セキュリティ講座

ネットワークセキュリティガイド「仮想デスクトップ方式」

総務省が2018年4月に公開した「テレワークセキュリティガイドライン第4版」では、テレワークの方法として6つのテレワーク環境を紹介しています。
ここでは、そのひとつ「仮想デスクトップ方式」について、その内容と、メリット・デメリットを紹介します。

先進的で高セキュリティだが、初期導入コストも高い「仮想デスクトップ方式」

現時点で最も先進的なテレワーク環境は「仮想デスクトップ方式」です。
従業員が使うバーチャルなコンピューターをVDI(仮想デスクトップインフラストラクチャ)(※1)と呼ばれるサーバー内に従業員の数だけ構築し、従業員が操作する端末には、ネットワークを通じてVDIサーバー内のコンピューターで処理された結果が、画面や音声として出力されます。
端末からはキーボードやマウスの入力情報がネットワークを通じてVDIサーバー内のコンピューターに送られ、端末自体にはリソースを保存することは一切できません。
VDIサーバー内にバーチャル、つまり仮想の端末があるため「仮想デスクトップ」と呼ばれます。

VDIサーバーへの接続にはVPNが必須!

社外からVDIサーバーにつなぐには、VPN(※2)機器やVDIメーカーが提供しているVPN機能を持つソフトウェアが必要となります。
VPNをVDIでしか利用せず、利用規模的にも問題なければ、VDIメーカー提供ソフトウェアのほうが、そのVDI製品の利用のために作られたものなので、設定のしやすさや相性の面で利点があります。
しかし、VDI以外にも利用する場合や、規模が大きい場合にはVPN専用機器を用意することになるでしょう。

「仮想デスクトップ方式」のメリット・デメリット

メリット
テレワーク中でも社内で業務をするのと同じ環境を従業員に提供することができます。
リソース管理ではVDIサーバーのみを管理すればよいため、情報システム管理者の負担軽減にもなります。各従業員に端末をひとつひとつ配布し、それぞれの端末内のリソースを個別に管理するよりもはるかに効率的です。
また、デスクトップ仮想化ではリソースがサーバーに集中しているため、社内LANは最小限の規模になります。

デメリット
現時点での課題は、サーバー側のコストが高いことです。
利用する従業員数分の端末すべての働きを補えるサーバーが必要なため、負荷に耐えられる高性能な機器を用意しなければなりません。

「仮想デスクトップ方式」のその他の特徴

従業員の使う端末については、従来から使用しているパソコン「ファット・クライアント(※3)」を流用しても構いませんが、よりセキュリティを高めるのであれば「シン・クライアント(※4)」と呼ばれる画像表示と入力などの必要最低限の機能のみを持った端末が推奨されます。機能が抑えられる分、コストも抑えられます。
また、社外からのアクセスのみならず、社内からのアクセスでもリソースをサーバー内のみに留めておくことが出来るため、従業員は毎日同じ端末を使う必要がありません。出社時に好きな席にある端末を使う、毎日共用のロッカーから端末を取り出して使用するといった「フリーアドレス運用(※5)」も可能です。

オフィスPC運用管理の理想形。そして今後は??

仮想デスクトップ方式は、オフィスのパソコン運用管理の理想形とも言えます。
しかし、導入にかかる初期コストが大きく、大規模でないとコストメリットが出てこないことと、運用管理に専門的な知識が必要であることから、先進的な大企業から導入が進んでいる状況です。
ただし、スマートフォンの個人利用が急速に普及したように、業務においても「VDI+シン・クライアント」の運用が当たり前の時代が来るかもしれません。
今のうちに仕組みを理解し、将来的に導入判断をする際に備えておくのもよいでしょう。

仮想デスクトップ方式 VS. リモートデスクトップ方式

こちら記事では、VDIを使わず、社内のコンピューターをインターネット経由で遠隔操作する「リモートデスクトップ方式」について紹介しています。
仮想デスクトップ方式とリモートデスクトップ方式のコスト比較も掲載していますので、ぜひご参考ください。

※1:VDI・・・仮想デスクトップを実現するための技術およびサーバー機器のことを指す。具体的な実現内容は本文参照。実現方式には「仮想PC型」と「サーバーベース型」の2通りがある。前者は個々の従業員が用いるコンピューターごと仮想化して、そこに基本ソフト(OS)やアプリケーションソフトウェアをインストールする。後者では仮想化に対応した専用のOSを用い、またアプリケーションソフトも同一のものを利用することにより、従業員個別の環境だけを仮想化して提供するため、共用する部分が多く、コストパフォーマンスに優れる。
また、デスクトップ仮想化のうち、クラウド上に構築されるものを特にDaaS(Desktop as a Service)と呼び、区別する向きもある。
※2:VPN・・・「バーチャル・プライベート・ネットワーク」の略。インターネット側からのアクセスでも仮想的にLAN内にいるかのように振る舞うための技術。この実現には「認証」と「暗号化」が用いられる。LANに接続する際にVPNに対して認証を行い、承認された場合のみLANへの接続が許可される。接続後の通信データはインターネット上を流れるが暗号化されており、データを盗聴されたとしても内容は判別できない。
※3:ファット・クライアント・・・アプリケーションやデータを端末上に保存できる一般のパソコン端末のことを指す。ネットワークから切り離しても独立してソフトウェアが実行できる。
※4:シン・クライアント・・・リモートデスクトップやデスクトップ仮想化で用いられる専用端末で、画像表示や音声出力、キーボードやマウスなどからの入力だけに特化し、データやアプリケーションは端末内に保存できない。データやアプリケーションはネットワークを通じて、別の端末やサーバーのものを利用する。
※5:フリーアドレス運用・・・オフィス内にて、従業員の席を固定せずに、業務の内容や気分に応じて、その時々に適当な席で業務ができる運用や環境のこと。プロジェクトによって短期的にチームメンバーが変わるような業務形態に適している。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です