ユーザーの端末上にリソースを保存せずに、サーバー上にすべてを保存して一元管理するVDI。その中でも特にマイクロソフト社が提供するAVDは有名なサービスです。この記事ではVDIやAVDの特徴と使用するメリットに加え、AVDを安全に使う方法について紹介します。
VDIによるテレワークが安全とされる理由について
近年、増え続けているテレワークを安全に行う方法については、これまでも議論が重ねられてきました。複数ある方法のうちの一つが、仮想化したデスクトップ環境「VDI(Virtual Desktop Infrastructure)」を利用するという方法です。
通常のオフィスワークでは、OSが組み込まれたPCや端末に、ユーザー自らがアプリケーションをインストールして、自身の端末上でファイルなどを編集するのが一般的です。この場合、OS・アプリケーション・作成したファイルは、すべてユーザーの端末内に保存されています。
一方、これらのデータをすべてサーバー上に保存し、各従業員のデスクトップ環境をまとめてサーバー上で管理するのがVDIです。VDIでは、各ユーザーはサーバー上に構築されたデスクトップ環境にアクセスして、業務を行うことになります。すなわち、VDI環境における各ユーザーの端末にはデータなどが保存されず、画面表示およびキーボード・マウスなどによる入力操作を行うという役割しかありません。
VDIを導入する最大のメリットとして、企業リソースを個人の端末ではなく、サーバー内で一元管理することで、個人で企業データを保存する必要がなくなり、万が一、個人端末が盗難された場合でも、機密情報の流出が防げるところにあります。
また、VDIを使わず、個人の端末にOSやアプリケーションをインストールしている場合、OSの更新など基本的なセキュリティ対策は、ユーザー自身で行わなくてはなりません。VDIであれば、従業員の端末をIT部門で一元管理できるため、セキュリティ対策を一度にかつ漏れなく実施できます。
なお、VDIではデスクトップの画面をサーバーから個人の端末に転送しているため、サーバーと端末間の通信経路を傍受された場合、情報が盗み取られる可能性が捨てきれません。このため通常は、VPNなどで通信経路を暗号化する処理がとられます。
VDIにもあるセキュリティのリスクとは
OSやアプリケーションをサーバー上で一元管理できるVDIですが、VDIならではのセキュリティリスクも存在します。
まず、VDIではサーバー上にリソースを保管しているとは言え、従業員個人の仮想デスクトップ環境でOSが稼働していることには変わりなく、VDIを利用していない場合と同様、マルウェアへ感染する可能性があることです。
さらに、パスワードさえあればどこからでもVDIを経由してデスクトップにアクセスできるのは、便利な半面、万が一、パスワードが流出してしまった場合には、デスクトップ上の情報が流出するリスクがあることを意味します。また、利便性を高めるために多くのVDIに搭載されている機能も、使い方を誤ればリスクに繫がります。
例えば、一般的なVDIシステムでは、ファイルのアップロードやダウンロード・USBへの保存などの機能があります。これにより、サーバー上のファイルを個人の端末に保存しておけば、ネットワークに接続できない環境などでも編集作業が可能です。サーバーからダウンロードしたファイルは、一時作業用ファイルとし、ネットワークに接続できるようになったら自分の端末からは削除するべきですが、そのまま端末内にファイルを残した状態になってしまうと、端末が盗難されたときにデータも流出してしまいます。
AVDの特徴やメリットとは
VDIには様々なサービスがありますが、その中でマイクロソフト社が展開しているサービスが「AVD(Azure Virtual Desktop(旧Windows Virtual Desktop))」です。
併せて、マイクロソフトは、システム開発や運用に役立つ機能を備えたクラウドサービス「Microsoft Azure」も展開しています。
AVDとは、クラウドプラットフォームであるAzure上で動作するVDIサービスです。Azure上に仮想マシン1台を構築すると、その中に複数のVDI環境を構築することができます。AVDの利用者が、デスクトップと各アプリケーションを利用するときにアクセスする先は、Azure上に構築した仮想マシンです。
仮想マシンにアクセスすると、Windows 10だけでなく、Microsoft 365アプリケーションやサードパーティ製の他のアプリケーションが利用できます。Microsoft 365アプリをインストールして使う、「Microsoft 365 Apps for enterprise(旧:Office 365 ProPlus)」も、仮想サービスとして利用できます。また、Windows 10と同様、「Microsoft 365 Apps for enterprise」も複数ユーザーで利用できます。
IT管理者の立場でも、AVDを導入するメリットは豊富にあります。例えば、AVDに接続するときに多要素認証を求める条件付きアクセスを、IT管理者側でポリシーとして設定できるなど、全従業員の端末をまとめて管理する機能が含まれています。自社でVDI環境を構築すると、IT人材への投資やサーバー構築費用などが大きなコスト負担となりますが、AVDであればAzureの利用料のみとなるため、VDI環境構築のための大きなコストが発生しません。
2020年4月には、AVDが大型アップデートを実施し、このアップデートでの大きな変更点が、「Azure Resource Manager(ARM)」と統合したことです。これにより、AzureポータルからAVDが操作できるようになりました。Azureポータル上で“Azure Virtual Desktop(旧Windows Virtual Desktop)”と入力すると、サービスが検索できます。インターネット環境がないと接続できないのが、AVDの唯一のデメリットと言えますが、管理・運用が非常に簡単であるため、IT人材不足に悩む企業にとっては導入メリットが大きいサービスと言えるでしょう。
Azure SentinelによるAVDセキュリティ監視とは
AVDの仮想デスクトップは、セキュリティが強固なクラウドサービス「Microsoft Azure」で保護されます。
一方、仮想デスクトップでのネットワーク設定ミスやアクセスレベルの設定ミスなどは、どの企業でも起こり得る問題であり、AVDでもセキュリティ上のリスクはゼロではありません。AVDの安全性を高めるためには、別のサービスでセキュリティ監視を行うことが効果的です。
具体的には、Azureには、セキュリティ分析機能「Azure Sentinel」があり、この「Azure Sentinel」を併用してセキュリティを担保するという方法があります。例えば、仮に、完璧なセキュリティ対策を行っていたとしても、社内の人物による情報の持ち出しなど、企業内部の不正行為に対しては、対策の施しようがありません。「Azure Sentinel」を活用すると、各ユーザーが保有している操作権限の高さに関係なく、AVD全体のセキュリティを分析して管理できます。さらに、AVDのログを「Azure Sentinel」に取り込むと、不正アクセスがあった場合に検出できるだけでなく、犯罪者が不正操作を隠蔽するために行うログの削除など、不正の兆候までも検知します。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
VDIのサービスのうち、マイクロソフト社が提供しているAVDは、マイクロソフトの他のサービスとの親和性が高く、近年導入する企業が増えています。また、AVDを導入する際は、「Azure Sentinel」のようなセキュリティ監視サービスを組み合わせ、さらにセキュリティを高めることをおすすめします。
