仮想化による「インターネット分離」でインフラのセキュリティ強化を複雑化するインフラのセキュリティ課題を解決するには

ワークスタイルが多様化し、デバイスやアプリケーションの在り方が複雑になってきた。さまざまな利用シーンをサポートし、要件に応じた最適な環境を提供するために、多くの企業担当者が従来型システムに課題を感じている。特にインフラ管理とセキュリティ管理の難しさは、スムーズな業務を行う上で大きな妨げになっている。そんな中で、企業での需要が高まっているのが仮想デスクトップ/仮想アプリケーションソリューションだ。

» 2016年04月25日 10時00分 公開
[PR/@IT]
PR

仮想デスクトップに必要なのは「セキュア」「マルチデバイス」「クラウド」対応

 今、企業の抱えるクライアント管理、セキュリティ関知の課題を解決するソリューションとしてマイクロソフトの「リモートデスクトップサービス(以下、RDS)」が注目を集めている。RDSはデータをクライアント側に保存しないため情報流出防止対策として有効な仮想デスクトップソリューションだが、モバイルデバイスからWindows PCのデスクトップを利用できることも需要の拡大を後押ししているという。

 日本マイクロソフトの藤本浩司氏(クラウド&エンタープライズビジネス本部 クラウド& サーバービジネス開発部 部長)によると、2015年7月のWindows Server 2003/2003 R2のサポート終了(End of Support)前後から、RDSの需要が急速に高まってきているという。2015年は前年比で約15%、2016年は3月の時点で前年比30%もRDSの売り上げが伸びているとのこと。

 RDSの需要が高まった要因として、「EoSによるWindows Serverの切り替え」「マイナンバー対応」があると藤本氏は説明する。マイナンバー対応では、いかにセキュアに情報を扱うか、画面だけで安全に情報を見せるかというソリューションが必要になったことで、RDSがあらためて見直されているのではないかと分析する。

 「これまで大企業での利用が多かったRDSですが、意外にも中堅中小規模の企業でも導入が進み始めていることが、マイナンバー対応の大きな特徴です。また、情報の取り扱いを慎重にするという意識の高まった自治体でも導入が進んできています」(藤本氏)

 さらに、iOS/Android用の「Microsoftリモートデスクトップ」クライアントを提供していることもあり、「マルチデバイス」対応もRDSの需要を高めている(画面1)。タブレットやスマートフォンからWindowsデスクトップを利用させることが可能なので、在宅勤務やモバイルワークなど、柔軟なワークスタイルの推進したい企業では大きなメリットになるという。

画面1 画面1 「Microsoftリモートデスクトップ」がiPhone/iPadからもWindowsデスクトップを利用可能にする

 中小規模の企業での導入が増加しているRDSだが、大規模企業になるとまだまだシトリックスとの連携は不可欠だという。

 「小規模なシステムはRDSだけ対応可能ですが、大きなシステムや情報量の多いシステムでは、まだまだシトリックスのソリューションとの組み合わせが主流を占めています。今回、シトリックスがWebブラウザの仮想化に特化したエディションを提供するということで、さらに小規模な企業やマルチデバイス対応を進めたい企業に広がっていくと考えています」(藤本氏)

 また、RDSの需要増では、ユーザーCALで購入する顧客が多くなったことも特徴だという。「全体の約70%ぐらいが、ユーザーCALを利用されています。まだまだ実際の利用は多くないと思いますが、多くのお客さまが将来的なマルチデバイス対応を視野に入れているのではないでしょうか。同時に仮想化環境のWindowsクライアントに対し、リモートでデスクトップ接続する際に必要となるVDA(Virtual Desktop Access)も需要が高まってきています」(藤本氏)

 「大規模なお客さまのライセンス契約では、Microsoft AzureでRDSを利用する権利も含まれるようになりましたので、今後ますますRDSの活用が進むのではないでしょうか」

 今、企業では、安全で快適に利用できる多様なクライアント環境が求められている。これからは、仮想デスクトップ単体だけでなく、マルチデバイス、クラウドを見据えたクライアント環境の整備が必要になっている。

最新のXenApp/XenDesktopがインフラとセキュリティの課題を解決

 シトリックス・システムズ・ジャパン(以下、シトリックス)もまた、2016年2月24日、主力製品「XenDesktop」「XenApp」の最新版となる「XenDesktop/XenApp 7.8」の提供を開始。現在の企業が抱えるインフラ管理やセキュリティ管理の課題に対応する機能強化を行った。

 最新版のバージョン7.8では、マイクロソフト製品への対応として、仮想アプリケーション/仮想デスクトップ環境での「Microsoft Skype for Business」のさらなる最適化や、管理機能「Citrix Director」と「Microsoft System Center Operations Manager(SCOM)」との統合などが行われた。

 また、最新機能として、マスターイメージによるアプリケーション管理を簡素化する「AppDisk」が提供され、アプリケーション互換性テストやレポートを行う「AppDNA」を活用することで、アプリケーションのライフサイクル管理をより効率化できる。さらに、安定したバージョンを長期的に利用するための運用オプション「Long Term Service Release(LTSR)」、Webブラウザに特化した仮想アプリケーションの新製品「XenApp Secure Browser」も提供される。

 シトリックスの𡌶(はが)俊介氏(マーケティング本部 デマンドマーケティングマネージャー)は、「XenDesktop/XenAppの新機能や新製品は、現在の企業ユーザーが抱えている課題に対応することが大きな目的」と説明する。

 「“Secure App & Data Delivery”をテーマに、企業の取り組みを支援しています。中でも力を入れているのが、セキュリティの強化や情報漏えい対策、Windows 10の展開とデバイス管理への対応です。マイクロソフト製品とシームレスに連携し、安全なインターネット接続環境を整備できることがシトリックスの強みです」(𡌶氏)

 企業でのクラウドやモバイル活用が進む中、セキュリティ対応の在り方は大きく変わってきている。仮想アプリケーションや仮想デスクトップをインフラ管理にうまく取り入れていくことで、新しい脅威に柔軟に対応できるようになると𡌶氏は話す。

「インターネット分離」で安全な接続環境を整備

 最近の脅威に対する有効なインフラ管理の在り方として、「インターネット分離」という考え方がある。インターネットに接続できる端末と、インターネットに全く接続しない端末とでネットワークセグメントを分けて、それぞれを安全に管理するというものだ。

 基本的には、企業の機密情報やユーザーの個人情報などは、インターネットから分離した専用のネットワークで管理。一方、日常的にクラウドサービスなどを業務で使う必要のある端末などは、インターネットに接続できる環境で管理する。これにより、外部からの不正アクセスを遮断すると同時に、内部からの不正も効率良く防止できるようになる。

 こうしたネットワークセグメント分離による管理方法は以前からある。ただし、インターネットへの接続端末を物理的に分離したり、接続の可否をセグメントごとに設定したりする必要があるため、ノートPCやモバイルデバイスなど、社内と社外を行き来するデバイスや、外部システムとインターネット経由で連携する基幹系システムなどの場合、管理工数や端末の増加、業務効率の低下などの課題があった。

 そこで、シトリックスが提案するのが、セグメントを分離した上で、インターネットに接続できる環境をOSやアプリケーションの単位で仮想化し、業務環境からはこの仮想環境を経由してインターネットに接続するというアプローチだ(図1)。例えば、デスクトップ環境やWebブラウザを仮想化して、他のシステムから隔離された状態のWebブラウザでパブリックなクラウドサービスを利用したりするといった使い方だ。

図1 図1 シトリックスが提案するインターネット接続環境のセキュリティ強化《クリックで拡大します》

 これにより、インターネット経由で攻撃等を受けた場合でも、直接業務環境に影響を与えず、情報漏えいのリスクなどを下げて、インターネットを安全に利用できるようになるという。また、複数の端末も用意する必要がないため、管理コストや業務効率も向上する。

製造、金融、自治体などで高まる「アプリケーション仮想化」の機運

 さまざまな業種に特徴的な課題からも導入が進んでいる。例えば、製造業では、CAD/CAEのようなGPUを使いながらパフォーマンスが求められるアプリケーションは、パフォーマンスを維持したまま、いかに情報を漏らさずに利用するかが課題になる。こうしたケースでは、CADワークステーション環境を仮想化し、「HDX 3D Pro」などの転送効率化技術を使うことで、パフォーマンスとセキュリティを両立させた利用が可能になる。

 なお、HDXには、クライアントと仮想デスクトップセッション間で音声コンテンツを最適化するコーデックが含まれる。新たに提供される「HDX RealTime Optimization Pack 2.0」を導入することで、仮想化環境でもSkype for Businessを高いパフォーマンスで利用できるようになるという。

 また、金融業では、シンクライアント端末から、タブレットやスマートフォンを使った顧客サービスへの移行が進みつつある。従来は、デスクトップ全体を画面転送で利用し、シンクライアントなどと組み合わせてデータが外部にもれない仕組みを作ることが最重要の課題だった。しかし、現在は顧客サービスの向上が大きな目的となり、その際には、サインタブレットやモバイルプリンタなどの外部接続機器と連携したり、決済や課金、ユーザー管理などのクラウドサービスと連携したりすることが重要になってきたという。

 そこで、シトリックスでは、アプリケーションを仮想化して外部から安全に機密情報を扱えるようにしたり、業務に必要となる周辺機器への対応を強化したりといった取り組みを進めてきた。iOSデバイス(iPhone/iPad)で利用できるマウス製品「Citrix X1 Mouse」の開発と販売も、そうした取り組みの一環だ(写真1)。X1 Mouseは、Excelを使うオフィスワークなど、あらゆる業種業界で使われる人気商品になっているという。

ALT 写真1 iPhone/iPadでWindowsのマウス操作を実現する「Citrix X1 Mouse」

 インターネット分離のアプローチが特に有効に機能すると考えられるのが自治体だ。自治体は最近のサイバー攻撃や情報漏えいの脅威を受けて、「自治体情報システム強靱性向上モデル」の導入が急務となっている。インターネットを必要に応じて分離し、Webブラウザなどを仮想化することは、強力な選択肢になる。実際、自治体のネットワーク強靭化施策の中で、そうしたニーズが高まってきているという。

Windows 10の展開に備え、発想を転換

 インフラ面の課題でセキュリティとともに忘れてはならないのが、Windows 10の展開だ。企業向けの環境では、Windows 7をOSの延長サポートが終了する2020年まで維持するという選択をしたケースも少なくないだろう。

 だが、「Skylake」以降のインテルプロセッサでは、2018年7月以降Windows 10のみをサポートすることが発表された。これは、今後、最新のPCにハードウェアを入れ替える場合、2020年を待たず、Windows 7が実質的にサポートされなくなるということだ。2020年までにクライアントPCを1台もリプレースしないという選択肢が現実的ではない以上、社内にWindows 10が混在する環境が続くことになることが予想される。

 また、Windows 10で採用された更新プログラムとアップグレードのオプションも頭に入れておく必要がある。Windows 10では、「CB(Current Branch)」「CBB(Current Branch for Business)」「LTSB(Long-Term Servicing Branch)」という3種類の更新オプションが新たに採用された。

 サービスのライフタイムの最短期間は、CBで約4カ月、CBBで約8カ月、LTSBで10年となり、それぞれ異なる期間で、機能のアップグレートとサービス更新プログラムが提供されるようになる。

 業務アプリケーションの動作確認や検証についても、これら3つの更新オプションに合わせた対応が必要となる。中でも注意が必要なのはWebブラウザ、とりわけ「Internet Explorer(IE)」だ。Windows 7のリリース時に搭載されていたのは「IE 8」。Windows 8で「IE 10」、Windows 8.1とWindows 10には「IE 11」が搭載され、Windows 7にもIE 11までをインストールできるようなった。だが、社内の業務アプリケーションを利用する目的で、古いバージョンのIEをバージョンアップせずに利用している企業も少なくないという。

 既にWindows 7上では最新のInternet Explorer 11のみがサポートされているため、これ以前のバージョンでのインターネット接続はリスクがある。このような条件の中で、いかにセキュリティを確保したインフラを構築、運用していけばよいのか。

 𡌶氏は、「重要なのは、業務に支障を出さずに、アプリケーションの互換性とセキュリティを両立していくことです。将来的には、Windows 10の導入は不可避なのですから、Windows 10を前提にPCの運用管理自体を見直すという発想の転換も必要になるでしょう」と話す。

ポイントは「OSとアプリの分離」

 複数のWindowsとIEのバージョンが混在する環境に対応するための対策は、幾つか存在する。

 まず、全てをIE 11にバージョンアップするという対策だ。また、それが難しい場合に、IE 11にバージョンアップの上で、「エンタープライズモード」を利用する対策がある。だが、この2つの対策では検証や対応時間、コストの負担が大きく、多くの企業が対応できないでいるのが現状だろう。そこで、シトリックスが提案するのが、アプリケーション仮想化を使った「OSとアプリの分離」だ。

 「例えば、アプリケーションに応じたIEの旧バージョンを配信するという対策があります(図2)。基本的にIE 11にアップデートし、互換性のないアプリだけを仮想化された古いIEで実行するというものです。また、これとは逆に、インターネットにアクセスするIEだけを最新版にするという対策もあります(図3)。社内の業務アプリケーションは古いIEでアクセスするため、業務プロセスは変更しないで済むというメリットがあります」(𡌶氏)

図2 図2 アプリケーションに応じたIEの旧バージョンを配信《クリックで拡大します》
図3 図3 インターネットアクセスを行う最新のIEを配信《クリックで拡大します》

 また、Windows 10のCB、CBB、LTSBとの関連でも、OSとアプリをうまく分離して管理していくことがポイントになるという(図4)。例えば、CBやCBBでは、4カ月/8カ月のサイクルでアプリケーションの検証、必要なアップデートを確実に実施する必要がある。そこで、アプリケーションを仮想化してOSと分離し、OSは常に最新版に更新していくようにする。

図4 図4 Windows 10のアップデートにおける課題《クリックで拡大します》

 一方、LTSBでは、マスターイメージを作成して集中管理したり、セキュリティ更新を確実に適用したりすることが大切だ。そこで、デスクトップを仮想化し、集中管理する体制を整えていくようにする。

 もっとも、Windows 10へ切り替えをどのように進めるかはこれからの課題だ。また、最近では多くの業務アプリケーションがWeb化されており、より効率的にブラウザの仮想化をしたいというニーズも高まっている。そうした中でシトリックスは、コストを掛けずに対応するための新しいXenAppのエディションとしても前述の「XenApp Secure Browser」は活用可能だ(図5写真2)。

図5 図5 図5 低コストでWebブラウザの仮想化を実現する「XenApp Secure Browser」《クリックで拡大します》
ALT 写真2 「XenApp Secure Browser」ではiPad上でもIEを安全に利用することができる

 XenApp Secure Browserを導入することで、低コストで安全にWebアプリケーションを配信できるようになる。XenApp Secure Browserは社内外のWebアプリケーションへの安全なアクセスを実現するだけでなく、Webブラウザの頻繁なアップデートや互換性に関わる問題を解消、メンテナンス作業を簡素化するなど、企業のブラウジング環境に多くのメリットをもたらすソリューションとなる。

 「XenApp Secure Browserは、Webブラウザに特化してアプリケーションを仮想化する製品で、従来のXenAppよりも低コストで導入できます。これにより、OSとアプリの分離を実現することで、互換性確保とセキュリティを両立させることができます。XenApp Secure BrowserとXenApp、XenDesktopで、現状のインターネット環境の安全性強化に加え、今後の見据えたプラットフォーム選択、構築に役立てていただければと思います」(𡌶氏)

関連ホワイトペーパー

Windows 10への移行を機に考えるPC環境の運用管理――3つの更新オプションの使い方

WP

Skylake搭載デバイスにおける「Windows 7/8.1」のサポート期間が2018年7月17日に終了する。「Windows 10」への移行までの猶予期間としては十分だが、将来を見据えるのであれば、PC運用の見直しとその先にある業務改善を同時に進めるアプローチも考えたい。


アプリ/デスクトップの仮想化でセキュリティを強化――検討すべき5つの要件

WP

Web閲覧やメール送受信を行うクライアントPCがマルウェアの感染源となりやすいことから、アプリケーションやデスクトップの仮想化によるセキュリティ対策を進めている企業も多い。セキュリティを強化するためのポイントについて解説する。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社、シトリックス・システムズ・ジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年5月31日

関連ホワイトペーパー

Skylake搭載デバイスにおける「Windows 7/8.1」のサポート期間が2018年7月17日に終了する。「Windows 10」への移行までの猶予期間としては十分だが、将来を見据えるのであれば、PC運用の見直しとその先にある業務改善を同時に進めるアプローチも考えたい。

Web閲覧やメール送受信を行うクライアントPCがマルウェアの感染源となりやすいことから、アプリケーションやデスクトップの仮想化によるセキュリティ対策を進めている企業も多い。セキュリティを強化するためのポイントについて解説する

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。