新しい時代の選択肢! ChromebookとGoogle Workspaceでハイブリッドワーク環境を構築する方法:ハイブリッドワーク時代のビジネスPC選定術(第3回)(1/3 ページ)
前回の記事では、従来の業務環境から大きな変化を伴うことなくハイブリッドワークを行う方法として、Windows PC(Windows 10/11)と「Microsoft 365 Business Premium」を組み合わせる方法を紹介した。
前回でも少し触れたが、Windows PCとMicrosoft 365 Business Premiumの組み合わせでは、初期導入コストが少し高く付きやすい。また、管理者にはWindowsの管理に関する知識も求められる。
もしも企業や組織で使っている業務システムがWebブラウザで稼働するもので、かつOSやブラウザに依存しないものであれば、Windows PCにこだわる必要はない。Windowsに固執しないことで選択肢は増える……のだが、だからといってスマートフォンやタブレット“だけ”で業務をこなすことは難しいことも少なくない。
そこで検討したいのが、Googleが提唱する「ChromeOS」を搭載するPC(主にChromebook)と、同社のSOHO/法人向けサービス「Chrome Enterprise」「Google Workspace」を組み合わせる選択肢だ。この組み合わせなら、高いセキュリティレベルを維持しつつハイブリッドワーク環境を構築できる。
Chromebook+Chrome Enterpriseを選ぶメリットは?
ご存じの人も多いかもしれないが、ChromeOSはGoogleのWebブラウザ「Google Chrome」を基盤としている。そのため、同ブラウザの企業向け管理機能である「Chrome Enterprise」にも対応する。
ChromeOS搭載PCをChrome Enterpriseで管理すると、Googleにセキュリティ対策や運用を大きく任せられる。Windows PCと比べるとシンプルに管理できることもあり、運用コストも抑えられることもメリットだ。
EMM(エンタープライズモバイル管理)でWindows PCを管理する場合、基本的な管理は「管理コンソール」でも行えるが、詳細な設定をするにはスクリプト処理を要するケースも散見される。しかしChromeOSの場合、元々のOSの設計がシンプルであることから、Chrome Enterpriseの管理コンソール「Google 管理コンソール」でポリシーを作るだけで高いセキュリティレベルを実現できる。
「シンプルながらもセキュア」な秘密は?
ChromeOS搭載PCをChrome Enterpriseで管理すると、シンプルなのにセキュア――その秘密は、大きく以下の5つの要素に支えられている。
- OSの自動更新
- アプリのサンドボックス稼働
- OSの改ざん保護
- データの暗号化
- セーフブラウジング
それぞれの機能について、概要を説明していく。なお、説明はChromeOSをプリインストールするChromebook/Chromeboxを前提としている。既存のPCなどにインストールできる「ChromeOS Flex」を使う場合の差異は、このセクションの最後でまとめて紹介する。
OSの自動更新
ChromeOS搭載PCでは、Windowsと同様にバックグラウンドで最新のセキュリティパッチの適用やソフトウェアの更新が行える。
Windows PCとの大きな違いはOSを常に「二重化」していることで、パッチや更新は起動“していない”方のイメージ(系統)に適用される。適用後に再起動を行うと、起動に使われるイメージが入れ替わり、パッチや更新を適用したイメージから起動する。これにより、再起動で“待たされる”ことを防いでいる。
ただし、パッチや更新の適用で不具合が生じることもある。万が一、そのような事態が発生してしまった場合は、適用前の(元々使っていた)イメージに戻して再起動するので、フェイルセーフもばっちりである。
Windows PCの「Windows Update」の場合、OSのコアや起動中のシステムプロセスに対するパッチ/更新は再起動しないと適用できない。昔と比べれば適用にかかる時間は短くなったとはいえ、この再起動中はPCを使った作業を行えない。
パッチや更新のためのダウンタイムが気になるという声が多い場合は、ChromeOS搭載PCを検討する余地が大いにあるといえるだろう。
アプリのサンドボックス稼働
PCのセキュリティを確保する観点から、最近のPC向けOSはアプリを「サンドボックス」と呼ばれる仮想環境で稼働させる機能を備えている。
サンドボックスは日本語にすると「砂場」という意味である。砂場といえば、公園や幼稚園/保育園の園庭において子どもが遊ぶ場所というイメージがある。さらに具体的に想起してみると、そのような砂場は公園や園庭の他の区画から“ハッキリと”区別されていることが多く、教職員/保育士や保護者が見守りやすい、見通しのよい場所である傾向にある。
砂場のイメージになぞらえると、OSにおけるサンドボックスは他のアプリ(=区画)から明確に独立したメモリ領域でアプリを実行することで、悪意のあるアプリからの攻撃を防ぐ(=見守る)機能といえる。逆に、この区別は自分が他のアプリを攻撃してしまう(あるいは巻き込んで不具合を起こしてしまう)リスクを防ぐことも意図している。
ChromeOSでは、Chromeブラウザ上のウィンドウやタブはもちろん、他のアプリもサンドボックス上で稼働するようになっている。このことでアプリ(プロセス)間でのデータのやり取りには一定の制限は生じるものの、悪意のあるサイトやアプリを開いたとしても、他のアプリに与える影響を最小限に抑えられる。
最近のランサムウェアは、手口が巧妙化している。万が一、ランサムウェアやマルウェアの脅威に引っかかってしまったとしても、サンドボックスによって被害をある程度封じ込めることが可能だ。
ChromeOSでは、Chromeブラウザのウィンドウ/タブやアプリが全てサンドボックス上で稼働する。万が一、悪意のあるWebサイトやアプリを開いてしまったとしても他のアプリを抑えることが可能だ。なお、Windows 10/11でもサンドボックスは利用可能だが、若干面倒な設定をする必要がある(参考リンク)OSの改ざん保護
ごく一部の例外(※1)を除き、ChromeOS搭載PCにはGoogle独自のセキュリティプロセッサ「Titan Cチップ」が搭載されている。ChromeOS搭載PCでは、Titan Cチップ、フォームウェアとOSが連携して起動時の「改ざんチェック」が行われる。
最近はOSレベルだけでなくファームウェアレベルで攻撃を仕掛けてくる“たちの悪い”マルウェアも存在する。もしもOSレベル、あるいはファームウェアレベルで潜伏するマルウェアに感染したとしても、改ざんが検知されると自動的に正常なOSやファームウェアに書き戻されるようになっているので、企業や組織のPCを“クリーン”に保ちやすい。
(※1)Lenovo(レノボ)製の「Lenovo 100e Chromebook 2nd Gen」と「Lenovo 300e Chromebook 2nd Gen」(両モデルにはTitan Cチップとは異なるセキュリティチップを搭載している)
データの暗号化
ChromeOS搭載PCに備え付けられたTitan Cチップは、デバイスに保存するデータの暗号化も担っている。ローカルストレージ(eMMC/SSD)に保存されるファイルも暗号化されているので、ストレージだけ盗み取られたとしても、データを取り出すことは不可能だ。
Titan Cチップはストレージやメインメモリから“独立”した暗号化/復号処理と暗号鍵の管理を行うため、非常に強力である。ハードウェアレベルのクラッキングへの体制も非常に強い。
Chromeboox/Chromeboxには、ごく一部の例外を除いてTitan Cチップが搭載されている。OSの改ざん保護やデータの暗号化を担うこのチップはCPUやファームウェアから“独立”していることが大きなポイントで、高いレベルでのセキュリティを担保しているセーフブラウジング
Chromeブラウザを基盤とするChromeOSでは、標準機能としてフィッシングサイトや危険なサイトにアクセスした際の警告、危険なファイルのダウンロードの遮断を行うようになっている。利用者が使っているパスワードが漏えいした場合に通知を行う機能も備える。
管理者がいちいち注意を促さなくても、ユーザーが“うっかり”悪意のあるサイトにアクセスしてしまっても、システムとして一定のセキュリティを確保しやすいのがChromeOS搭載PCのメリットといえる。
ChromeOS Flexを利用する場合の注意点
今回の主題である「Chrome EnterpriseとGoogle Workspaceを使ったハイブリッドワーク」は、ChromeOS FlexをインストールしたPC/Macでも利用できますが、ChromeOSをプリインストールするChromebook/Chromeboxとは以下の点が異なりますので注意してください。
OSの改ざん保護
ChromeOS FlexではOSの改ざん保護機能は利用できません。ただし、UEFI(BIOS)の「セキュアブート(Secure Boot)」には対応しているので、OSの起動時におけるセキュリティはある程度確保できます。
Googleでは、ChromeOS Flexを利用する際にセキュアブートを極力有効化することを推奨しています。
データの暗号化
ChromeOS FlexはTitan Cチップの代わりにPCのTPM(Trusted Platform Module)を使って保存ファイルの暗号化を行います。
同OSはTPMを搭載していない(有効化されていない)PCでも稼働できるようになっており、データの暗号化も行いますが、TPMを搭載しているPCと比べるとセキュリティ面で脆弱(ぜいじゃく)になる可能性があります。
その他の注意点
ChromeOS Flexでは、以下の点も異なります。使いたい機能が利用できない場合は、Chromebook/Chromeboxの導入も検討してください。
- Androidアプリをサポートしません
- 「Parallels Desktop for ChromeOS」をサポートしません
- 「Linux開発環境」が利用できないことがあります(ハードウェアスペックによる)
関連記事
「Microsoft 365」でWindows PCを快適に! 利用者も管理者もスマートなハイブリッドワークを実現する方法
ハイブリッドワークを前提にPCを導入する場合は、どのようなことを考慮すべきなのか――既存のWindows環境を生かしたい場合は「Microsoft 365 Business Premium」を組み合わて環境作りをすることをお勧めしたい。ハイブリッドワークに最適なWindows PCを選ぶポイントと合わせて紹介しよう。
「ウチは無理だから……」と諦めるのは早い! 悩める情シスが知っておくべきビジネスPCの選び方
新型コロナウイルス感染症を受けて急速に広がった「テレワーク(リモートワーク)」は、そこから一歩進んで働く場所を選ばない「ハイブリッドワーク」に進みつつある。そんな時代にビジネスで使うPCはどう選べばいいのだろうか? 具体的な機能から機種を検討する前に、デプロイメント(展開)の方法から検討するべきではないだろうか。
144Hz対応の15.6型液晶を搭載! ゲームも楽しめる「ASUS Chromebook Vibe CX55 Flip」が登場
ASUS JAPANから、クラウドベースのゲーム用途も想定した「Chromebook Vibe CX55 Flip」2mドエルが発表された。販売は10月26日からの見込みで、価格は税込み8万9800円からとなる。
NEC、児童生徒のChromebook利用状況を可視化する学習支援サービス「学びの様子見える化サービス」
NECが、自治体/学校法人向けとなる学習端末の利用状況可視化サービスを発表した。
無料で使える「Chrome OS Flex」! どの程度使えるのかを試した
Googleが正式リリースした、要件を満たすWindows PCやMacで利用できる「Chrome OS Flex」はどの程度つかえるものなのか。デル・テクノロジーズのノートPCを使って試してみた。
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- バッファロー開発陣に聞く「Wi-Fi 7」にいち早く対応したメリット 決め手は異なる周波数を束ねる「MLO」【前編】 (2024年04月22日)
- MSIから裏配線マザーが2モデル登場! (2024年04月22日)
- OpenAIが日本法人を設立 日本語に最適化したGPT-4カスタムで3倍速く/Microsoft Edgeの更新で「Microsoft Copilot」アプリが導入される不具合 (2024年04月21日)
- あなたのPCのWindows 10/11の「ライセンス」はどうなっている? 調べる方法をチェック! (2023年10月20日)
- PFUのコンパクトキーボード「HHKB Professional HYBRID」が全品2000円オフのセール! (2024年04月20日)
- もう全部、裏配線でいいんじゃない? 「ASUS BTF DESIGN」が示す自作PCの新しい形 (2024年04月19日)
- ASUS×NoctuaのGeFroce RTX 4080 SUPER搭載カードがデビュー! (2024年04月20日)
- トランセンド、M.2 2242に対応したM.2 NVMe Gen4 SSD (2024年04月22日)
- ASUS、Wi-Fi 7に対応したハイエンド仕様のゲーミング無線LANルーター (2024年04月22日)
- 「IBMはテクノロジーカンパニーだ」 日本IBMが5つの「価値共創領域」にこだわるワケ (2024年04月23日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。