セキュリティの観点から考えるシンクライアント

在宅勤務に移行する人が増えたことで、安全で快適なリモート環境に最適なテクノロジーとは何かが明らかになりました。

2020年、新たな感染症の世界的流行と外出の規制/自粛により、企業はこれまでにない根本的な問題の数々に直面することになりました。たとえば、社員が自宅で使う椅子、モニター、デスクの減価償却費を計算しなければならない事態は、かなり現実的な話となりつつあります。最大の重荷がかかっているのは、IT部門とセキュリティ部門です。IT部門は、いきなり社員のリモートワーク環境を整える必要に迫られました。セキュリティ部門は、あらゆるところにセキュリティの境界が存在する中、新しい情報セキュリティ戦略を早急に考え出さなければなりませんでした。

悲観的な人々はITの崩壊を予想しましたが、そうはなりませんでした。企業はおおむね、速やかに業務を再編成して対応しました。しかし、移行の状況はさまざまです。感染症が世界的流行となる前からノートPCをメインに使っていた企業は、事がうまく運びました。BYODポリシーを定めて積極的に運用していた企業も同様です。世界の大手企業の一部は、結果的に、社員全般をリモート勤務としてコストを削減する決断を下しています。Oracle、Rimini Street、Oktaなど世界的なIT大手は、オフィススペースの一部削減が業績に好影響をもたらしていると述べています。

セキュリティの確保については、一筋縄ではいかないことが判明しました。ITセキュリティ部門の多くは、事態への備えができていませんでした。第1に、人々は突然、自前のネットワーク機器を使用して自宅のローカルネットワークから業務にあたらなければならなくなりました。そうした自前の機器は会社による監視も管理も受けていませんし、会社からアップデートを適用するわけにもいきません。第2に、業務で使用するデバイスが、家族の間でさまざまな用途に使われるようになりました。たとえば、同じノートPCを使って親は仕事、子どもは勉強をするなどです。それだけでなく、1台のPCが2つの異なる企業ネットワークに接続される場合もあり、どちらの企業のセキュリティ担当にとっても好ましからざる事態です。

では、ITとセキュリティの問題に悩まされることが少ない企業とは、どのような企業なのでしょうか。それは、仮想化テクノロジー、具体的にはデスクトップ仮想化(VDI)を積極的に活用している企業です。

仮想デスクトップとは何か

デスクトップの仮想化とは、大ざっぱに言うと、社員の作業スペースを物理的な業務用デバイスから切り離すことです。企業側は自社のインフラ(またはリースした機器)を使ってコンピュータークラスターを用意し、仮想化プラットフォームを配備し、社員一人一人の仮想マシンを作成します。仮想マシンのイメージには、社員が必要とするすべてのソフトウェアが含まれます。

社員は、デスクトップコンピューター、シンクライアント、ノートPC、タブレットなど任意のデバイスから、自分の仮想マシン(そして使用を許可されている会社のリソース)へ接続することができます。キーボード、マウス、モニターを接続できれば、スマートフォンからの接続も可能です(実際にそのようにして作業している強者もいます)。仮想マシンの利用は、在宅勤務やリモート作業に限られません。仮想デスクトップには少なからぬ利点があるため、オフィス内で仮想マシンを使用する企業もあります。

  • メンテナンスのしやすさ:データストレージシステム内に、各社員向け、または同じ業務にあたる作業グループ向けにあらかじめ構成された仮想マシンのイメージが保管されています。イメージは一か所から集中管理できるので、IT部門の負荷が減ります。
  • 拡張性:いつもより高い演算能力やメモリ増量が至急必要になった社員が出た場合、その社員のデバイスをアップグレードしなくても、必要なリソースを割り当てることで対応できます。
  • レジリエンス:仮想マシンに接続中のデバイスで障害が発生した場合、別のデバイスから接続しなおすだけでよく、データを失ったり時間を無駄にしたりせずに済みます。
  • セキュリティ:ご想像のとおり、Kasperskyはこれを最大の利点と考えています。リモートデスクトップをシンクライアントと組み合わせて利用すれば、より高い効果が見込まれます。

仮想デスクトップ、シンクライアント、セキュリティ

セキュリティの観点からすると、社員の使用するソフトウェアを余計な操作から守ることができるという点だけ見ても、仮想デスクトップは優れています。もちろん、ユーザーは作業ファイルを編集したりインターフェイス設定を変更したりできますが、そうしたものは仮想マシンからは切り離されて保存されます。ソフトウェアに加えられた変更はすべて(仮想マシンにダウンロードされた悪意あるコードも同様に)、再起動すれば消え失せます。これは仮想マシンが保護されない状態になることがあるという意味ではなく、むしろAPTが業務用コンピューターに忍び込む機会が大幅に減少します。

ただし前述のように、セキュリティ上の利点が最大化するのは、ユーザーがシンクライアントから仮想マシンに接続する場合です。シンクライアントは、ターミナルモードのデバイスです。ストレージすら内蔵されていない、サーバーに接続するための単なる「箱」である場合も多く、これにモニターと周辺装置を接続して利用します(実際の構成は機種によって異なります)。シンクライアントそのものは、業務用データの処理も保存も行いません。

当然ながら、シンクライアントには適切な通信チャネルが必要です。近年では、通信チャネルの確保はそれほど難しいことではなくなっています。

シンクライアントとサーバーは、暗号化プロトコルを介して通信するのが普通であるため、ネットワーク環境の信頼性の問題を解決できます。ユーザーの観点からすると、シンクライアントには、他のデバイス(たとえばノートPC)ほどの汎用性はありません。ゲームをする、外部の情報システムに接続するなど、会社で禁止されていそうなことは、どのみちできないのです。このほか特筆に値するのは、ハードウェアの盗難によって生じかねない問題の解決策となり得る点です。シンクライアントにはデータが保存されないので、データ流出の心配がありません。

テレワークにおけるITセキュリティの確保に対する企業の関心が高まっていることから、リモートデスクトップインフラ向けのターンキーソリューションの需要がいっそう高まると予想されます。最も現実的なプランは、物理インフラを大幅に変更しないで済むように、パブリッククラウドサービスを利用することでしょう。このとおり、大手企業がVDIに移行する段階に近づきつつあるように見受けられます。私たちがこの分野での専門性を積極的に高め、当社独自のOSであるKasperskyOSに基づいたシンクライアント向けのソリューションの開発に取り組んでいる理由の一つは、まさにそこにあります。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?