• 装飾

    シンクライアントは使えない? 働き方改革におけるVDI成功に必要な3つの条件

    働き方改革を背景に、あらゆる場所に分散した端末のセキュリティを確保する方法としてシンクライアントに注目が集まる。しかし「シンクライアントは使えない」とFAT端末に戻るケースも散見される。その原因と解決策とは。

    • 働き方改革で直面する、新たなセキュリティ課題

      働き方改革が叫ばれて数年、企業の取り組みは「長時間労働の是正」から柔軟な働き方を実現するための施策に移り変わった。デルがユーザー向けに行った調査によれば「在宅勤務の促進」や「オフィス外勤務の促進」などを行いたいと答えた企業が39.1%を占めた。

      活用したいIT施策として「仮想デスクトップインフラ」(以下、VDI)を挙げるユーザーは、2017年の31%から2018年の37%に増加した。働く場所や業務端末の分散化に伴い、アプリケーションやデータ、セキュリティ対策を全てサーバに集約できるVDIによって、セキュリティを確保し、運用工数を削減したいというニーズが高まっているのだ。

    • 既存のVDIが解決できない「セキュリティ」と「利便性」の課題

      Secureworks 浜田譲治氏

      しかしVDIだけでは解決できないセキュリティ課題もある。例えばWindowsなどの汎用(はんよう)OSを活用するシンクライアント端末は、ランサムウェアなどに感染するリスクがある。Dell Technologiesグループ傘下でセキュリティ事業を担うSecureworksの浜田譲治氏(マネージド・セキュリティ・サービス事業部 統括部長)は次のように話す。

      「Windows環境の脆弱性を突く攻撃がコモディティ化し、侵入を防ぐことが難しくなっています。Webサイトやメールを入口として端末が感染するケースも見られます。最近は端末がセキュアな社内環境の外に出る頻度が増え、感染のリスクが増しています。社外に持ち出したシンクライアントがWannaCryに感染し、社内の同一LAN上にある端末にランサムウェアが横展開したという事件がありました」(浜田氏)

      この事件は端末にセキュリティパッチを適用できておらず、古い状態で放置していたことも問題だった。パッチ適用は徹底する必要があるが、社内LANの外にある端末を含めた運用は多大な工数が伴う。

      デル 大橋 敦氏

      情報漏えい対策に有効とされるシンクライアントだが、なりすましログインのリスクにも気を付けなければならない。浜田氏は「パスワードの使い回しといった管理の甘さが不正アクセスを招いています。社外で業務を行う際には、悪意ある第三者に不正にログインされるリスクも増すでしょう。生体認証をはじめ、パスワードを必要としない認証のニーズが高まっています」と警告する。だが、生体認証ソリューションはWindowsにのみ対応するものが多く、Linuxや独自OSのシンクライアントでは採用が難しい。

      シンクライアントは、利便性の面でも弱点がある。「柔軟な働き方を実現するとしてVoIPやSkype会議といったツールの重要性が増しています。ただ、既存のシンクライアントはユニファイドコミュニケーションと相性が悪いケースがありました」とデルの大橋 敦氏(クラウド・クライアント・コンピューティング事業本部 システムズエンジニア)は指摘する。

      働き方改革を推進する上でVDIは有効な手段に思えるが、エンドポイント側の課題によって導入を諦めるケースも珍しくないという。

    • VDIに最適化した独自OSにより高いセキュリティを実現

      「Wyseシンクライアント」は、VDIにおけるエンドポイントの課題を克服するソリューションとして生まれた。Dellが提供するシンクライアント専用のOSを搭載したソフトウェア/ハードウェア垂直統合型の専用端末だ。

      IDCの調査によればワールドワイドで24%のトップシェアを占め(2017年第4四半期※)、金融機関や官公庁など強固なセキュリティが求められる組織を中心に幅広い業種への導入実績を持つ。近年は在宅勤務やサテライトオフィスでのリモートワークでも利用が広がり、働き方改革を後押しするソリューションとしても注目を集める。

      最大の特長は、エンドポイントのデバイスに独自OS「Wyse ThinOS」を搭載する点だ。これはVDI環境向けに開発された約30MBの軽量OSで、Citrix SystemsやVMware、Microsoft、Amazon Web ServicesらのVDIサービスを利用するためのフロントエンドとしてとして機能する。

      ブラウザなどを搭載せず、OSの改変やアプリケーションのインストールもできないため、マルウェアの侵入経路となる要因が極端に少ない。WindowsやLinuxと違ってAPIを一切公開しておらず、閉じた環境で開発していることから攻撃用ツールの作成も困難だ。「ランサムウェアのWannaCryや、Linuxのシェルから情報を盗むShellshockなどは動作しません。独自OSであることから対多数を狙うハッカーの攻撃対象になりにくく、非常にセキュアなOSです」と浜田氏は強調する。

      アンチマルウェア対策を必要とせず、マルウェアパターンファイルの更新や月次のセキュリティパッチの運用から解放されることもポイントだ。仮にパッチの適用が必要な場合でも、OSのサイズが小さいため、後述する管理ツールからインターネット経由で素早く配布できる。「社内LANの外にある端末もインターネットを介して管理できるので、運用もさらに楽になります」と大橋氏は話す。

    • ※IDC Worldwide Quarterly Converged Systems Tracker 2017Q4,「2017年第4四半期 IDC WW シンクライアントユニットシェア

      Wyse ThinOSを利用するメリット
    • 生体認証を使った端末ログインでなりすまし対策も可能

      デル 金 正潤氏

      独自OSを採用した従来のシンクライアントとは異なり、生体認証をサポートする点も特長の一つだ。今までは独自OSでは認証ソリューションモジュールの組み込みや認証デバイスドライバーの実装などで、生体認証の対応が難しいといわれていたが、ディー・ディー・エス(以下、DDS)が提供する多要素認証統合基盤「EVE MA」とWyse ThinOSの共同検証を行い、既存VDIの純粋な機能利用と関連設定をカスタマイズすることで、顔認証や指静脈認証などの生体認証をWyse ThinOS上でも使えることを確認した。

      金 正潤氏(クラウド・クライアント・コンピューティング事業部 セールスエンジニア)は「OSが軽量で、起動も10秒未満と高速な上、認証もすぐに完了します。外出先でも不正アクセスのリスクを軽減し、利便性も向上するとしてWyseシンクライアントを高く評価するユーザーの声も増えています」と説明する。デルとDDSは、共同でWyse ThinOSとEVE MAによる認証ソリューションの動作検証を行っているため、インテグレーターや利用者は動作検証なしに、安心してソリューションを採用できる。

    • 最新技術にスピーディーに対応しユーザーエクスペリエンスを向上

      Wyseシンクライアントは、VoIPによる音声通話やSkypeなどによるテレビ会議をスムーズに行うための機能を持ち、ユーザーの利便性にも配慮した設計だ。

      クライアントに専用のモジュールを追加することで「Microsoft Skype for Business」をVDI環境であっても遅延を発生させずに利用できるようになる。「Citrix HDX RealTime Optimization Pack」「VMware Horizon Virtualization Pack for Skype for Business」などにも対応した。「Cisco Virtualization Experience Media Edition」(VXME)をサポートし、「Cisco Jabber」の安定的な稼働も実現する。

      この他、H.264の映像圧縮方式に準拠した画面転送プロトコル「VMware Blast Extreme」、HTML5ビデオリダイレクション機能、Bluetooth 4.0機能など、需要の高い技術をスピーディーに組み込む。

      「柔軟な働き方を実現する上で、ユニファイドコミュニケーションをはじめ最新技術を素早く適用させることは非常に重要です。Wyseシンクライアントは独自の開発チームを持ち、スピーディーな対応に定評があります」(金氏)

    • Wyse Management Suiteで情シスも働き方改革を

      Dellは、シンクライアントの運用性を向上させることにも力を注ぐ。シンクライアントの管理用ツールとして「Wyse Management Suite」を提供し、Wyse ThinOSだけでなくLinuxやゼロクライアント、Windows 10 IoT EnterpriseなどのOSを搭載したシンクライアントの一元管理を可能にした。

      これにより導入時のキッティングからセキュリティポリシーの設定変更、アプリケーションの更新、セキュリティパッチの配布まで、シンクライアントのライフサイクル全体で必要となる管理機能をコンソール画面でまとめて利用できる。企業内の端末のインベントリ情報や稼働状況、ポリシー設定状況なども一覧できて分かりやすい。

      「特にWindows、Linuxベースのシンクライアントは、導入時のキッティングの負荷が高いという問題があります。Wyse ThinOSは、管理サーバから自動的に設定やOSイメージを配布できるのでキッティングの負荷が大幅に低下します。その他、月例のセキュリティパッチ運用も不要のため、端末運用の効率化に有効です」(大橋氏)

      Wyse Management Suiteの管理サーバは、オンプレミスの他、クラウド版も利用できる。後者は管理サーバ自体の導入や運用工数を削減でき、インターネットを通じて社内LANの外にある端末を管理、把握できるというメリットも追加される。働き方改革を背景に複雑化した端末の運用工数を下げる方法として、情報システム部門から喜びの声も聞かれるという。

    • Wyse Management Suiteのダッシュボード
    • シンクライアントデバイスからVDI基盤までを一気通貫で提供

      セキュリティ、利便性、運用性を兼ね備えたエンドポイントによって働き方改革を推進できる。それだけでなくDellのWyseシンクライアントを利用するメリットはさらに一歩先にある。

      大橋氏は、WyseシンクライアントだけでなくバックエンドのVMware Horizon、HCI基盤、さらにはコンサルティング、サポートを含めたVDI環境の構築に必要なソリューションを一気通貫で提供することを強みとして挙げる。

      Dell Technologiesグループ企業全体が保有するさまざまノウハウを活用できる点も見逃せない。今後、Secureworksのマネージド・セキュリティ・サービスと組み合わせ、エンドポイントとなるシンクライアントだけでなく、VDI基盤のデータセンターまでを統合的に監視するサービスも構想する。また、Secureworksが持つ脅威情報やセキュリティ管理の知見によって、導入企業はWyseシンクライアントをより安全に利用できる。

      「デルは既存のVDIの課題を解消するだけでなく、働き方改革を多方面で支えるソリューションを展開することで、お客さまをサポートします」(大橋氏)

    • この記事は TechTarget Japan (http://techtarget.itmedia.co.jp)に2019年3月に掲載されたコンテンツを転載したものです。https://techtarget.itmedia.co.jp/tt/news/1903/05/news03.html