シンジです。パソコンのデータバックアップ、いろいろ方法はありますよね。そもそもバックアップしてない人も多いのでは。個人ならまだしも、企業となると話しが変わってきます。今回は企業でのお話です。
この会社入って3年くらい悩んだ
当時は9割以上がAppleなマシンだったので、Time Machineとかいう最高のツールがあるじゃないかと思いつつも、実際やってみるとあれって10人前後とか、あんまり容量食わないとかだといいんですけど、バックアップが取れて無かったり、整合性が取れなかったり、そもそも管理者が管理できないので気持ちの問題なんですよね。そしてWindowsどうしよう問題も出てくる。
いや、もう書き出すと切りが無いくらい、オンプレなアプライアンス機器も含めて山ほど検証したんです。どれが一番いいんだろうって。個人的にはAcronisとか好きで昔から使ってたりしてたんですけど、あれはあれでクセがあって。結果的には何も採用されませんでした。
つまり、弊社の端末バックアップ(エンドポイントバックアップ)は、一切行われていなかったのです。
そんな状態でSOC2とか各種セキュリティ認証大丈夫かとか言われても否定できませんが、基本的にクラウドストレージを使うので、ローカルデータがどうなったところで知らねーよってことにしておきました。
まぁ結構、無理ありますけどね。Boxが奇跡の使い勝手なのでなんとかなってた部分がありましたね。
そもそも何のためにバックアップするのか
たぶん普通はこう考えるはずです。
- パソコン壊れてもデータが復元できると便利
これはこれで正しいのですが、企業として考えると、バックアップにはいろいろな要件が求められてきます。
- 全端末(スマホも含めた)本当の意味で全てのデータがバックアップされているか
- バックアップの周期を管理者がコントロールできるか
- バックアップを強制的に開始できるか
- 確実にリストアできるか
- ユーザーや管理者がリストアできるか、それをコントロールできるか
- 全てのログが取得されていて、それらが改ざんできないか
- バックアップトラフィックをコントロールできるか
- バックアップ先のデータ圧縮技術が優れているか
後半2つは企業の事情が反映されます。それ以外はセキュリティ的に満たした方が良い内容です。バックアップできても復元に10時間とかだと意味ない感すごいですからね。ちゃんと迅速に戻せるかとか、ピンポイントで欲しい奴を即座に取り出せるかなどはすごくすごく大事なんです。
そもそも企業は成長するとデータ量が無尽蔵に増えます。
14ヶ月で倍です。つまりバックアップ先もスケールしなければなりません。そこでクラウドです。
で、クラウド時代はこうなってた
Druva(デュルーバ)というSaaSは、ただ単純に、バックアップデータがクラウドストレージに分散保管されるといったものではありません。データがどこにあるかというのは割とどうでも良くて(どうでも良くないレギュレーションの方でもバッチリコントロールできますが)、つまりデータが個人の端末かサーバー内かクラウドなのかというのはどうでも良くて、企業として守るべきデータを確実にコントロールできているかということを実現するところにあります。手元にしかデータが無いのはどう考えてもアレなのです。共有フォルダに入れろと言っても入れないのです。つまりそれは統制が取れていないのです。Druvaがそれを解決するわけなのです。
Druvaは完全に大企業、エンタープライズを意識して作られたSaaSです。シンジが見る限り、数万人程度の会社であれば、Druvaで事足ります。
で、弊社、なんと現在約160人しか居ませんがDruvaを使っています。小規模でも最強ツール使えるとか最高やで。ちなみにMOQは忘れました。50だったかな、100だっけか?よく分かりませんので代理店に聞いて下さいw
ライセンス形態は複数、便利機能が多いから
というか、正直、結構複雑です。
まず、Druvaには大きく分けてinSyncとPhoenixの2種類のバックアップツールがあります。まず大前提としてinSyncがあって、その上にいろいろ機能を乗せていくときに、機能ごとにライセンスがあって、買っていく感じです。
Phoenixはいわゆるサーバー向けツールです。VMwareとお喋りしたりできます。今回はクライアントのエンドポイントバックアップを焦点にあてていますので、inSyncで完結します。
バックアップを取るだけなら安いプランでOKなのですが、シングルサインオンやActive Directory連携などが必要になるとプランが上がっていきます。
更にプランを上げただけでは使えないオモシロ機能として、
- 既存のクラウドストレージ(One DriveやBoxやGoogle Drive)を対象に、Druva側にバックアップを取る
- バックアップデータが重すぎる(10TBとか)あるので、FW内のWin2012をキャッシュにさせる
などなど。クラウドストレージのバックアップなんて意味あるの?なんて思うかもしれませんが、Druvaの素晴らしいところは、集めたデータを統制するところにあります。つまりコントロールです。
Druvaに集められたデータは、
- 機密情報が含まれていないかチェック
- マイナンバーが含まれていないかチェック
などなど、DLPやリーガルホールド、eガバナンスなど企業の統制に最高の機能が揃っているだけでなく、マイナンバーとかいう日本独自のコンプライアンスチェックもテンプレートとして用意されているので、ポチポチするだけで勝手にスキャンしてくれます。
管理者がユーザーデータの全てに自由にアクセスできるように聞こえるかもしれませんが、ここすらも統制されていて、必要な手順を踏まないとデータにアクセスできない上に、そのログが記録されます。
inSyncのライセンスは、ユーザー数で年間契約です。国内代理店が複数あるので、興味あれば適当に見積もり取って下さい。
inSyncのライセンス体系
http://jp.druva.com/products/insync/plans/
Phoenixのライセンス体系
http://jp.druva.com/products/phoenix/plans/
日本語マニュアルがスゴイ
Druva Japanの三輪さんが、6回は吐血しながら書いたと言われている日本語管理者向けマニュアル、なんとページ数487ページ。三輪さんは超絶ハイパーエンジニアなので、英語の難しいテクニカルな言い回しもきちんと綺麗に翻訳されているので、このマニュアルPDFを適当に検索して調べれば、まーまー解決します。というか多すぎてちゃんと読んでません。たまに検索が面倒で聞いてごめんなさい死にます。
どうやってバックアップしてるのか
inSyncアプリを端末にインストールします。スマホも対応しています。このアプリで重複排除(つまり、バックアップ先に同じデータがあった場合は、バックアップしたとみなして、データの保存先だけ記録してバックアップ行為をせずにバックアップを完了させる技術)をします。
当然ながら、1発目のバックアップはそれなりの時間がかかります。ですが、2回目以降のバックアップでは、保存先のストレージ全てのデータを一瞬で理解して、同じデータがあればスキップ。
これが何が嬉しいかというと、人数が増えると同じデータを編集することも増えるし、重複排除してやらないとネットワークトラフィックがとんでもないことになるので、ウチのインターネット遅すぎ問題が間違いなく発生します。サーバー側での重複排除はつまりデータ容量の圧縮が可能になるのですが、クライアント側で行うと、ネットワークの負荷まで抑えられるオイシイ仕様です。
しかもなんかしらんけどCPU的にも軽い。まさに謎技術。
どれくらいの容量を保存できるのか
1ユーザーあたり50GBが基本です。が、1人で50GBなんて瞬殺なので、容量無制限オプションを買いました。そして実際使ってみて、やっぱり50GBは瞬殺だったという。
ランサムウェア対策にもなります
まぁ、データが保護されたクラウドストレージにバックアップされているなら、手元の端末が身代金要求型ウイルスに感染しても、窓から投げれば解決ですよ。大事なのは端末じゃなくて、データです。端末なんてどうでもいいんです。30万のパソコン?50万のパソコン?だからなんすか。ウイルスごと全部消してしまえ。Druvaがあるじゃないか。データの価値を考えましょう。
実際の管理画面を見ましょうか
ユーザーはinSyncをインストールするか、管理者がオラオラプッシュすると勝手にぶっ込まれるので(マスデプロイ)、弊社の場合はActive Directoryのアカウントを入力するとバックアップする感じなので特に操作することはありません。ユーザーに操作を許可するか、バックアップの間隔、一時停止や終了を許可するかも管理者でコントロールできます。
ダッシュボード
入れたてホヤホヤの頃のスクショです。真ん中に地図があるのはなんでかっつーと、WifiやGPSのデータから位置を特定して、国をまたがって情報をアップロードしたりするのを抑制したりするシチュエーションとかとかを想定しています。ヨーロッパなアレとか。
共有機能
自分でバックアップしたデータは、自分のDruvaポータルから共有リンクを貼って、公開したりできますが、この機能はオプションです。そしてシンジ的には、そーゆーのはBoxでやっているので、あっちもこっちも共有リンク貼られるとドキがムネムネしちゃうので買いませんでした。Druvaから送られてくる資料は、この共有機能を使ったURLで飛んできます。
ガバナンス
いっぱいあります。読んで字のごとくですが、分かりやすいやつを紹介します
コンプライアンス
DLPとかリーガルホールドは、ちょっと慣れてる人じゃないとイメージが難しいのですが、このコンプライアンス機能は、いわゆるファイルの中にクレジットカード番号があるだとか、個人情報があるだとか、マイナンバーあるだとか、極秘とか企業秘密とかNDAとか書いてあるとかなんとかっていうのを単純に抜き出しているだけです。
絶対とは言いませんが、悪意があるやつが一覧を作ってたりするときは、ファイル名が雑だったり、情報量が異常に多かったりするので、そーゆーのを特定するのに使ったりしてます。過去そんなケースはないですが。
クラウドアップ
現在はこの3つが対応していますが、そのうちいろいろ増えそうな予感がしています。クラウドストレージの中身をDruvaにぶち込むわけですが、何がいいかというと、先述したガバナンスの部分を丸ごとDruvaに任せられるってわけです。
もちろん、特定のクラウドストレージが落ちたときに、なんてこともあるかもしれませんが、この3つは「たまに」しか落ちないので個人的には気にしていません。
プロファイル
どんな項目を(全ドライブなのか、マイドキュメントだけなのかとか)、ユーザーに操作させたいとか、容量を制限したいとか、ユーザー1人あたりが使えるデバイスの数を制限したいとか、細かな設定をこのプロファイルで定義します。どのユーザーにどのプロファイルを割り当てるか検討できます。個人的には面倒なのでシンジは1つ作って全員にねじ込んでます。後から変更もできますよ。
管理設定
あまり触りませんが、保存先のストレージを複数用意することも出来ますので(日本と北米とか)、その辺をいじくったり、あまりにもアップロードするファイル容量が大きすぎて(1発で10TBとか)、ネットワークトラフィックマジ死ぬって場合は、キャッシュサーバーをファイアーウォールの内側に作ることも出来ます。こいつはWin2012R2に専用のアプリをインストールすると、閉域網内でキャッシュしてくれて、インターネット(Druva)に出て行く経路は細かくトラフィックコントロールしながら同期していくってな具合です。inSyncアプリでも個別の制御ができますけど、こっちは集中管理が出来ます。あとはADの設定とかですね。AD連携は専用アプリが別途あるので、ポチポチーとAD側にインストールするイメージです。LDAPもOKですが、OUの指定をかなり厳密に書いてあげないと正しく読み取らないので、ADに理解がある人が触った方が良いです。ここで20分くらい悩みました。
レポート
その名の通り、レポート機能です。画面は初期値です。定期的にレポート作ってメールしてくれます。監査的にはありがたい機能です。
ライブアクティビティ
まさに今何が起きているのかの実況です。いま深夜1時過ぎてますが、10人がバックアップしているらしいです。夜勤かな?(よく見ると近しい時間は2人だけで、後のMacBookはスリープしている模様、ほんとに夜勤だ)
弊社、貸与したiPhoneはパスコードを5回間違えると
強制的にデータが抹殺される設定になっています。これはJAMF(ジャムフ)で実装しています。弊社、社内データへは特別な手段を踏まないとアクセスできないので、抹殺後に個人がリストアしても、スマホ風のガラケーとなります。更にしかも強制リセット実装は伝えてない鬼仕様。
弊社CTOのiPhoneが抹殺されたので、これのバックアップがないのか聞いたところ、
シンジ「iCloudとかでバックアップ取ってますか?」
CTO「ないよ。取らないもん。」
シンジ「普通バックアップくらい取りませんか??」
CTO「バックアップなんで必要ないよ。だってデータはクラウドにあるんだから」
ほっほーーーーーーーう!
まぁ、ただ、これまだinSyncをiPhoneに入れる前の話なんですけどね。
弊社CTOかっこよすぎやろ。
CTO「もうさ、1回失敗したらリセットするようにしようよ」
さすがにそれは戦争が勃発するわ(パスコード失敗は10回に緩和しましたとさ)
