イベント報告 2024/05/17

Security Days Spring 2024セッション②「40分で徹底解説！「クライアント仮想化」のこれまでとこれから」

サイバー攻撃は、巧妙・悪質な手法へと変化し続けており、情報資産を盗まれるリスクが増大。企業や組織には、最新の脅威動向を踏まえたセキュリティ対策が求められています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いから、2024年3月12日～3月15日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Spring 2024」に参加し、全4講演のセミナーを実施しました。

今回の記事では、イベント2日目に実施したセミナー「40分で徹底解説！「クライアント仮想化」のこれまでとこれから」について、その概要とポイントをご紹介します。

環境が変化している今こそクライアント仮想化の見直しが必要

「クライアント仮想化」とは、画面転送や、端末内で仮想的に別の空間を作り出す技術が利用されるソリューションを包括的に指す用語です。わかりやすく説明するために「5W1H」を用いて解説します。

When/Who/What（いつ/誰が/何を）

まずは、クライアント仮想化をいつ使うのかについてです。実は、いつでも使う機会があり、クライアント仮想化システムにアクセスして業務を行う場面でよく使われます。ほかにも、特定のシステムにアクセスするという場面でも使用されるといった場合もあります。

次に、誰が使うのかについてです。使用するシステムによって違いはありますが、基本的には業務に必要であれば、誰でも使用する機会があります。

そして、クライアント仮想化で何を仮想化しているのか（What）について。これは、クライアントそのものを指していて、コンピューターやブラウザなど、データのやり取りを行うものを仮想化しています。

このように、クライアント仮想化は必要であればいつでも、誰でも利用する機会がある業務基盤と言えるソリューションです。

Where（どこで）

次に、クライアント仮想化はどこで使うソリューション（Where）かという点ですが、基本的に、セキュリティレベルが異なる複数の環境を利用して業務を行う場面で使用されます。

利用される場面としては、以下の2つが代表的です。

1つ目はリモートアクセスです。自宅などのオフィス以外の環境から組織内のネットワークにアクセスするために、クライアント仮想化が利用されます。リモートアクセスは業種を問わず多くの環境で利用されています。

もう1つがネットワーク分離です。セキュリティ環境が高いネットワークにある端末から、セキュリティ環境が低いインターネット環境にアクセスする場合にも、クライアント仮想化が利用されます。金融や行政など、ガイドラインによって高いセキュリティ環境を構築することが要求される業種で多く利用されています。

Why/How（なぜ/どのように）

最後に、なぜクライアント仮想化を利用するのかと、どのように理想するのか（How）についてです。

クライアント仮想化を利用するメリットは、以下の3つです。

各端末の一元管理
→OSのアップデートや端末利用状況の管理などが容易になり、運用コストが削減される
情報漏洩対策
→端末にデータが残らないため、盗難・紛失時にも情報漏えいのリスクが少ない
常に同じ環境で業務可能
→画面転送により、ハイブリッドワークでも業務環境を安全に利用可能

クライアント仮想化を行う手段は、画面転送と端末内仮想化が代表的な形式です。

画面転送とは、サーバー側で行った処理の結果をクライアントの画面に表示する方式で、デスクトップ仮想化やリモートデスクトップが挙げられます。

端末内仮想化は、各端末の中に仮想化空間をつくりその空間の中でデータを扱う方式で、セキュアブラウザやセキュアコンテナがこれに該当します。

【クライアント仮想化の具体的な方式まとめ】

形式	ソリューション	説明	コスト
画面転送	仮想デスクトップ（VDI）方式	サーバーに集約された仮想端末を遠隔地から操作	高
	アプリケーション仮想化（SBC）方式	サーバーで実行されるアプリを遠隔地から操作	高
	リモートデスクトップ方式	オフィスにあるいつも使っている端末を遠隔地から操作	中
端末内仮想化	セキュアコンテナ方式	ローカル端末に仮想エリアを作りアプリケーションを稼働	中
端末内仮想化	セキュアブラウザ方式	データが端末に残らないセキュリティ強化されたブラウザ	低

クライアント仮想化を取り巻く環境の変遷

このクライアント仮想化を取り巻く環境はアプリケーションを動かす場所の移り変わりによって形を変えてきました。

アプリケーションで業務を行うことが主流だった時代は、FAT端末内にデータを保存していました。その後、FAT端末の動作が重いという課題を解決するため、アプリ専用のオンプレミスサーバー内が導入されました。

続いてクラウドコンピューティングが登場し、端末内にアプリデータを保存しない時代へと突入します。また、物理的なサーバーも不要になったため、コスト/データともに軽くできる「シンクライアント」が普及し、様々な方式が登場しました。

シンクライアントの形式

ネットワークブート方式

内容：サーバー側に保存したOSやアプリをネットワーク経由で起動させる方式
特徴：通常のPCとほぼ変わらないパフォーマンスで利用できるが、大容量のネットワークが必要

ブレードPC方式

内容：端末ごとに個別のブレードPC（CPUやメモリを集約したもの）にあるデスクトップを利用する方式
特徴：端末ごとにデスクトップをカスタマイズできるが、物理的リソースが必要

SBC方式

内容：利用するアプリをサーバー上に集約し、画面のみを転送する方式
特徴：環境構築や運用のコストを抑えやすいが、デスクトップをカスタマイズしにくい

VDI方式

内容：サーバー上に複数の仮想デスクトップ環境を構築する方式
特徴：カスタマイズ性や管理性に優れており、現在の環境で主流となった

このように、業務環境は課題の発生と課題を解決するための新しい手段の確立、というサイクルを繰り返して現在まで辿り着きました。
そして今後もさらに新しい選択肢が生まれつつあります。

端末内仮想化が解決するブラウザで扱うデータ保護の課題

新しい選択肢が注目されている背景には、ブラウザで利用するクラウドアプリケーションの増加があります。たとえば、今まではアプリで利用することが一般的であったMicrosoft Officeも、現在ではブラウザ版が使われるようになってきています。

また、こういった環境の変化により、Chromebookも注目されるようになりました。Chromebookは、データの大半をクラウドであるGoogleドライブに保存するため、軽い動作を実現している端末です。このようにデスクトップは、業務を行うための端末から情報にアクセスするためのインターフェースという役割へと変化しているのです。

デスクトップの役割が変わったことで、ブラウザで扱うデータの保護方法が課題になっています。以前はメインの業務環境が端末内だったため、端末にデータを残さないシンクライアント化で対応できました。では、メインの業務環境が端末からブラウザへと変わりつつある現在は、どのようにデータを保護すれば良いのでしょうか？

それを実現する選択肢の1つが、クライアント仮想化の手法として「画面転送方式」と共に紹介した「端末内仮想化方式」です。

端末内仮想化方式を利用することで、以下のようなメリットがあります。

アプリを終了したらキャッシュはすべて消去される
端末へのデータ保存経路を制御
アプリを入れるだけなので、1台の端末で環境構築できる

実際に端末内仮想方式を利用したシステムに更改した事例を紹介します。

従業員が数万名、さらに支社も全国に100箇所以上ある、金融業界の企業の事例です。こちらの企業では、内勤と外勤、それぞれの従業員が利用するためのインターネット分離環境の見直しを検討していました。

相談時点では、画面転送型のクライアント仮想化でのインターネット分離を行なっていましたが、使い勝手の悪さに課題を感じていました。また、インターネット環境から内部ネットワークへのファイルの受け渡しには、別の仕組みを利用されていましたが、この作業についても手間の多さが悩みの種となっていました

この課題を解決するため、以下のような構成に更改。セキュアブラウザを活用することで使い勝手が向上し、さらにファイルの受け渡しの手間も削減できました。

ブラウザファースト時代のクライアント仮想化を実現する

上記で紹介した事例以外にも、同様の課題を感じている企業や自治体からご相談を受けることがありました。このことから、

画面転送からセキュアブラウザへの変更
利便性や運用性、コストパフォーマンスを重視

以上を重視したソリューションが、現場のユーザーから求められていると考えられます。

ソリトンでは、これらのニーズに合わせた製品を提供しています。

「Soltion SecureBrowser」は、機密性が高く、端末に情報を残さないブラウザです。アプリ終了後はキャッシュが自動で削除されるため、情報漏洩の心配もありません。さらにこのブラウザでの通信は、専用のゲートウェイを通してのみ行うことができるため、不正アクセスの対策にもつながります。

ブラウザだけではなくアプリそのものを使いたいという場合は「WrappingBox」という製品のご用意があります。こちらはセキュアコンテナ方式を採用しており、アプリを立ち上げると安全な保護領域を展開できます。アプリを安全な環境で利用でき、さらにオフライン環境での利用も可能です。こちらも端末にデータを残さない仕組みになっていて、アプリを終了するとキャッシュは削除されます。

最後に「Soltion SecureBrowser」でインターネットを閲覧している際に、ファイルをローカル環境に取り込みたいというニーズに対する製品です。

ファイルを送る際に弊社製品の「FileZen S」を通すことで、自動的に無害化処理を行います。そのため、高いセキュリティを保ったまま、異なるネットワーク間でファイルの受け渡しが可能になります。

自身の講演について、ITセキュリティ事業部プロダクト&サービス統括本部プロダクトマーケティング部の小川あさぎは最後にこう振り返ります。

“多くの業務がブラウザ上で完結できるようになってきたことで、最適なクライアント仮想化というものにも新たな変化が生まれています。特に高いセキュリティが求められる業界であっても運用時の利便性を無視できない状況となってきました。弊社としては、お客様に対して高いセキュリティはもちろん、利便性やコストも犠牲にしないようなクライアント仮想化の提案に注力していくつもりです。

自社にとって最適なソリューションは、企業・組織によって異なります。そのため自社のクライアント仮想化の見直しを行うときは、セキュリティ面だけでなく、コストや利便性まで踏まえた上で検討いただくのが良いかと思います。”