「仮想デスクトップ一択」ではない――テレワークのVDI代替ソリューションにはどんなものがあるのか:テレワーク時代のWeb分離入門(1)
VDI代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する連載。初回は、主にテレワーク用途で利用できる方式について。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
昨今のエンタープライズネットワークではテレワーク(リモートワーク)への対応が急務となっていますが、この対応は、ともすればセキュリティレベルを引き下げてしまう恐れがあります。従って、「Web分離」(インターネット分離)をはじめとする情報漏えい対策も同時に推進する必要があります。これらをひとまとめに解決できるソリューションが、「仮想デスクトップ」(VDI:Virtual Desktop Infrastructure)です。VDIは事業継続性やセキュリティ対策に優れている一方で、コストが高いことも事実です。
このような状況の中、実は今、コストパフォーマンスに優れるVDI代替ソリューションが数多く登場してきています。この「VDI代替ソリューション」ですが、たくさんの製品があるため、正直、どれがいいのか、よく分からない状況になっています。とはいえ、それぞれの特長を把握した上で導入しないと、利便性の低下や、セキュリティホールの増加につながる危険性があります。
筆者はこれまで、主に自治体に向けて、VDIに代わるさまざまなソリューションを検証し、また実環境における多くの実証実験に立ち会ってきました。そこで本連載では、これまで培ってきたナレッジを基に、VDI代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説します。日本企業の情報セキュリティ強化の一助になればと思います。
VDI代替ソリューションの全体像
まずはVDI代替ソリューションの全体像をお伝えします。数多くあるソリューションを、用途の観点から大きく2つの分類に分けます。下図のように、どちらかの用途で利用できる方式と、両方に利用できる方式が存在しています。
これらの方式を一度に全て解説するのは難しいため、3回に分けて連載します。第1回となる今回は、主にテレワーク用途で利用できる方式を取り上げます。第2回では、Web分離の用途で利用できる方式について解説します。最後となる第3回では、それぞれの方式の選定方法を紹介します。
なお、各方式の名称は総務省のガイドラインで提示されている用語におおよそ統一していますが、「仮想ブラウザ方式」など一部、独自の表記を使用します。
- 参考情報:総務省「テレワークセキュリティガイドライン第4版」
※以降の各方式の説明で用いる図に登場するアイコンは下記の意味を持ちます。
会社PC持ち帰り方式(VPN方式)
この方式は、会社から持ち帰ったPCを使って、自宅から社内にVPNで接続して、社内の業務システムなどを利用する方式です。低コストですぐに実装できるため導入しやすい半面、情報漏えいや不正利用など、セキュリティリスクが非常に高い方式です。
ディスクの暗号化、PCのロックダウン化(PCの書き込み処理制限)など適切な対策と組み合わせた上で慎重に運用する必要があります。端末紛失の可能性もあるため、相談窓口などの体制面、運用面の検討も同時に進める必要があります。コロナ禍への対応で暫定的に本方式を導入している場合は、これを機に、セキュリティの強化や、別の方式の検討を進めてみてはいかがでしょうか。
(余談1)自宅のPCから社内にアクセスしていませんか?
コロナ禍の暫定措置
本稿のテーマから外れて、少し余談です。
「会社PC持ち帰り方式(VPN方式)」に関連するトピックですが、昨今の情勢下では、社給PCを自宅に持ち帰るのではなく、社員の個人所有のPC(自宅のPC)にVPNソフトを導入して会社のネットワークに接続する形態を、やむを得ず暫定的に採用しているケースが多くあるのではないでしょうか。
私物ならではのジレンマ
この場合、情報漏えいリスクや社内LANへのウイルス侵入リスクなど、危険性が非常に高い状況になるので、何らかのセキュリティ対策が必須です。このとき、例えばVPN方式で紹介した端末のロックダウン化を行うとすると、今度は自宅PCをプライベートな用途で利用できなくなってしまい、それはそれで大きな支障が出てしまいます。
従って最低限の次善策として、MDM(モバイルデバイス管理)、DLP(Data Loss Prevention)、検疫システムなどを組み合わせて、アンチウイルスソフトが導入されているかどうか、最新のOSパッチが当たっているかどうかなど、最低条件を満たさないと社内ネットワークに接続できないようにした上で、各種の情報漏えい対策をしっかり施す必要があります。
リモートデスクトップ方式
この方式は、自宅のPCから社内の自席PCに接続して遠隔操作する方式です。データは社内の自席PCに保存されるため、情報漏えいのリスクをVPN方式より低減できるメリットがあります。
その一方で、リモートデスクトップが不正に利用されたときの影響範囲が大きくなるため、徹底した不正利用対策が必要です。また、自席PCが故障するとリモートワークが数日間できなくなってしまうため、事業継続性の観点からもリスクが存在します。
仮想デスクトップ方式(VDI方式)
この方式は、サーバ仮想化基盤の中で展開されたWindowsなどの仮想マシンを自宅のPCから遠隔操作する方式です。リモートデスクトップ方式と同様に、使い慣れているOSを利用できるため、新しくシステムの使い方を覚える必要のない点が大きなメリットです。
その一方で、VDIを導入した企業からは以下のような声をよく耳にします。
- 各種ライセンス費用をはじめとする導入コスト、維持コストが高い
- 使いたいときにすぐに利用できない(認証の手間、プロファイル情報の読み込み遅延など)
こういった背景から、最近はVDIに代わる仕組みとして、後述するアプリケーションラッピング方式や仮想ブラウザ方式がよく検討されるようになってきました。
アプリケーションラッピング方式(アプリラッピング方式、内部隔離方式)
関連記事
テレワーク方式を8つに分類し、それぞれの特徴を解説 総務省がテレワークセキュリティに関する手引きを公表
総務省は、テレワークを実施するに当たって最低限のセキュリティを確実に確保するための手引き「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」と、設定内容を解説する資料を公表した。
今の境界防御セキュリティは古くて無駄になる?――テレワークをきっかけに始めるゼロトラスト導入、3つのポイント
アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、ラックの仲上竜太氏の特別講演「ニューノーマル時代のゼロトラストセキュリティのはじめ方」を要約してお伝えする。
コロナ禍でプライバシーマークとISMSが注目される? JIPDECとITRが「企業IT利活用動向追跡調査2020」の結果を発表
JIPDECとITRが実施した「企業IT利活用動向追跡調査2020」によると、テレワークや在宅勤務制度を整備した企業の割合が、2020年1月に実施した調査よりも約15ポイント増加した。電子契約を採用済みの企業は、2020年1月時点と変わらず約4割だった。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。