脱シンクライアントのセキュリティ対策 情報資産を守る「データ・ゼロトラスト」とは 専門家が解説：ハイブリッドワーク時代の新常識

ハイブリッドワークの普及によってノートPCの持ち出しが日常化する一方、セキュリティリスクや運用課題も顕在化している。従来の暗号化やシンクライアントでは対処しきれない問題に直面する中、新たな解決策として注目を集めるコンセプトが「データ・ゼロトラスト」だ。どのような考え方なのか、そして企業が取るべき対策とは。

PR／ITmedia

PR

　ハイブリッドワークが一般化し、ノートPCをオフィス外に持ち出して仕事をすることが当たり前になった現在、企業のセキュリティ対策は大きな転換期を迎えている。場所を選ばずに働く柔軟性を得られる一方、端末の紛失や盗難リスク、データのサイロ化、オフライン時の利用制限など、暗号化やシンクライアントを中心とした従来の対策では乗り越えられない課題も浮上している。

　こうした状況を踏まえ、企業はどのような解決策を取るべきなのか。シンクライアント導入企業が抱える問題や脱シンクライアントを実現する新しいコンセプト「データ・ゼロトラスト」について、ソフトウェア製品の開発や販売、ITコンサルティングサービスなどを手掛けるEugrid（ユーグリッド）に詳しく聞いた。

誰もが直面するPCの盗難、紛失リスク

――働き方改革とコロナ禍によってハイブリッドワークが普及しました。場所を選ばずに作業ができるのは大きなメリットですが、やはり盗難や紛失リスクは高まります。ディスクを暗号化しているから安心だと思っていたものの、TPMの脆弱（ぜいじゃく）性やOSアップデートの遅れによって暗号鍵が盗まれる可能性があると聞くと、不安は拭えません。

Eugrid：　OSに標準で搭載されているAES暗号自体は相当強固ですが、鍵を保管するTPMやOS、ファームウェアに脆弱性があれば狙われてしまいます。従来はオフィスにPCを置いて帰る運用が一般的でしたが、今はどこへでもPCを携行する時代です。万が一、PCを盗まれたり紛失したりした場合に情報漏えいを確実に防げるかどうかが大きなポイントです。

シンクライアントの導入目的と課題

――端末内にデータを残さないシンクライアントを採用する企業が増えました。PCを紛失しても、「中身は空だから安全」というメリットがあります。しかし最近は、シンクライアント環境を更新する際に「もうやめたい」という声も多いと聞きます。なぜでしょうか。

Eugrid：　シンクライアントの代表例であるVDI（仮想デスクトップ基盤）は、PCを持ち出してもデータを残さないという大きな利点がある反面、（1）パフォーマンス低下の問題、（2）オフラインの利用不可、（3）TCO（総保有コスト）の高さなどのデメリットがあります。

　Web会議システムとの相性が悪かったり、時間帯によっては作業が滞るほど速度が低下したりするなど、ハイブリッドワークが標準となった今は実務上のストレスが大きいと言えます。出先で回線が不安定な環境にいることが多い営業やフィールドエンジニアにとって、オフライン不可は致命的です。導入当初は「PCを持ち出しても安全」という点にひかれても、今やライセンス費用の高騰なども合わさって利便性とコストの両面で厳しい状況と言わざるを得ません。

　もともとは理由があって導入したはずのシンクライアントも、導入時の担当者がいなくなると「パフォーマンスが悪い」「使い勝手が悪い」という状況になりがちです。結果的に「費用もかさむ上、ユーザビリティーが犠牲になる」という認識から見直しを検討する企業が増えている状況です。

理想のPC環境をかなえる3つの必須条件

Eugrid：　こうした背景から、私たちは「理想的なPC環境」を成立させる3つの条件を提示しています。

1：　紛失、盗難リスクを踏まえて確実なセキュリティ対策を講じること

2：　ユーザーの使いやすさや管理者の負担を軽減すること

3：　過剰投資にならない合理的なコストで実現できること

　シンクライアントは1を優先するあまり2と3の実現が難しくなり、逆に通常のFAT PCは2と3が優れる一方で1が弱いという課題があり、ここをどう両立するかが長年のテーマでした。

データのサイロ化による4つの問題点

――紛失や盗難が注目されがちですが、PCに大量のデータがたまるサイロ化にも大きな問題がありますね。

Eugrid：　はい。データのサイロ化により、以下の課題が生じます。

1：　紛失、盗難時のデータ漏えいリスクとインパクトが増大

2：　PCごとにデータが散在してガバナンスが低下

3：　故障、入替時のデータ復旧や移行が困難

4：　クラウドサービスの先進技術を十分に活用できない

　企業がPCと社員を無条件に信頼して、ローカルに自由に保存させてしまうことが根本原因だと当社は考えています。導入前に事前チェックを行うのですが、数十万ファイル、数百GBのデータがローカルに蓄積しているというケースは珍しくありません。

――社員の退職後にPCを回収して初めて「こんなデータが残っていたのか」と驚くケースを耳にすることもあります。データがPCに閉じ込められたままでは、クラウドサービスを通して利用できるAI活用やセキュリティ対策などを十分に取り入れられず、業務の効率化やコストの削減などの妨げにもなってしまいますね。

企業はPCとデータにまつわる問題の解消が求められる（出典：Eugrid提供資料。以下同）

データ・ゼロトラストという新しい発想とソリューション

――こうした状況を受けて、御社はどのようなソリューションを提案しているのでしょうか。

Eugrid：　当社が掲げるのが「データ・ゼロトラスト」という新しいコンセプトです。PCを信頼せず、管理下のクラウドストレージやファイルサーバにデータを強制集約してPCに残さないことで、PCとデータを分離します。管理者から承認を受けたユーザーは作業時だけデータを「借り」、使い終わったら「返却」してローカルからデータを消去するという“データの図書館”のようなイメージです。データ・ゼロトラストに従えば、データのサイロ化とそれによる4つの問題が全て解消します。シンクライアントとは違ってローカルのCPUやメモリを使えるので、パフォーマンスやオフライン対応の問題は発生しません。

データ・ゼロトラストならPCへのサイロ化を防止できる

　そして、データ・ゼロトラストをソフトウェアで実装したのが次世代PC環境の「TrueOffice」です。核となるのは「VacuumContainer」（バキュームコンテナー）というユーザーデータの“吸収密閉”容器で、これはPCのあらゆるユーザーデータを強力に暗号化し、サインアウトやシャットダウン時に暗号鍵を消去（返却）することで読解不可能な状態として、実質的に「ローカルを空に戻す」仕組みです。ユーザーは暗号鍵だけ手に入ればデータにすぐにアクセスできるため、データをローカルから消してしまうことによるデメリットがありません。

クラウドサービス上にのみデータが存在する状態を実現

　「FullCover」という機能も備え、メールやブラウザのアプリケーションキャッシュ、ゴミ箱、証明書なども含めディスク全体を自動で保護対象にできます。ユーザーがどこにデータを保存しても漏れを防げるのが大きなポイントです。

TrueOfficeなら、あらゆるユーザーデータを抜け漏れなく保護対象にできる

――データ保護をうたっているツールには「特定フォルダのみ保護」という仕組みが多く、データをフォルダに入れ忘れると漏えいのリスクが生じていました。多くのアプリケーションは、ユーザーが意識しないうちにAppDataフォルダ配下にキャッシュなどさまざまなデータを書き込みますが、これらをユーザーが手動でコントロールすることは実質的に不可能です。取引先から確実なセキュリティ対策を求められていたり、大量の個人データを扱っていたりする企業は、こうした抜け漏れは許容できません。FullCoverならこの心配がありませんね。

シンクライアントの後継にふさわしい4つの要素

Eugrid：　当社は次世代PC環境にふさわしい、シンクライアントの後継として、以下の条件が必要であると考えています。

1：　データ保護強度が十分か

2：　保護対象に抜け漏れがないか

3：　ユーザビリティーと管理性は高いか

4：　導入維持コストに合理性があるか

　TrueOfficeはVacuumContainerとFullCoverによる高い保護能力に加え、FAT PC同等のパフォーマンスを持ち、独自の工夫によって完全なオフライン利用も可能です。大掛かりな専用サーバや特殊なライセンスは必要がないため、コストも大幅に削減できます。

――まさにシンクライアントの問題をクリアしつつ、盗難や紛失対策の要件はきちんと守れるわけですね。PCリプレースを検討する企業には非常に有力な選択肢だと思います。

強固な認証と確実なデータ保護の両輪がかなうトータルソリューション

Eugrid：　ところで、データを保護する上で重要なのは、PCのデータの取り扱いだけではないことにお気付きでしょうか。データへのアクセスを許可するユーザーとPCを正確に識別すること、つまり認証が極めて重要な役割を果たしているんです。

――シンクライアント端末から遠隔でVDIを利用していたとしても、認証がおろそかになってしまっては不正アクセスが容易に可能になってしまいます。IDとパスワードを書いた付箋をPCに貼り付けていたり、メモしていた手帳とPCを盗難されたりしてしまっては、せっかくのデータコントロールも意味がなくなってしまいますね。

Eugrid：　認証システムがいくら強固でも、PCのデータ保護が不十分であれば情報漏えいは避けられません。PCとデータを適切に保護するには、強固な認証と確実なデータ保護の両方がそろっている必要があります。TrueOfficeは、VacuumContainerと連携する独自のワンタイムパスワード（OTP）認証機能を備え、PCとデータ保護を一つのソリューションとして提供しています。

――単一機能のツールにとどまらず、ユーザーが求めている目標を実現するトータルソリューションとなっているのは、画期的で大きな将来性を感じます。

TrueOfficeはOTP認証機能を搭載

より柔軟かつ安全なPC環境の実現に向けて

――盗難、紛失対策の要点からFAT PCの問題点、シンクライアントの課題、御社独自のデータ・ゼロトラストやTrueOfficeの仕組みまで勉強になりました。

Eugrid：　私たちは「PCとデータの安全かつ効果的な活用」を主眼に、ソフトウェアによる解決策を追求してきました。時代の要請に応じて進化と最適化を重ね、名実ともにシンクライアントの後継となるソリューションを実現できたと考えています。今後もビジョンとコンセプトに従って機能拡張を進め、より柔軟で安全なPC環境の実現を目指します。

――ありがとうございました。

※本稿は、Eugridからの寄稿記事を再構成したものです。