Azure Virtual Desktop(AVD)とは、クラウド上で仮想デスクトップ環境を実行可能にするMicrosoftのサービスです。テレワーク対応のためにも使えるAVDですが、セキュリティ面はどうなっているのでしょうか。本記事では、AVDで想定されているセキュリティシナリオや、その仕組みを解説します。
そもそもAVDを採用する理由
そもそもAVDとは、クラウド上で仮想デスクトップ環境を構築できるサービスです。AVDを活用すれば、オンラインを通して、どこから、どのようなデバイスからでも、仕事で使うアプリケーションやデータへ安全にアクセスできます。そのため今日では、テレワーク対応を前提に、運用改善や生産性の向上、セキュリティの強化などを主目的にAVDを導入する企業が増えています。
ところで、「テレワーク環境におけるセキュリティの構築」というテーマは、話としてはよく耳にするものの、具体的にどのような施策を指しているのか、よくわからない方も多いのではないでしょうか。そこで次項では、AVDにおいて想定されている具体的なシナリオに基づいて、そのセキュリティ強化策をご紹介します。
AVDのセキュリティシナリオ
AVDにおけるセキュリティシナリオは、主に「不正アクセス対策」「ネットワーク制御」「エンドポイント制御」「ログ監視」の4つによって構成されています。それぞれのシナリオと、それに対応したセキュリティ強化策は以下の通りです。
不正アクセス対策
AVDでは、ユーザー認証をするためにセッションホストに接続する際、悪意のあるユーザーによる不正アクセスや標的型攻撃、改ざんなどを受けるリスクがあります。このリスクに対しては、Azure AD Premium P1またはP2 ライセンスを活用することで対応可能です。
たとえば、P1/P2ライセンスでは、「会社に所属するIPか否か」「会社のポリシーに準拠しているデバイスか否か」といった、さまざまな条件をトリガーにアクセス制御を設定できます。さらに、P2ライセンスにおいては、「通常とは異なる場所からのサインイン」などの不審な兆候を特定し、リスクレベルに応じたアクションをユーザーに求めることが可能です。こうした機能によって、さまざまな場所・デバイスからのアクセスが予想されるテレワーク環境においても、不正アクセスのリスクを軽減できます。
ネットワーク制御
AVDを含むクラウドサービスは、インターネットを介してユーザーにリソースを提供します。これにより、誰もがサービスを利用できますが、その分、クラウド上のワークフローが攻撃者にとって脆弱になりうるのが不安な点です。特に、セッションホストから外部・内部へ通信する際に、通信やIPアドレスが丸見えの状態になっていると、そこを攻撃者が狙ってくるリスクがあります。
こうした危険性に対しては、Azure FirewallやAzure Network Security Group(NSG)を活用することが有効です。さまざまな機能が一元的に包括されたAzure Firewallでは、ワークロードを自動的に検出し、悪意のある外部通信を制限して、すべてのリソースを保護できます。また、NSGは仮想ネットワーク内の内部通信制御を担い、これをサブネットやNICに関連付けることで、仮想マシンへのトラフィックの受信・送信ルールを制御できます。
エンドポイント制御
テレワーク環境においては、エンドポイント制御もセキュリティ上の大きなテーマです。この点に関しては、すでに多くの企業がマルウェア対策用のソフトウェアを導入しているのではないでしょうか。しかし、急速にマルウェアが進化している現状を鑑みれば、感染リスクを完全に抑えることは困難です。また、AVDで感染デバイスを削除するのは簡単ですが、原因を特定したり、どこまで感染の被害が広がっているか痕跡を分析したりするのには時間がかかり、事後対応にも限界があります。
このような状況から、昨今では完全な侵入阻止は困難であると考えて、侵入されることを前提とした対策へ転換したほうが効率的である、というセキュリティ思想が広がっています。こうした「ゼロトラスト」なセキュリティ体制を実現するために役立つのが、Microsoft Defender for Endpoint(EDR)です。
EDRは24時間365日、不審な動きがないかPCを監視・保護します。EDRはWindowsの標準セキュリティなので、インフラ構築が不要で即時利用できるのも大きな魅力です。
ログ監視
AVDの利用環境では、Azure AD、ネットワーク、エンドポイントといった各所に点在しているログの統合管理も課題になります。この課題に対しては、各種Azureサービスと連動し、3つのシステム(Azure Monitor、Log Analytics、Application Insights)による監視機能を提供するAzure Monitorの活用が有効です。
この3つのシステムのうち、Azure Monitorは、ダッシュボードでの可視化やアラート機能などをサポートします。Log Analyticsは、各種Azureログなどを統合的に収集・監視するのが役割です。Application Insightsは、アプリケーションの使用状況やパフォーマンスを監視・分析します。これらに加え、さらにMicrosoft Sentinelを導入することで、組織全体の統合ログを監視可能です。
TISなら今回ご紹介した全てのサービスのご提案が可能!
今回ご紹介したサービスは、TISによる各種サポートサービスですべてご提案可能です。TISは2021年、AVDに関する高い専門性や豊富な経験が評価され、AVD分野における最新の要件基準である「Advanced Specialization V 2.0」を日本で初めて取得しました。そのAVD関連サポートサービスの内容は、以下の通りです。
コンサルティングサービス
コンサルティングサービスは、VDI移行先の選定や現行環境の棚卸などにおいて、検討にかける時間がない企業様向けのサービスです。環境棚卸や移行先選定、社内の説得など、地味ながらも大きくマンパワーのかかる検討段階をサポートします。
PoC Package サービス
PoC Packageサービスは、仮想デスクトップ導入において、「計画・検証段階で小規模の検証環境をすぐに使い始めたい」という、ベンダー視点からの支援をご要望の方に向けたサービスです。このサービスはAVD / Windows 365 両方に対応しており、環境手配から本番検討までをトータルサポートします。
VDI運用サービス
VDI運用サービスは、仮想デスクトップ導入における運用段階で、「クライアント運用にかかる負荷を減らしたい」「高いサービスレベルを維持したい」という企業様におすすめのサービスです。TISはAVD、VMware Horizon、Citrixをはじめとする約20,000台のVDI運用実績があり、本サービスではお客様のニーズにあわせてカスタマイズ可能な運用メニューを提供しています。このサービスをご利用いただければ、問い合わせ対応や保守作業、障害時対応まで含めて、日々の運用を丸ごとアウトソーシング可能です。
セキュリティ運用サービス
セキュリティ運用サービスは、仮想デスクトップ導入において、「運用段階でEDRやSIEMを活用した統合ログ監視を検討したい」という企業様向けのサービスです。SIEMとは、さまざまな機器やソフトウェアの動作状況のログを一元管理し、セキュリティ上の危機をいち早く感知・分析する仕組みです。このサービスをご利用いただければ、TISの豊富な経験を活かして、より安全なAVD環境を構築できます。
まとめ
AVDのセキュリティシナリオは、「不正アクセス対策」「ネットワーク制御」「エンドポイント制御」「ログ監視」の4つから構成されており、さまざまな機能を使って安全性を強化できます。AVDの運用やセキュリティについて課題を抱えている企業様は、ぜひTISのサポートサービスをご利用ください。