセキュリティ及びコンプライアンス要件を持つ金融機関のお客様に、テレワークを支援するサービスを安心してご利用いただけるよう、アーキテクチャーの設計をご支援します。 本 Blog では、AWS のテレワークを支援するサービスの中でも、お客様からの問い合わせが多い Amazon Connect と Amazon WorkSpaces について概要をご紹介したいと思います。また、これらのサービスの詳細をご紹介するオンラインセミナーを5月22日に開催する予定です。こちらも是非お申込み頂ければと思います。

Read More

ディスラプションへの対応 : 金融機関がクラウドテクノロジーを使用して COVID-19に対応し、業界を変革する方法

AWS for Industries 本投稿はアマゾンウェブサービス (AWS) のグローバル金融領域の市場開発を担当するマネージングディレクターの Scott Mullins による寄稿を翻訳したものです。 「ディスラプション」。 これは、金融業界でよく耳にする言葉です。確立された規範、マーケットリーダー、あるいは製品に取って代わる可能性のある、新しい市場やバリューネットワークを生み出すイノベーションについて述べる際によく使われます。今世界が直面している前代未聞の健康上の難題は、世界経済そして世界中の人々に、上記とは異なる種類のディスラプション(混乱)をもたらしています。これは、今ある金融サービスの提供方法に直接影響し、将来的には金融業界の仕組みや利用者とのやり取りの形を変えていくことになるでしょう。 COVID-19 は、金融機関や利用者の通常のビジネスのやり方を根底から覆し、両者それぞれが対処すべき独自の懸念事項や要求を抱えることとなりました。事業の存続可能性を判断したり、財務的なコミットメントを達成する能力を維持したりする上で、スピードが非常に重要視されているときには、金融サービスの利用者は資本に到達できるかどうかに注目しています。金融機関は、安全性、セキュリティ、回復力、拡張性、および業務の継続的な健全性を重視しています。金融規制当局は、経済の回復を重視し、資金を必要とする企業が資金調達できるようにし、国内および世界の金融システムの安定性の確保に務めています。技術的な観点では、これらの懸念や要求の高まりは金融システムの負担に変換されていきます。この病気は、レガシーなアプリケーションやインフラストラクチャーが利用者と主にデジタルでやり取りを行う体制へ即座に移行する能力、そして世界市場が直面している異常な取引量と変動の凄まじさへも対応する能力を持ち合わせているかどうかを試しています。 AWS は世界中の金融機関、政府、規制当局と協力して、COVID-19 がもたらす世界経済の課題への取組みを支援しています。リモートワークの実現、ミッションクリティカルなアプリケーションの業務回復力の維持、桁外れの取引量を捌くための世界規模の市場システムの拡張性、充実した機能で使いやすい顧客体験を提供するデジタルでの関わり方の実現、費用対効果を改善するためのアプリケーションおよび環境の最適化など、世界経済を動かしている人々やシステムが継続して動き続けられるよう、AWS は金融サービスのお客様と協働しながら取り組んでいます。本投稿では、私たちがお客様と共に積極的に取り組んでいるいくつかの主要な取組みをご紹介します。(実現できることやどのように AWS が支援できるかといった点に焦点を当てるため、具体的な金融機関名にはあえて言及しておりません。)主要な取組みには以下のようなものがあります: 金融サービスを動かしている人々が働き続けられるようにする COVID-19 が世界中の人々に影響を与えている状況下で、日々の生産性への影響を最小限に抑え、従業員の健康と安全を確保するため、金融機関は業務手順をすばやく変更し、リモートワークに切り替えました。パンデミックが継続するにつれて、企業は従業員が場所を問わず安全に働くための選択肢をさらに検討し始めています。場所を問わず働けるようサポートする方法、世界中にいる従業員間のコラボレーションを促進する方法、状況に応じて変更できる接続ポイントを管理する方法、あるいは災害発生時にビジネスの継続性を確保する方法といった信頼できるリモートワークソリューションを金融機関は求めています。AWS は、従業員、契約社員、学生、そしてコンタクトセンターの従業員がリモートワークをすばやく行えるよう、一連のソリューションを構築し、提供しています。 例えば、Amazon WorkSpaces はマネージド型のセキュアな Desktop-as-a-Service (DaaS) ソリューションで、外勤および在宅勤務の従業員が必要なアプリケーションへのアクセスを支援します。Amazon WorkSpaces を使用すると、外勤者はインターネット接続が可能であればいつでもどこからでもサポートされているデバイスを使用して、自身で選択した応答速度が速いデスクトップ環境を手にすることができます。金融機関は、デスクトップアプリケーションおよび外勤者に対するセキュリティとデータ統制の要件を満たす必要があります。エンドユーザーデバイスは、非常に重要なデータが攻撃、損失、または盗難に晒されるといったリスクがある接続ポイントになりうるという課題をもたらします。AWS では、お客様は接続ポイントを一元管理することで、セキュリティを向上させ、コンプライアンスを維持できます。この対策のために、オンプレミスソリューションで発生するような費用や複雑さはありません。COVID-19 への対応策として、あるグローバル投資管理会社のお客様は、数千人のユーザーに対し在宅勤務ソリューションを 1 週間以内に展開しました。セキュリティを最優先としながら、このお客様は従業員 1 人あたり複数の Amazon WorkSpace を提供しました。 Amazon Connect を使うと、完全に機能するコンタクトセンターをわずか数分で立ち上げ、事実上どこからでも運用できます。エージェント、スーパーバイザー (SV)、マネージャー、管理者は自宅で働きながら、通常の業務をすべて実行できます。エージェントは受電・架電を行えます。SV は、同じオフィスにいるかのように、エージェントをリアルタイムでモニタリングし、コーチングすることができます。管理者は、ダッシュボードの表示、レポートの作成、サービスレベルの監視、通話履歴の聴き取り、パフォーマンスの追跡といった作業をすべて自宅で行うことができます。ある欧州のグローバルなシステム上重要な銀行 (G-SIB) は、COVID-19 へ対処するために迅速に Amazon Connect を展開し、サービスを中断することなく、エージェントが自宅から銀行の顧客をサポートできるようにしました。 AWS Client VPN は、数千人のリモートユーザーをサポートするように伸縮自在にスケール可能な、完全マネージド型の従量制 […]

Read More

AWS 及びオンプレミスリソースに安全にアクセスができる、AWS Client VPNの紹介

大小の多くの組織は、内部ネットワークでホストされているリソースへの安全なリモートユーザーアクセスを容易にするために、何らかの形のクライアント仮想プライベートネットワーク(VPN)接続に依存しています。これは、多くの場合、EC2インスタンスでオンプレミスのVPNハードウェアまたはプロビジョニングされたクライアントソフトウェア、VPNインフラストラクチャに依存することを意味しています。これらのクライアントベースのVPNソリューションの管理は、スケーリングと運用の課題をもたらし、継続的な負担となっています。多くの場合、予期しないイベントによって帯域幅と接続要件が急上昇し、VPNの可用性が低下します。 概要 AWS Client VPNは、OpenVPNベースのクライアントを使用して、任意の場所からAWSおよびオンプレミスのリソースに安全にアクセスする機能をお客様に提供するフルマネージドサービスです。リモートのエンドユーザーからAWSおよびオンプレミスのリソースへの接続は、この高可用性でスケーラブルな従量課金制のサービスによって促進できます。クライアントVPNソリューションの維持と実行という、差別化されていない重い作業からは完全に回避されます。AWS Client VPNでユニークなのは、サービスのスケーラブルな性質です。このサービスは、ライセンスや追加のインフラストラクチャを取得または管理する必要なく、多くのユーザーにシームレスに拡張されます。これは、典型的な接続の1日の流れなど、急激なワークロードにとって重要です。この良い例が悪天候です。通常、レガシークライアントVPNソリューションは、クライアント接続の増加に伴い、クライアント接続を提供するために必要な帯域幅の巨大な流入はもちろんのこと、限界に達しています。AWS Client VPNは、使用量の増加にもかかわらず、容量のニーズに合わせてスケーリングし、一貫したユーザーエクスペリエンスを保証します。 AWS Client VPNは、証明書ベースの認証とActive Directoryベースの認証の両方をサポートしています。Active Directoryグループに基づいてアクセスコントロールルールを定義でき、セキュリティグループを使用してAWS Client VPNユーザーのアクセスを制限できるため、顧客はより厳格なセキュリティコントロールを取得できます。単一のコンソールを使用して、すべてのクライアントVPN接続を簡単に監視および管理できます。クライアントVPNでは、Windows、macOS、iOS、Android、Linuxベースのデバイスなど、OpenVPNベースのクライアントから選択できます。 クライアントVPNは、クラウド中心の方法でクライアントVPNインフラストラクチャのプロビジョニング、スケーリング、および管理を簡素化しようとしています。コンソールを数回クリックするだけで、スケーラブルなクライアントVPNソリューションを簡単に展開できます。 使い方 AWSはクライアントVPNのバックエンドインフラストラクチャを管理します。必要に応じてサービスを構成するだけです。プロビジョニングプロセスを次のアーキテクチャ図に示します。 クライアントVPNの導入 次に、クライアントVPNの展開について説明します。Active Directory認証を使用したクライアントVPN接続のエンドツーエンドソリューションの展開について説明します。 クライアントVPNエンドポイントを作成する まず、AWSマネジメントコンソールのVPCセクションに移動します。オプションとして、クライアントVPNエンドポイントがあります。 コンソールのこの新しい部分から、クライアントVPNエンドポイントを作成できます。 次に、VPNクライアントのCIDRを選択します。この例では、使用できる最小のサブネットである/ 22アドレススペースを使用しています。必要に応じて、より大きなサブネットを指定できます(/ 18まで)。選択するサブネットが、クライアントVPNエンドポイントを介してアクセスするリソースと重複しないことを確認してください。クライアントVPNはソースNAT(SNAT)を使用して、関連付けられたVPCのリソースに接続することに注意してください。 次のセクションでは、認証のための情報を入力する必要があります。以前に管理対象のActive Directoryを展開したことがあるので、それを選択します。AWS Managed Microsoft ADディレクトリがない場合は、ここからセットアップに関する詳細情報を見つけることができます。プライベート証明書を生成してAWS Certificate Manager(ACM)にインポートする必要があります。このウォークスルーでは、Active Directory認証のみを示しています。 次のセクションでは、接続ログを構成します。この目的のために、CloudWatchロググループをすでに設定しています。接続ログを使用すると、クライアントが接続を試みたフォレンジックと、接続試行の結果を取得できます。 構成の最後のセクションでは、DNSサーバーのIPアドレスを指定し、クライアント接続にTCPまたはUDPを選択します。ここでは、Route 53 Resolverの受信エンドポイントのIPアドレスを選択していますが、環境で使用するDNSサーバーを選択できます。 必要な情報の入力が完了すると、VPNエンドポイントがPending-associateであることがわかります。これで、VPNエンドポイントを1つ以上のVPCに関連付けることができます。 クライアントVPNエンドポイントをターゲットネットワークに関連付ける 次のステップは、VPNエンドポイントをターゲットネットワーク(VPCサブネット)に関連付けることです。これは、AWSクライアントVPNコンソールのアソシエーション部分を介して行われます。 VPCとサブネットを選択して、クライアントVPNエンドポイントとの関連付けを作成します。VPCに特定のサブネットを作成して、VPCエンドポイントのENIをホストし、クライアントVPNトラフィックの可視性とトレーサビリティを容易にしました。クライアントVPCエンドポイントは複数のサブネットに関連付けることができますが、各サブネットが同じVPCに属しているが、異なるアベイラビリティーゾーンに属している必要があることです。ターゲットネットワーク(VPC内のサブネット)を正常に関連付けると、VPNセッションを作成することができ、リソースにアクセスできなくなります。 VPCへのエンドユーザーアクセスを有効にする(承認ルールを追加する) 次のステップは、認可ルールを追加することです。承認規則は、クライアントVPNエンドポイントを介して指定されたネットワークにアクセスできるユーザーのセットを制御します。例では、「クライアントVPN」ADグループのユーザーにのみアクセスを許可します。これを行うには、まず、AWSアカウントの既存のAWS Microsoft Active Directoryで作成した「クライアントVPN」ADグループのSIDを取得します。これは次のスクリーンショットに示されています。 次に、クライアントVPNコンソールの承認部分に移動し、[ Authorize Ingress ]をクリックします。 宛先ネットワークを有効にするにはインターネットのトラフィック(NAT Gatewayを通じてVPC内で実行している)を含め、クライアントVPNエンドポイントを通って流れるようにすべてのトラフィックを有効にするためには、私は0.0.0.0/0のデフォルトルートを入力します。次に、VPNユーザーグループのSIDをActive […]

Read More