前回の記事では、従来の業務環境から大きな変化を伴うことなくハイブリッドワークを行う方法として、Windows PC(Windows 10/11)と「Microsoft 365 Business Premium」を組み合わせる方法を紹介した。
前回でも少し触れたが、Windows PCとMicrosoft 365 Business Premiumの組み合わせでは、初期導入コストが少し高く付きやすい。また、管理者にはWindowsの管理に関する知識も求められる。
もしも企業や組織で使っている業務システムがWebブラウザで稼働するもので、かつOSやブラウザに依存しないものであれば、Windows PCにこだわる必要はない。Windowsに固執しないことで選択肢は増える……のだが、だからといってスマートフォンやタブレット“だけ”で業務をこなすことは難しいことも少なくない。
そこで検討したいのが、Googleが提唱する「ChromeOS」を搭載するPC(主にChromebook)と、同社のSOHO/法人向けサービス「Chrome Enterprise」「Google Workspace」を組み合わせる選択肢だ。この組み合わせなら、高いセキュリティレベルを維持しつつハイブリッドワーク環境を構築できる。
ご存じの人も多いかもしれないが、ChromeOSはGoogleのWebブラウザ「Google Chrome」を基盤としている。そのため、同ブラウザの企業向け管理機能である「Chrome Enterprise」にも対応する。
ChromeOS搭載PCをChrome Enterpriseで管理すると、Googleにセキュリティ対策や運用を大きく任せられる。Windows PCと比べるとシンプルに管理できることもあり、運用コストも抑えられることもメリットだ。
EMM(エンタープライズモバイル管理)でWindows PCを管理する場合、基本的な管理は「管理コンソール」でも行えるが、詳細な設定をするにはスクリプト処理を要するケースも散見される。しかしChromeOSの場合、元々のOSの設計がシンプルであることから、Chrome Enterpriseの管理コンソール「Google 管理コンソール」でポリシーを作るだけで高いセキュリティレベルを実現できる。
ChromeOS搭載PCをChrome Enterpriseで管理すると、シンプルなのにセキュア――その秘密は、大きく以下の5つの要素に支えられている。
それぞれの機能について、概要を説明していく。なお、説明はChromeOSをプリインストールするChromebook/Chromeboxを前提としている。既存のPCなどにインストールできる「ChromeOS Flex」を使う場合の差異は、このセクションの最後でまとめて紹介する。
ChromeOS搭載PCでは、Windowsと同様にバックグラウンドで最新のセキュリティパッチの適用やソフトウェアの更新が行える。
Windows PCとの大きな違いはOSを常に「二重化」していることで、パッチや更新は起動“していない”方のイメージ(系統)に適用される。適用後に再起動を行うと、起動に使われるイメージが入れ替わり、パッチや更新を適用したイメージから起動する。これにより、再起動で“待たされる”ことを防いでいる。
ただし、パッチや更新の適用で不具合が生じることもある。万が一、そのような事態が発生してしまった場合は、適用前の(元々使っていた)イメージに戻して再起動するので、フェイルセーフもばっちりである。
Windows PCの「Windows Update」の場合、OSのコアや起動中のシステムプロセスに対するパッチ/更新は再起動しないと適用できない。昔と比べれば適用にかかる時間は短くなったとはいえ、この再起動中はPCを使った作業を行えない。
パッチや更新のためのダウンタイムが気になるという声が多い場合は、ChromeOS搭載PCを検討する余地が大いにあるといえるだろう。
PCのセキュリティを確保する観点から、最近のPC向けOSはアプリを「サンドボックス」と呼ばれる仮想環境で稼働させる機能を備えている。
サンドボックスは日本語にすると「砂場」という意味である。砂場といえば、公園や幼稚園/保育園の園庭において子どもが遊ぶ場所というイメージがある。さらに具体的に想起してみると、そのような砂場は公園や園庭の他の区画から“ハッキリと”区別されていることが多く、教職員/保育士や保護者が見守りやすい、見通しのよい場所である傾向にある。
砂場のイメージになぞらえると、OSにおけるサンドボックスは他のアプリ(=区画)から明確に独立したメモリ領域でアプリを実行することで、悪意のあるアプリからの攻撃を防ぐ(=見守る)機能といえる。逆に、この区別は自分が他のアプリを攻撃してしまう(あるいは巻き込んで不具合を起こしてしまう)リスクを防ぐことも意図している。
ChromeOSでは、Chromeブラウザ上のウィンドウやタブはもちろん、他のアプリもサンドボックス上で稼働するようになっている。このことでアプリ(プロセス)間でのデータのやり取りには一定の制限は生じるものの、悪意のあるサイトやアプリを開いたとしても、他のアプリに与える影響を最小限に抑えられる。
最近のランサムウェアは、手口が巧妙化している。万が一、ランサムウェアやマルウェアの脅威に引っかかってしまったとしても、サンドボックスによって被害をある程度封じ込めることが可能だ。
ごく一部の例外(※1)を除き、ChromeOS搭載PCにはGoogle独自のセキュリティプロセッサ「Titan Cチップ」が搭載されている。ChromeOS搭載PCでは、Titan Cチップ、フォームウェアとOSが連携して起動時の「改ざんチェック」が行われる。
最近はOSレベルだけでなくファームウェアレベルで攻撃を仕掛けてくる“たちの悪い”マルウェアも存在する。もしもOSレベル、あるいはファームウェアレベルで潜伏するマルウェアに感染したとしても、改ざんが検知されると自動的に正常なOSやファームウェアに書き戻されるようになっているので、企業や組織のPCを“クリーン”に保ちやすい。
(※1)Lenovo(レノボ)製の「Lenovo 100e Chromebook 2nd Gen」と「Lenovo 300e Chromebook 2nd Gen」(両モデルにはTitan Cチップとは異なるセキュリティチップを搭載している)
ChromeOS搭載PCに備え付けられたTitan Cチップは、デバイスに保存するデータの暗号化も担っている。ローカルストレージ(eMMC/SSD)に保存されるファイルも暗号化されているので、ストレージだけ盗み取られたとしても、データを取り出すことは不可能だ。
Titan Cチップはストレージやメインメモリから“独立”した暗号化/復号処理と暗号鍵の管理を行うため、非常に強力である。ハードウェアレベルのクラッキングへの体制も非常に強い。
Chromeブラウザを基盤とするChromeOSでは、標準機能としてフィッシングサイトや危険なサイトにアクセスした際の警告、危険なファイルのダウンロードの遮断を行うようになっている。利用者が使っているパスワードが漏えいした場合に通知を行う機能も備える。
管理者がいちいち注意を促さなくても、ユーザーが“うっかり”悪意のあるサイトにアクセスしてしまっても、システムとして一定のセキュリティを確保しやすいのがChromeOS搭載PCのメリットといえる。
今回の主題である「Chrome EnterpriseとGoogle Workspaceを使ったハイブリッドワーク」は、ChromeOS FlexをインストールしたPC/Macでも利用できますが、ChromeOSをプリインストールするChromebook/Chromeboxとは以下の点が異なりますので注意してください。
ChromeOS FlexではOSの改ざん保護機能は利用できません。ただし、UEFI(BIOS)の「セキュアブート(Secure Boot)」には対応しているので、OSの起動時におけるセキュリティはある程度確保できます。
Googleでは、ChromeOS Flexを利用する際にセキュアブートを極力有効化することを推奨しています。
ChromeOS FlexはTitan Cチップの代わりにPCのTPM(Trusted Platform Module)を使って保存ファイルの暗号化を行います。
同OSはTPMを搭載していない(有効化されていない)PCでも稼働できるようになっており、データの暗号化も行いますが、TPMを搭載しているPCと比べるとセキュリティ面で脆弱(ぜいじゃく)になる可能性があります。
ChromeOS Flexでは、以下の点も異なります。使いたい機能が利用できない場合は、Chromebook/Chromeboxの導入も検討してください。
Copyright © ITmedia, Inc. All Rights Reserved.