四国クラウドお遍路2014で発表した資料です。

1. 四国クラウドお遍路2014
Amazon WorkSpaces/Zocaloによる
ワークスタイルの改革
Amazon Data Services Japan
Genta Watanabe

2. 自己紹介
• 名前
– 渡邉源太
• 所属
– アマゾンデータサービスジャパン株式会社エンタープライズソ
リューション部ソリューションアーキテクト
• Twitter ID
– @gentaw0
• 好きなAWSサービス
– Amazon WorkSpaces

3. Agenda
1
これからのワークスタイル
2
Amazon WorkSpaces
3
Amazon Zocaloとの連携
4
まとめ

4. コンシューマーITの台頭、いつでもどこでも繋がるニーズ
モビリティコラボクラウドビッグデータ
ワークスタイル
の変化
モバイル
ユーザー
ITのコンシューマ化:
95%の
情報産業に従事する
人々は、少なくとも
自身で購入した情報端末を
1台は会社でも使っている
ほぼ
80% の社会人は、
オフィスの外で
仕事をすること
がある
ほぼ2/3 の一般消費者は
少なくとも週に
3-4日はスマホやタブレットを
使って、商品やブランドや⾏き
先を調べている
2016, には
、十億単位の
ユーザでスマホや
タブレットが
普及する
モバイルファーストの波
4

5. 2013年ワークスタイル実態調査
• 半数の企業が従来の働き方を変えることに慎重姿勢
• オフィス外での簡単な業務を認めるも、在宅勤務やいつでもオフィ
ス外で勤務可能な働き方を6割の企業が全く認めず
• オフィス外でのITの活用に後ろ向きな企業ほど、⻑時間労働の助⻑
や⼥性活用の出遅れ傾向が顕著
• 製造業は取り組みに慎重姿勢
• いつでも社外で勤務可能な働き方を認める外資は内資の2倍
※デロイトトーマツコンサルティング株式会社が上場企業を中心とした132社（外資系10社）にワークスタイ
ルの実態調査を実施
http://www.tohmatsu.com/assets/Dcom-
Japan/Local%20Assets/Documents/Press/Release/jp_p_press20140313_dtcwssurvey2013_release_120314.pdf

6. ワークスタイルの変革の目的・取り組み姿勢

7. 生産性とリモートワークの関係

8. ⼥性活⽤とリモートワークの関係

9. 業界別の分析

11. Amazon EBS
Amazon SES
AWS Elastic
Beanstalk
AWS
CloudFormation
Elastic Load
Balancing Amazon
Amazon SNS
AWS Identity
& Access
Management
Auto Scaling
Amazon VPC
Amazon RDS
ElastiCache
AWS Direct
Connect
GovCloud
2008 2009 2010 2011
AWS Storage
Gateway
Amazon
Dynamo DB
Amazon
CloudSearch
Amazon SWF
Amazon Route 53
Amazon Glacier
Amazon Redshift
Amazon Elastic
Transcoder
AWS OpsWorks
Amazon
CloudHSM
Amazon
AppStream
Amazon
CloudTrail
Amazon
WorkSpaces
Amazon Kinesis
AWS Data
Pipeline
AWSのイノベーションの速度
2012 2013
AWSは、サービス開始以来:
• 927の新サービスや新機能をリリース
• 35のメジャーな新サービスを提供
• 43回の料⾦値下げ
Amazon
Mobile Analytics
Amazon
Cognito
2014 as of 8/1
Amazon
CloudFront
Amazon
Zocalo

12. AWSのさまざまなサービス

13. アプリケーションサービス
仮想デスクトップサービス企業向けファイル共有サービス

14. Amazon WorkSpaces
• クラウドで動作するフルマネージド型のデスクトップコンピューテ
イングサービス
• Windows/Mac/iPad/Kindle Fire/Androidタブレットなど任意の
デバイスからアクセス
• マネジメントコンソールを数回クリックするだけでデスクトップを
ユーザー数を問わずに展開可能

15. Amazon WorkSpacesのメリット
• フルマネージド
• 多様なデバイスへの
対応
• データを安全にいつ
でも使える形で保存
• 選べるハードウェ
ア・ソフトウェア構
成
• 初期投資が不要
• 社内ディレクトリと
の統合

16. フルマネージド
WorkSpaces
• 必要な数のワークスペースをすぐに起動できる
• ⾯倒な管理作業はAWSにおまかせ
• ユーザーはメールを受信したらクライアントをイン
ストールするだけで接続できる

17. 自社構築vs. EC2 vs. フルマネージド
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack & stack
Power, HVAC, net
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack & stack
Power, HVAC, net
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack & stack
Power, HVAC, net
オンプレミスXenDesktop on AWS WorkSpaces
お客様がご担当する作業AWSが提供するマネージド機能

18. 多様なデバイスへの対応
• iPad
• Kindle Fire HDX
• Android Tablet
• Microsoft Windows
• Mac

19. データを安全にいつでも使える形で保存
• エンドユーザーデバイスにデータを保存しない
• 画⾯のみをユーザーに転送(PCoIP)
• ユーザーボリュームをAmazon S3にバックアッ
プ

20. データを安全にいつでも使える形で保存
• ユーザーデータをセキュアにバックアップ・同期
• ワークスペースとPC/MacにZocalo Syncをインストー
ル
• データをAmazon S3にバックアップ
• ユーザーは必要なときにデータにアクセス可能

21. 選べるソフトウェア・ハードウェア構成
WorkSpaces Bundle ハードウェアアプリケーション
Standard 1 vCPU, 3.75 GiB Memory,
50 GB User Storage
ユーティリティ(Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Standard Plus 1 vCPU, 3.75 GiB Memory,
50 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ(Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Performance 2 vCPU, 7.5 GiB Memory,
100 GB User Storage
ユーティリティ(Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Performance Plus 2 vCPU, 7.5 GiB Memory,
100 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ(Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)

22. 初期投資が不要
WorkSpaces Bundle 月額
Standard $47
Standard Plus $62
Performance $78
Performance Plus $93
• 前払い料⾦一切不要
• いつでもデスクトップを削除可能
• インフラ費用込みのアプリケーションアクセス(コンピュート/ストレー
ジ/ネットワーク帯域)

23. 社内ディレクトリとの統合
• 従来のデスクトップのようにワークスペースを管
理
– グループポリシー
– ソフトウェア配布ツール
– エージェントのインストール
• 自分が管理しやすいように組織単位（OU）に保存
• 管理のやり方はかわらない
– 管理負荷の軽減

24. WorkSpaces Connect: AD統合
• ユーザー: 既存のエンタープライズの認証を利用
• IT: 通常のデスクトップのようにワークスペースをコント
ロール

25. Amazon WorkSpacesセットアップ
• Quick Setup
– 必要な環境を自動的に作成
– 20分でWorkSpaceを利用可能
– 初回セットアップ時のみ
• Advanced Setup
– VPCやディレクトリの選択が可能
– 社内Active Directoryとの統合

26. Quick Setup
• WorkSpacesバンドルを選択
• ユーザーを作成してワークスペースのプロビジョンを開始

27. WorkSpaceのステータス確認
• 20分ほどでStatusが「Pending」から
「Running」に変わったら完了
• ユーザーにメールで通知される

28. メールの受信とユーザーの登録
• メールを受信したらリンク先をブラウザで開い
てパスワードを設定

29. WorkSpacesクライアントのダウンロード
• http://clients.amazonworkspaces.comから
ダウンロード可能

30. WorkSpacesへの接続

31. Quick Setupで実⾏されるプロセス
WorkSpaces
用のVPCを作
成
VPC内にユー
ザーと
WorkSpace
管理用のディ
レクトリをセッ
トアップ
ディレクトリ管
理者アカウン
トの作成
ユーザーアカ
ウントの作成
とディレクトリ
への追加
WorkSpaceイ
ンスタンスの
作成
ユーザーへの
招待メールの
送信

32. Quick Setupで作成される環境
・・・
VPC Subnet
Availability Zone
・・・
Availability Zone
Virtual Private Cloud
AWS Cloud
Internet
Gateway
Domain
Controller
VPC Subnet
Domain
Controller
WorkSpaces WorkSpaces
WorkSpaces WorkSpaces
Client
Mobile Client
Internet

33. Advanced Setup
• 既存のVPCやオンプレミスのActive Directory
との連携を⾏う場合はこちらを選択
• 以下の⼿順を⼿動で⾏う
– WorkSpaces用のVPCの作成
– ディレクトリの作成
– WorkSpaceのプロビジョニング

34. ディレクトリの選択
• WorkSpaces Cloud Directory
– 自社にActive Directory の管理者が不在のユーザー向け
– ディレクトリサービスの管理はAWS にお任せ
– すぐにWorkSpaces を使いたい場合に利用
• WorkSpaces Connect
– 社内のActive Directory 環境と連携
– 既存のユーザーやグループによる権限付与
– グループポリシーによる集中管理

35. Cloud Directory
• ディレクトリサービスはMulti-AZ 構成で複数のSubnet に
展開される
– EC2 インスタンスとしては表示されない
• Active Directory の管理ツールから操作可能
– Redircmp.exe
– イベントビューア
– Active Directory ユーザーとコンピュータ
Domain
Controller
Domain
Controller
Availability Zone Availability Zone
Virtual Private Cloud

36. WorkSpaces Connect
• VPC 上に認証用プロキシが作成される
– プロキシを経由してドメインコントローラーに対して認証
– 既存のユーザー認証およびポリシーを適用可能
WorkSpaces
Connect
WorkSpaces
Connect
Availability Zone Availability Zone
Virtual Private Cloud
VPN
Gateway
Corporate Data center
Customer
Gateway
Domain Controller

37. 社内ディレクトリとの統合
Subnet 1
AZ ‘A’
Subnet 2
AZ ‘B’
WorkSpaces
API
End-point
Customer
Network
VPN
Connection
Public IP
OAuth
Gateway
Secure Auth (443)
Public IP
WS
User1
Public IP
WorkSpaces
Connect
WS
User2
On-premises
Domain Controllers
Directory
Join
Directory
Join
WorkSpaces
Connect
On-premises
Resources
Direct
Connect

38. Multi-Factor Authentication
• オンプレミスのRADIUS サーバーを利用した
多要素認証（MFA）に対応
– ユーザー名とパスワードに加えてワンタイムパスワード等の
利用が可能
• Symantec Validation and ID Protection
Service (VIP) およびMicrosoft RADIUS
Server でテスト済
– PAP/CHAP/MS-CHAP1/MS-CHAP2 をサポート

39. (例) Google Authenticatorを使った方法
• スマートフォンに無料でインストールできる
Google Authenticator
をソフトウェアトークンとして使用する。
• サーバ側は、オープンソースのFreeRADIUSと
Google AuthenticatorのPAM（Pluggable Authentication
Module）を連携させて実現させる。
※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。

40. 認証の流れ- 1
• デバイスで初回使う時、
招待メールに記載されていた
登録コードを入⼒します。

41. 認証の流れ- 2
• Active Directoryで使っている
のと同じユーザ名とパスワード
を入⼒します。

42. 認証の流れ- 3
• トークンに表示されている
ワンタイムパスワードを
確認して入⼒します。

43. WorkSpacesクライアント
• サポートするプラットフォーム
– Windows 7以降
– Mac OS X 10.8.1以降
– iOS 7.0以降
– Android 4.2以降
– Kindle Fire HDXまたはHD 7
• ネットワーク要件
– TCP/UDP 4172
– TCP 443 (HTTPS)
– TCP 22 (SSH)
– RTT 100ms以下を推奨

44. ローカルプリンターのサポート
• WorkSpaceからクライアントPCに接続されて
いるローカルおよびネットワークプリンターに
印刷することが可能
– Mac OS Xは未サポート
– ローカルプリンターは自動的に認識される
• Cortado ThinPrintやGoogle Cloud Printなど
のクラウド印刷ソリューションも利用可能

45. Amazon Zocalo Sync（WorkSpaces Sync）
• ローカルのフォルダをWorkSpaceと同期
– ユーザーあたり50GB
– 管理者により無効化することが可能
• Amazon WorkSpacesとは独⽴して動作する
– https://amazonzocalo.com/clientsより
AmazonZocaloSetup.exeを別途導入して実⾏
Client WorkSpace
Internet Amazon Zocalo
Sync

46. Amazon Zocalo
• フルマネージド型の企業向け文書保存・共有サービ
ス–
データは暗号化のうえ、指定したリージョンに保管される
– 既存ADとも連携可能なユーザ権限管理機能を備える
• 1人あたり200GBの容量を⽉額5ドルで利用可能
– 1GBあたり⽉額0.03ドルの追加料⾦でストレージの増量にも対応
• WorkSpacesユーザは50GBまで無料でZocaloを利用で
きる
（⽉額2ドルで200GBにアップグレード）

47. Amazon Zocaloの特徴
• ファイルの共有:
– 他の人とドキュメントやスプレッドシート、プレゼンテーション、Webページ、画像、
PDF、テキストファイルを共有することが可能
• マルチデバイスからのアクセス:
– ノートPC、iPad、Kindle Fire、Androidタブレットなどのお好みのデバイスから、いつで
も、どこにいても、Amazon Zocaloに保管されたデータにアクセス可能
• フィードバック:
– ユーザーは他ユーザーのフィードバックをリクエストし、管理することが可能。一方、
フィードバックする側のユーザーは、ドキュメントやファイルの中のあらゆる語句や文章、
段落、範囲をハイライトし、詳細なフィードバックを残すことが可能

48. Amazon Zocaloの特徴
• 安全:
– Zocaloに保管されたすべてのデータを暗号化。また、管理者はユーザーの共有
アクセス権を管理するためのポリシーを設定可能。AWSリージョンを選択する
ことでデータをどこに保存するかを自由に決定する事が出来、ファイルやユー
ザーのアクティビティを追跡するために監査ログを閲覧することが可能
• コーポレートディレクトリとの統合:
– 既存のActive Directoryと統合することが可能
• 低コスト:
– 1人あたり200GBの容量を⽉額5ドルで利用可能
– 1GBあたり⽉額0.03ドルの追加料⾦でストレージの増量にも対応
– WorkSpacesユーザは50GBまで無料でZocaloを利用できる
（⽉額2ドルで200GBにアップグレード）

49. ユーザ利⽤イメージ(My Documents画面)
ドラッグアンドドロップでファ
イルのアップロードが可能
共有されたドキュメント
にはここからアクセス

50. ユーザ利⽤イメージ(ドキュメントの共有)
ファイル共有時にメッ
セージを付与できる
フィードバックの要否、
期限を切ることもできる
読み取りのみの権限
でも共有できる

51. ユーザ利⽤イメージ(フィードバック)
指摘箇所をマークアップし
てフィードバックできるコメントはページ毎に
一覧で表示される

52. ユーザ利⽤イメージ(モバイル端末でのアクセス)

53. 管理画面イメージ(ユーザ一覧)
ADに登録されたユーザ毎に
Zocaloアカウントが有効か否か、
利用容量などが表示される

54. 管理画面イメージ(ユーザアカウントの設定)
アカウントの有効・無効を切り替える。
無効に変更する場合、ファイルのオー
ナを他ユーザに変更することが可能
ユーザの権限を指定する。ここで管理
者を選択すると、ユーザ一覧やアカウ
ント設定などの管理ができる
ディスク容量の上限も設定可能

55. 管理画面イメージ(ファイル共有先の限定)
無制限に共有可能
この入⼒欄で共有を許すメー
ルドメインを指定する
指定ドメインのみ可能
内部のみ許可

56. 管理画面イメージ(アクティビティログ)
DOWNLOADとVIEWについ
てアクセス履歴が残る

57. まとめ
• モバイルファーストの波にかかわらず多くの企
業ではワークスタイルの変革がすすんでいない
• Amazon WorkSpacesはフルマネージドのデス
クトップサービスで任意のデバイスからアクセ
スが可能
• Amazon ZocaloはWorkSpacesと連携してド
キュメントの保存・共有が可能なサービス
– 現在のところ東京リージョンではSyncのみ