画像をタップして拡大する

2021年9月10日

仮想デスクトップによる管理とセキュリティの簡素化

リモートワークが急速に拡大する今日、VDIはデスクトップコンピューティングに独自のメリットをもたらします。
自宅のリビングにいながら、世界最大級の証券取引所のトレーディングフロアにいるかのように作業ができるとしたらどうでしょうか。あるいは自家用車の後部座席でハリウッドの超大作アニメ映画を制作したり、世界各地のエンジニアらと連携して新しい高級車を設計したりすることを想像してみてください。さらに良いことに、これらのシナリオで行われている作業は、あなた自身や共同作業者の手元ではなく、中央ロケーションで安全に一元管理されています。

これが仮想デスクトップインフラストラクチャ (VDI) コンピューティングが可能にする世界です。

VDI環境では、ユーザーのオペレーティングシステム (その多くはWindows) とアプリケーションはサーバー上で実行されます。ユーザーからは、PC上でソフトウェアが動作しているように見えますが、PC上で動作しているのは実際にはクライアントプログラムで、このプログラムによりキーストロークとマウス操作がサーバーに送信され、画面イメージを記述したデータがサーバーから送り返されます。

この設計が持つ独自のさまざまなメリットは、昨今の情勢下で労働者が抱える課題や企業ニーズに最適です。

自宅のBYODワーカーをVDIを通じて管理する場合、セキュアな施設内で企業の機器を使用している従業員をVDIを通じて管理するのとほぼ同等の制御性を得られます。

VDIは効率的

運用の効率性に関してVDIが特に優れているのが、ニーズに応じて適正量のコンピュートパワーをユーザーに自動的に割り当てられることです。VDIは一般的なカテゴリに基づくプロファイル (ペルソナ) をユーザーに割り当てます。これは類似の責務を担うユーザーが必要とする典型的なコンピュートリソース量によってユーザーを分類するもので、一般的には以下の3つのペルソナプロファイルが存在します。

  • タスクワーカー: データ入力を担うコールセンタースタッフなど、コンピュートパワーをそれほど必要としないユーザー
  • ナレッジユーザー: カスタマーサービスクラウドグループなど、より多くのコンピュートパワーを必要とするユーザー
  • パワーユーザー: ハイエンドのCAD、設計エンジニアリング、アニメ映画、トレーディングフロアなどに関するコンテンツやデータをリアルタイムで処理する必要があるユーザー

VDI環境では、複数のサーバーから適正量のコンピュートリソースを自動的に分配できるため、使用量が急上昇したような場合でも、1つのサーバーに過剰な負荷がかかるリスクが低減されます。また規制要件やその他のニーズに応じて、コンピュートリソースをオンプレミスのサーバーに移行することも可能です。

パワーユーザーに関しては、高価なワークステーションに対する投資を、より汎用的なサーバーの投資に振り向けられるというメリットもあります。つまりVDIを利用すれば、たまにしかフルパワーを必要としないエンジニアチームのために高価なワークステーションを購入する代わりに、必要なときにas a serviceの形でワークステーションを提供することが可能になります。また、すべてのユーザーが同じサーバー上で作業を行っていることから、ユーザー間でのデータの並列処理も促進されます。すなわち同じ大容量データセットを取り扱う複数のハイエンドユーザーが、個別のワークステーションではなく、同じサーバー上に存在することによるパフォーマンスの向上が期待されます。

VDI市場

大多数の組織は、一握りのベンダーやクラウドサービスを通じてVDIを入手しています。この事業における最古参のプロバイダーはCitrix Systemsで、Horizonソリューションを提供しているVMwareも市場で大きな存在感を有します。またWindows ServerにはMicrosoftのリモートデスクトップサービスが搭載されており、また同社はWindows Virtual Desktop on Azureも販売しています。さらにAmazon Web Servicesをはじめとする多くのクラウドサービスやホスティングサービスも、WindowsとLinuxの両クライアント向けにさまざまなVDIを提供しています。

これらの企業は管理機能も提供しており、その多くが非常に洗練されています。一般的に、とりわけ複雑なハイブリッド環境では、包括的なクラウド管理ツールの下でVDIを運用することが推奨されます。一例として、このようなツールを活用すると、オンプレミスのVDI環境からクラウド上でホストされるVDI環境へと、オンデマンドでシームレスにスケールアウトすることが可能になります。

端末とデスクトップの比較

VDIの実現には3つの方法があり、それぞれパフォーマンス、セキュリティ、およびハードウェアリソースの間に複雑なトレードオフの関係が存在します。

初期のWindows端末製品では、VDIの意味でのデスクトップはサポートされておらず、ユーザーは共有サーバー上のセッションにログインしていました  (事実、このタイプの最初の製品であるCitrix MULTIUSERはOS/2がベースでした)。すべてのユーザーが同じWindowsインスタンス内で動作するため、負荷の高いアプリケーションを実行しているユーザーがいると (非常に大きいスプレッドシートを読み込むなど)、他のユーザーのパフォーマンスに影響が生じることがありました。

この問題への対応を容易にしたのが仮想マシンへの移行です。各ユーザーには、デスクトップ版のWindowsまたはLinux、あるいは類似のOSが動作する個別のVMが割り当てられます。管理者は、VDIベンダーやサードパーティが提供するハイパーバイザーや管理システムを使用して、グループや個々のユーザーに割り当てられたリソースを制御できます。

VDIと端末のどちらの場合も、特定アプリケーションの提供のみが許可されるため、通常、ユーザーは許可されたアプリケーションのみを使用でき、OSにはアクセスできません。

いずれのモデルでも、管理者はユーザーが使用可能なソフトウェアやネットワーク接続を完全に制御できます。ただしVMモデルの場合は、各ユーザーを完全に分離することでセキュリティが強化されています。そのため一般的な制御にもかかわらずあるユーザーが侵害された場合でも、他のユーザーを攻撃できる可能性はまずありません。

とは言え、端末/共有サーバーモデルには、このモデル独自のメリットがあります。例えば大規模なコールセンターでは、すべてのユーザーが高度に管理された少数のアプリケーションを使用しているため、VM上で動作するデスクトップよりも共有サーバーの方がはるかに効率的です。

在宅勤務は新たな標準運用手順 (SOP)

リモートユーザーへのアプリケーションの提供は、初期のWindows端末システムにおいてもユースケースの1つでしたが、その主な目的は企業LAN上の多数のユーザーへのサービスの提供でした。近年、一般的なリモートアクセス手段としてのVDIの利用が拡大しつつありましたが、パンデミックの発生により人々が在宅勤務を強いられる中で、VDIの必要性がより一層高まっています。

3月中旬、米国のFord Motor Co.が、パンデミックの収束後も在宅勤務をより多くの社員に許可する計画であることを発表しました。同社のこの発表は、在宅勤務 (WFH) やハイブリッド勤務がニューノーマルとして浸透しつつあることを示すものと言えるでしょう。新たなビジネスワークプレイスモデルへの移行を発表するにあたり、同社はSalesforce、Facebook、Twitterなどの大手テクノロジー企業とも連携しています。こうした動向は雇用データにも表れており、パンデミックの発生を受けてリモートワーカー向けの求人情報が倍増し、今なお増え続けています。

VDIはリモートアクセスに最適

自宅のBYODワーカーをVDIを通じて管理する場合、セキュアな施設内で企業の機器を使用している従業員をVDIを通じて管理するのとほぼ同等の制御性を得られます。セキュリティ上の強みをはじめとするVDIの利点の大半はどちらのケースでも共通しており、この点だけでもリモートアクセスの手段として推奨されます。

比較的低速の家庭用ブロードバンド回線を介して複雑なアプリケーションを実行する場合のパフォーマンスを不安視する声もありますが、一般的には問題ありません。CADのようなグラフィックスを多用するアプリケーションの場合もパフォーマンスは良好です。これはサーバーとクライアント間のデータのやり取りは、キーボードとマウスの動き、および画面イメージの変化が、それぞれ一方向に送信されるだけであり、いずれもパフォーマンスの維持にそれほど多くの帯域幅を必要としないためです。アプリケーションのグラフィックス部分を高速化するためにサーバーにGPUを搭載することも可能で、このことがリモートディスプレイ インターフェイスの低帯域幅要件に影響することはありません。

接続に音声が含まれる場合は、パフォーマンスの問題が生じる可能性がありますが、ベンダーの多くが、クライアントシステムが対話の相手と直接通信できるように音声/ビデオ接続をリダイレクトする機能を備えています。

VDIの導入にあたり、サーバー側で新たな投資が必要になる場合もありますが、クライアント側ではコストの削減が可能になります。VDIクライアントのパフォーマンスを確保するためのハードウェア要件は小さく、数世代前のPCで簡単に要件を満たせます。

VDIのもう1つの利点は、ユーザーが保有するハードウェアでは対応できないレガシーアプリケーションもサポート可能なことです。例えば、Windowsの特定バージョンに依存するアプリケーションを、IT部門がサーバー上に展開および管理している適正なバージョン上で実行でき、クライアント側はWindows PCでもAndroid携帯やiPadでも構いません。同様にVDIは、iPad上でLinuxプログラムを実行するなど、他のプラットフォームのアプリケーションを柔軟に実行できる点でも注目されています。

VDIによるセキュリティの最大化

ゼロトラストは、ネットワーク上のいかなる接続も安全とみなすべきではない、という考え方を基本とします。ネットワークに接続するすべてのシステムは、自分の身元や、権限を持っていることの証明を求められます。

自宅のコンピューターから企業リソースへのアクセスが急増している中で、ゼロトラストの考え方の有効性が広く実証されつつあります。リモートユーザーに対してVDIのみをサポートしている組織では、ゼロトラストによる安全性の強化に成功しています。VDIのメカニズムは極めてシンプルで、代替の手段と比べてセキュリティの確保が容易です。

すべての通信は1つのTCPポートを経由し、プロトコルは明確に定義されており非常にシンプルです。また転送中の情報は常に暗号化されます。この最後の点がVDIユーザーにはVPNが不要な理由の1つです。VDIは信頼できるシステムにのみ提供されます。VDIプロバイダーは、ユーザーによる接続、および必要に応じてTwo-Factor認証 (推奨) を使用した認証のための専用ゲートウェイをサポートしています。

万一クライアントPCがマルウェアに感染していたとしても、通常の攻撃では何の成果もあげられません。理論的には、クライアントがキーストロークやマウスの動きを送信し、ディスプレイの記述を受信するため、マルウェアがこれらの情報を盗んで外部に送信することが可能ですが、この点については対抗策が存在します。一例として、CitrixのApp Protectionは、捕捉される可能性のあるパス上でキーストロークを暗号化することで、キーロギングをブロックします。またスクリーンスクレイピングやスクリーンキャプチャリングの防御機能も搭載されています。さらにこうした保護対策を強化するために、外部のカメラでセッションが録画された場合に備えて、ユーザーのログインIDなどを画面に「透かし」として入れておき、撮影された画面を追跡できるようにするといったことも可能です。

またVDIでは本質的に、一定レベルのデータ主権が強制されます。ある管轄区域のユーザーが別の管轄区域内のシステムにアクセスした場合、機密を含む可能性のあるデータをダウンロードすることはできません。ただしデータは画面上に表示されます。この最後の問題も画面に電子透かしを入れるなどの対策により軽減することが可能です。

VDIは成熟したテクノロジー

1990年代初頭に現れ始めたVDI製品は、企業ITが抱える重要な問題を即座に解決しました。これまでVDIは、デスクトップユーザーのための標準的な手法とまではなってきませんでした。しかしながら状況は変わりつつあります。

ハイブリッドクラウドのパワーによりリソースの迅速な展開と拡張が可能になり、また任意の信頼できないデバイスから任意の信頼できない接続を介してアクセスする多数のユーザーをサポートする必要性が高まる中で、VDIはこれまで以上に魅力的なソリューションとして注目されています。

リーダーへのアドバイス

  • VDIはあらゆるデスクトップを単一の物理的ロケーションに集約することで、管理を非常に容易にします。
  • VDIによる一元化により、ITサポートの多くの側面、とりわけクライアント側のサポートが簡素化されます。
  • VDI上で動作する企業デスクトップの攻撃対象領域は、従来型のデスクトップに比べてはるかに限定的です。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。

enterprise.nxt
ニュースレターのご登録

enterprise.nxtから最新のニュースをメールで配信します。