ZENMU Virtual Drive
テレワーク時代が到来してから、注目されているVDI。注目されている理由のひとつに「高セキュリティ」が挙げられます。シンクライアントの中でも高いセキュリティレベルを確保できるといいますが、本当でしょうか?
本記事では、VDIのセキュリティは強い、といわれる理由について徹底検証します。
※本記事に掲載している情報は2024年9月時点のものです。
目次
ZENMU Virtual Drive Enterprise Edition
テレワークでの安全・快適なPC利用に
PCの社外持ち出しに関する課題を解決します。
コロナ禍において企業のテレワーク導入が加速するのに合わせ、VDI導入、利用も増加しています。仮想デスクトップといわれるVDIは、シンクライアントの中でも高いセキュリティレベルを確保できることが選定される理由だといわれていますが、果たして本当でしょうか?
リモート環境からの利用で懸念されるセキュリティ上の課題を解決できることが、VDIが選ばれる理由です。本記事では、VDIが高セキュリティ環境といわれる理由について説明します。
VDI(Virtual Desktop Infrastructure または Virtual Desktop Interface)とは、サーバー上に仮想デスクトップ環境を構築し、リモート接続したクライアントPCから操作する仕組みです。OSやアプリケーションはもちろん、各種データファイルもサーバー側にあり、クライアントPCでは保存していないため、PCの盗難などによる情報漏えいのリスクを軽減できます。また、インターネット環境とアクセス権限があれば、自宅にいてもオフィス内と同様に業務を行えるため、リモートワークの普及とともに導入する企業が急速に増えています。
VDIはなぜ、セキュリティレベルが高いといわれるのでしょうか?
社外の環境でPC利用する際に発生するセキュリティリスクを回避できる対策がVDIに施されているからです。
想定されるセキュリティリスクは大きく2つ、物理PCにおける情報漏えいリスクとネットワーク上でのデータ窃取です。それぞれリスク内容とVDIがこのリスクに強い要因について説明します。
まず1点目のリスクは物理的な情報漏えいリスクです。
これまで出張や自宅で仕事する場合、物理PCに業務に必要な機密データを入れて社外に持ち出すことが一般的でした。しかしこの場合、PCの紛失や盗難による情報漏えいリスクがあります。
現に顧客情報を入れたPCの紛失や盗難による情報漏えいがあるとしてニュースに取り上げられたケースを見たことがあると思います。
対策としてPCのハードディスクの暗号化や持ち出し時の申請・確認などが行われるものの、物理PCを利用する以上、機密データを社外に持ち出さないといけないリスクを回避することはできませんでした。そこで注目されたのがVDIです。
VDIはデータを社外に持ち出さずに社外から利用できます。社外に出るのはあくまでもVDIでサーバーに接続するPCのみであり、機密データそのものは社外に持ち出されることはありません。
接続するPCの持ち出しは発生しますが、そのPCに機密データが保管されることはないため、仮に盗難にあっても情報漏えいの可能性は非常に低くなります。
社外にデータを持ち出さずにデスクトップ環境を利用できる、これこそがVDIの最大のメリットといえます。
物理PCを利用する際発生するもう一つのリスクがデータダウンロード時のリスクです。
社外から社内の重要なデータにアクセスする際、ネットワークごしにデータをダウンロードする必要があります。しかしこの場合、ネットワーク上で機密データを窃取されるリスクが発生します。
社外に持ち出したPCから機密データをダウンロードできる環境にあるわけですから、悪意をもった人間が不正にサーバーにアクセスし、機密データを窃取する可能性があります。
また、PCでダウンロード中にネットワーク上でそのデータを窃取される可能性もあります。社外ネットワークに機密データがさらされる環境である以上、このリスクを直接回避するのは困難です。
そこでVDIの登場です。VDIは社外から機密データをダウンロードすることはありません。社外に出るのはあくまでもデスクトップの画面イメージのみです。よって社外向けに機密データにアクセスできる環境も、データダウンロード時に窃取される可能性もありません。
また、画面イメージ転送時も高レベルの暗号化や変化した差分のみ転送する方式をとることもあり、窃取されデータの中身を閲覧される危険性も低いといえます。社外でデータダウンロードの必要がない仕組みであることこそ、VDIが高セキュリティといわれるもう一つの理由です。
VDIは、物理的な情報漏えいリスク、ネットワーク上でのデータ窃取のリスクを軽減でき、高度なセキュリティ対策を行ううえで有効である点をご紹介してきました。さらに、VDIを利用すると業務の効率化とウイルス感染時の迅速な対応という2つのメリットが期待できますのでそれぞれ解説します。
VDIを導入していない場合、OSやソフトウェアのアップデート、セキュリティ対策はクライアントPCごとに実施する必要があり、クライアントPCの利用者だけでなく、IT担当部門の業務負荷は非常に大きくなります。
しかし、VDIではサーバー側で一括してアップデートやセキュリティ対策を行うことができ、ネットワークにつながっていれば遠隔地のPCにも対応できるため、セキュリティ対策業務の効率化につながるといえるでしょう。
VDIでは、データはサーバー側で一元管理されており、クライアントPC内にデータを保持していません。このため、万が一、クライアントPCがウイルス感染した場合には、すみやかに対象の端末をネットワークから外し、代わりの端末を用意することで業務を止めることなく事業の継続が可能です。ウイルス感染は、対応が遅れると被害が全社に拡大する恐れがあるため、VDIにより迅速な対応を行うことで被害を軽減できます。
ここまでVDIは高セキュリティ環境であることを説明しましたが、デメリットやリスクは全くないといえるのでしょうか?
VDIを導入することで新たなリスクは発生しますが、これらを回避することは可能であり、高いセキュリティ環境を確保できることには変わりありません。
ここでは、VDIならではのセキュリティリスクとその対策方法について説明します。
VDIを導入することで物理PC利用時にあったセキュリティリスクを解消することはできます。しかしながら、VDI導入により新たな2つのリスクが発生します。
VDI導入により新たに発生する2つのセキュリティリスクについて解説します。
VDIを導入することで社外へのデータ持ち出しは回避できますが、データを閲覧することはできます。
ここで問題となるのがVDIに接続するPCが盗難にあったケースです。PC内にVDIにアクセスするためのユーザーID、パスワードが保管されていた場合、盗んだ人間は不正にVDIにアクセスし、社内の機密データにアクセスできてしまうことになります。 これでは引き続きPC盗難による情報漏えいのリスクが残ってしまうことになります。
また、仮にパスワードがPCに保管されていなくとも、毎回同じパスワードを利用していれば、ネットワークごしでパスワードを窃取された場合、VDIへの不正アクセスの可能性は高くなります。
VDI利用時のID、パスワードは、利用するうえでの大きな課題となります。 また、当然のことですが、接続するPCがマルウェア等のウイルス感染により動作を乗っ取られることがあれば、不正アクセスの可能性はさらに高くなりますので、PCのウイルス対策も必須事項となります。
VDIにはオプション機能としてリモートPCに接続したUSBメモリやハードディスクへのデータ書き出し、書き込み機能があります。
この機能は遠隔地から自身の仮想デスクトップ上にデータを置く、あるいはアプリケーションをインストールする場合や、逆にお客さまにデータを渡すために遠隔地でデータを持ち出しできるようにするための便利な機能です。
しかしながら、この機能はVDIのセキュリティレベルを下げるリスクにもなります。社外へのデータダウンロードはできない仕組みであることがポイントなのに、これを可能にしてしまうこの機能は、利便性の向上につながる一方で新たなセキュリティリスクになってしまいます。
また、リモート接続するPCにはスクリーンショット機能があるケースも多いです。
画面イメージを画像データとして保存できるこの機能は、VDI上の画面イメージをそのまま物理PC側に保管できてしまいます。この機能もVDI利用時にデータ持ち出しできないという利点を打ち消してしまいます。
VDIを利用することで新たなセキュリティリスクが発生することを説明しましたが、これらを回避する方法はないのでしょうか?
VDIはすでにこれらの対策方法が考えられており、リスク対策することは可能です。新たな2つのセキュリティリスクに対しどのように対策すればよいか、ここで解説します。
一つ目のパスワード問題については、ウイルス対策ソフト、および強固なパスワードツールで対策できます。 まず、マルウェア等により接続PCの動作を乗っ取られるリスクについては、PCにウイルス対策ソフトをインストールし対策することで回避することは可能です。
また、接続PCはVDIサーバー以外の接続制限や外部記憶デバイス(USBハードディスクやUSBメモリ等)の利用制限をかけることで外部からのウイルスの流入を防止できます。
またパスワードについては、毎回変わるパスワードツールを利用することでパスワード漏えいリスクを回避できます。 具体的にはパスロジックやセキュアトークンを使ったワンタイムパスワードなどです。人の意思に関わらず、毎回自動的にパスワードが変更される仕組みにすることで、パスワードが窃取される可能性を低減できます。
もう一つのリスクである、外部デバイスやスクリーンショットなどの便利な機能は、VDI上で利用できないよう制限をかけることで対応できます。
多くのVDI製品では、リモートUSBデバイスへの読み込み、書き出し機能や接続PC上でのスクリーンショット機能を制限できる機能があるため、利用自体を制限することで回避できます。
便利な機能は利便性を高める一方、セキュリティリスクになるケースもありえます。
必要性があるとき以外は利用自体を制限する運用とすることで無用なリスクは避けるべきです。
VDIと同様に、安全なリモートワーク環境を実現する技術としてVPNがあります。オフィスの外から企業のネットワークやリソースを利用する手段として、ここでは、VPNの概要とVDIとの違いについて解説していきます。
VPN(Virtual Private Network)は、仮想プライベートネットワークと呼ばれ、インターネット上に設置する仮想の専用線のことを指します。データのやり取りには暗号化技術が使用され、またリモート接続する端末と社内ネットワーク間に専用の通信経路(トンネル)を用いることで、安全な通信環境を実現しています。実際に専用線を引く場合にはある程度の費用と手間が掛かりますが、VPNはあくまで仮想の専用線であるため、コストと業務負荷を抑えて導入が可能です。
VDIとVPNは、いずれもリモートワークの環境を整備するのに有効ですが、強み・弱みがあるため、セキュリティ面・導入コスト・通信速度の3点で違いをご紹介します。
まず、セキュリティ面において、VPNは自宅とオフィスのネットワークを接続する通信手段のため、リモート接続するクライアントPCに十分なセキュリティ対策がなされていても自宅の別の端末がウイルス感染している場合、社内ネットワークに感染が拡大する恐れがあります。一方、VDIではクライアントPC側にOS・アプリケーション・データを保有していないため、社内ネットワークへの感染リスクを軽減できます。
次に、導入コストに関して、VPNでは、ネットワークやサーバーの機器を揃えれば環境が整うためコストを抑えられます。これに対しVDIでは仮想化基盤を構築するにあたって比較的多額のコストが掛かります。
最後に、通信速度について、VPNは、大容量のデータの送受信、利用者の集中などによっては通信速度が低下することがあります。
一方でVDIはサービス提供会社の回線を利用するため、高速で安定した通信が可能です。
ここまでの内容をまとめると、コスト面ではVPNが優れていますがセキュリティ面と通信速度に関してだとVDIが優れています。
いかがだったでしょうか?なぜVDIが高セキュリティといわれるのか?その理由についてご説明しました。
一番のポイントは、外部にデータを出さないことでこれまでのPC利用で課題となっていた情報漏えいリスクを回避できる仕組みである点です。重要データを社内に置いた状態で利用できるVDI方式は、非常に堅牢な仕組みといえるでしょう。
また、追加で発生するパスワード問題はソフトやツールを活用することで、便利機能のリスクについては利用制限をかけることで対策でき、より安全に利用できる環境であるといえます。
最後にVDIの利用をご検討中の方のために、株式会社日立システムズエンジニアリングサービスの提供するZENMU Virtual Drive Enterprise Editionをご紹介します。この製品はこれまでお話ししたセキュリティ対策に加え、独自の機密分散技術(AONT)や物理PCの遠隔設定機能により、物理PC盗難時における第三者の不正アクセス、情報窃取に対しさらに対策しています。
独自のセキュリティ機能でVDIをさらに安心してご利用できるおすすめの製品です。1カ月間の無償トライアルもご提供中ですので、ご興味のある方は一度お試しください。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
※ZENMU Virtual Drive Enterprise Editionは、株式会社ZenmuTechの製品です。
※株式会社日立システムズエンジニアリングサービスは、ZENMU Virtual Drive Enterprise Editionの正規販売代理店です。
テレワークでの安全・快適なPC利用に
PCの社外持ち出しに関する課題を解決します。