コロナ禍をきっかけにワークスタイルは大きく変化しました。通常業務さえテレワークが一般的になり、そこで使用される業務アプリはクラウドサービスが中心になっています。一方で、急速に普及したテレワーク環境はサイバー攻撃者の格好の標的にもなっています。テレワーク環境のセキュリティ対策としてDaaS/VDIを導入しているケースは多いのですが、それ以外の部分のセキュリティ対策が不十分で攻撃を受けてしまうケースもあります。ここでは、DaaS/VDI導入環境におけるセキュリティ強化についてご紹介します。
テレワークはこれまで、限られたユーザーが一時的に利用するものと考えられていました。それがコロナ禍を経て、社員すべてが在宅勤務になり、必要なときだけ出社するといった業務形態を採用する企業が増えました。また、業務に関するアプリケーションやデータはクラウドに移行しており、DaaS/VDIの利用も増えています。
DaaS/VDIは、クラウドやデータセンターの仮想環境に仮想デスクトップを構築するソリューションです。仮想デスクトップ環境にアクセスした端末のマウスやキーボードの操作を送信し、仮想デスクトップ上で実行します。実行した結果は画面データとして送られてくるので、PCを遠隔操作するようなものといえます。
このため操作する端末はPCである必要はなく、スマートフォンやタブレットでも操作できます。また、端末側に一切情報が残らないため、端末が紛失や盗難に遭っても情報が流出する心配はありません。このため、最低限の機能だけを搭載したシンクライアントPCを端末に使用するケースも多くあります。DaaS/VDIは、セキュリティ面や運用面においてテレワークに非常に適したソリューションなのです。
テレワークへの移行が急だったため、オフィスで使用していたノートPCを自宅に持ち帰り、テレワークに活用するケースもありました。こうした、単体で業務に使える機能を持った一般的なPCは、シンクライアントの逆という意味でファットクライアントと呼ばれます。最近では、ファットクライアントのリソースの有効活用や、インフラ面からDaaS/VDIユーザーの急増に伴うネットワーク負荷を減らすことを目的に、ハイブリッド構成で運用する企業も増えています。
ハイブリッド構成とは、DaaS/VDIの利用と、ファットクライアントでSWG(セキュアウェブゲートウェイ)を介してインターネットに接続(ローカルブレイクアウト)する2つの方法を組み合わせて運用することです。例えば、チャットやWeb会議などのSaaSにはローカルブレイクアウトで手元の端末から直接接続し、業務上の秘密情報を扱うような場合はDaaS/VDIを利用して社内にアクセスするといった形になります。
DaaS/VDIとファットクライアントのハイブリッド構成が増加
ハイブリッド構成はファットクライアントとDaaS/VDIのそれぞれの良い部分を利用できますが、セキュリティ面ではDaaS/VDIではない部分が弱くなってしまいます。特にファットクライアントはこれまで企業ネットワークの中で多層防御により守られていましたが、テレワークでは企業ネットワークの外に出てしまうので、十分なセキュリティ対策が必要になります。
急激に移行したテレワーク環境はセキュリティ対策が十分でなく、そこを狙ったサイバー攻撃が急増しています。例えば、テレワーク用ソフトウェアの脆弱性を悪用する攻撃や、テレワークに対応しきれない管理体制の不備を突く形での攻撃が多発しました。テレワーク中にウイルスに感染し、出社して企業ネットワークに接続した際に社内で感染が拡大した例もあります。
こうした状況を受けて、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」の2021年版(※)では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が2020年版の圏外から第3位へと急伸しています。しかし、脅威があるからといって、テレワークをやめるという企業はいないでしょう。
テレワークとクラウドサービスの普及によって、業務を行う端末は多層防御を施してある企業ネットワークの外に出ています。この状況では、特定のネットワークの内か外かでリスクを判定するのではなく、端末の情報をしっかりと管理する必要があります。そして、「どこから・誰が・どこへアクセスするのか」をコントロールするゼロトラストセキュリティの考え方が重要になります。
特に、テレワークが主体となる業務環境では「どこから」「誰が」「何を用いて」を管理することが重要となります。アクセス起点となる端末のコンテキスト情報を収集し、認証・認可を制御するIdP(認証情報の管理サービス)と連携することで、各ビジネスリソースへの適切なアクセス管理・制御を一貫したポリシーのもとに実現することが必要です。
テレワークではアクセスコントロールが重要な課題
こうした問題の解決に有効なソリューションが「VMware Workspace ONE」です。このソリューションは、認証・認可・アクセス制御を行う「Workspace ONE Access」と、統合エンドポイント管理を行う「Workspace ONE UEM」の2つのサービスで構成されるクラウドサービスです。
Workspace ONE Access(旧製品名:vIDM/VMware Identity Manager)はIdPとして機能させることで、アプリケーションやSaaSに対して認証やアクセス制御機能を提供します。特に、接続元デバイス、ロケーション、ユーザーなどの要素を組み合わせた、柔軟なアクセスポリシーを設定できることが特徴となっています。
例えば、Windows 10の会社支給端末のアクセス元が、社内からか社外からなのかを判断し、アクセス元に合わせて必要な認証方式を変更したり、役員のアクセスに対しては認証要素を減らして、シンプルにアクセスできるようにしたりするといった対応が可能になります。
Workspace ONE Accessで実現するアクセス制御
一方、Workspace ONE UEM(旧製品名:AirWatch)は、会社支給のスマートフォンを管理するMDM(モバイルデバイス管理)製品としてよく知られていますが、現在はPCも含めたあらゆる端末に対する統合エンドポイントマネジメントソリューション(UEM)のクラウドサービスとして提供されています。
従来の社内LANを前提とした端末管理システムとは異なり、端末が社内ネットワークに接続するのを待つことなく、インターネット経由で端末の状態や利用状況などの情報を把握できます。自社のセキュリティルールに合わせた端末ポリシーを設定することで、セキュリティパッチの適用漏れや、許可されていないアプリケーションの導入などを即座にチェックできます。
Workspace ONE UEMで実現する端末管理
これにより、テレワーク環境でも端末の状態をセキュアに保つことが可能になります。また、ポリシーの遵守状況をWorkspace ONE Accessと連携することで、セキュリティに不安がある端末の各種リソースへのアクセスを禁止することも可能です。端末を紛失した際にはリモートから端末をワイプしたりロックしたりできます。
このように、2つのサービスを組み合わせて利用することで、端末を起点としたアクセスコントロールを実現することができます。また、Workspace ONEの「Drop ship Provisioning」機能により、端末のプロビジョニングにも対応します。
ハードウェアベンダーで出荷時にWorkspace ONEのエージェントとプロビジョニングパッケージファイル(PPKG)を組み込むようにすれば、テレワークのユーザーは届いたPCに電源を入れてインターネットに接続するだけで、自動的にWorkspace ONEから必要な設定やアプリケーションが適用され、すぐにセキュアな端末を利用できるようになります。
さらにNSSOLでは、このWorkspace ONEに導入支援、運用支援、リソース連携の各メニューを追加した「M³DaaS for Endpoint Management」提供しています。DaaS/VDIのクライアント運用で得たノウハウを生かしたメニューとなっており、お客様の導入から運用までをトータルでサポートいたします。サービス、サポートデスク窓口の一本化など、お客様が利用しやすいメニューとなっていますので、DaaS/VDIの導入、あるいは乗り換えを考えているお客様は、ぜひご検討ください。
Workspace ONEに導入支援、運用支援、リソース連携の各メニューを追加した「M³DaaS for Endpoint Management」
※1 出典:独立行政法人情報処理推進機構 「情報セキュリティ10大脅威 2021」
日鉄ソリューションズ株式会社 ITインフラソリューション事業本部 デジタルプラットフォーム事業部 デジタルワークプレース部 千田 晃大
