Windows Embeddedを使って既存PCをシンクライアント化：「Windows Embedded」を企業で使い倒す（1/2 ページ）

企業で利用するクライアントPCの形態は、大まかに言うと「リッチクライアント」と「シンクライアント」の2種類に分類できる。「クライアントの形態をどのように選択すべきか？」という課題は、自社のIT環境の方向性を決める際の非常に重要なポイントだ。

[胡口敬郎，日本マイクロソフト]

リッチクライアントを使う場合のメリット／デメリット

　リッチクライアントを選択するメリットとしては、PCおよびITインフラが提供する機能をフルに活用できることで従業員の生産性を向上しやすい点や、市販PCをそのまま業務用PCとすることができるため、デスクトップ／ノート／タブレットといったさまざまなフォームファクターのデバイスを幅広く選択できる点が挙げられる。

　最新OSやサービスなどに対してクライアント側でいち早く対応できる点や、既存クライアント管理ソリューションとも連携できる点もIT管理者のメリットとして挙げられるだろう。さらに、クライアント側にアプリケーションがインストールされていることで、ネットワークに接続できないオフライン環境においてもPCが利用できる。オフライン環境への対応は、営業担当者や生産現場での利用など「ネットワークに接続できない環境にPCを持ち出す用途」においては必須の機能となるだろう。

　しかし、PCの多機能化によって、企業内データをクライアント側に大量に保存できたり、簡単に社外のオンラインサービスと連携できたりすることから、「利用者による情報漏えい」や「マルウェアや標的型攻撃」などの脅威にさらされるなどのデメリットも存在している。

　これによって、IT管理者はさまざまな場所で利用されている「クライアントを常に監視／管理し、セキュリティの維持に努める」といった各種対応に多くの労力を割かなければならない。

シンクライアントを使う場合のメリット／デメリット

　シンクライアントを選択するメリットとデメリットは、リッチクライアントを選択する場合とちょうど反対となる。

　クライアントの手元にあるデバイスは、シンクライアント専用機器にすることでハードディスクやUSBポートなどを全て排除して必要最低現の機能のみとし、ユーザーにはWebブラウザや仮想PCへのリモート接続ツールといった「必要最低限の機能のみ」を提供することで、リッチクライアントのデメリットである「クライアントPCを介しての情報漏えいや外部からの攻撃のリスク」を回避可能だ。

　しかし、デバイス側には最低限の機能しか持たせないため、オフライン利用ができない点や、専用機器となるため、別の用途への流用ができない点などのデメリットも存在する。また、サーバー側にクライアントPCとしての機能を集約しているため、動画や音声コンテンツ再生などに対応する際には、ネットワーク帯域や仮想PCのスペック向上が必要となるため、システムコストが増加するデメリットも存在する。

実際のクライアントは業務内容に応じて決めるべき

　上記のような特徴を踏まえて、社内のクライアントは、非常に重要な情報を扱う業務部門にはシンクライアントを、営業部門や開発部門にはリッチクライアントを、といった「セキュリティや用途に応じて使い分け」するのが一般的だ。

　しかし、実際の業務では、営業担当者の業務スタイルを例にとると、顧客情報管理は机上のシンクライアントで、商談対応や資料作成はリッチクライアントのノートPCで、というように用途に応じた複数のデバイスを使い分けなければならないケールも多く見受けられる。

　加えて、昨今のパブリッククラウドの発展により、メールやポータルサイトがWebサービスとして提供され、社内外を問わず企業の情報にアクセスできるようになったため、社内外の境界があいまいになってきている。そのため、リッチクライアントをその利便性を保ったままよりセキュアな構成にすることが求められたり、シンクライアントソリューションを採用した企業においてもセキュリティ要件に加えて、業務への最適化や業務生産性の向上が求められたりするなどの変化が生じている。

　リッチクライアントの利便性やデバイスの汎用性とシンクライアントの堅牢性を兼ねそろえたクライアントソリューションは実現可能だろうか？

　ポイントは2つあり、1つは「汎用PCをシンクライアントのようなセキュリティ的に強固なデバイスとしてカスタマイズできるかどうか」であり、2つ目は「リッチクライアントの利便性を落とさず、よりセキュリティ的に強固なOSとしてカスタマイズできるかどうか」という点である。

　本稿では「Windows Embedded 8.1 Industry Enterprise」（以下、Windows Embedded 8.1）の活用を通して、この課題の解法のひとつを紹介したい。

汎用PCを簡単にシンクライアントへ

　シンクライアントの特徴としては、データを保存可能なストレージを内蔵していない点、USBなどを介して外部ストレージに接続できない点、必要最低限のアプリケーションしか使用できない点が挙げられる。

　従来、通常のPCにはHDD内蔵が必須となっており、メーカー出荷のPCのインターフェイスを特別仕様で発注する、などの対応をしない限り、カスタマイズは困難だった。

　また、通常のWindows OSだけでは、上記のシンクライアントに求められる要件をクリアすることが難しく、シンクライアント専用機をシンクライアントソリューション用に調達する必要があった。しかし、Windows Embedded 8.1の登場によって、汎用PCでもシンクライアントに求められる要件がクリア可能になったのだ。

　もともと、Windows Embedded OSはOEM向けの組み込み用OSだ。そして、シンクライアント専用機のOSとしても使われており、シンクライアントに求められるさまざまな機能制限をOSの機能として実装している。

　先の要件にある「ディスクへの書き込み制限」や「PCのUSBポートの利用制限」などもフィルタリング機能として最初から実装している。そして、Windows EmbeddedのエディションのひとつがWindows Embedded 8.1となっているのだ。

　Windows Embedded 8.1は、通常のWindows OSと同様に汎用PCにインストール可能なOSだ。Windows 8.1 Proがハードウェア仕様的にインストール可能なPCであれば、そのままインストール可能となっている。

　そしてインストール後は各種フィルタリングを有効にすることで、シンクライアントと同様にストレージへのデータ保存や、USBデバイスの利用ができなくなる。OSの動作やアプリケーションの一時ファイルの作成などで内蔵HDDディスクに書き込むような動作をしているのだが、実際には主記憶媒体上の仮想ハードディスク上に書き込んでいて、OSの再起動やシャットダウンで全てが初期化されるため、これらの保存した情報は一切残らないようになっている。

　仮に一時的に保存できてもUSBデバイスの利用が全面的に禁止されているため、データを外に持ち出すことはできない。

　さらに、通常のOSと同様に「BitLocker」によるディスクの暗号化に対応しているため、多層防御によって強固なセキュリティを保つことが可能となっている。また、利用可能なアプリケーションもユーザーごとに実行できるアプリケーションを限定し、ログオン後は指定アプリしか動作させない、とったカスタマイズが容易に可能なのだ。

　また、汎用的なPCにはSurface Proなどのタブレットも含まれるため、特定の業務において最適なフォームファクターがタブレットタイプだった場合でも、そのままSurface Proをシンクライアント化できる。OSの動作に必要なデバイスドライバも、Windows 8.1用のものがそのまま利用可能だ。

シンクライアント、リッチクライアント、ハイブリッドクライアントのそろぞれの特徴

　そして、もうひとつ忘れていけない特徴は、シンクライアントからリッチクライアントに戻すことも、設定ひとつで簡単にできる点だ。業務内容の変更などに伴ってシンクライアントソリューションの利用者が増減するのは一般的だ。しかし、一度調達してしまったシンクライアント専用機はリッチクライアントには転換できない。逆にWindows Embedded 8.1がインストールされたPCは、シンクライアントにもリッチクライアントにも簡単に転換できる。この特徴は、機器への投資最適化に大いに寄与できるだろう。