仮想デスクトップ

AVDセキュリティ監視をするとVDIセキュリティ対策がレベルアップする

ユーザーの端末上にリソースを保存せずに、サーバー上にすべてを保存して一元管理するVDI。その中でも特にマイクロソフト社が提供するAVDは有名なサービスです。この記事ではVDIやAVDの特徴と使用するメリットに加え、AVDを安全に使う方法について紹介します。

Azure Virtual Desktop(AVD)とWindows365の違いを徹底解説!

VDIによるテレワークが安全とされる理由について

近年、増え続けているテレワークを安全に行う方法については、これまでも議論が重ねられてきました。複数ある方法のうちの一つが、仮想化したデスクトップ環境「VDI(Virtual Desktop Infrastructure)」を利用するという方法です。

通常のオフィスワークでは、OSが組み込まれたPCや端末に、ユーザー自らがアプリケーションをインストールして、自身の端末上でファイルなどを編集するのが一般的です。この場合、OS・アプリケーション・作成したファイルは、すべてユーザーの端末内に保存されています。

一方、これらのデータをすべてサーバー上に保存し、各従業員のデスクトップ環境をまとめてサーバー上で管理するのがVDIです。VDIでは、各ユーザーはサーバー上に構築されたデスクトップ環境にアクセスして、業務を行うことになります。すなわち、VDI環境における各ユーザーの端末にはデータなどが保存されず、画面表示およびキーボード・マウスなどによる入力操作を行うという役割しかありません。

VDIを導入する最大のメリットとして、企業リソースを個人の端末ではなく、サーバー内で一元管理することで、個人で企業データを保存する必要がなくなり、万が一、個人端末が盗難された場合でも、機密情報の流出が防げるところにあります。

また、VDIを使わず、個人の端末にOSやアプリケーションをインストールしている場合、OSの更新など基本的なセキュリティ対策は、ユーザー自身で行わなくてはなりません。VDIであれば、従業員の端末をIT部門で一元管理できるため、セキュリティ対策を一度にかつ漏れなく実施できます。

なお、VDIではデスクトップの画面をサーバーから個人の端末に転送しているため、サーバーと端末間の通信経路を傍受された場合、情報が盗み取られる可能性が捨てきれません。このため通常は、VPNなどで通信経路を暗号化する処理がとられます。

Windows 365とAzure Virtual Desktop徹底比較セミナー
無償で体験!Office 365 脅威可視化 + Microsoft Sentinel 検証支援サービス

VDIにもあるセキュリティのリスクとは

OSやアプリケーションをサーバー上で一元管理できるVDIですが、VDIならではのセキュリティリスクも存在します。

まず、VDIではサーバー上にリソースを保管しているとは言え、従業員個人の仮想デスクトップ環境でOSが稼働していることには変わりなく、VDIを利用していない場合と同様、マルウェアへ感染する可能性があることです。

さらに、パスワードさえあればどこからでもVDIを経由してデスクトップにアクセスできるのは、便利な半面、万が一、パスワードが流出してしまった場合には、デスクトップ上の情報が流出するリスクがあることを意味します。また、利便性を高めるために多くのVDIに搭載されている機能も、使い方を誤ればリスクに繫がります。

例えば、一般的なVDIシステムでは、ファイルのアップロードやダウンロード・USBへの保存などの機能があります。これにより、サーバー上のファイルを個人の端末に保存しておけば、ネットワークに接続できない環境などでも編集作業が可能です。サーバーからダウンロードしたファイルは、一時作業用ファイルとし、ネットワークに接続できるようになったら自分の端末からは削除するべきですが、そのまま端末内にファイルを残した状態になってしまうと、端末が盗難されたときにデータも流出してしまいます。

AVDの特徴やメリットとは

VDIには様々なサービスがありますが、その中でマイクロソフト社が展開しているサービスが「AVD(Azure Virtual Desktop(旧Windows Virtual Desktop))」です。

併せて、マイクロソフトは、システム開発や運用に役立つ機能を備えたクラウドサービス「Microsoft Azure」も展開しています。

AVDとは、クラウドプラットフォームであるAzure上で動作するVDIサービスです。Azure上に仮想マシン1台を構築すると、その中に複数のVDI環境を構築することができます。AVDの利用者が、デスクトップと各アプリケーションを利用するときにアクセスする先は、Azure上に構築した仮想マシンです。

仮想マシンにアクセスすると、Windows 10だけでなく、Microsoft 365アプリケーションやサードパーティ製の他のアプリケーションが利用できます。Microsoft 365アプリをインストールして使う、「Microsoft 365 Apps for enterprise(旧:Office 365 ProPlus)」も、仮想サービスとして利用できます。また、Windows 10と同様、「Microsoft 365 Apps for enterprise」も複数ユーザーで利用できます。

IT管理者の立場でも、AVDを導入するメリットは豊富にあります。例えば、AVDに接続するときに多要素認証を求める条件付きアクセスを、IT管理者側でポリシーとして設定できるなど、全従業員の端末をまとめて管理する機能が含まれています。自社でVDI環境を構築すると、IT人材への投資やサーバー構築費用などが大きなコスト負担となりますが、AVDであればAzureの利用料のみとなるため、VDI環境構築のための大きなコストが発生しません。

2020年4月には、AVDが大型アップデートを実施し、このアップデートでの大きな変更点が、「Azure Resource Manager(ARM)」と統合したことです。これにより、AzureポータルからAVDが操作できるようになりました。Azureポータル上で“Azure Virtual Desktop(旧Windows Virtual Desktop)”と入力すると、サービスが検索できます。インターネット環境がないと接続できないのが、AVDの唯一のデメリットと言えますが、管理・運用が非常に簡単であるため、IT人材不足に悩む企業にとっては導入メリットが大きいサービスと言えるでしょう。

Azure SentinelによるAVDセキュリティ監視とは

AVDの仮想デスクトップは、セキュリティが強固なクラウドサービス「Microsoft Azure」で保護されます。

一方、仮想デスクトップでのネットワーク設定ミスやアクセスレベルの設定ミスなどは、どの企業でも起こり得る問題であり、AVDでもセキュリティ上のリスクはゼロではありません。AVDの安全性を高めるためには、別のサービスでセキュリティ監視を行うことが効果的です。

具体的には、Azureには、セキュリティ分析機能「Azure Sentinel」があり、この「Azure Sentinel」を併用してセキュリティを担保するという方法があります。例えば、仮に、完璧なセキュリティ対策を行っていたとしても、社内の人物による情報の持ち出しなど、企業内部の不正行為に対しては、対策の施しようがありません。「Azure Sentinel」を活用すると、各ユーザーが保有している操作権限の高さに関係なく、AVD全体のセキュリティを分析して管理できます。さらに、AVDのログを「Azure Sentinel」に取り込むと、不正アクセスがあった場合に検出できるだけでなく、犯罪者が不正操作を隠蔽するために行うログの削除など、不正の兆候までも検知します。

Microsoft Azureとは何か?入門から応用まで徹底解説

クラウドとは何か?Azureとは何か?導入のメリットや構成、コストに至るまでの基礎的な知識から、どのように活用すべきかまでを徹底的に解説しています。

Microsoft Azureとは何か?入門から応用まで徹底解説

ブログ記事を見る

まとめ

VDIのサービスのうち、マイクロソフト社が提供しているAVDは、マイクロソフトの他のサービスとの親和性が高く、近年導入する企業が増えています。また、AVDを導入する際は、「Azure Sentinel」のようなセキュリティ監視サービスを組み合わせ、さらにセキュリティを高めることをおすすめします。

今こそSIEMを使いこなしてセキュリティ強化を!スキルやノウハウ面の懸念を払拭する支援サービス
  • fb-button
  • line-button
  • linkedin-button

関連記事

Azure セキュリティの押さえておくべき5個のポイント
セキュリティとガバナンス
VDI/DaaS導入と運用の実績14,000台!TISによる仮想デスクトップ活用の「落とし穴」と対策
仮想デスクトップ
大規模なVDIを成功に導くポイントとは?導入失敗から学ぶ法則を紹介
仮想デスクトップ
クラウドへの移行ツール Azure Migrateの概要
クラウド移行(インフラ・DB)
データセンターの移行とは?方法や手順、注意ポイントを紹介
クラウド移行(インフラ・DB)
テレワークを活用した働き方改革。環境構築に役立つ「AVD」を紹介!
仮想デスクトップ
リモートワーク に潜む情報セキュリティリスクとは?
仮想デスクトップ
クラウド移行で成功するための4つのポイントとAzureで気をつける3つのポイント
クラウド移行(インフラ・DB)
AzureとAWS。その特徴とDaaS費用の比較
仮想デスクトップ
データセンターの安全性を確認する方法や評価基準を紹介
ハイブリッドクラウド
企業がクラウドへ移行すべき代表的なタイミング
クラウド移行(インフラ・DB)
レガシーシステムが抱える課題について考える
クラウド移行(インフラ・DB)
社内システムをクラウド化するメリットと流れ
クラウド移行(インフラ・DB)
Azureへの移行を徹底解説!オンプレミスからクラウド環境への移行手順
クラウド移行(インフラ・DB)
SIEMとは?必要性や機能、おすすめのSIEMソリューションを解説
セキュリティとガバナンス
マルチクラウド管理とセキュリティ対策を備える統合プラットフォームとは?
セキュリティとガバナンス
マルチクラウドのログ監視と運用に最適なAzure Sentinelとは?
セキュリティとガバナンス
SIEMとEDRの違いや使い分けについて
セキュリティとガバナンス
データセンター選定の際に気をつけたいポイント
クラウド移行(インフラ・DB)
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP