VDI環境でも残されるセキュリティの課題と解決策：これからのモバイル基盤（2/3 ページ）

[高添修，ITmedia]

VDIの課題

　企業は、VDI環境を構築することによって社内のデータを外に持ち出さなくてよくなる。ところが、時代は大きく変わりつつあり、「データを社外に出さない」だけでは守れないリスクを無視できなくなってきているのだ。また、VDIを選択した場合はデータセンター内の仮想マシンだけを管理するわけにはいかず、利用者が持つモバイルデバイスの管理についても検討する必要が出てくる。VDIに接続するモバイルデバイスは様々であり、Windowsだけ、iPadだけといった専用ツールでは足りない場合も多い。

　このため、マイクロソフトでは「Enterprise Mobility Suite（EMS）」でVDI環境を多層的に防御するための機能を提供し、モバイルデバイス管理については「Microsoft Intune」を用意している（詳しくは初回記事を参照）。

　なお、一般的なモバイルデバイス管理ツールとEMSには違いがある。例えば、VDI環境を利用するのは社内ITにアクセスできるユーザーと思いがちだが、実際に利用する人はモバイルデバイスを持っている人が中心だ。このため、Microsoft Intuneではデバイスと利用ユーザーを紐づけることで新しいリスクマネージメントの役割を目指している。具体的には、Microsoft IntuneとAzure Active Directoryが連動し、認証・証跡・アクセス制御の基盤になる。Azure Active Directoryと社内のActive Directory間でユーザー情報も同期でき、認証基盤を社内とクラウドの2カ所に配置してもユーザーIDは1つのモノとして管理できる。

　これは、マイクロソフトが考える「People-Centric IT」に基づくものだ（図4）。EMSはVDI、モバイルデバイス、利用者の3つを関連付けて管理する。この3つがバラバラのまま管理されることによる危険性は、セキュリティを意識する人ならば、お分かりいただけるだろう。

図4：マイクロソフトのPeople-Centric ITとは？

クラウドに配置されるVDIやファイル

　マイクロソフトがPeople-Centric ITを考える1つの理由がクラウドだ。最近ではVDIやファイルの置き場としてクラウドの利用が台頭しつつある。

　VDI導入に伴う大きな課題が初期投資だ。高性能ハードウェア、高価なストレージ、社外からのネットワークアクセス基盤、そしてVDIソフトウェアなどが必要で、ソリューションとしての有用性を理解しつつも、二の足を踏む企業もいる。そこでクラウド上のVDIに期待が集まる。

　例えば、VDI環境をMicrosoft Azure上に配置し、利用した分だけ課金されるモデルにすれば初期投資を抑えられる。自社内でVDI基盤を構築・管理するリソースも削減できるだろう。Microsoft Azureでは顧客の自社内ネットワークとVPN（専用線）でもつなげるので、モバイルユーザーならインターネット経由で、社内ユーザーは手元のデバイスから無線などの社内ネットワーク経由でAzure上のVDIにアクセスする。

　また、上述したRemoteApp機能はクラウドから「Microsoft Azure RemoteApp」というサービスでも提供される。AzureのIaaSを使ってVDI環境を構築するには、接続ブローカーやポータルなどを個々の仮想マシン上に構築、設定する必要があるが、Microsoft Azure RemoteAppはVDI管理機能をAzureが提供するため、構築や設定の作業を減らせる。Azure上のRemoteApp管理画面はAzureユーザーには見慣れたものだろう（図5）。

図5：Microsoft Azure RemoteAppの管理画面

　Microsoft Azure RemoteAppでも各種デバイス向けにクライアントアプリケーションが用意され、BYODでも利用できる。以下の図6はWindows PCのAzure RemoteAppクライアントだ。リモート接続が可能なアプリケーションリストが並んでいる。

図6：Microsoft Azure RemoteApp 用の専用クライアント（Windows用）

　Azure RemoteAppではデバイスやユーザーの認証をAzure Active Directoryで行う。クラウド化で社内と社外の垣根がなくなりつつある中では、モバイルデバイスの認証機能を社内に閉じ込めておくのは難しいからだ。EMSを使えば利用者自身によるクラウドからのパスワードリセットやアプリケーション利用状況の監視も行える。これらは「シャドーIT」対策としても有効だ。

図7：Microsoft Azure RemoteAppの全体像

　Microsoft Azure RemoteAppの全体像は上の図7の通りだ。アプリケーションがインストールされたオンプレミスのWindows ServerをテンプレートとしてAzureにアップロードし、Azureの管理ポータルで必要な台数のセッションホストを起動する設定を行う。RemoteAppの設定画面には社内とのVPN接続や社内ドメインに参加させるための設定が用意され、クラウドでも社内システムと連携できるようになっている。