総見直しならVDI
セキュリティ目的なら代替ソリューションも

　近年導入実績を伸ばしているVDIが、情報漏えい対策に有効なソリューションであることは間違いない。ただし、VDI導入のメリットを最大限享受するには、社内制度なども含めたより広範な改革が必要になる。一方でセキュリティに目的を絞り、コストを抑えたソリューションも提案されている。

●VDI導入成功のカギを握るのは事前のアセスメント

　ネットワーク構築大手のネットワンシステムズは、企業や自治体向けのVDI構築で多数の実績を有しているほか、顧客への提案のみならず自社の業務基盤としてもVDIを導入し、ワークスタイル変革を実践している企業として知られる。

　技術的には以前から提案されていたVDIが、最近になって大規模な導入事例が相次いで発表されるようになった背景として、同社ビジネス推進本部商品企画部クラウド&セキュリティチームの永田史郎氏は「従来VDIは、『1クライアント環境あたりいくら』というコスト試算しか行われてこなかったので高く思われていた。最近はITをコストとしてだけでなく、売り上げや利益の向上につながる戦略的な投資として考える経営者が増えていることから、VDIへの理解も進んできている」と説明する。何か画期的な製品や、低コストでの導入を実現する秘策が生み出されたというわけではなく、セキュリティと生産性の両方を同時に向上できるIT投資として、業務環境の仮想化を推進する機運が高まりつつあるという。

　従来のシンクライアント環境は「遅くて不便」というイメージがつきもので、実際に利用する従業員から必ずしも歓迎されるシステムではなかった。キーボード・マウスの操作や、画面の情報をネットワーク越しに転送する仕組み上、目の前で動作しているPCを操作するのに比べ遅延の発生は避けられない。また、サーバー上では複数ユーザーのデスクトップ環境が同時に稼働しているため、サーバーの性能が不足していたり、一部のユーザーが負荷の大きい作業を行ったりすると、動作や反応が遅くなるといった問題が発生する。

　このことから、永田氏は「VDIは導入前のアセスメントがとくに重要なソリューション」と指摘する。企業によってアプリケーションの使われ方はさまざまで、「このユーザー数ならこのスペック」といった形で正確に見積もるのは難しい。そのため、導入・稼働して初めて性能不足が露呈し、従業員からの不満が噴出するといったおそれもあるという。同社ではこの問題を防止するため、リソースの使用状況を計測するツールを、顧客の業務端末上で一定期間利用してもらい、VDIにどの程度のスペックが求められるかを正確にはじき出すことで、移行後も業務を快適に行える性能を、最小限のコストで提供できるようにしている。最近ではグラフィックスチップ（GPU）の仮想化技術を導入し、3D CAD業務を行う顧客の環境のVDI化にも成功しているという。

　また、単純に物理PC環境をVDIへ置き換えるだけでは、従業員は「仕事の環境が不便になった」と感じるばかりで、メリットがないどころか、場合によっては会社の管理外の私物端末で業務を行うといったリスクを増やすことになりかねない。テレワークを認める、デバイスの選択肢を増やすといった、従業員にとってもプラスと感じられる要素を同時に盛り込んでいかないと、VDI移行は成功しない。自ずと、勤怠管理などの社内制度にも改革を加えていく必要が出てくるし、テレワークの従業員が増えると、従業員間のコミュニケーションをどのように確保するかといった新たな課題も生まれてくる。

　「VDIはテンプレート設計ではうまくいかない。ITインフラとワークスタイルの改革で競争力を高めるという経営者のトップダウンの意思が重要になる」と永田氏は強調。同社でも、システムの設計・構築と同じかそれ以上に、VDI導入について回る諸問題の解決支援に力を入れているという。情報漏えい防止に有効なソリューションではあるが、従業員の働く環境に大きな影響を与えることから、提案・導入にあたってはより大局的な視点が求められそうだ。

●VDI並みのセキュリティを安価に実現

　VDIのコストがかさむ理由の一つとして、業務アプリケーションをスムーズに動作させるには、ユーザーの環境をホストするサーバーに、高いスペックが求められるという点が挙げられる。従来であれば、各ユーザーの手元にある端末のCPUが行っていた処理を、すべてサーバー側に集約するのだから、それなりの性能が必要なのは当然だ。

　その一方、VDI環境で業務を行っている間、端末はネットワーク越しに流れてくる画面情報を表示しているだけで、CPUの能力はほとんど使われていない。この“遊び”の部分が、高コストにつながっているともいえる。

　エス・アンド・アイは、あくまで端末側のCPUリソースを活用しながら、VDI同等のセキュリティを実現するソリューション「ThinBoot PLUS」の販売を今年開始した。セキュリティ需要の高まりから、発表直後より多数の引き合いがあり、すでに複数の導入実績があるという。


　ThinBoot PLUSでは、端末側のOSとしては組み込み版のWindowsである「Windows Embedded」を採用する。Windows Embeddedは、ストレージの状態を固定して書き込み禁止にする機能を備えているので、これを利用することで端末上へのデータの保存や、マルウェアによるシステムの不正な書き換えを防ぐことができる。

　業務に必要なアプリケーションは、双日システムズが提供するアプリケーション仮想化ソフト「Spoon」を利用し、サーバー側からストリーミング配信され、端末側で実行される。作成・編集したデータの保存先は社内のファイルサーバー上に限定し、端末に残ることはない。VDIと異なり、インフラとしては、アプリケーションとユーザーデータを格納するファイルサーバーを用意するだけなので、導入費用を大幅に抑えられるのが特徴だ。また、VDIは画面を転送するという性質上、ネットワーク接続が切れると業務が中断されてしまうが、ThinBoot PLUSはアプリケーションを端末上にキャッシュするため、接続が不安定なモバイル環境などでも業務を継続することができる。

　逆に、VDIと比較した際の弱点としては、アプリケーションをカプセル化してネットワーク越しに届ける仕組みのため、他のアプリケーションとの密な連携が必要な作業には対応できないこともある。アプリケーションごとの検証の手間といった点ではVDIに軍配が上がる。

　エス・アンド・アイによれば、情報漏えいが経営に与えるインパクトの大きさから、PCのリプレース時にシンクライアント化を検討する企業が増えているが、VDI方式での導入は費用面で難しいというケースも多く、その際に提案できるソリューションとしてThinBoot PLUSを開発したという。また、「データの保存先はオンプレミスの社内サーバー上だが、アプリケーションの配信はクラウドから行えばよい」といったユーザーも出てきており、同社のクラウドマネージドサービスを組み合わせて、運用面も含めて請け負える体制を整えているとしている。

●端末内を二つに分けるコンテナソリューション

　重要情報の取り扱いとインターネットアクセスの両方を同じ環境で行うことが問題ならば、1台の端末のなかにセキュリティレベルの異なる二つの領域を設けてしまえばよい。セキュアソフトが来年の提供開始に向けて準備を進めている「S-コンテナ」は、このような考え方でつくられたソリューションだ。

　S-コンテナでは、Windowsが動作する通常のPC内に暗号化された仮想領域を作成する。この領域内はメモリ、ファイル、ネットワークの各リソースが通常の領域からは分離され、通常領域と仮想領域の間ではコピー＆ペースト操作なども行えない。仮想領域から起動したアプリケーションには、ウィンドウの枠に特別な色がついたかたちで表示され、枠外とのデータのやりとりはできない仕組みになっている。機密情報を格納するファイルサーバーは仮想領域からしかアクセスできないようにネットワークを構築しておけば、通常領域側がインターネットとつながっていても、マルウェアの活動が及ぶのを防ぐことができる。

　Windows上でさらに仮想マシンを動作させる仕組みと異なり、あくまで動作しているOSは一つなので、OSやアプリケーションのライセンスを通常環境と仮想環境のそれぞれに用意する必要がないのが特徴。アプリケーションも、通常環境で利用しているものをそのまま使うことができるという。

　また、支社や外部の協力企業との間で共同作業を行う場合、各拠点に置かれた端末の仮想領域同士でVPNを組んでおけば、支社のPCの仮想領域で起動したアプリケーションから、重要情報が格納された本社のファイルサーバーを直接参照して業務を行うことができる。

　同社営業本部営業グループの柴田和幸氏は「VDIではサーバーとネットワークの両方にそれなりのコストをかけないとパフォーマンス上の問題が発生するが、『S-コンテナ』では処理の主体はローカルPCなので、CADや画像処理などでもマシンパワーをフルに活用でき、画面転送による遅延も発生しない」と説明する。この仕組みの場合、万が一通常領域に対して攻撃が行われると、端末上のデータが破壊されるおそれはあるが、仮想領域は暗号化されているため、少なくとも重要情報が平文で漏れることはない。


　通常環境と仮想環境の間では、ファイルの移動やコピーは行えないが、業務によっては両環境間でデータのやりとりが必要な局面も発生する。その場合は、管理者や上長に対して仮想環境へのファイルの持ち込み/持ち出しを申請する機能を備えており、許可を得た場合に限り仮想環境への出し入れが可能となる。プリンタやUSBポートは、管理サーバー上でユーザーごとに許可/禁止を設定できる。

　そのほか、同社では通常環境と仮想環境の役割を逆転させて、業務は通常環境で行い、インターネットに接続する必要のあるときだけ、仮想環境上でウェブブラウザを起動するという提案も図っていく予定。こちらの形態は「i-コンテナ」の商品名で展開する。従業員の端末は原則的にインターネットから切り離されているが、顧客対応や検証目的でウェブサイトを閲覧する必要がある場合、仮想環境とVPNを通じてインターネットに接続すれば、仮にマルウェアに感染しても通常環境に影響が及ぶことはないという仕組みだ。

　同社は主力のIPS（侵入防御システム）を中心に長年セキュリティ機器の開発・販売を行ってきたが、ネットワークセキュリティだけでサイバー攻撃の被害を完全に防ぐことはできないことから、S-コンテナのようなソリューションを組み合わせて提供することで、企業や官公庁の情報セキュリティをさらに高めていくとしている。

[次のページ]