タイトルとURLをコピー
働き方改革に伴うテレワークやリモートワークの増加で、インターネットに接続してどこからでも業務ができることや、持ち出し用の端末にはデータを持たず情報漏えいのリスクが低いなどの理由から、VDI・DaaSといった仮想デスクトップの利用を検討する企業が増えています。
VDI:Virtual Desktop Infrastructure
DaaS:Desktop as a Service
VDI・DaaSとは、オンプレミスやクラウド上に複数の仮想的なデスクトップを作成し、ネットワーク経由で利用できるようにする仕組みやサービスです。
仮想デスクトップを利用するには、オンプレミスやクラウド上の仮想デスクトップと、仮想デスクトップにネットワーク経由で接続するための端末が必要です。
VDI・DaaSの仮想デスクトップは、利用する人ごとに専用の仮想デスクトップを準備する「占有型」と複数の人が同じ仮想デスクトップを利用できるようにする「共有型」の2種類に大別できます。
「占有型」は、利用者がソフトウェアのインストールやカスタマイズなどを行えることが利点ですが、セキュリティ対策はそれぞれの仮想デスクトップに対して行う必要がある、ストレージ容量が大きくなるなどの課題があります。
「共有型」は、利用者がソフトウェアのインストールやカスタマイズなどを行うことはできませんが、セキュリティ対策を一括で行える、ストレージ容量が小さくて済むなどの利点があります。
仮想デスクトップに接続するための端末には、データの保存やデバイス利用などの機能を制限したPCやシンクライアント端末を利用します。
利用者は、端末から仮想デスクトップにリモート接続することで、仮想デスクトップのリソースを使って、業務システムへのアクセスや資料作成、データやメールのやり取りなどの業務を、デスクトップPC(ファットクライアント)を使っているのと同じように行うことができます。
オンプレミスではなくクラウドを利用するVDI・DaaSであれば『インフラ管理はクラウドやサービス提供事業者任せ』、『端末はデータを持ち出せないため安心』ということで、セキュリティ対策もできていると認識してしまいがちです。しかし、VDI・DaaSの仮想デスクトップを利用する場合であっても、インターネットに接続して業務を行っていることによるウイルス感染や情報漏えいのリスクは排除できません。仮想デスクトップの管理、その中でも特にセキュリティ面の対策が必要になります。
ここでは、本格運用後、問題や課題に直面してから対応に苦慮することの多い、仮想デスクトップのセキュリティについて、対策ポイントを3つご紹介します。占有型・共有型のどちらを選択するとしても、仮想デスクトップを導入すると決めた段階で、仮想デスクトップのセキュリティ対策について検討しておくことが必要です。
VDI・DaaSの仮想デスクトップを利用する場合であっても、OSやウイルス対策製品、ソフトウェアを最新版に更新する、ウイルス定義ファイルやセキュリティパッチをタイムリーに適用するなど、日々のセキュリティ対策は必要です。
自由度の高い占有型の場合は、利用者数に応じて仮想デスクトップの数や種類が増えるため、セキュリティ対策をどのように徹底するか、あらかじめ検討しておく必要があります。
占有型に比べて運用や管理の負担が少ない共有型の場合も、利用者のニーズに対応していくうちにマスターイメージのパターンが増えてしまうため、複数のマスターイメージへのセキュリティ対策が必要になることも想定して、運用方法を考えておく必要があります。
OSやウイルス対策製品、ソフトウェアなど同じものを利用している環境をグルーピングして管理しておき、複数のマスターイメージや仮想デスクトップでタイミングを合わせて一斉に最新版に更新するといった対策が考えられます。
自由度の高い占有型の仮想デスクトップの場合は、利用者次第という側面があります。このため、脆弱性があるOSや使用を禁止しているソフトウェアを利用していないか、ウイルス対策製品が有効に機能しているかなど、仮想デスクトップのセキュリティ対策状況をセキュリティポリシーに沿ってチェックし、必要な是正を実施したり、仮想デスクトップの画面上にメッセージを表示して接続している利用者に注意喚起したりするといった対策が考えられます。
VDI・DaaSの仮想デスクトップを利用する場合、リモートから仮想デスクトップに接続する利用者端末にはデータを残さず、実際のデータ処理やデータのやり取りは仮想デスクトップ側で行います。利用者端末にはデータが残らないため、利用者端末を紛失したとしても情報が流出する心配がなく、情報漏えいのリスクが低いことがメリットとなっています。
ところが、実際のデータ処理やデータのやり取りを行う仮想デスクトップはインターネット接続ができるようになっており、ファイル添付メールの送信や、Webまたは共有フォルダにアクセスしてデータをアップロードするなどの情報漏えいリスクは残っています。 仮想デスクトップを利用する場合は、仮想デスクトップから情報漏えいが起こるリスクや情報漏えいが起きた場合を想定して、対応を検討しておく必要があります。
万一、情報漏えいが発生した場合に事実を確認するためには、仮想デスクトップの利用者が実際に何をしていたかを知ることのできる証跡(操作ログ)を記録し保存・管理しておくといった対策が考えられます。
共有型の仮想デスクトップの場合、利用者が何をしていたかを知るための操作ログはユーザーデータ領域には記録されません。利用者がログオフすると操作ログも消えてしまうため、ログオンしている間に操作ログをタイムリーに収集し、保存・管理するといった対策が必要です。
VDI・DaaSの仮想デスクトップを利用する場合、利用者端末には仮想デスクトップへの接続に必要なOSやVPNソフトウェアがインストールされているため、これらのソフトウェアの更新、パッチ適用などのセキュリティ対策も必要です。利用者端末は最低限の機能しか持たないシンクライアント端末や、データの保存やデバイスの利用などを制限した端末が多く利用されています。これらの端末は、その特性上、セキュリティ対策のための変更であっても、利用者自身では実施できなくなっています。
IT部門で端末1台1台にセキュリティ対策を実施する、ベンダーに端末のセキュリティ対策を依頼するなどの方法がありますが、代替端末を準備する、端末受け渡しのために出社するなど、IT部門と利用者の双方に負担がかかります。このため、利用者端末のセキュティ対策をどのような方法で徹底するかは、あらかじめ考えておく必要があります。
例えば、仮想デスクトップに接続している間に更新が必要なソフトウェアやパッチをダウンロードしておき、業務終了後に書き込み制限を一時的に解除して更新を行い、更新完了後に書き込みを制限するといった一連の処理を自動化し、利用者端末の更新をリモートで行えるようにする対策が考えられます。この方法を実現するためには、利用者端末にリモートでのソフトウェア配布に対応できるツールをあらかじめ組み込んでおく必要があります。
仮想デスクトップ利用時のセキュリティリスクを抑え、安全に業務を遂行するためには、「仮想デスクトップのセキュリティ対策」「仮想デスクトップの利用証跡(操作ログ)の取得」「利用者端末のセキュリティ対策」の3つのポイントを押さえた取り組みが必要です。
これらの取り組みを日々の運用で徹底するためには、インストールソフトウェアの把握や自動アップデート、セキュリティの脆弱性対策、操作ログの取得といった仮想デスクトップの管理を効率よく行えるツールの導入が効果的です。
ツールを活用して、VDI・DaaSのセキュリティ対策を効率よく実現しませんか。
仮想デスクトップの管理を効率化するJP1/IT Desktop Management 2 および、エンドポイント管理 JP1 Cloud Service/Endpoint Management のさらに詳しい情報については、お気軽に下記のフォームよりお問い合わせください。
お問い合わせフォーム(日立オープンミドルウェアに関するお問い合わせ)お問い合わせ内容の記載例:
【お問い合わせ対象】
【お問い合わせ内容】